Verwenden von DKIM zum Überprüfen ausgehender E-Mails, die von Ihrer benutzerdefinierten Domäne gesendet werdenUse DKIM to validate outbound email sent from your custom domain

Wichtig

Willkommen bei Microsoft Defender für Office 365 , dem neuen Namen für Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365 , the new name for Office 365 Advanced Threat Protection. Weitere Informationen zu diesen und anderen Aktualisierungen finden Sie unter Microsoft delivers unified SIEM and XDR to modernize security operations (Microsoft stellt einheitliches SIEM und XDR bereit, um Sicherheitsvorgänge zu modernisieren).Read more about this and other updates in Microsoft delivers unified SIEM and XDR to modernize security operations.

Zusammenfassung: In diesem Artikel wird erläutert, wie Sie DomainKeys Identified Mail (DKIM) mit Microsoft 365 verwenden, um sicherzustellen, dass Ziel-E-Mail-Systeme ausgehenden Nachrichten vertrauen, die von Ihrer benutzerdefinierten Domäne gesendet werden.Summary: This article describes how you use DomainKeys Identified Mail (DKIM) with Microsoft 365 to ensure that destination email systems trust messages sent outbound from your custom domain.

Sie sollten DKIM zusätzlich zu SPF und DMARC verwenden, um zu verhindern, dass Spoofers Nachrichten senden, die aussehen, als würden sie von Ihrer Domäne stammen.You should use DKIM in addition to SPF and DMARC to help prevent spoofers from sending messages that look like they are coming from your domain. Mit DKIM können Sie ausgehenden E-Mail-Nachrichten in der Nachrichtenkopfzeile eine digitale Signatur hinzufügen.DKIM lets you add a digital signature to outbound email messages in the message header. Das mag kompliziert klingen, ist es aber nicht.It may sound complicated, but it's really not. Wenn Sie DKIM konfigurieren, autorisieren Sie Ihre Domäne mithilfe der kryptografischen Authentifizierung, ihren Namen mit einer E-Mail-Nachricht zu verknüpfen oder zu signieren.When you configure DKIM, you authorize your domain to associate, or sign, its name to an email message by using cryptographic authentication. E-Mail-Systeme, die E-Mails von Ihrer Domäne empfangen, können diese digitale Signatur verwenden, um zu ermitteln, ob eingehende E-Mails legitim sind.Email systems that receive email from your domain can use this digital signature to help determine if incoming email that they receive is legitimate.

Im Wesentlichen verwenden Sie einen privaten Schlüssel zum Verschlüsseln der Kopfzeile in ausgehenden E-Mails Ihrer Domäne.Basically, you use a private key to encrypt the header in your domain's outgoing email. Sie veröffentlichen einen öffentlichen Schlüssel für die DNS-Einträge Ihrer Domäne, die empfangende Server verwenden können, um die Signatur zu entschlüsseln.You publish a public key to your domain's DNS records that receiving servers can then use to decode the signature. Sie verwenden den öffentlichen Schlüssel, um sicherzustellen, dass die Nachrichten wirklich von Ihnen und nicht von einer Person kommen, die Ihre Domäne mit Spoofing beschädigen möchte.They use the public key to verify that the messages are really coming from you and not coming from someone spoofing your domain.

Microsoft 365 richtet DKIM automatisch für die "onmicrosoft.com"-Anfangsdomänen ein.Microsoft 365 automatically sets up DKIM for its initial 'onmicrosoft.com' domains. Das bedeutet, dass Sie keine weiteren Aktionen durchführen müssen, um DKIM für jegliche Anfangsdomänennamen einzurichten (z. B. litware.onmicrosoft.com).That means you don't need to do anything to set up DKIM for any initial domain names (for example, litware.onmicrosoft.com). Weitere Informationen zu Domänen finden Sie unter Häufig gestellte Fragen (FAQ) zu Domänen.For more information about domains, see Domains FAQ.

Für DKIM für Ihre benutzerdefinierte Domäne müssen Sie ebenfalls nichts weiter unternehmen.You can choose to do nothing about DKIM for your custom domain too. Wenn Sie DKIM nicht für Ihre benutzerdefinierte Domäne einrichten, erstellt Microsoft 365 ein Paar aus privatem und öffentlichem Schlüssel, aktiviert die DKIM-Signierung und konfiguriert die Microsoft 365-Standardrichtlinie für Ihre benutzerdefinierte Domäne.If you don't set up DKIM for your custom domain, Microsoft 365 creates a private and public key pair, enables DKIM signing, and then configures the Microsoft 365 default policy for your custom domain. Obwohl dies für die meisten Kunden ausreicht, sollten Sie DKIM unter folgenden Umständen manuell für Ihre benutzerdefinierte Domäne konfigurieren:While this is sufficient coverage for most customers, you should manually configure DKIM for your custom domain in the following circumstances:

  • Sie haben mehr als eine benutzerdefinierte Domäne in Microsoft 365.You have more than one custom domain in Microsoft 365

  • Sie richten auch DMARC ein (empfohlen).You're going to set up DMARC too (recommended)

  • Sie möchten die Kontrolle über Ihren privaten Schlüssel.You want control over your private key

  • Sie möchten Ihre CNAME-Einträge anpassen.You want to customize your CNAME records

  • Sie möchten DKIM-Schlüssel für E-Mails von Drittanbieterdomänen einrichten, beispielsweise bei Verwendung eines Drittanbietermassenversenders von E-Mails.You want to set up DKIM keys for email originating out of a third-party domain, for example, if you use a third-party bulk mailer.

Inhalt dieses Artikels:In this article:

So funktioniert DKIM besser als SPF, um Spoofing zu verhindernHow DKIM works better than SPF alone to prevent malicious spoofing

SPF fügt Informationen einem Nachrichtenumschlag hinzu, aber DKIM verschlüsselt tatsächlich eine Signatur in der Nachrichtenkopfzeile. Wenn Sie eine Nachricht weiterleiten, können Teile dieses Nachrichtenumschlags vom Weiterleitungsserver entfernt werden. Da die digitale Signatur bei der E-Mail-Nachricht bleibt, da er Teil der E-Mail-Kopfzeile ist, funktioniert DKIM selbst dann, wenn eine Nachricht weitergeleitet wurde, wie im folgenden Beispiel gezeigt.SPF adds information to a message envelope but DKIM actually encrypts a signature within the message header. When you forward a message, portions of that message's envelope can be stripped away by the forwarding server. Since the digital signature stays with the email message because it's part of the email header, DKIM works even when a message has been forwarded as shown in the following example.

Diagramm, in dem eine weitergeleitete Nachricht gezeigt wird, bei der die DKIM-Authentifizierung übergangen wird, wenn die SPF-Prüfung fehlschlägt.

Wenn Sie in diesem Beispiel nur einen SPF TXT-Eintrag für Ihre Domäne veröffentlicht hätten, könnte der E-Mail-Server des Empfängers Ihre E-Mail als Spam markiert und ein falsch positives Ergebnis generiert haben. Das Hinzufügen von DKIM in diesem Szenario reduziert die Meldung von falsch positivem Spam. Da DKIM die Verschlüsselung öffentlicher Schlüssel und nicht nur IP-Adressen zur Authentifizierung benötigt, wird DKIM als deutlich stärkere Form der Authentifizierung als SPF betrachtet. Wir empfehlen, SPF und DKIM sowie DMARC in Ihrer Bereitstellung zu verwenden.In this example, if you had only published an SPF TXT record for your domain, the recipient's mail server could have marked your email as spam and generated a false positive result. The addition of DKIM in this scenario reduces false positive spam reporting. Because DKIM relies on public key cryptography to authenticate and not just IP addresses, DKIM is considered a much stronger form of authentication than SPF. We recommend using both SPF and DKIM, as well as DMARC in your deployment.

Das Wesentliche: DKIM verwendet einen privaten Schlüssel, um eine verschlüsselte Signatur in die Nachrichtenkopfzeile einzufügen. Sie signierende oder ausgehende Domäne wird als Wert des Felds d= in die Kopfzeile eingefügt. Die überprüfende Domäne oder Empfängerdomäne verwendet dann das Feld d=, um den öffentlichen Schlüssel in DNS nachzuschlagen und die Nachricht zu authentifizieren. Wenn die Nachricht verifiziert wird, ist die DKIM-Überprüfung erfolgreich.The nitty gritty: DKIM uses a private key to insert an encrypted signature into the message headers. The signing domain, or outbound domain, is inserted as the value of the d= field in the header. The verifying domain, or recipient's domain, then use the d= field to look up the public key from DNS and authenticate the message. If the message is verified, the DKIM check passes.

Manuelles Upgrade Ihrer 1024-Bit-Schlüssel auf 2048-Bit-DKIM-VerschlüsselungsschlüsselManually upgrade your 1024-bit keys to 2048-bit DKIM encryption keys

Da sowohl 1024-Bit als auch 2048-Bit für DKIM-Schlüssel unterstützt wird, erfahren Sie in diesen Anweisungen, wie Sie Ihren 1024-Bit-Schlüssel auf 2048 aktualisieren.Since both 1024 and 2048 bitness are supported for DKIM keys, these directions will tell you how to upgrade your 1024-bit key to 2048. Die nachstehenden Schritte werden auf zwei Anwendungsfälle angewandt. Wählen Sie die Variante aus, die Ihren Anforderungen am besten entspricht.The steps below are for two use-cases, please choose the one that best fits your configuration.

  1. Wenn Sie DKIM bereits konfiguriert haben, können Sie Bitanzahl wie folgt wechseln:When you already have DKIM configured, you rotate bitness as follows:

    1. Stellen Sie die Verbindung zu Office 365-Workloads über PowerShell her.Connect to Office 365 workloads via PowerShell. (Das Cmdlet stammt von Exchange Online.)(The cmdlet comes from Exchange Online.)

    2. Führen Sie den folgenden Befehl aus:Run the following command:

      Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid of the existing Signing Config}
      
  2. Oder für eine neue Implementierung von DKIM:Or for a new implementation of DKIM:

    1. Stellen Sie die Verbindung zu Office 365-Workloads über PowerShell her.Connect to Office 365 workloads via PowerShell. (Hierbei handelt es sich um ein Exchange Online-Cmdlet.)(This is an Exchange Online cmdlet.)

    2. Führen Sie den folgenden Befehl aus:Run the following command:

      New-DkimSigningConfig -DomainName {Domain for which config is to be created} -KeySize 2048 -Enabled $True
      

Behalten Sie die Verbindung mit Microsoft 365 bei, um die Konfiguration zu überprüfen.Stay connected to Microsoft 365 to verify the configuration.

  1. Führen Sie den folgenden Befehl aus:Run the following command:

    Get-DkimSigningConfig -Identity {Domain for which the configuration was set} | Format-List
    

Tipp

Dieser neue 2048-Bit-Schlüssel wird zum RotateOnDate wirksam und sendet E-Mails in der Zwischenzeit mit dem 1024-Bit-Schlüssel.This new 2048-bit key takes effect on the RotateOnDate, and will send emails with the 1024-bit key in the interim. Nach vier Tagen können Sie einen erneuten Test mit dem 2048-Bit-Schlüssel ausführen (also, wenn der Wechsel auf den zweiten Selektor angewendet wird).After four days, you can test again with the 2048-bit key (that is, once the rotation takes effect to the second selector).

Wenn Sie zum zweiten Selektor wechseln möchten, haben Sie folgende Möglichkeiten: a) Sie lassen den Wechseln des Selektors durch den Microsoft 365-Dienst durchführen und aktualisieren auf 2048-Bit innerhalb der nächsten 6 Monate, oder b) nach 4 Tagen, und wechseln den zweiten Selektorschlüssel manuell unter Verwendung des entsprechenden, oben aufgeführten Cmdlets, nachdem Sie zuvor sichergestellt haben, dass 2048-Bit-Schlüssel verwendet werden.If you want to rotate to the second selector, your options are a) let the Microsoft 365 service rotate the selector and upgrade to 2048-bitness within the next 6 months, or b) after 4 days and confirming that 2048-bitness is in use, manually rotate the second selector key by using the appropriate cmdlet listed above.

Schritte zum manuellen Einrichten von DKIMSteps you need to do to manually set up DKIM

Um DKIM zu konfigurieren, müssen Sie diese Schritte ausführen:To configure DKIM, you will complete these steps:

Veröffentlichen von zwei CNAME-Einträgen für Ihre benutzerdefinierte Domäne in DNSPublish two CNAME records for your custom domain in DNS

Für jede Domäne, für die Sie eine DKIM-Signatur in DNS hinzufügen möchten, müssen Sie zwei CNAME-Einträge veröffentlichen.For each domain for which you want to add a DKIM signature in DNS, you need to publish two CNAME records.

Führen Sie die folgenden Befehle aus, um die Selektor-Einträge zu erstellen:Run the following commands to create the selector records:

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Wenn Sie neben der ersten Domäne zusätzliche benutzerdefinierte Domänen in Microsoft 365 bereitgestellt haben, müssen Sie zwei CNAME-Einträge für jede zusätzliche Domäne veröffentlichen.If you have provisioned custom domains in addition to the initial domain in Microsoft 365, you must publish two CNAME records for each additional domain. Wenn Sie also zwei Domänen haben, müssen Sie zwei zusätzliche CNAME-Einträge veröffentlichen usw.So, if you have two domains, you must publish two additional CNAME records, and so on.

Verwenden Sie für CNAME-Einträge das folgende Format.Use the following format for the CNAME records.

Wichtig

Wenn Sie zu unseren GCC High-Kunden gehören, berechnen wir domainGuid anders!If you are one of our GCC High customers, we calculate domainGuid differently! Anstatt den MX-Eintrag für Ihre initialDomain zur Berechnung von domainGuid zu suchen, wird diese direkt aus der angepassten Domäne heraus berechnet.Instead of looking up the MX record for your initialDomain to calculate domainGuid, instead we calculate it directly from the customized domain. Wenn Ihre benutzerdefinierte Domäne z. B. "contoso.com" lautet, wird Ihre "domainGuid" zu "contoso-com", wobei alle Punkte durch Bindestriche ersetzt werden.For example, if your customized domain is "contoso.com" your domainGuid becomes "contoso-com", any periods are replaced with a dash. Unabhängig von dem MX-Eintrag, auf den Ihre „initialDomain“ verweist, verwenden Sie also immer die oben genannte Methode, um die in den CNAME-Einträgen verwendete „domainGuid“ zu berechnen.So, regardless of what MX record your initialDomain points to, you'll always use the above method to calculate the domainGuid to use in your CNAME records.

Host name:            selector1._domainkey
Points to address or value:    selector1-<domainGUID>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<domainGUID>._domainkey.<initialDomain>
TTL:                3600

Dabei gilt:Where:

  • Für Microsoft 365 sind die Selektoren immer „selector1“ oder „selector2“.For Microsoft 365, the selectors will always be "selector1" or "selector2".

  • domainGUID ist identisch mit domainGUID im angepassten MX-Eintrag für Ihre benutzerdefinierte Domäne, der vor „mail.protection.outlook.com“ angezeigt wird.domainGUID is the same as the domainGUID in the customized MX record for your custom domain that appears before mail.protection.outlook.com. Im folgenden MX-Eintrag für die Domäne "contoso.com" ist die domainGUID z. B. "contoso-com":For example, in the following MX record for the domain contoso.com, the domainGUID is contoso-com:

    contoso.com.contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com3600 IN MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain ist die Domäne, die Sie bei der Anmeldung für Microsoft 365 verwendet haben.initialDomain is the domain that you used when you signed up for Microsoft 365. Anfangsdomänen enden immer auf "onmicrosoft.com".Initial domains always end in onmicrosoft.com. Informationen zum Ermitteln Ihrer ersten Domäne finden Sie unter Häufig gestellte Fragen zu Domänen.For information about determining your initial domain, see Domains FAQ.

Wenn Sie beispielsweise als erste Domäne „cohovineyardandwinery.onmicrosoft.com“ und zwei benutzerdefinierte Domänen „cohovineyard.com“ und „cohowinery.com“ haben, müssten Sie zwei CNAME-Einträge für jede zusätzliche Domäne einrichten, also insgesamt vier CNAME-Einträge.For example, if you have an initial domain of cohovineyardandwinery.onmicrosoft.com, and two custom domains cohovineyard.com and cohowinery.com, you would need to set up two CNAME records for each additional domain, for a total of four CNAME records.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Hinweis

Es ist wichtig, den zweiten Eintrag zu erstellen, aber zum Zeitpunkt der Erstellung wird möglicherweise nur einer der Selektoren verfügbar sein.It's important to create the second record, but only one of the selectors may be available at the time of creation. Im Wesentlichen verweist der zweite Selektor möglicherweise auf eine noch nicht erstellte Adresse.In essence, the second selector might point to an address that hasn't been created yet. Es empfiehlt sich trotzdem, den zweiten CNAME-Eintrag zu erstellen, da Ihre Schlüsselrotation dann nahtlos ausgeführt wird.We still recommended that you create the second CNAME record, because your key rotation will be seamless.

Achtung

Die automatische Schlüsselrotation wurde vorübergehend deaktiviert, da wir einige Entwurfsänderungen beim Erstellen von Schlüsseln implementieren.Automatic key rotation has been temporarily disabled as we implement some design changes in how we create keys. Es empfiehlt sich, mehrere Schlüssel zu haben, damit Sie sie in regelmäßigen Abständen wechseln können.It's a good practice to have multiple keys so that you can rotate them periodically. Auch wenn es schwer zu knacken ist, ist es dennoch eine praktische Strategie, um sich vor so etwas wie Identitätswechsel zu schützen.Although it's hard to crack, it's still a practical mitigation strategy to protect against things like impersonation. Sie können dem Dokument Rotate-DkimSigningConfig folgen, um dies für Ihre Organisation zu ermöglichen.You can follow the Rotate-DkimSigningConfig document to help do this for your organization. Wir gehen davon aus, dass die automatische Rotation bis August 2020 wieder aktiviert wird.We expect that automatic rotation will be enabled again by August 2020.

Aktivieren der DKIM-Signierung für Ihre benutzerdefinierte DomäneEnable DKIM signing for your custom domain

Nachdem Sie die CNAME-Einträge im DNS veröffentlicht haben, können Sie die DKIM-Signierung über Microsoft 365 aktivieren.Once you have published the CNAME records in DNS, you are ready to enable DKIM signing through Microsoft 365. Sie können dies über das Microsoft 365 Admin Center oder mithilfe von PowerShell durchführen.You can do this either through the Microsoft 365 admin center or by using PowerShell.

So aktivieren Sie die DKIM-Signierung für Ihre benutzerdefinierte Domäne über das Admin CenterTo enable DKIM signing for your custom domain through the admin center

  1. Melden Sie sich mit Ihrem Geschäfts- oder Schulkonto bei Microsoft 365 an.Sign in to Microsoft 365 with your work or school account.

  2. Klicken Sie oben links auf das App-Startsymbol, und wählen Sie Admin aus.Select the app launcher icon in the upper-left and choose Admin.

  3. Erweitern Sie im unteren linken Navigationsbereich Admin, und klicken Sie dann auf Exchange.In the lower-left navigation, expand Admin and choose Exchange.

  4. Wechseln Sie zu Schutz > dkim.Go to Protection > dkim.

  5. Wählen Sie die Domäne aus, für die Sie DKIM aktivieren möchten, und wählen Sie dann für Nachrichten für diese Domäne mit DKIM-Signaturen signieren die Option Aktivieren aus. Wiederholen Sie diesen Schritt für jede benutzerdefinierte Domäne.Select the domain for which you want to enable DKIM and then, for Sign messages for this domain with DKIM signatures, choose Enable. Repeat this step for each custom domain.

So aktivieren Sie die DKIM-Signierung für Ihre benutzerdefinierte Domäne mit PowerShellTo enable DKIM signing for your custom domain by using PowerShell

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.Connect to Exchange Online PowerShell.

  2. Führen Sie den folgenden Befehl aus:Run the following command:

    Set-DkimSigningConfig -Identity <domain> -Enabled $true
    

    Dabei ist domain der Name der benutzerdefinierten Domäne, für die Sie die DKIM-Signierung aktivieren möchten.Where domain is the name of the custom domain that you want to enable DKIM signing for.

    Beispiel für die Domäne „contoso.com“:For example, for the domain contoso.com:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

So bestätigen Sie, dass die DKIM-Signierung ordnungsgemäß für Microsoft 365 konfiguriert istTo Confirm DKIM signing is configured properly for Microsoft 365

Warten Sie einige Minuten, bevor Sie diese Schritte ausführen, um zu bestätigen, dass Sie DKIM ordnungsgemäß konfiguriert haben. Dadurch ist genug Zeit vorhanden, um die DKIM-Informationen zur Domäne im gesamten Netzwerk zu verteilen.Wait a few minutes before you follow these steps to confirm that you have properly configured DKIM. This allows time for the DKIM information about the domain to be spread throughout the network.

  • Senden Sie eine Nachricht von einem Konto in Ihrer Microsoft 365-Domäne mit aktiviertem DKIM an ein anderes E-Mail-Konto wie „outlook.com“ oder „Hotmail.com“.Send a message from an account within your Microsoft 365 DKIM-enabled domain to another email account such as outlook.com or Hotmail.com.

  • Verwenden Sie zu Testzwecken kein „aol.com“-Konto. AOL überspringt möglicherweise die DKIM-Überprüfung, wenn die SPF-Prüfung erfolgreich ist. Dadurch hat der Test keine Relevanz.Do not use an aol.com account for testing purposes. AOL may skip the DKIM check if the SPF check passes. This will nullify your test.

  • Öffnen Sie die Nachricht, und sehen Sie sich die Überschrift an. Anweisungen zum Anzeigen der Kopfzeile der Nachricht variieren je nach Messagingclient. Anweisungen zum Anzeigen der Kopfzeilen von Nachrichten in Outlook finden Sie unter Anzeigen der Kopfzeilen von Internetnachrichten in Outlook.Open the message and look at the header. Instructions for viewing the header for the message will vary depending on your messaging client. For instructions on viewing message headers in Outlook, see View internet message headers in Outlook.

    Die mit DKIM signierte Nachricht enthält den Hostnamen und die Domäne, die Sie definiert haben, wenn Sie die CNAME-Einträge veröffentlicht haben. Die Nachricht sieht in etwa wie im folgenden Beispiel aus:The DKIM-signed message will contain the host name and domain you defined when you published the CNAME entries. The message will look something like this example:

      From: Example User <example@contoso.com>
      DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
          s=selector1; d=contoso.com; t=1429912795;
          h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
          bh=<body hash>;
          b=<signed field>;
    
  • Suchen Sie nach der „Authentication-Results“-Kopfzeile. Obwohl jeder empfangende Dienst ein geringfügig anderes Format verwendet, um die eingehenden E-Mail-Nachrichten mit Zeitstempeln zu versehen, sollte das Ergebnis immer etwas wie DKIM=pass oder DKIM=OK enthalten.Look for the Authentication-Results header. While each receiving service uses a slightly different format to stamp the incoming mail, the result should include something like DKIM=pass or DKIM=OK.

Konfigurieren von DKIM für mehrere benutzerdefinierte DomänenTo configure DKIM for more than one custom domain

Wenn Sie zu einem bestimmten Zeitpunkt in der Zukunft eine weitere benutzerdefinierte Domäne hinzufügen und DKIM für die neue Domäne aktivieren möchten, müssen Sie die Schritte in diesem Artikel für jede Domäne ausführen.If at some point in the future you decide to add another custom domain and you want to enable DKIM for the new domain, you must complete the steps in this article for each domain. Schließen Sie insbesondere alle Schritte in Schritte zum manuellen Einrichten von DKIM ab.Specifically, complete all steps in What you need to do to manually set up DKIM.

Deaktivieren der DKIM-Signierungsrichtlinie für eine benutzerdefinierte DomäneDisabling the DKIM signing policy for a custom domain

Durch das Deaktivieren der Signierungsrichtlinie wird DKIM nicht vollständig deaktiviert.Disabling the signing policy does not completely disable DKIM. Nach einer bestimmten Zeitspanne übernimmt Microsoft 365 automatisch die Standardrichtlinie für Ihre Domäne.After a period of time, Microsoft 365 will automatically apply the default policy for your domain. Weitere Informationen finden Sie unter Standardverhalten für DKIM und Microsoft 365.For more information, see Default behavior for DKIM and Microsoft 365.

So deaktivieren Sie die DKIM-Signierungsrichtlinie mithilfe von Windows PowerShellTo disable the DKIM signing policy by using Windows PowerShell

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.Connect to Exchange Online PowerShell.

  2. Führen Sie einen der folgenden Befehle für jede Domäne aus, für die Sie die DKIM-Signierung deaktivieren möchten.Run one of the following commands for each domain for which you want to disable DKIM signing.

    $p = Get-DkimSigningConfig -Identity <domain>
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Beispiel:For example:

    $p = Get-DkimSigningConfig -Identity contoso.com
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    OderOr

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
    

    Wobei number der Index der Richtlinie ist.Where number is the index of the policy. Zum Beispiel:For example:

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
    

Standardverhalten für DKIM und Microsoft 365Default behavior for DKIM and Microsoft 365

Wenn Sie DKIM nicht aktivieren, erstellt Microsoft 365 automatisch einen öffentlichen 1024-Bit-DKIM-Schlüssel für Ihre Standarddomäne und den zugehörigen privaten Schlüssel, der intern in unserem Rechenzentrum gespeichert wird.If you do not enable DKIM, Microsoft 365 automatically creates a 1024-bit DKIM public key for your default domain and the associated private key which we store internally in our datacenter. Standardmäßig verwendet Microsoft 365 eine standardmäßige Signierkonfiguration für Domänen, die keine Richtlinie eingerichtet haben.By default, Microsoft 365 uses a default signing configuration for domains that do not have a policy in place. Dies bedeutet, dass, wenn Sie DKIM nicht selbst einrichten, Microsoft 365 seine Standardrichtlinie und Standardschlüssel verwendet, die erstellt wurden, um DKIM für Ihre Domäne zu aktivieren.This means that if you do not set up DKIM yourself, Microsoft 365 will use its default policy and keys it creates to enable DKIM for your domain.

Wenn Sie die DKIM-Signatur nach der Aktivierung nach einer bestimmten Zeit wieder deaktivieren, wendet Microsoft 365 automatisch die Standardrichtlinie für Ihre Domäne an.Also, if you disable DKIM signing after enabling it, after a period of time, Microsoft 365 will automatically apply the default policy for your domain.

Im folgenden Beispiel wird angenommen, dass DKIM für „fabrikam.com" durch Microsoft 365 und nicht durch den Administrator der Domäne aktiviert wurde.In the following example, suppose that DKIM for fabrikam.com was enabled by Microsoft 365, not by the administrator of the domain. Das bedeutet, dass die erforderlichen CNAME-Einträge nicht in DNS vorhanden sind.This means that the required CNAMEs do not exist in DNS. DKIM-Signaturen für E-Mail-Nachrichten aus dieser Domäne sehen in etwa wie folgt aus:DKIM signatures for email from this domain will look something like this:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

In this example, the host name and domain contain the values to which the CNAME would point if DKIM-signing for fabrikam.com had been enabled by the domain administrator.In this example, the host name and domain contain the values to which the CNAME would point if DKIM-signing for fabrikam.com had been enabled by the domain administrator. Schließlich wird jede einzelne Nachricht, die von Microsoft 365 gesendet wird, mit DKIM signiert.Eventually, every single message sent from Microsoft 365 will be DKIM-signed. Wenn Sie DKIM selbst aktivieren, ist die Domäne identisch mit der Domäne in der „From:“-Adresse, in diesem Fall „fabrikam.com“.If you enable DKIM yourself, the domain will be the same as the domain in the From: address, in this case fabrikam.com. If you don't, it will not align and instead will use your organization's initial domain.If you don't, it will not align and instead will use your organization's initial domain. Informationen zum Ermitteln Ihrer ersten Domäne finden Sie unter Häufig gestellte Fragen zu Domänen.For information about determining your initial domain, see Domains FAQ.

Einrichten von DKIM, damit ein Drittanbieterdienst E-Mails im Auftrag Ihrer benutzerdefinierten Domäne senden oder fälschen kannSet up DKIM so that a third-party service can send, or spoof, email on behalf of your custom domain

Bei einigen Massen-E-Mail-Dienstanbietern oder Software-as-a-Service-Anbietern können Sie DKIM-Schlüssel für E-Mails einrichten, die von diesem Dienst stammen. Dies erfordert eine Koordination zwischen Ihnen und dem Drittanbieter, damit die erforderlichen DNS-Einträge eingerichtet werden können. Einige Drittanbieter verfügen möglicherweise über eigene CNAME-Einträge mit anderen Selektoren. Keine zwei Organisationen führen dies auf die gleiche Weise durch. Der Prozess hängt vollständig von der Organisation ab.Some bulk email service providers, or software-as-a-service providers, let you set up DKIM keys for email that originates from their service. This requires coordination between yourself and the third-party in order to set up the necessary DNS records. Some third-party servers can have their own CNAME records with different selectors. No two organizations do it exactly the same way. Instead, the process depends entirely on the organization.

Eine Beispielnachricht mit einer ordnungsgemäßen DKIM-Konfiguration für "contoso.com" und "bulkemailprovider.com" kann wie folgt aussehen:An example message showing a properly configured DKIM for contoso.com and bulkemailprovider.com might look like this:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

In diesem Beispiel sind zu diesem Zweck die folgenden Schritte erforderlich:In this example, in order to achieve this result:

  1. Der Massen-E-Mail-Anbieter hat einen öffentlichen DKIM-Schlüssel für Contoso bereitgestellt.Bulk Email Provider gave Contoso a public DKIM key.

  2. Contoso hat den DKIM-Schlüssel für den DNS-Eintrag veröffentlicht.Contoso published the DKIM key to its DNS record.

  3. Beim Senden der E-Mail signiert der Massen-E-Mail-Anbieter den Schlüssel mit dem entsprechenden privaten Schlüssel. So hat der Massen-E-Mail-Anbieter die DKIM-Signatur an die Kopfzeile der Nachricht angefügt.When sending email, Bulk Email Provider signs the key with the corresponding private key. By doing so, Bulk Email Provider attached the DKIM signature to the message header.

  4. Beim Empfangen von E-Mails führen Systeme eine DKIM-Überprüfung durch, indem der d=<domain>-Wert der DKIM-Signatur mit der Domäne im Feld „Von: (5322.From)" der Nachricht verglichen wird.Receiving email systems perform a DKIM check by authenticating the DKIM-Signature d=<domain> value against the domain in the From: (5322.From) address of the message. In diesem Beispiel entsprechen die Werte den folgenden:In this example, the values match:

    sender@contoso.comsender@contoso.com

    d=contoso.comd=contoso.com

Domänen identifizieren, die keine E-Mails sendenIdentify domains that do not send email

Organisationen sollten explizit angeben, ob eine Domäne keine E-Mails sendet, indem sie v=DKIM1; p= im DKIM-Eintrag für diese Domänen angeben.Organizations should explicitly state if a domain does not send email by specifying v=DKIM1; p= in the DKIM record for those domains. Dies weist empfangende E-Mail-Server darauf hin, dass es keine gültigen öffentlichen Schlüssel für die Domäne gibt. Jede E-Mail, die vorgibt, von dieser Domäne zu stammen, sollte abgelehnt werden.This advises receiving email servers that there are no valid public keys for the domain, and any email claiming to be from that domain should be rejected. Sie sollten dies für jede Domäne und Subdomäne mit einem Wildcard-DKIM tun.You should do this for each domain and subdomain using a wildcard DKIM.

Der DKIM-Eintrag sieht beispielsweise wie folgt aus:For example, the DKIM record would look like this:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Nächste Schritte: Nach dem Einrichten von DKIM für Microsoft 365Next steps: After you set up DKIM for Microsoft 365

Obwohl DKIM Spoofing verhindern soll, funktioniert DKIM besser mit SPF und DMARC.Although DKIM is designed to help prevent spoofing, DKIM works better with SPF and DMARC. Sobald Sie DKIM eingerichtet haben, sollten Sie auch SPF einrichten, falls noch nicht geschehen.Once you have set up DKIM, if you have not already set up SPF you should do so. Eine kurze Einführung in SPF und seine schnelle Konfiguration finden Sie unter Einrichten von SPF in Microsoft 365 zur Verhinderung von Spoofing.For a quick introduction to SPF and to get it configured quickly, see Set up SPF in Microsoft 365 to help prevent spoofing. Ausführlichere Informationen zur Verwendung von SPF durch Microsoft 365 oder zur Problembehandlung oder zu nicht standardmäßigen Bereitstellungen, z. B. Hybridbereitstellungen, finden Sie unter How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing.For a more in-depth understanding of how Microsoft 365 uses SPF, or for troubleshooting or non-standard deployments such as hybrid deployments, start with How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing. Lesen Sie danach Verwenden von DMARC zur Überprüfung von E-Mails.Next, see Use DMARC to validate email. Antispam-Nachrichtenkopfzeilen umfassen die Syntax- und Kopfzeilenfelder, die von Microsoft 365 für DKIM-Überprüfungen verwendet werden.Anti-spam message headers includes the syntax and header fields used by Microsoft 365 for DKIM checks.