joedevlin
Goto Top

DKIM Exchange Hybrid-Probleme

Guten Morgen,

wir haben eine Exchange Hybrid-Installation mit zurzeit noch aktiviertem zentralen Mailtransport. Wir haben also folgenden ausgehenden Mailflow, da alle Postfächer bereits in Exchange Online sind:

Exchange Online -> Exchange on-prem -> Sophos UTM -> Internet

Wir haben auf keinem der Systeme manuell DKIM in Betrieb, dennoch werden vereinzelt E-Mails bei externen Mailservern auf Grund ungültigem DKIM abgelehnt. Ich habe nun folgendes herausgefunden:

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=tenant.onmicrosoft.com; s=selector1-tenant-onmicrosoft-com;

result = fail
Details: message has been altered

Der Fehler bezieht sich auf die Tenant-Domain, die aber nicht die Absenderadresse der E-Mail ist.

Wie müssten wir vorgehen, wenn wir DKIM in diesem Schritt vollständig abschalten möchten? Deaktivieren von DKIM für die Tenant-Domain tenant.onmicrosoft.com?

Danke euch face-smile

Content-ID: 33152943994

Url: https://administrator.de/forum/dkim-exchange-hybrid-probleme-33152943994.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 18.10.2023 aktualisiert um 09:08:38 Uhr
Goto Top
Moin,

DKIM wird normalerweise an der letzten Instanz angewendet. Zumindest mache ich das bei mir so. Bei mir ist das eine Sophos UTM, die die DKIM-Signaturen anbringt.

Hier mutmaße ich, dass es die Online-Instanz ist, die das bereits tut.

Ich rate aber dazu, DKIM, DMARC und SPF sauber durchzukonfigurieren!
JoeDevlin
JoeDevlin 18.10.2023 um 09:15:26 Uhr
Goto Top
Ich habe es inzwischen herausgefunden:

Im Microsoft 365-Defender Admincenter war für die Domäne tenant.onmicrosoft.com (Standardsignaturdomäne) das DKIM aktiviert, ich habe das nun dort abgeschaltet und jetzt schlägt die Prüfung nicht mehr fehl.

Wir haben zurzeit nur SPF aktiviert, werden aber im Zuge der Abschaltung des zentralisierten Mailflows auch DKIM aktivieren.

Danke!
DerNixWusste
DerNixWusste 18.10.2023 um 09:20:10 Uhr
Goto Top
Moin,

2 Möglichkeiten:

1. die Sophos die DKIM Signierung durchführen lassen, und im Exchange Online abschalten
2. die DKIM Signierung in der Sophos abschalten, und im Exchange Online durchkonfigurieren (und zusätzlich ARC einschalten).

Zur Zeit hast Du wohl folgende Konfiguration: Exchange Online signiert mit seinem Schlüssel -> die Sophos aber auch.
Beim Empfänger passt dann nix mehr zusammen, und der Mailserver fragt dann Euren öffentlichen DKIM Schlüssel ab, der dann aber verändert wurde.