2
Spamassassin - DKIM Abfrage - gehostete Exchange Server
Moin zusammen,
ich stelle gerade den DKIM Filter Score an unserem Mailgateway ein.
Dabei ist mir aufgefallen, daß die DKIM Schlüssel Überprüfung bei den meisten gehosteten Exchange Servern
fehl schlägt, weil der DKIM Schlüssel zwar in den DNS Einträgen der Absenderdömäne gültig gesetzt ist, bei
der Abfrage aber dann der von Microsoft präsentiert wird.
Übersehe ich da etwas oder interpretiere ich das falsch ?
Wie kann man das lösen ?
Als Beispiel:
Received: from mw24mailgate.domäne.de (localhost [::1])
(no client certificate requested)
by mw24mailgate.domäne.de (MailScanner Milter) with SMTP id 4RqTFb3K43zClBQ
for <meyer@domäne.de>; Tue, 19 Sep 2023 06:29:08 +0200 (CEST)
DMARC-Filter: OpenDMARC Filter v1.4.1 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de; dmarc=none (p=none dis=none) header.from=absenderdomäne.de
Authentication-Results: mw24mailgate.domäne.de; spf=pass smtp.mailfrom=absenderdomäne.de
DKIM-Filter: OpenDKIM Filter v2.11.0 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de;
dkim=pass (2048-bit key) header.d=absenderdomäne.de header.i=@absenderdomäne.de header.b="iLEq5jxa";
dkim=fail reason="signature verification failed" (1024-bit key) header.d=absenderdomäne.onmicrosoft.com header.i=@absenderdomäne.onmicrosoft.com header.b="exI6aNUF"
Authentication-Results: kundenserver.de; dkim=pass header.i=@absenderdomäne.de
Authentication-Results: kundenserver.de; dkim=fail header.i=@absenderdomäne.onmicrosoft.com
ich stelle gerade den DKIM Filter Score an unserem Mailgateway ein.
Dabei ist mir aufgefallen, daß die DKIM Schlüssel Überprüfung bei den meisten gehosteten Exchange Servern
fehl schlägt, weil der DKIM Schlüssel zwar in den DNS Einträgen der Absenderdömäne gültig gesetzt ist, bei
der Abfrage aber dann der von Microsoft präsentiert wird.
Übersehe ich da etwas oder interpretiere ich das falsch ?
Wie kann man das lösen ?
Als Beispiel:
Received: from mw24mailgate.domäne.de (localhost [::1])
(no client certificate requested)
by mw24mailgate.domäne.de (MailScanner Milter) with SMTP id 4RqTFb3K43zClBQ
for <meyer@domäne.de>; Tue, 19 Sep 2023 06:29:08 +0200 (CEST)
DMARC-Filter: OpenDMARC Filter v1.4.1 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de; dmarc=none (p=none dis=none) header.from=absenderdomäne.de
Authentication-Results: mw24mailgate.domäne.de; spf=pass smtp.mailfrom=absenderdomäne.de
DKIM-Filter: OpenDKIM Filter v2.11.0 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de;
dkim=pass (2048-bit key) header.d=absenderdomäne.de header.i=@absenderdomäne.de header.b="iLEq5jxa";
dkim=fail reason="signature verification failed" (1024-bit key) header.d=absenderdomäne.onmicrosoft.com header.i=@absenderdomäne.onmicrosoft.com header.b="exI6aNUF"
Authentication-Results: kundenserver.de; dkim=pass header.i=@absenderdomäne.de
Authentication-Results: kundenserver.de; dkim=fail header.i=@absenderdomäne.onmicrosoft.com
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 61890007737
Url: https://administrator.de/contentid/61890007737
Printed on: April 27, 2024 at 13:04 o'clock
2 Comments
Latest comment
Hallo @DerNixWusste
In Exchange / M365 muss man die DKIM-Schlüssel für die "externe" Domain (absenderdomäne.de) aktivieren und generieren.
Für diese Domäne übergibt man den CNAME in die DNS-Einträge (also nicht *.onmicrosoft.com), dann klappt das auch mit DKIM-Abfrage außerhalb des MS-Universums.
Nebenbei: Google kennt diese "MS typische" Voreinstellung und erkennt die onmicrosoft-DKIM meist trotzdem an, obwohl nicht dem Standard entsprechend.
https://lazyadmin.nl/office-365/configure-dkim-office-365/
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-secu ...
Viel Erfolg
In Exchange / M365 muss man die DKIM-Schlüssel für die "externe" Domain (absenderdomäne.de) aktivieren und generieren.
Für diese Domäne übergibt man den CNAME in die DNS-Einträge (also nicht *.onmicrosoft.com), dann klappt das auch mit DKIM-Abfrage außerhalb des MS-Universums.
Nebenbei: Google kennt diese "MS typische" Voreinstellung und erkennt die onmicrosoft-DKIM meist trotzdem an, obwohl nicht dem Standard entsprechend.
https://lazyadmin.nl/office-365/configure-dkim-office-365/
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-secu ...
Viel Erfolg
Moin,
also liegt es dann wohl an den etwas "unglücklich" konfigurierten Exchange / M365, was ich schon vermutet hatte.
also liegt es dann wohl an den etwas "unglücklich" konfigurierten Exchange / M365, was ich schon vermutet hatte.