dernixwusste
Goto Top

Spamassassin - DKIM Abfrage - gehostete Exchange Server

Moin zusammen,

ich stelle gerade den DKIM Filter Score an unserem Mailgateway ein.
Dabei ist mir aufgefallen, daß die DKIM Schlüssel Überprüfung bei den meisten gehosteten Exchange Servern
fehl schlägt, weil der DKIM Schlüssel zwar in den DNS Einträgen der Absenderdömäne gültig gesetzt ist, bei
der Abfrage aber dann der von Microsoft präsentiert wird.

Übersehe ich da etwas oder interpretiere ich das falsch ?
Wie kann man das lösen ?


Als Beispiel:


Received: from mw24mailgate.domäne.de (localhost [::1])
(no client certificate requested)
by mw24mailgate.domäne.de (MailScanner Milter) with SMTP id 4RqTFb3K43zClBQ
for <meyer@domäne.de>; Tue, 19 Sep 2023 06:29:08 +0200 (CEST)
DMARC-Filter: OpenDMARC Filter v1.4.1 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de; dmarc=none (p=none dis=none) header.from=absenderdomäne.de
Authentication-Results: mw24mailgate.domäne.de; spf=pass smtp.mailfrom=absenderdomäne.de
DKIM-Filter: OpenDKIM Filter v2.11.0 mw24mailgate.domäne.de 4RqTFb3K43zClBQ
Authentication-Results: mw24mailgate.domäne.de;
dkim=pass (2048-bit key) header.d=absenderdomäne.de header.i=@absenderdomäne.de header.b="iLEq5jxa";
dkim=fail reason="signature verification failed" (1024-bit key) header.d=absenderdomäne.onmicrosoft.com header.i=@absenderdomäne.onmicrosoft.com header.b="exI6aNUF"
Authentication-Results: kundenserver.de; dkim=pass header.i=@absenderdomäne.de
Authentication-Results: kundenserver.de; dkim=fail header.i=@absenderdomäne.onmicrosoft.com

Content-ID: 61890007737

Url: https://administrator.de/forum/spamassassin-dkim-abfrage-gehostete-exchange-server-61890007737.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

AlRoDiSa
Lösung AlRoDiSa 19.09.2023 aktualisiert um 14:20:34 Uhr
Goto Top
Hallo @DerNixWusste

In Exchange / M365 muss man die DKIM-Schlüssel für die "externe" Domain (absenderdomäne.de) aktivieren und generieren.
Für diese Domäne übergibt man den CNAME in die DNS-Einträge (also nicht *.onmicrosoft.com), dann klappt das auch mit DKIM-Abfrage außerhalb des MS-Universums.

Nebenbei: Google kennt diese "MS typische" Voreinstellung und erkennt die onmicrosoft-DKIM meist trotzdem an, obwohl nicht dem Standard entsprechend.

https://lazyadmin.nl/office-365/configure-dkim-office-365/
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-secu ...

Viel Erfolg
DerNixWusste
DerNixWusste 19.09.2023 um 16:30:35 Uhr
Goto Top
Moin,
also liegt es dann wohl an den etwas "unglücklich" konfigurierten Exchange / M365, was ich schon vermutet hatte. face-sad