Spamassassin - DKIM Abfrage - gehostete Exchange Server
Moin zusammen,
ich stelle gerade den DKIM Filter Score an unserem Mailgateway ein.
Dabei ist mir aufgefallen, daß die DKIM Schlüssel Überprüfung bei den meisten gehosteten Exchange Servern
fehl schlägt, weil der DKIM Schlüssel zwar in den DNS Einträgen der Absenderdömäne gültig gesetzt ist, bei
der Abfrage aber dann der von Microsoft präsentiert wird.
Übersehe ich da etwas oder interpretiere ich das falsch ?
Wie kann man das lösen ?
Als Beispiel:
Received: from mw24mailgate.domäne.de (localhost [::1])
(no client certificate requested)
by mw24mailgate.domäne.de (MailScanner Milter) with SMTP id 4RqTFb3K43zClBQ
for <meyer@domäne.de>; Tue, 19 Sep 2023 06:29:08 +0200 (CEST)
DMARC-Filter: OpenDMARC Filter v1.4.1 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de; dmarc=none (p=none dis=none) header.from=absenderdomäne.de
Authentication-Results: mw24mailgate.domäne.de; spf=pass smtp.mailfrom=absenderdomäne.de
DKIM-Filter: OpenDKIM Filter v2.11.0 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de;
dkim=pass (2048-bit key) header.d=absenderdomäne.de header.i=@absenderdomäne.de header.b="iLEq5jxa";
dkim=fail reason="signature verification failed" (1024-bit key) header.d=absenderdomäne.onmicrosoft.com header.i=@absenderdomäne.onmicrosoft.com header.b="exI6aNUF"
Authentication-Results: kundenserver.de; dkim=pass header.i=@absenderdomäne.de
Authentication-Results: kundenserver.de; dkim=fail header.i=@absenderdomäne.onmicrosoft.com
ich stelle gerade den DKIM Filter Score an unserem Mailgateway ein.
Dabei ist mir aufgefallen, daß die DKIM Schlüssel Überprüfung bei den meisten gehosteten Exchange Servern
fehl schlägt, weil der DKIM Schlüssel zwar in den DNS Einträgen der Absenderdömäne gültig gesetzt ist, bei
der Abfrage aber dann der von Microsoft präsentiert wird.
Übersehe ich da etwas oder interpretiere ich das falsch ?
Wie kann man das lösen ?
Als Beispiel:
Received: from mw24mailgate.domäne.de (localhost [::1])
(no client certificate requested)
by mw24mailgate.domäne.de (MailScanner Milter) with SMTP id 4RqTFb3K43zClBQ
for <meyer@domäne.de>; Tue, 19 Sep 2023 06:29:08 +0200 (CEST)
DMARC-Filter: OpenDMARC Filter v1.4.1 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de; dmarc=none (p=none dis=none) header.from=absenderdomäne.de
Authentication-Results: mw24mailgate.domäne.de; spf=pass smtp.mailfrom=absenderdomäne.de
DKIM-Filter: OpenDKIM Filter v2.11.0 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de;
dkim=pass (2048-bit key) header.d=absenderdomäne.de header.i=@absenderdomäne.de header.b="iLEq5jxa";
dkim=fail reason="signature verification failed" (1024-bit key) header.d=absenderdomäne.onmicrosoft.com header.i=@absenderdomäne.onmicrosoft.com header.b="exI6aNUF"
Authentication-Results: kundenserver.de; dkim=pass header.i=@absenderdomäne.de
Authentication-Results: kundenserver.de; dkim=fail header.i=@absenderdomäne.onmicrosoft.com
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61890007737
Url: https://administrator.de/forum/spamassassin-dkim-abfrage-gehostete-exchange-server-61890007737.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
2 Kommentare
Neuester Kommentar
Hallo @DerNixWusste
In Exchange / M365 muss man die DKIM-Schlüssel für die "externe" Domain (absenderdomäne.de) aktivieren und generieren.
Für diese Domäne übergibt man den CNAME in die DNS-Einträge (also nicht *.onmicrosoft.com), dann klappt das auch mit DKIM-Abfrage außerhalb des MS-Universums.
Nebenbei: Google kennt diese "MS typische" Voreinstellung und erkennt die onmicrosoft-DKIM meist trotzdem an, obwohl nicht dem Standard entsprechend.
https://lazyadmin.nl/office-365/configure-dkim-office-365/
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-secu ...
Viel Erfolg
In Exchange / M365 muss man die DKIM-Schlüssel für die "externe" Domain (absenderdomäne.de) aktivieren und generieren.
Für diese Domäne übergibt man den CNAME in die DNS-Einträge (also nicht *.onmicrosoft.com), dann klappt das auch mit DKIM-Abfrage außerhalb des MS-Universums.
Nebenbei: Google kennt diese "MS typische" Voreinstellung und erkennt die onmicrosoft-DKIM meist trotzdem an, obwohl nicht dem Standard entsprechend.
https://lazyadmin.nl/office-365/configure-dkim-office-365/
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-secu ...
Viel Erfolg