3
DKIM Exchange Hybrid-Probleme
Guten Morgen,
wir haben eine Exchange Hybrid-Installation mit zurzeit noch aktiviertem zentralen Mailtransport. Wir haben also folgenden ausgehenden Mailflow, da alle Postfächer bereits in Exchange Online sind:
Exchange Online -> Exchange on-prem -> Sophos UTM -> Internet
Wir haben auf keinem der Systeme manuell DKIM in Betrieb, dennoch werden vereinzelt E-Mails bei externen Mailservern auf Grund ungültigem DKIM abgelehnt. Ich habe nun folgendes herausgefunden:
Der Fehler bezieht sich auf die Tenant-Domain, die aber nicht die Absenderadresse der E-Mail ist.
Wie müssten wir vorgehen, wenn wir DKIM in diesem Schritt vollständig abschalten möchten? Deaktivieren von DKIM für die Tenant-Domain tenant.onmicrosoft.com?
Danke euch
wir haben eine Exchange Hybrid-Installation mit zurzeit noch aktiviertem zentralen Mailtransport. Wir haben also folgenden ausgehenden Mailflow, da alle Postfächer bereits in Exchange Online sind:
Exchange Online -> Exchange on-prem -> Sophos UTM -> Internet
Wir haben auf keinem der Systeme manuell DKIM in Betrieb, dennoch werden vereinzelt E-Mails bei externen Mailservern auf Grund ungültigem DKIM abgelehnt. Ich habe nun folgendes herausgefunden:
Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=tenant.onmicrosoft.com; s=selector1-tenant-onmicrosoft-com;
result = fail
Details: message has been alteredDer Fehler bezieht sich auf die Tenant-Domain, die aber nicht die Absenderadresse der E-Mail ist.
Wie müssten wir vorgehen, wenn wir DKIM in diesem Schritt vollständig abschalten möchten? Deaktivieren von DKIM für die Tenant-Domain tenant.onmicrosoft.com?
Danke euch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33152943994
Url: https://administrator.de/contentid/33152943994
Printed on: April 28, 2024 at 15:04 o'clock
3 Comments
Latest comment
Moin,
DKIM wird normalerweise an der letzten Instanz angewendet. Zumindest mache ich das bei mir so. Bei mir ist das eine Sophos UTM, die die DKIM-Signaturen anbringt.
Hier mutmaße ich, dass es die Online-Instanz ist, die das bereits tut.
Ich rate aber dazu, DKIM, DMARC und SPF sauber durchzukonfigurieren!
DKIM wird normalerweise an der letzten Instanz angewendet. Zumindest mache ich das bei mir so. Bei mir ist das eine Sophos UTM, die die DKIM-Signaturen anbringt.
Hier mutmaße ich, dass es die Online-Instanz ist, die das bereits tut.
Ich rate aber dazu, DKIM, DMARC und SPF sauber durchzukonfigurieren!
Ich habe es inzwischen herausgefunden:
Im Microsoft 365-Defender Admincenter war für die Domäne tenant.onmicrosoft.com (Standardsignaturdomäne) das DKIM aktiviert, ich habe das nun dort abgeschaltet und jetzt schlägt die Prüfung nicht mehr fehl.
Wir haben zurzeit nur SPF aktiviert, werden aber im Zuge der Abschaltung des zentralisierten Mailflows auch DKIM aktivieren.
Danke!
Im Microsoft 365-Defender Admincenter war für die Domäne tenant.onmicrosoft.com (Standardsignaturdomäne) das DKIM aktiviert, ich habe das nun dort abgeschaltet und jetzt schlägt die Prüfung nicht mehr fehl.
Wir haben zurzeit nur SPF aktiviert, werden aber im Zuge der Abschaltung des zentralisierten Mailflows auch DKIM aktivieren.
Danke!
Moin,
2 Möglichkeiten:
1. die Sophos die DKIM Signierung durchführen lassen, und im Exchange Online abschalten
2. die DKIM Signierung in der Sophos abschalten, und im Exchange Online durchkonfigurieren (und zusätzlich ARC einschalten).
Zur Zeit hast Du wohl folgende Konfiguration: Exchange Online signiert mit seinem Schlüssel -> die Sophos aber auch.
Beim Empfänger passt dann nix mehr zusammen, und der Mailserver fragt dann Euren öffentlichen DKIM Schlüssel ab, der dann aber verändert wurde.
2 Möglichkeiten:
1. die Sophos die DKIM Signierung durchführen lassen, und im Exchange Online abschalten
2. die DKIM Signierung in der Sophos abschalten, und im Exchange Online durchkonfigurieren (und zusätzlich ARC einschalten).
Zur Zeit hast Du wohl folgende Konfiguration: Exchange Online signiert mit seinem Schlüssel -> die Sophos aber auch.
Beim Empfänger passt dann nix mehr zusammen, und der Mailserver fragt dann Euren öffentlichen DKIM Schlüssel ab, der dann aber verändert wurde.
