Einige M365 Tenants versenden Mail mit einer nicht validierbaren DKIM-Signatur. Die Signatur wird mit <kundename>.onmicrosoft.com erstellt, aber der DKIM-Key ist nicht per DNS publiziert. Dies resultiert in einer ungültigen DKIM-Signatur.

Unsere Systeme blockieren diese bei Nachrichten bei Einlieferung über IPv6. Der Absender erhält eine Benachrichtigung, dass seine Nachricht den Empfänger nicht erreicht hat.

Solche Mails sind in der seppmail.cloud Quarantäne erkennbar an der Block-Meldung:
no key <selector>._domainkeys.<kundenname>.onmicrosoft.com

Hintergrund: Microsoft weist seit längerem Nachrichten temporär ab, die mit ungültiger DKIM-Signatur über IPv6 eingeliefert werden. Bei Einlieferungen über IPv4 besteht diese Einschränkung derzeit noch nicht.

Folgende Lösungsmöglichkeiten bestehen:

  • Der Absender muss seine DKIM-Konfiguration prüfen und sicherstellen, dass alle nötigen DNS-Einträge publiziert sind.
  • Der Absender stellt sicher, dass Mail ausschließlich über IPv4 ausgeliefert wird.
  • Der Empfänger kann einen Eintrag in der Willkommensliste erstellen. Wir raten davon jedoch explizit ab, da dies auch weitere Sicherheitsmechanismen umgeht.

Wir raten dringend dazu, den Fehler durch den Absender korrigieren zu lassen. Eine fehlerhafte DKIM-Signierung kann auch bei anderen Anbietern zu Abweisungen oder Quarantänisierung von Nachrichten führen. Gemäß unseren Erfahrungen sind vornehmlich M365-Absender betroffen. Bitte beachten Sie die Dokumentation von Microsoft.

Folgende Vorgehensweise wird empfohlen:

  • Im M365 Controlpanel die DKIM Konfiguration aus- und wieder einschalten.
  • Wenn das nicht hilft, DKIM-Rotation anstoßen.
  • Ein Support-Ticket bei Microsoft eröffnen, um das Problem zu lösen.
  • Alternativ anstelle der DKIM-Signierung mittels <kundename>.onmicrosoft.com die DKIM-Signierung in der Kundendomäne konfigurieren und den DKIM-Key in der eigenen Zone publizieren. Somit sind auch die Alignment-Anforderungen von DMARC erfüllt.
  • Alternativ sollte ein Umzug vom Microsoft Mailversand in die seppmail.cloud bedacht werden. Dort sorgt der inline-Modus dafür, dass alles rund um DKIM automatisch korrekt konfiguriert wird.