DKIM für Microsoft 365 einrichten
Schritt-für-Schritt-Anleitung: CNAME-Records für selector1 und selector2 anlegen, DKIM im Defender Portal aktivieren und mit DNS-Befehlen verifizieren — inklusive PowerShell und Key Rotation.
DKIM für Microsoft 365 (Exchange Online)
Microsoft 365 nutzt zwei CNAME-Records (selector1 und selector2), die auf die Microsoft-DKIM-Infrastruktur verweisen und automatische Key Rotation ermöglichen. Im Gegensatz zu vielen anderen Providern verwendet Microsoft 365 keine TXT-Records für DKIM, sondern delegiert die Schlüsselverwaltung per CNAME. Ed25519 wird von Microsoft 365 nicht unterstützt — alle Signaturen verwenden RSA (2048 Bit).
NIS2 Art. 21 fordert kryptographische Schutzmaßnahmen für die E-Mail-Kommunikation — Microsoft 365 erfüllt diese Anforderung mit automatischer Key Rotation zwischen selector1 und selector2. Der Wolf-Agents Email Security Check validiert die DKIM-Signatur kryptografisch (RFC 6376), prüft die Existenz beider CNAME-Selektoren (selector1._domainkey + selector2._domainkey), erkennt die Microsoft-Mindestlänge RSA 2048 Bit und warnt vor noch aktiven k=test-Flags aus der Aktivierungsphase.
Hardening-Pfad: Nach DKIM folgt DMARC für Microsoft 365 — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht.
CNAME-Records anlegen
Erstellen Sie zwei CNAME-Records bei Ihrem DNS-Provider. Diese Records delegieren die DKIM-Schlüsselverwaltung an Microsoft und ermöglichen automatische Key Rotation.
# Classic-Format
selector1._domainkey.ihre-domain.de CNAME selector1-ihre--domain-de._domainkey.ihre-domain.onmicrosoft.com
selector2._domainkey.ihre-domain.de CNAME selector2-ihre--domain-de._domainkey.ihre-domain.onmicrosoft.com
# Neues Format (seit Mai 2025)
selector1._domainkey.ihre-domain.de CNAME selector1-ihre--domain-de._domainkey.ihre-domain.eur01-v1.dkim.mail.microsoft
selector2._domainkey.ihre-domain.de CNAME selector2-ihre--domain-de._domainkey.ihre-domain.eur01-v1.dkim.mail.microsoftMicrosoft ersetzt Punkte durch Bindestriche und verdoppelt vorhandene Bindestriche: meine-firma.de wird zu meine--firma-de. Prüfen Sie die exakten CNAME-Werte per PowerShell:
Get-DkimSigningConfig -Identity "ihre-domain.de" | Format-List Selector1CNAME, Selector2CNAMEMicrosoft rotiert Schlüssel nicht automatisch — lösen Sie die Rotation manuell aus. Die Aktivierung kann bis zu 96 Stunden dauern:
Rotate-DkimSigningConfig -Identity "ihre-domain.de"DKIM im Defender Portal aktivieren
Nach der DNS-Propagierung (15-60 Minuten) aktivieren Sie die DKIM-Signierung im Microsoft 365 Defender Portal. Erst nach der Aktivierung signiert Exchange Online ausgehende E-Mails mit Ihrer Domain.
Menüpfad im Defender Portal
- Öffnen Sie security.microsoft.com
- Navigieren Sie zu E-Mail und Zusammenarbeit → Richtlinien und Regeln
- Wählen Sie Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen
- Klicken Sie auf DKIM
- Wählen Sie Ihre Domain aus und aktivieren Sie den DKIM-Schalter
DKIM verifizieren
Prüfen Sie die CNAME-Records und senden Sie eine Test-E-Mail, um die DKIM-Signatur im E-Mail-Header zu verifizieren.
# CNAME-Records prüfen
dig CNAME selector1._domainkey.ihre-domain.de +short
dig CNAME selector2._domainkey.ihre-domain.de +short
# Windows (PowerShell)
Resolve-DnsName -Name selector1._domainkey.ihre-domain.de -Type CNAME
# Erwartete Ausgabe (Classic):
# selector1-ihre--domain-de._domainkey.ihre-domain.onmicrosoft.com.
Senden Sie anschließend eine Test-E-Mail und prüfen Sie den Header auf DKIM-Signature: ... d=ihre-domain.de; s=selector1. Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DKIM auf Selektor-Konfiguration, Schlüssellänge und Signatur-Validität.
Häufige Fehler bei Microsoft 365
Die folgenden drei Fehler treten bei der DKIM-Konfiguration mit Microsoft 365 am häufigsten auf. Jeder einzelne kann dazu führen, dass DKIM-Signaturen ungültig werden und die E-Mail-Authentifizierung fehlschlägt.
CNAME-Tenant-Name falsch (Bindestrich-Regel)
Problem: Der CNAME-Zielwert enthält den falschen Tenant-Namen. Punkte im Domainnamen müssen durch Bindestriche ersetzt werden, und vorhandene Bindestriche werden verdoppelt. meine-firma.de wird zu meine--firma-de — ein häufiger Tippfehler.
Lösung: Verwenden Sie den PowerShell-Befehl Get-DkimSigningConfig -Identity "ihre-domain.de" | Format-List Selector1CNAME, Selector2CNAME, um die exakten CNAME-Werte abzurufen. Kopieren Sie diese 1:1 in Ihren DNS-Provider.
Altes vs. neues CNAME-Format verwechselt
Problem: Seit Mai 2025 verwendet Microsoft ein neues CNAME-Format (*.dkim.mail.microsoft statt *.onmicrosoft.com). Neue Tenants erhalten das neue Format, bestehende behalten das alte. Wird das falsche Format eingetragen, schlägt die DKIM-Aktivierung fehl.
Lösung: Prüfen Sie per PowerShell, welches Format Ihr Tenant verwendet. Mischen Sie niemals altes und neues Format für selector1 und selector2 — beide müssen dasselbe Format verwenden.
Ed25519 wird nicht unterstützt
Problem: Microsoft 365 unterstützt ausschließlich RSA-Schlüssel für DKIM-Signaturen. Der Versuch, Ed25519 zu konfigurieren, scheitert — es gibt keine Option dafür im Defender Portal oder per PowerShell.
Lösung: Verwenden Sie RSA (2048 Bit) — die Schlüssellänge wird automatisch von Microsoft verwaltet. Ed25519 als zweite Signatur ist mit Microsoft 365 aktuell nicht möglich.
Wie steht Ihre Domain bei DKIM?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.