Kurze Information und Rundfrage an Administratoren im Umfeld von Microsoft 365 / Exchange Online. Ein Leser hat mich auf ein mögliches Problem im Zusammenhang mit DKIM hingewiesen, was durch eine Microsoft Änderung verursacht wird.
Blog-Leser Maximilian S. hat sich zum 18. Februar 2026 per E-Mail bei mir gemeldet. Er betreut als IT-Dienstleister mehrere Kunden mit MS365-Online-Umgebungen. Hier zeigt mir Microsoft seit kurzem einen Fehler in der Domänen-Kontrolle an.
Fehlermeldung; Zum Vergrößern klicken
Für DKIM wird ein ungültiger Eintrag unter dkim.mail.microsoft angezeigt (siehe obige Abbildung). Dieser DNS-Eintrag löst dann Fehlermeldungen aus.
CNAME-Fehler bei Microsoft, Zum Vergrößern klicken
Der Leser schrieb dazu: "Anscheinend hat Microsoft (still und heimlich?) die CNAME Einträge überarbeitet". Vielleicht hilft es auch anderen Administratoren solcher Umgebungen, da DKIM im E-mail Versand nicht ganz unwichtig ist, ergänzte der Leser. Mein Dank an den Leser. Ist noch jemand von dieser Änderung betroffen, oder ist es Einzelfall? Ist das bereits aufgefallen und korrigiert?
MVP: 2013 – 2016
ich habe das gerade bei 3 älteren Tenants überprüft und konnte keine Fehler finden. Die alten DKIM Einträge sind noch gültig.
Ich habe auch soeben unsere DKIM-EInträge geprüft, aber alle sind valid
Wir haben auch das Problem, allerdings sind es bei uns nicht die DKIM Einträge, die sind weiterhin in Ordnung, bei uns sagt er, dass die MX Records Richtung Mimecast plötzlich falsch sind. Ich habe das erstmal ignoriert weil alles ordnungsgemäß funktioniert.
Laut https://learn.microsoft.com/en-us/defender-office-365/email-authentication-dkim-configure
sollen die DNS-Einträge tatsächlich auf .-v1.dkim.mail.microsoft verweisen.
Früher war das aber: tenantname.onmicrosoft.com
Ich gehe davon aus, dass Microsoft im Hintergrund anfängt, die bisherigen .onmicrosoft.com-Einträge auf .mail.microsoft umzustellen (so, wie die Adminseiten von .admin.microsoft.com auf .cloud.microsoft umgestellt werden) – zumindest testweise und vereinzelt…
Bei unserem Tenant ist auch noch alles bei den bisherigen .onmicrosoft.com-DKIM-Einträgen und funktioniert.
Das ist letztes Jahr schonmal "passiert". Wir haben gerade einen Tenant, da zeigt das MS365 Admin Center als korrekte DKIM Records die .onmicrosoft.com an und per Exchange online PowerShell werden die .dkim.mail.microsoft angezeigt. Funktionieren tuts mit beiden nicht…
Meine Erfahrung: Microsoft ist etwas langsam im Erstellen der Einträge also 24h+ bis der DNS Server die Entries auch tatsächlich hat.
https://borncity.com/blog/2025/02/19/microsoft-hat-dkim-wert-zum-signieren-von-mails-in-office-365-angepasst/
Das ist doch genau das, oder?!
Ha! Ja, genau das; nur umgekehrt *facepalm*.
Es sieht so aus, als wenn der falsche Eintrag auch kein alter sondern ein neuer wäre.
Denn der falsche Eintrag hat hinten die neue TLD .microsoft, die Microsoft jetzt auch verstärkt z.B. mit cloud.microsoft nutzt (Plan zur Umstellung seit 2023: https://www.theregister.com/2023/04/27/cloud_microsoft_365/).
Die alten haben alle onmicrosoft.com hinten dran.
Vielleicht hat MS ja die Knowledge- und Help-Dokumente fälschlicherweise schon aktualisiert (gehabt), obwohl die Umstellung der DKIM-Domains noch nicht vorgesehen war und Maximilian hat sich an die neue Anleitung gehalten.
Oder es hat zeitweilig mit beiden Domains funktioniert und jetzt nicht mehr, weil es z.B. bei der Weiterentwicklung schlicht vergessen oder durch ein Backup zurückgesetzt wurde.
PS:
Maximilian S. hat übrigens seine Domain nicht geschwärzt und man kann daher leicht seinen Nachnamen durch Eintippen in den Browser herausfinden. Ist ja auch nicht schlimm, da er selbständiger ITler und die Webseite seine Werbung/Visitenkarte ist, aber dann brauch man auch nicht seinen Nachnamen mit S. zu verschleiern.
Edit: Wie @Blacky Forest schrieb, gab es das schon mal umgekehrt und zwar genau vor einem Jahr. Das ist bestimmt kein Zufall.