Verwenden von DKIM zum Überprüfen ausgehender E-Mails, die von Ihrer benutzerdefinierten Domäne in Office 365 gesendet werdenUse DKIM to validate outbound email sent from your custom domain in Office 365

Zusammenfassung: In diesem Artikel wird beschrieben, wie Sie DomainKeys Identified Mail (DKIM) mit Office 365 verwenden, um sicherzustellen, dass Ziel-e-Mail-Systeme Nachrichten Vertrauen, die von Ihrer benutzerdefinierten Domäne ausgehen.Summary: This article describes how you use DomainKeys Identified Mail (DKIM) with Office 365 to ensure that destination email systems trust messages sent outbound from your custom domain.

Sie sollten DKIM zusätzlich zu SPF und DMARC verwenden, um zu verhindern, dass Spoofers Nachrichten senden, die aussehen, als würden sie von Ihrer Domäne stammen. Mit DKIM können Sie E-Mail-Nachrichten in der Kopfzeile der Nachricht eine digitale Signatur hinzufügen. Klingt kompliziert, ist es aber nicht. Wenn Sie DKIM konfigurieren, autorisieren Sie Ihre Domäne mithilfe der kryptografischen Authentifizierung, ihren Namen mit einer E-Mail-Nachricht zu verknüpfen oder zu signieren. E-Mail-Systeme, die E-Mails von Ihrer Domäne empfangen, können diese digitale Signatur verwenden, um zu ermitteln, ob eingehende E-Mails legitim sind.You should use DKIM in addition to SPF and DMARC to help prevent spoofers from sending messages that look like they are coming from your domain. DKIM lets you add a digital signature to email messages in the message header. Sounds complicated, but it's really not. When you configure DKIM, you authorize your domain to associate, or sign, its name to an email message by using cryptographic authentication. Email systems that receive email from your domain can use this digital signature to help determine if incoming email that they receive is legitimate.

Im Wesentlichen verwenden Sie einen privaten Schlüssel zum Verschlüsseln der Kopfzeile in ausgehenden E-Mails Ihrer Domäne. Sie veröffentlichen einen öffentlichen Schlüssel für die DNS-Einträge Ihrer Domäne, die empfangende Server verwenden können, um die Signatur zu entschlüsseln. Sie verwenden den öffentlichen Schlüssel, um sicherzustellen, dass die Nachrichten wirklich von Ihnen und nicht von einer Person kommen, die Ihre Domäne mit Spoofing beschädigen möchte.Basically, you use a private key to encrypt the header in your domain's outgoing email. You publish a public key to your domain's DNS records that receiving servers can then use to decode the signature. They use the public key to verify that the messages are really coming from you and not coming from someone spoofing your domain.

Office 365 richtet DKIM automatisch für erste Domänen ein. Erste Domänen sind Domänen, die Office 365 für Sie erstellt, wenn Sie sich für den Dienst registrieren, z. B. „contoso.onmicrosoft.com". Sie müssen keine weiteren Aktionen durchführen, um DKIM für Ihre erste Domäne einzurichten. Weitere Informationen zu ersten Domänen finden Sie unter Häufig gestellte Fragen zu Domänen.Office 365 automatically sets up DKIM for initial domains. The initial domain is the domain that Office 365 created for you when you signed up with the service, for example, contoso.onmicrosoft.com. You don't need to do anything to set up DKIM for your initial domain. For more information about domains, see Domains FAQ.

Für DKIM für Ihre benutzerdefinierte Domäne müssen Sie ebenfalls nichts weiter unternehmen. Wenn Sie DKIM nicht für Ihre benutzerdefinierte Domäne einrichten, erstellt Office 365 ein Paar aus privatem und öffentlichem Schlüssel, aktiviert die DKIM-Signierung und konfiguriert die Office 365-Standardrichtlinie für Ihre benutzerdefinierte Domäne. Obwohl dies für die meisten Office 365-Kunden ausreicht, sollten Sie DKIM unter folgenden Umständen manuell für Ihre benutzerdefinierte Domäne konfigurieren:You can choose to do nothing about DKIM for your custom domain too. If you do not set up DKIM for your custom domain, Office 365 creates a private and public key pair, enables DKIM signing, and then configures the Office 365 default policy for your custom domain. While this is sufficient coverage for most Office 365 customers, you should manually configure DKIM for your custom domain in the following circumstances:

  • Sie haben mehr als eine benutzerdefinierte Domäne in Office 365.You have more than one custom domain in Office 365

  • Sie richten auch DMARC ein (empfohlen).You're going to set up DMARC too (recommended)

  • Sie möchten die Kontrolle über Ihren privaten Schlüssel.You want control over your private key

  • Sie möchten Ihre CNAME-Einträge anpassen.You want to customize your CNAME records

  • Sie möchten DKIM-Schlüssel für E-Mails von Drittanbieterdomänen einrichten, beispielsweise bei Verwendung eines Drittanbietermassenversenders von E-Mails.You want to set up DKIM keys for email originating out of a third-party domain, for example, if you use a third-party bulk mailer.

Inhalt dieses ArtikelsIn this article:

So funktioniert DKIM besser als SPF, um Spoofing in Office 365 zu verhindernHow DKIM works better than SPF alone to prevent malicious spoofing in Office 365

SPF fügt Informationen einem Nachrichtenumschlag hinzu, aber DKIM verschlüsselt tatsächlich eine Signatur in der Nachrichtenkopfzeile. Wenn Sie eine Nachricht weiterleiten, können Teile dieses Nachrichtenumschlags vom Weiterleitungsserver entfernt werden. Da die digitale Signatur bei der E-Mail-Nachricht bleibt, da er Teil der E-Mail-Kopfzeile ist, funktioniert DKIM selbst dann, wenn eine Nachricht weitergeleitet wurde, wie im folgenden Beispiel gezeigt.SPF adds information to a message envelope but DKIM actually encrypts a signature within the message header. When you forward a message, portions of that message's envelope can be stripped away by the forwarding server. Since the digital signature stays with the email message because it's part of the email header, DKIM works even when a message has been forwarded as shown in the following example.

Diagramm, in dem eine weitergeleitete Nachricht gezeigt wird, bei der die DKIM-Authentifizierung übergangen wird, wenn die SPF-Prüfung fehlschlägt.

Wenn Sie in diesem Beispiel nur einen SPF TXT-Eintrag für Ihre Domäne veröffentlicht hätten, könnte der E-Mail-Server des Empfängers Ihre E-Mail als Spam markiert und ein falsch positives Ergebnis generiert haben. Das Hinzufügen von DKIM in diesem Szenario reduziert die Meldung von falsch positivem Spam. Da DKIM die Verschlüsselung öffentlicher Schlüssel und nicht nur IP-Adressen zur Authentifizierung benötigt, wird DKIM als deutlich stärkere Form der Authentifizierung als SPF betrachtet. Wir empfehlen, SPF und DKIM sowie DMARC in Ihrer Bereitstellung zu verwenden.In this example, if you had only published an SPF TXT record for your domain, the recipient's mail server could have marked your email as spam and generated a false positive result. The addition of DKIM in this scenario reduces false positive spam reporting. Because DKIM relies on public key cryptography to authenticate and not just IP addresses, DKIM is considered a much stronger form of authentication than SPF. We recommend using both SPF and DKIM, as well as DMARC in your deployment.

Das Wesentliche: DKIM verwendet einen privaten Schlüssel, um eine verschlüsselte Signatur in die Nachrichtenkopfzeile einzufügen. Sie signierende oder ausgehende Domäne wird als Wert des Felds d= in die Kopfzeile eingefügt. Die überprüfende Domäne oder Empfängerdomäne verwendet dann das Feld d=, um den öffentlichen Schlüssel in DNS nachzuschlagen und die Nachricht zu authentifizieren. Wenn die Nachricht verifiziert wird, ist die DKIM-Überprüfung erfolgreich.The nitty gritty: DKIM uses a private key to insert an encrypted signature into the message headers. The signing domain, or outbound domain, is inserted as the value of the d= field in the header. The verifying domain, or recipient's domain, then use the d= field to look up the public key from DNS and authenticate the message. If the message is verified, the DKIM check passes.

Schritte zum manuellen Einrichten von DKIM in Office 365What you need to do to manually set up DKIM in Office 365

Um DKIM zu konfigurieren, müssen Sie diese Schritte ausführen:To configure DKIM, you will complete these steps:

Veröffentlichen von zwei CNAME-Einträgen für Ihre benutzerdefinierte Domäne in DNSPublish two CNAME records for your custom domain in DNS

Für jede Domäne, für die Sie eine DKIM-Signatur in DNS hinzufügen möchten, müssen Sie zwei CNAME-Einträge veröffentlichen.For each domain for which you want to add a DKIM signature in DNS, you need to publish two CNAME records. Ein CNAME-Eintrag wird von DNS verwendet, um anzugeben, dass der kanonische Name einer Domäne ein Alias für einen anderen Domänennamen ist.A CNAME record is used by DNS to specify that the canonical name of a domain is an alias for another domain name. Die CNAME-Einträge sollten auf den öffentlich verfügbaren DNS-Servern für Ihre angepassten Domänen erstellt werden.The CNAME records should be created on the publicly available DNS servers for your customized domains. Die CNAME-Einträge in Ihrem DNS verweisen auf bereits erstellte Datensätze, die in DNS auf den Microsoft-DNS-Servern für Office 365 vorhanden sind.The CNAME records in your DNS will point to already created A records that exist in DNS on the Microsoft DNS servers for Office 365.

Office 365 führt die automatische Schlüsselrotation unter Verwendung der beiden eingerichteten Datensätze durch. Wenn Sie neben der ersten Domäne zusätzliche benutzerdefinierte Domänen in Office 365 bereitgestellt haben, müssen Sie zwei CNAME-Einträge für jede zusätzliche Domäne veröffentlichen. Wenn Sie also zwei Domänen haben, müssen Sie zwei zusätzliche CNAME-Einträge veröffentlichen usw.Office 365 performs automatic key rotation using the two records that you establish. If you have provisioned custom domains in addition to the initial domain in Office 365, you must publish two CNAME records for each additional domain. So, if you have two domains, you must publish two additional CNAME records, and so on.

Verwenden Sie das folgende Format für die CNAME-Einträge.Use the following format for the CNAME records.

Wichtig

Wenn Sie einer unserer GCC-High-Kunden sind, berechnen wir domainGuid unterschiedlich!If you are one of our GCC High customers, we calculate domainGuid differently! Anstatt den MX-Eintrag für Ihre initialDomain zum Berechnen von _domainGuid_zu suchen, berechnen wir Sie direkt aus der angepassten Domäne.Instead of looking up the MX record for your initialDomain to calculate domainGuid, instead we calculate it directly from the customized domain. Wenn Ihre angepasste Domäne beispielsweise "contoso.com" ist, wird Ihr domainGuid zu "contoso-com", und alle Zeiträume werden durch einen Strich ersetzt.For example, if your customized domain is “contoso.com” your domainGuid becomes “contoso-com”, any periods are replaced with a dash. Unabhängig davon, auf welchen MX-Eintrag Ihr initialDomain verweist, verwenden Sie daher immer die obige Methode, um die domainGuid zu berechnen, die in Ihren CNAME-Datensätzen verwendet werden soll.So, regardless of what MX record your initialDomain points to, you’ll always use the above method to calculate the domainGuid to use in your CNAME records.

Host name:          selector1._domainkey
Points to address or value: selector1-<domainGUID>._domainkey.<initialDomain> 
TTL:                3600

Host name:          selector2._domainkey
Points to address or value: selector2-<domainGUID>._domainkey.<initialDomain> 
TTL:                3600

Dabei gilt Folgendes:Where:

  • Für Office 365 sind die Selektoren immer „selector1" oder „selector2".For Office 365, the selectors will always be "selector1" or "selector2".

  • domainGUID ist identisch mit domainGUID im angepassten MX-Eintrag für Ihre benutzerdefinierte Domäne, der vor „mail.protection.outlook.com“ angezeigt wird.domainGUID is the same as the domainGUID in the customized MX record for your custom domain that appears before mail.protection.outlook.com. Im folgenden MX-Eintrag für die Domäne „contoso.com“ ist die domainGUID z. B. „contoso-com“:For example, in the following MX record for the domain contoso.com, the domainGUID is contoso-com:

    contoso.com.  3600  IN  MX   5 contoso-com.mail.protection.outlook.com
    
  • initialDomain ist die Domäne, die Sie bei der Anmeldung für Office 365 verwendet haben.initialDomain is the domain that you used when you signed up for Office 365. Anfängliche Domänen enden immer in onmicrosoft.com.Initial domains always end in onmicrosoft.com. Informationen zum Ermitteln Ihrer ersten Domäne finden Sie unter Häufig gestellte Fragen zu Domänen.For information about determining your initial domain, see Domains FAQ.

Wenn Sie beispielsweise als erste Domäne „cohovineyardandwinery.onmicrosoft.com" und zwei benutzerdefinierte Domänen „cohovineyard.com" und „cohowinery.com" haben, müssten Sie zwei CNAME-Einträge für jede zusätzliche Domäne einrichten, also insgesamt vier CNAME-Einträge.For example, if you have an initial domain of cohovineyardandwinery.onmicrosoft.com, and two custom domains cohovineyard.com and cohowinery.com, you would need to set up two CNAME records for each additional domain, for a total of four CNAME records.

Host name:          selector1._domainkey
Points to address or value: **selector1-cohovineyard-com**._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:          selector2._domainkey
Points to address or value: **selector2-cohovineyard-com**._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:          selector1._domainkey
Points to address or value: **selector1-cohowinery-com**._domainkey.cohovineyardandwinery.onmicrosoft.com 
TTL:                3600
 
Host name:          selector2._domainkey
Points to address or value: **selector2-cohowinery-com**._domainkey.cohovineyardandwinery.onmicrosoft.com 
TTL:                3600

Aktivieren der DKIM-Signierung für Ihre benutzerdefinierte Domäne in Office 365Enable DKIM signing for your custom domain in Office 365

Nachdem Sie die CNAME-Einträge im DNS veröffentlicht haben, können Sie die DKIM-Signierung über Office 365 aktivieren.Once you have published the CNAME records in DNS, you are ready to enable DKIM signing through Office 365. Sie können dies über das Microsoft 365 Admin Center oder mithilfe von PowerShell tun.You can do this either through the Microsoft 365 admin center or by using PowerShell.

So aktivieren Sie die DKIM-Signierung für Ihre benutzerdefinierte Domäne über das Admin CenterTo enable DKIM signing for your custom domain through the admin center

  1. Melden Sie sich bei Office 365 mit Ihrem Arbeits- oder Schulkonto an.Sign in to Office 365 with your work or school account.

  2. Klicken Sie oben links auf das App-Startsymbol , und wählen Sie Admin aus.Select the app launcher icon in the upper-left and choose Admin.

  3. Erweitern Sie im unteren linken Navigationsbereich Admin, und klicken Sie dann auf Exchange.In the lower-left navigation, expand Admin and choose Exchange.

  4. Wechseln Sie zu Schutz > dkim.Go to Protection > dkim.

  5. Wählen Sie die Domäne aus, für die Sie DKIM aktivieren möchten, und wählen Sie dann für Nachrichten für diese Domäne mit DKIM-Signaturen signieren die Option Aktivieren aus. Wiederholen Sie diesen Schritt für jede benutzerdefinierte Domäne.Select the domain for which you want to enable DKIM and then, for Sign messages for this domain with DKIM signatures, choose Enable. Repeat this step for each custom domain.

So aktivieren Sie die DKIM-Signierung für Ihre benutzerdefinierte Domäne mit PowerShellTo enable DKIM signing for your custom domain by using PowerShell

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.Connect to Exchange Online PowerShell.

  2. Führen Sie den folgenden Befehl aus:Run the following command:

    New-DkimSigningConfig -DomainName <domain> -Enabled $true
    

    Dabei ist Domain der Name der benutzerdefinierten Domäne, für die Sie die DKIM-Signierung aktivieren möchten.Where domain is the name of the custom domain that you want to enable DKIM signing for.

    Beispiel für die Domäne „contoso.com“:For example, for the domain contoso.com:

    New-DkimSigningConfig -DomainName contoso.com -Enabled $true
    

So bestätigen Sie, dass die DKIM-Signierung ordnungsgemäß für Office 365 konfiguriert istTo Confirm DKIM signing is configured properly for Office 365

Warten Sie einige Minuten, bevor Sie diese Schritte ausführen, um zu bestätigen, dass Sie DKIM ordnungsgemäß konfiguriert haben. Dadurch ist genug Zeit vorhanden, um die DKIM-Informationen zur Domäne im gesamten Netzwerk zu verteilen.Wait a few minutes before you follow these steps to confirm that you have properly configured DKIM. This allows time for the DKIM information about the domain to be spread throughout the network.

  • Senden Sie eine Nachricht von einem Konto in Ihrer Office 365-Domäne mit aktiviertem DKIM an ein anderes E-Mail-Konto wie „outlook.com" oder „Hotmail.com".Send a message from an account within your Office 365 DKIM-enabled domain to another email account such as outlook.com or Hotmail.com.

  • Verwenden Sie zu Testzwecken kein „aol.com"-Konto. AOL überspringt möglicherweise die DKIM-Überprüfung, wenn die SPF-Prüfung erfolgreich ist. Dadurch hat der Test keine Relevanz.Do not use an aol.com account for testing purposes. AOL may skip the DKIM check if the SPF check passes. This will nullify your test.

  • Öffnen Sie die Nachricht, und sehen Sie sich die Überschrift an. Anweisungen zum Anzeigen der Kopfzeile der Nachricht variieren je nach Messagingclient. Anweisungen zum Anzeigen der Kopfzeilen von Nachrichten in Outlook finden Sie unter Anzeigen der Kopfzeilen von E-Mail-Nachrichten.Open the message and look at the header. Instructions for viewing the header for the message will vary depending on your messaging client. For instructions on viewing message headers in Outlook, see View e-mail message headers.

    Die mit DKIM signierte Nachricht enthält den Hostnamen und die Domäne, die Sie definiert haben, wenn Sie die CNAME-Einträge veröffentlicht haben. Die Nachricht sieht in etwa wie im folgenden Beispiel aus:The DKIM-signed message will contain the host name and domain you defined when you published the CNAME entries. The message will look something like this example:

    From: Example User <example@contoso.com> 
    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; 
        s=selector1; d=contoso.com; t=1429912795; 
        h=From:To:Message-ID:Subject:MIME-Version:Content-Type; 
        bh=<body hash>; 
        b=<signed field>;
    
  • Suchen Sie nach der „Authentication-Results"-Kopfzeile. Obwohl jeder empfangende Dienst ein geringfügig anderes Format verwendet, um die eingehenden E-Mail-Nachrichten mit Zeitstempeln zu versehen, sollte das Ergebnis immer etwas wie DKIM=pass oder DKIM=OK enthalten.Look for the Authentication-Results header. While each receiving service uses a slightly different format to stamp the incoming mail, the result should include something like DKIM=pass or DKIM=OK.

Konfigurieren von DKIM für mehrere benutzerdefinierte Domänen in Office 365To configure DKIM for more than one custom domain in Office 365

Wenn Sie zu einem bestimmten Zeitpunkt in der Zukunft eine weitere benutzerdefinierte Domäne hinzufügen und DKIM für die neue Domäne aktivieren möchten, müssen Sie die Schritte in diesem Artikel für jede Domäne ausführen. Schließen Sie insbesondere alle Schritte in Schritte zum manuellen Einrichten von DKIM in Office 365 ab.If at some point in the future you decide to add another custom domain and you want to enable DKIM for the new domain, you must complete the steps in this article for each domain. Specifically, complete all steps in What you need to do to manually set up DKIM in Office 365.

Deaktivieren der DKIM-Signierungsrichtlinie für eine benutzerdefinierte Domäne in Office 365Disabling the DKIM signing policy for a custom domain in Office 365

Durch das Deaktivieren der Signierungsrichtlinie wird DKIM nicht vollständig deaktiviert. Nach einer bestimmten Zeitspanne übernimmt Office 365 automatisch die Office 365- Standardrichtlinie für Ihre Domäne. Weitere Informationen finden Sie unter Standardverhalten für DKIM und Office 365.Disabling the signing policy does not completely disable DKIM. After a period of time, Office 365 will automatically apply the default Office 365 policy for your domain. For more information, see Default behavior for DKIM and Office 365.

So deaktivieren Sie die DKIM-Signierungsrichtlinie mithilfe von Windows PowerShellTo disable the DKIM signing policy by using Windows PowerShell

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.Connect to Exchange Online PowerShell.

  2. Führen Sie einen der folgenden Befehle für jede Domäne aus, für die Sie die DKIM-Signierung deaktivieren möchten.Run one of the following commands for each domain for which you want to disable DKIM signing.

    $p=Get-DkimSigningConfig -identity <domain>
    $p[0] | set-DkimSigningConfig -enabled $false
    

    Beispiel:For example:

    $p=Get-DkimSigningConfig -identity contoso.com
    $p[0] | set-DkimSigningConfig -enabled $false
    

    oder -Or

    Set-DkimSigningConfig -identity $p[<number>].identity -enabled $false
    

    Wobei Number der Index der Richtlinie ist.Where number is the index of the policy. Beispiel:For example:

    Set-DkimSigningConfig -identity $p[0].identity -enabled $false
    

Standardverhalten für DKIM und Office 365Default behavior for DKIM and Office 365

Wenn Sie DKIM nicht aktivieren, erstellt Office 365 automatisch einen öffentlichen 1024-Bit-DKIM-Schlüssel für Ihre benutzerdefinierte Domäne und den zugehörigen privaten Schlüssel, der intern in unserem Rechenzentrum gespeichert wird. Standardmäßig verwendet Office 365 eine standardmäßige Signierkonfiguration für Domänen, die keine Richtlinie eingerichtet haben. Dies bedeutet, dass, wenn Sie DKIM nicht selbst einrichten, Office 365 seine Standardrichtlinie und Standardschlüssel verwendet, die erstellt wurden, um DKIM für Ihre Domäne zu aktivieren.If you do not enable DKIM, Office 365 automatically creates a 1024-bit DKIM public key for your custom domain and the associated private key which we store internally in our datacenter. By default, Office 365 uses a default signing configuration for domains that do not have a policy in place. This means that if you do not set up DKIM yourself, Office 365 will use its default policy and keys it creates in order to enable DKIM for your domain.

Wenn Sie die DKIM-Signatur nach der Aktivierung nach einer bestimmten Zeit wieder deaktivieren, wendet Office 365 automatisch die Office 365-Standardrichtlinie für Ihre Domäne an.Also, if you disable DKIM signing after enabling it, after a period of time, Office 365 will automatically apply the Office 365 default policy for your domain.

Im folgenden Beispiel wird angenommen, dass DKIM für „fabrikam.com" durch Office 365 und nicht durch den Administrator der Domäne aktiviert wurde. Das bedeutet, dass die erforderlichen CNAME-Einträge nicht in DNS vorhanden sind. DKIM-Signaturen für E-Mail-Nachrichten aus dieser Domäne sehen in etwa wie folgt aus:In the following example, suppose that DKIM for fabrikam.com was enabled by Office 365, not by the administrator of the domain. This means that the required CNAMEs do not exist in DNS. DKIM signatures for email from this domain will look something like this:

From: Second Example <second.example@fabrikam.com> 
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; 
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795; 
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type; 
    bh=<body hash>; 
    b=<signed field>;

In this example, the host name and domain contain the values to which the CNAME would point if DKIM-signing for fabrikam.com had been enabled by the domain administrator. Eventually, every single message sent from Office 365 will be DKIM-signed. If you enable DKIM yourself, the domain will be the same as the domain in the From: address, in this case fabrikam.com. If you don't, it will not align and instead will use your organization's initial domain. For information about determining your initial domain, see Domains FAQ.In this example, the host name and domain contain the values to which the CNAME would point if DKIM-signing for fabrikam.com had been enabled by the domain administrator. Eventually, every single message sent from Office 365 will be DKIM-signed. If you enable DKIM yourself, the domain will be the same as the domain in the From: address, in this case fabrikam.com. If you don't, it will not align and instead will use your organization's initial domain. For information about determining your initial domain, see Domains FAQ.

Einrichten von DKIM, damit ein Drittanbieterdienst E-Mails im Auftrag Ihrer benutzerdefinierten Domäne senden oder fälschen kannSet up DKIM so that a third-party service can send, or spoof, email on behalf of your custom domain

Bei einigen Massen-E-Mail-Dienstanbietern oder Software-as-a-Service-Anbietern können Sie DKIM-Schlüssel für E-Mails einrichten, die von diesem Dienst stammen. Dies erfordert eine Koordination zwischen Ihnen und dem Drittanbieter, damit die erforderlichen DNS-Einträge eingerichtet werden können. Keine zwei Organisationen führen dies auf die gleiche Weise durch. Der Prozess hängt vollständig von der Organisation ab.Some bulk email service providers, or software-as-a-service providers, let you set up DKIM keys for email that originates from their service. This requires coordination between yourself and the third-party in order to set up the necessary DNS records. No two organizations do it exactly the same way. Instead, the process depends entirely on the organization.

Eine Beispielnachricht mit einer ordnungsgemäßen DKIM-Konfiguration für contoso.com und bulkemailprovider.com kann wie folgt aussehen:An example message showing a properly configured DKIM for contoso.com and bulkemailprovider.com might look like this:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

In diesem Beispiel sind zu diesem Zweck die folgenden Schritte erforderlich:In this example, in order to achieve this result:

  1. Der Massen-E-Mail-Anbieter hat einen öffentlichen DKIM-Schlüssel für Contoso bereitgestellt.Bulk Email Provider gave Contoso a public DKIM key.

  2. Contoso hat den DKIM-Schlüssel für den DNS-Eintrag veröffentlicht.Contoso published the DKIM key to its DNS record.

  3. Beim Senden der E-Mail signiert der Massen-E-Mail-Anbieter den Schlüssel mit dem entsprechenden privaten Schlüssel. So hat der Massen-E-Mail-Anbieter die DKIM-Signatur an die Kopfzeile der Nachricht angefügt.When sending email, Bulk Email Provider signs the key with the corresponding private key. By doing so, Bulk Email Provider attached the DKIM signature to the message header.

  4. Beim Empfangen von E-Mails führen Systeme eine DKIM-Überprüfung durch, indem der d=<Domäne>-Wert der DKIM-Signatur mit der Domäne im Feld „Von: (5322.From)" der Nachricht verglichen wird. In diesem Beispiel entsprechen die Werte den folgenden:Receiving email systems perform a DKIM check by authenticating the DKIM-Signature d=<domain> value against the domain in the From: (5322.From) address of the message. In this example, the values match:

    Absender @contoso.comsender@contoso.com

    d =contoso.comd=contoso.com

Nächste Schritte: Nach dem Einrichten von DKIM für Office 365Next steps: After you set up DKIM for Office 365

Obwohl DKIM Spoofing verhindern soll, funktioniert DKIM besser mit SPF und DMARC.Although DKIM is designed to help prevent spoofing, DKIM works better with SPF and DMARC. Sobald Sie DKIM eingerichtet haben, sollten Sie auch SPF einrichten, falls noch nicht geschehen.Once you have set up DKIM, if you have not already set up SPF you should do so. Eine kurze Einführung in SPF und die schnelle Konfiguration finden Sie unter Set up SPF in Office 365 to help prevent spoofing.For a quick introduction to SPF and to get it configured quickly, see Set up SPF in Office 365 to help prevent spoofing. Ausführlichere Informationen zur Verwendung von SPF durch Office 365 oder zur Problembehandlung oder zu nicht standardmäßigen Bereitstellungen, z. B. Hybridbereitstellungen, finden Sie unter How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing.For a more in-depth understanding of how Office 365 uses SPF, or for troubleshooting or non-standard deployments such as hybrid deployments, start with How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing. Lesen Sie anschließend Verwenden von DMARC zum Überprüfen von E-Mails in Office 365.Next, see Use DMARC to validate email in Office 365. Antispam-Nachrichtenkopfzeilen umfasst die Syntax-und Kopfzeilenfelder, die von Office 365 für DKIM-Prüfungen verwendet werden.Anti-spam message headers includes the syntax and header fields used by Office 365 for DKIM checks.