Kurze Information und Rundfrage an Administratoren im Umfeld von Microsoft 365 / Exchange Online, wer schon betroffen ist. Ein Leser hat mich auf ein mögliches Problem im Zusammenhang mit DKIM hingewiesen, was durch eine Microsoft Änderung verursacht wird. Das ist bereits der zweite Hinweis in dieser Sache – wobei noch nicht alle Tenants betroffen zu sein scheinen.
Neuer Hinweis eines Blog-Lesers
Blog-Leser Maximilian S. hat sich zum 18. Februar 2026 per E-Mail bei mir gemeldet. Er betreut als IT-Dienstleister mehrere Kunden mit MS365-Online-Umgebungen. Hier zeigt mir Microsoft seit kurzem einen Fehler in der Domänen-Kontrolle an.
Fehlermeldung; Zum Vergrößern klicken
Für DKIM wird ein ungültiger Eintrag unter dkim.mail.microsoft angezeigt (siehe obige Abbildung). Dieser DNS-Eintrag löst dann Fehlermeldungen aus.
CNAME-Fehler bei Microsoft, Zum Vergrößern klicken
Der Leser schrieb dazu: "Anscheinend hat Microsoft (still und heimlich?) die CNAME Einträge überarbeitet". Vielleicht hilft es auch anderen Administratoren solcher Umgebungen, da DKIM im E-mail Versand nicht ganz unwichtig ist, ergänzte der Leser. Mein Dank an den Leser. Ist noch jemand von dieser Änderung betroffen, oder ist es Einzelfall? Ist das bereits aufgefallen und korrigiert?
Da gab es doch schon was
Ergänzung: Es war mir schon entfallen. Erste Informationen hatte ich mutmaßlich vor einem Jahr, zum 19. Februar 2025, im Beitrag Microsoft hat DKIM-Wert zum Signieren von Mails in Office 365 angepasst zu diesem Thema zusammen getragen. Der Beitrag kam von Blog-Leser Luca S., der mich per E-Mail darauf hingewiesen hat, dass Microsoft bei DKIM einfach den Wert beim CNAME-Eintrag angepasst habe, ohne das zu kommunizieren. Es ist also kein Einzelfall.
Von Microsoft gibt es den Support-Beitrag Einrichten von DKIM zum Signieren von E-Mails aus Ihrer Microsoft 365-Domäne, der die DKIM-Einrichtung für Office 365 erklärt. Die Syntax der CNAME-Einträge wird in diesem Abschnitt beschrieben.
DomainKeys Identified Mail (DKIM) ist eine Methode der E-Mail-Authentifizierung, mit der E-Mails überprüft werden können, die von der Microsoft 365-Organisation gesendet wurden, um gefälschte Absender zu verhindern, die bei der Kompromittierung von Geschäftlichen E-Mails (BEC), Ransomware und anderen Phishing-Angriffen verwendet werden, heißt es dazu bei Microsoft.
Bei administrator.de gibt es diesen Thread, der auf Basis meines Artikels entstanden ist. Hier empfehle ich ggf. einen kurzen Blick in den Kommentar von antenope, der sich ausgiebiger mit der Sache auseinander gesetzt hatte. Er beschreibt, wann was greift:
- Bei neuen Tenants werden die neuen URLs direkt verwendet
- Aktiviert man DKIM zum ersten mal für eine Domain in einem bestehenden Tenant, werden die neuen URLs verwendet
Der Poster deutete vor einem Jahr an, dass das Ganze "nicht das Gelbe vom Ei" sei und es Bugs gebe.
MVP: 2013 – 2016
ich habe das gerade bei 3 älteren Tenants überprüft und konnte keine Fehler finden. Die alten DKIM Einträge sind noch gültig.
Ich habe auch soeben unsere DKIM-EInträge geprüft, aber alle sind valid
Wir haben auch das Problem, allerdings sind es bei uns nicht die DKIM Einträge, die sind weiterhin in Ordnung, bei uns sagt er, dass die MX Records Richtung Mimecast plötzlich falsch sind. Ich habe das erstmal ignoriert weil alles ordnungsgemäß funktioniert.
Laut https://learn.microsoft.com/en-us/defender-office-365/email-authentication-dkim-configure
sollen die DNS-Einträge tatsächlich auf .-v1.dkim.mail.microsoft verweisen.
Früher war das aber: tenantname.onmicrosoft.com
Ich gehe davon aus, dass Microsoft im Hintergrund anfängt, die bisherigen .onmicrosoft.com-Einträge auf .mail.microsoft umzustellen (so, wie die Adminseiten von .admin.microsoft.com auf .cloud.microsoft umgestellt werden) – zumindest testweise und vereinzelt…
Bei unserem Tenant ist auch noch alles bei den bisherigen .onmicrosoft.com-DKIM-Einträgen und funktioniert.
Same here – wie auch schon letztes Jahr vermeldet (siehe "Blacky Forest"'s Verlinkung weiter unten)
Das ist letztes Jahr schonmal "passiert". Wir haben gerade einen Tenant, da zeigt das MS365 Admin Center als korrekte DKIM Records die .onmicrosoft.com an und per Exchange online PowerShell werden die .dkim.mail.microsoft angezeigt. Funktionieren tuts mit beiden nicht…
Meine Erfahrung: Microsoft ist etwas langsam im Erstellen der Einträge also 24h+ bis der DNS Server die Entries auch tatsächlich hat.
https://borncity.com/blog/2025/02/19/microsoft-hat-dkim-wert-zum-signieren-von-mails-in-office-365-angepasst/
Das ist doch genau das, oder?!
Ha! Ja, genau das; nur umgekehrt *facepalm*.
Danke für den Hinweis – war mir schon wieder entfallen (und ich bin im Kopf bereits bei meiner Auszeit von heute Mittag bis Montag Abend). Ich habe den obigen Text etwas überarbeitet und den Verweis auf den alten Artikel sowie die Diskussion bei den Kollegen von administrator.de hinzugefügt. Vielleicht hilft es weiter.
Es sieht so aus, als wenn der falsche Eintrag auch kein alter sondern ein neuer wäre.
Denn der falsche Eintrag hat hinten die neue TLD .microsoft, die Microsoft jetzt auch verstärkt z.B. mit cloud.microsoft nutzt (Plan zur Umstellung seit 2023: https://www.theregister.com/2023/04/27/cloud_microsoft_365/).
Die alten haben alle onmicrosoft.com hinten dran.
Vielleicht hat MS ja die Knowledge- und Help-Dokumente fälschlicherweise schon aktualisiert (gehabt), obwohl die Umstellung der DKIM-Domains noch nicht vorgesehen war und Maximilian hat sich an die neue Anleitung gehalten.
Oder es hat zeitweilig mit beiden Domains funktioniert und jetzt nicht mehr, weil es z.B. bei der Weiterentwicklung schlicht vergessen oder durch ein Backup zurückgesetzt wurde.
PS:
Maximilian S. hat übrigens seine Domain nicht geschwärzt und man kann daher leicht seinen Nachnamen durch Eintippen in den Browser herausfinden. Ist ja auch nicht schlimm, da er selbständiger ITler und die Webseite seine Werbung/Visitenkarte ist, aber dann brauch man auch nicht seinen Nachnamen mit S. zu verschleiern.
Edit: Wie @Blacky Forest schrieb, gab es das schon mal umgekehrt und zwar genau vor einem Jahr. Das ist bestimmt kein Zufall.
Die Verschleierung des Nachnamens führe ich hier standardmäßig durch, es sei denn, jemand will mit vollem Namen genannt werden (sonst habe ich ständig die Diskussion, soll der Nachname genannt werden oder nicht). Da er seine Screenshots nicht geschwärzt hat, konnte ich davon ausgehen, dass da nichts zensiert werden muss.
Über "…mail.microsoft" bin ich neulich auch gestolpert. Ein Mitarbeiter von Microsoft sagte mir, dass wohl seit einigen Wochen umgestellt werde.
Die korrekte Funktion lässt sich sehr schön über MXTOOLS checken.
Z.B. DKIM-Lookup: dkim:domain.de:selector1
Allerdings sollte Microsoft seine Kunden aktiv informieren, sofern deren DNS-server manuell nachgezogenwerden müssen.
Ich habe seit 3 Tagen das Problem das ich die DKIM Einträge nicht verifiziert bekomme.
Es sind die neuen mit .microsoft am Ende. Habe das schon dutzende male gemacht.
Fehlermeldung:
|System.Exception|Fehler beim Veröffentlichen des TXT-Eintrags "public key". Die Konfiguration wurde nicht erstellt. Versuchen Sie es bitte noch mal.
Ggf. kann Microsoft deinen DNS-Provider nicht updaten. Dort ansetzen und ggf. dort einfach manuell eintragen.
Hab ich manuell eingetragen. Wie sonst auch immer.
Mit nslookup -type=cname selector1._domainkey.xxxxx.de bekomme ich die Einträge auch angezeigt.