Neuer DKIM-Syntax bei M365 - Bisherige Einträge ungültig?

So ich habe jetzt etwas mehr Zeit darauf verschwendet als mir ehrlich gesagt lieb ist ... Hier sind meine Erkenntnisse:

• Bei neuen Tenants werden die neuen URLs direkt verwendet
• Aktiviert man DKIM zum ersten mal für eine Domain in einem bestehenden Tenant, werden die neuen URLs verwendet
• Die Anzeige im Admin-Center ist definitiv buggy, kann man sich nicht drauf verlassen
• Ändert man die CNAME-Einträge und lässt diese prüfen, bleiben dennoch die alten Einträge aktiv und werden definitiv weiterhin verwendet
• Alte und neue URLs leiten nicht aufeinander weiter
• Generierte DKIM-Keys können scheinbar auch nicht gelöscht und neu generiert werden (nur deaktivieren / aktivieren)
• Hierbei bleibt die URL auf dem vorherigen Wert

Bei diversen Kunden ist mir zudem aufgefallen, dass DKIM für Domains deaktiviert war oder gar keine Keys hinterlegt wurden. Die CNAME-Einträge existieren jedoch im DNS; eine Aktivierung war problemlos möglich. Hier vermute ich, dass diese damals via Domain-Setup zwar angehakt wurden, aber nicht sauber durchgelaufen sind? Interessant ist aber, dass es wohl auch eine Prüfung der CNAMEs gegeben hat (Datum vorhanden).

Scheinbar ist die einzige zuverlässige Möglichkeit die URLs und den DKIM-Status zu prüfen via
https://security.microsoft.com/authentication?viewid=DKIM

Sprich wer dem Status im Admin-Center glaubt und die CNAMEs ändert, fliegt damit direkt auf die Fresse. Kann man zum Glück aber durch setzen der alten Einträge wieder reparieren.

Richtig gutes Ei haben die da gelegt ... Respekt.