antenope
19.02.2025, aktualisiert um 20:36:16 Uhr
view2290
view11
1
Goto Top

Neuer DKIM-Syntax bei M365 - Bisherige Einträge ungültig?

InformationExchange Server
Hallo,
habe gerade beim Born im Blog gelesen (https://www.borncity.com/blog/2025/02/19/microsoft-hat-dkim-wert-zum-sig ..), dass Microsoft scheinbar die DKIM-Syntax (URLs) angepasst hat. Natürlich ohne Ankündigung? Jedenfalls habe ich davon nichts mitbekommen.

Gerade bei ein paar Tenants reingesehen und jup, die bisherigen Werte werden als ungültig deklariert!

Klasse! Bravo! Ein Traum!
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671503

Url: https://administrator.de/info/neuer-dkim-syntax-bei-m365-bisherige-eintraege-ungueltig-671503.html

Ausgedruckt am: 29.03.2025 um 07:03 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
151512
151512 19.02.2025 aktualisiert um 16:09:03 Uhr
Goto Top
Gerade bei ein paar Tenants reingesehen und jup, die bisherigen Werte werden als ungültig deklariert!
Autsch. Das Wort Migration kennt man in Redmond wohl nicht. Naja mich juckt das eh nicht, ich bin nicht bei diesem "Turn"-Verein.
Lochkartenstanzer
Lochkartenstanzer 19.02.2025 um 16:01:46 Uhr
Goto Top
Moin,

MS weiß halt, was gut für die Kunden ist. face-smile

lks
DivideByZero
DivideByZero 19.02.2025 um 18:00:43 Uhr
Goto Top
Nicht nur für die Kunden, auch für die Volkswirtschaft(en), so werden Beschäftigung und Umsatz gefördert 🤣
Avoton
Avoton 19.02.2025 um 18:06:01 Uhr
Goto Top
Moin,

Evtl. Gilt die Syntax nur für neue Einträge und bereits bestehende funktionieren weiter? Ggf. Haben die in Redmond "nur" vergessen, die Legacy Einträge in der GUI weiterhin zu akzeptieren...

Gruß,
Avoton
anteNope
anteNope 19.02.2025 aktualisiert um 20:46:45 Uhr
Goto Top
So ich habe jetzt etwas mehr Zeit darauf verschwendet als mir ehrlich gesagt lieb ist ... Hier sind meine Erkenntnisse:

  • Bei neuen Tenants werden die neuen URLs direkt verwendet
  • Aktiviert man DKIM zum ersten mal für eine Domain in einem bestehenden Tenant, werden die neuen URLs verwendet
  • Die Anzeige im Admin-Center ist definitiv buggy, kann man sich nicht drauf verlassen
  • Ändert man die CNAME-Einträge und lässt diese prüfen, bleiben dennoch die alten Einträge aktiv und werden definitiv weiterhin verwendet
  • Alte und neue URLs leiten nicht aufeinander weiter
  • Generierte DKIM-Keys können scheinbar auch nicht gelöscht und neu generiert werden (nur deaktivieren / aktivieren)
  • Hierbei bleibt die URL auf dem vorherigen Wert

Bei diversen Kunden ist mir zudem aufgefallen, dass DKIM für Domains deaktiviert war oder gar keine Keys hinterlegt wurden. Die CNAME-Einträge existieren jedoch im DNS; eine Aktivierung war problemlos möglich. Hier vermute ich, dass diese damals via Domain-Setup zwar angehakt wurden, aber nicht sauber durchgelaufen sind? Interessant ist aber, dass es wohl auch eine Prüfung der CNAMEs gegeben hat (Datum vorhanden).

Scheinbar ist die einzige zuverlässige Möglichkeit die URLs und den DKIM-Status zu prüfen via
https://security.microsoft.com/authentication?viewid=DKIM

Sprich wer dem Status im Admin-Center glaubt und die CNAMEs ändert, fliegt damit direkt auf die Fresse. Kann man zum Glück aber durch setzen der alten Einträge wieder reparieren.

Richtig gutes Ei haben die da gelegt ... Respekt.
DivideByZero
DivideByZero 19.02.2025 um 22:21:31 Uhr
Goto Top
Danke für die Information und das Austesten
ni.sch
ni.sch 07.03.2025 um 09:55:11 Uhr
Goto Top
Hallo zusammen,

ich hatte die Meldung im Admin-Center auch gesehen, dass unsere DNS-Einträge nicht mehr korrekt seien.
Nach der Änderung wurden diese als richtig angezeigt (Tenant ist ca. 4 Jahre alt).

Allerdings scheinen jetzt (seit gestern/heute???) einige Spamfilter die Microsoft-IPs von denen wir senden zu blockieren.
Ich stelle daher mal wieder zurück und schaue was passiert.
Avoton
Avoton 07.03.2025 um 10:07:06 Uhr
Goto Top
Allerdings scheinen jetzt (seit gestern/heute???) einige Spamfilter die Microsoft-IPs von denen wir senden zu blockieren.

Habe ich auch festgestellt, das waren aber bisher alles Provider, die noch NixSpam konfiguriert haben, was ja den Betrieb eingestellt hat.
Anscheinend blocken die jetzt ALLE Mails, heute haben schon diverse Kunden angerufen.

Gruß,
Avoton
anteNope
anteNope 07.03.2025 aktualisiert um 11:44:46 Uhr
Goto Top
Zitat von @ni.sch:
Allerdings scheinen jetzt (seit gestern/heute???) einige Spamfilter die Microsoft-IPs von denen wir senden zu blockieren.

... also manchmal frage ich mich ob hier die Informationen überhaupt gelesen werden. Ich habe doch weiter oben extrem ausführlich getestet und meine Ergebnisse geteilt.

Die alten Einträge bleiben gültig!!! Wenn man dem Admin-Center traut, zeigen die neue Selektoren ins Leere und die Mails klatschen aufgrund fehlgeschlagener DKIM-Prüfung an die Wand.
ni.sch
ni.sch 07.03.2025 um 17:33:47 Uhr
Goto Top
Zitat von @anteNope:
... also manchmal frage ich mich ob hier die Informationen überhaupt gelesen werden. Ich habe doch weiter oben extrem ausführlich getestet und meine Ergebnisse geteilt.

Die alten Einträge bleiben gültig!!! Wenn man dem Admin-Center traut, zeigen die neue Selektoren ins Leere und die Mails klatschen aufgrund fehlgeschlagener DKIM-Prüfung an die Wand.

Prima Antwort....
Du weißt genau woher, wann ich deinen Beitrag gelesen habe, um daraus abzuleiten dass ich das schon hätte wissen müssen????

Ich habe die Änderung bei uns am 20.02. gemacht.... seit heute kommen bei uns Fehlermails zurück....
Bin dann heute auf den Thread hier gestoßen und wollte einfach noch die zusätzliche Info mit den blockierten IPs geben.

Aus deinem Satz:
"Sprich wer dem Status im Admin-Center glaubt und die CNAMEs ändert, fliegt damit direkt auf die Fresse." konnte ich jetzt leider nicht herleiten das die Microsoft-IPs von Spamfiltern blockiert werden.

Aber seis drum face-smile trotzdem danke für deine Recherche.
anteNope
anteNope 07.03.2025 um 19:00:24 Uhr
Goto Top
Ups da habe ich wohl selbst falsch gelesen / überlesen. Könnte natürlich sein, dass die MS Server jetzt mittlerweile blockiert werden, da die permanent mit falschen DKIM-Einträgen senden. Das wäre echt der Brüller ...
InformationExchange Server
Mehr von anteNopeanteNopeDeutsche Glasfaser "vergisst" immer wieder SIP-ZuordnunganteNope - 7 KommentareanteNopeOutlook Suche in PST-Dateien funktioniert nichtanteNope - 4 KommentareanteNopeWindows 11 Installation prüft scheinbar keine Voraussetzungen (alte Setup-GUI)anteNope - 6 KommentareanteNopeDel thumbs.db -s (thumbs.db rekursiv löschen) funktioniert nicht mehr?anteNope - 4 Kommentare
Heiß diskutiert
kreuzbergerFestplatte erscheint als "nicht initialisiert"kreuzberger - 44 KommentarejimmmyCisco Catalyst 1200 vs HPE Aruba 1930?jimmmy - 40 KommentareTschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 36 Kommentarer2d2r3poNetzwerk Ausfäller2d2r3po - 32 KommentarepaperanKaufberatung Notebook 17 Zollpaperan - 31 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 23 KommentarefnbaluLSI Avago 9265-8i Problemefnbalu - 21 KommentareMarkowitschHP Mini-PC startet nicht mehrMarkowitsch - 20 KommentareMarcoKerProbleme beim Rejoin von Computern unter Windows 11MarcoKer - 17 KommentareFrankZur Sicherheit der Signal-App im Kontext des aktuellen US-LeaksFrank - 15 KommentarempanziUnterschied Hardware-Server zu VM für Clientmpanzi - 15 KommentareJet1199Exchange 2007 und 2019 gleichzeitig (während Migration)Jet1199 - 15 Kommentare