MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

DKIM ohne Exchange Online

Wer seine Mails direkt von einem Exchange Online Postfach oder von Exchange OnPremises über Hybrid und Exchange Online ins Internet sendet, kann DKIM sehr schnell aktivieren. zwei DNS-Einträge pro Domain und ein Schieber im Exchange Admin Center. Was machen Sie aber mit lokalen Diensten, die auch ins Internet senden aber Exchange Online nicht nutzen sollen? Immer mehr Empfänger fordern DKIM und sie sollten es für ihre Domains mittels DMARC auch vorgeben.

Auslöser

Ein Kunde wollte von seinem CRM/ERP-System gerne Rechnungen, Buchungsbestätigungen etc. senden. Nachdem er seine Domains per DKIM gesichert und per DMARC mit "P=none" erst einmal ein Reporting aktiviert hat, sind diese Server zum Glück rechtzeitig aufgefallen. Es gab aber schon vorher immer mal wieder Beschwerden der Fachabteilung, dass ihre Mails beim Kunden nicht angekommen sind. Betroffen waren dabei meist Empfänger bei Google oder Hotmail. Auch das ist erklärbar, da diese großen Provider mittlerweile ihre Hausordnung verschärft haben. Wenn Server z.B. mehr als 5000 Mails/Tag pro Absenderdomain an GMail senden, müssen die Mails DKIM-signiert sein. Damit war auch dieses Problem erklärbar.

Die Cloud-Anbieter von ERP/CRM-Lösungen habe sich schon länger darauf eingestellt und senden Mails im Auftrag ihrer Kunden mit DKIM-Signaturen weg. Aber wenn Kunden solche Dienste selbst OnPremises oder in einer eigenen Cloud hosten, dann müssen Sie sich auch selbst darum kümmern.

Daher schauen wir uns die verschiedenen Optionen einmal an.

Bitte prüfen Sie bei jeder Konstellation, ob diese auch für "viele Mails" geeignet ist. Ich rate bei Massenmails immer zu einer separaten Domain oder Unterdomain aber nicht zur Nutzung der primären SMTP-Domain der Anwender. Siehe auch Exchange Online und Massenmail

DKIM an der Quelle

Ehe ich über weitere Dienste, 3rd-Party-Produkte oder weitere Systeme schreibe, sollten Sie direkt den Hersteller ihrer Lösung ansprechen, ob sein "Mail Sender" nicht auch DKIM von sich aus unterstützt. Wenn ihre Lösung natürlich schon einige Jahre alt ist und vom Hersteller nicht oder nur noch nebenher weiter entwickelt wird, dann könnte es knifflig sein.

Ich habe Produkte gesehen, die eine ausgehende Mail letztlich als Datei in ein Verzeichnis, z.B. "Pickup Verzeichnis" kopieren damit sie der Windows SMTP-Server dann weiter sendet. Vielleicht eignet sich auch einfach eine Kommandozeilenprogramm, um die EML-Datei entsprechend zu signieren.

DKIM über Exchange

Für Exchange OnPremises gibt es immer noch keinen DKIM-Signer von Microsoft ,Es gibt wohl 3rd Party-Produkte, die DKIM auch für Exchange 2016/2019 nachrüsten aber vielleicht nutzen Sie auch Exchange Online. Dann haben sie sogar zwei Optionen, die Mails von diesem System über Exchange Online mit einer DKIM-Signatur in die Welt zu senden:

  • Über Exchange OnPremises und Hybrid
    Ihr System liefert die Mails einfach an den lokalen Exchange Server ein, welcher die Mails dann über Exchange Online ins Internet routet. Über den entsprechenden Hybrid Connector erkennt Exchange Online, dass es sich um einen legitimen und bekannten internen Absender handelt, und signiert die Mails mittels DKIM.
  • Als Exchange Online Postfach
    Wenn ihr System eine Mail per SMTP AUTH an Exchange Online senden kann, könnten Sie noch einige Zeit lang einfach ein Postfach mit Exchange Plan 1/2 in der Cloud für den Versand anlegen und von der DKIM-Signatur durch Exchange Online profitieren. Knifflig wird es, wenn Exchange Online irgendwann die einfache Anmeldung per SMTP-AUTH durch eine OAUTH/SAML-Anmeldung ersetzt

Dieser Weg ist einfach zu konfigurieren aber limitiert. Denken Sie daran, dass ein einzelner Benutzer nur eine gewisse Anzahl von Mails pro Zeit an externe Empfänger senden darf.

DKIM über Windows SMTP

Achtung:
Seit Windows 2012R2 ist der SMTP-Dienst des IIS schon als "depreciated" geführt und mit einem Windows 2022 Update wurde er entfernt. In Windows 2025 ist er gar nicht mehr drin.

Dennoch gibt es sehr viele Firmen und Produkte, die immer noch den Windows SMTP-Dienst zum Versand und Empfang  von Mails einsetzen. Er war ehr da, schnell installiert und über die die CDO-Schnittstelle, das Pickup Verzeichnis und das DROP-Verzeichnis konnten auch dateibasierte Lösungen damit geschaffen werden. Selbst bei einem meiner Kunden läuft auch noch im Jahr 2025 ein Cluster aus mehreren Windows SMTP-Servern, die von IoT-Geräten aus dem Internet per SMTP über einen anderen Port als 25/TCP erreicht werden. Die Mals landen im DROP-Verzeichnis und ein PowerShell liest die Mails und verwirft alle, die nicht einem gewissen Schema entsprechen. Ich bin nicht mehr stolz auf meine Jugendsünden vor 15 Jahren aber es läuft als reines Empfangssystem.

Beim Versand gibt es auch diese Lösungen und von Microsoft dürfen wir nicht erwarten, dass Sie den Windows SMTP-Service noch mit DKIM anreichern. Wenn also ihr einlieferndes System nicht schon eine DKIM-Signatur aufbringt, dann bleiben nur 3rd Party Produkte, die den IIS um diese Funktion erweitern. Aufgrund des absehbaren Support-Ende von Windows SMTP sehe ich Investitionen in diesem Bereich maximal als temporäre Übergangslösung.

Die hier aufgeführten Produkte habe ich nicht selbst getestet und sind daher nicht als Empfehlung zu verstehen.

DKIM über Firewall SMTP

Vielleicht haben Sie OnPremises aber schon alles, was sie brauchen und es nur noch nicht bemerkt. Die meisten besseren Firewalls enthalten sehr oft auch einen SMTP-Relay-Service in beide Richtungen. Dass eine Firewall eingehende Mails auf Spam prüft, weil es der interne Mailserver vielleicht nicht so gut kann, ist erwartbar. Früher gehörte zum guten Ton, als Firewall auch mal eben schnell einen RBL-Check und Recipient-Check zu machen. Mittlerweile reicht das nicht mehr und aus den einfachen Spam-Filtern wurden leistungsfähige Systeme, die sich Hersteller aber dann als Zusatzoption bezahlen lassen. Dennoch können Sie mal schauen, ob ihre aktuelle Firewall vielleicht nur nur eingehende auf DKIM prüft, sondern auch ausgehend eine DKIM-Signatur aufbringen kann.

DKIM über Hosted Spamfilter

Net at Work betreibt mit NoSpamProxy selbst einen Spamfilter als Cloud-Service für Kunden und es gibt natürlich Marktbegleiter. Sie funktionieren so, dass eingehende Mails über den MX-Record zum Hosted Spamfilter gehen und dann zum Zielserver geroutet werden.

All diese Systeme behandeln aber auch ausgehende Mails und das ist auch gewollt, denn lokale Server sollen vielleicht nicht im Internet sichtbar werden und sie können z.B.: keine DKIM-Signatur anfügen. Das können aber eigentlich alle Hosted Spamfilter.

Prüfen Sie daher, ob ihre sonstigen Systeme zum Versand von Mails an Empfänger ins Internet diesen vorgeschalteten Spamfilter für ausgehende Mails verwenden und ob diese Relays auch sicher ihren Absender identifizieren können.

DKIM über Massen Mailer

Dass Exchange Online nicht für Massenmails gedacht ist, sollte mittlerweile jedem Administrator bekannt sein. Ich habe dazu schon mehrere Seite und Hinweise auf der MSXFAQ aufgenommen, auf die ich gerne noch mal verlinke:

Wenn sie also wirklich viel mehr Mails an die Welt versenden wollen, dann lohne ein Blick auf die kommerziellen Dienste, die genau hierfür die richtige Infrastruktur bereitstellen und in der Regel auch DKIM signieren. Einige akzeptieren sogar SMTPAUTH mit Username und Kennwort oder Source-IP, so dass die meisten Versender problemlos ihre Mails einliefern können, ohne erst mit OAUTH, SAML, Conditional Access etc. von Exchange Online konfrontiert zu werden.

DKIM über Hosting Provider

Ein etwas ungewöhnlicher Weg ist ihr Hosting-Provider. Die meisten Firmen mit einem eigenen Mailserver nutzen einen Provider für ihre Webseite. Namen wie Hetzner, IONOS/Strato, HostEurope, AllInkl etc. haben sie sicher schon gehört. Natürlich gehört zu den meisten Angeboten auch ein Mailservice mit Postfächern dazu. Diese werden von ihnen vielleicht nicht genutzt, da sie den MX-Record auf ihren eigenen Mailserver umgebogen haben, aber sie könnten ja dennoch damit senden.

Sie müssten nur ein Postfach bei Provider anlegen, an welches ihr Prozess per SMTP AUTH seine Mails mit der passenden Absenderadresse und Authentifizierung einliefert, wie dies auch ein klassischer SMTP/IMAP4/POP3-Client (Thunderbird, Outlook etc.) schon seit Jahrzehnten macht. Der Provider kann dann die DKIM-Signatur aufbringen und die Mail ins Internet senden. Sie sollten aber drei Dinge prüfen.

  • Macht der Provider DKIM?
    Es werden mehr aber es wird immer noch den ein oder anderen Provider geben, der diese Funktion nicht aktiviert hat oder sich extra bezahlen lässt
  • Addieren Sie die DKIM-Selektoren mit Key und die SPF-Einträge in ihrer Zone
    Die hatten wie vielleicht aktuell absichtlich nicht veröffentlicht
  • Limitierungen
    Die meisten Provider mögen es nicht, wenn ein Postfach durch einen angemeldeten Benutzer zum Versand von Massenmails missbraucht wird und haben, ähnlich wie Exchange Online, entsprechende Limitierungen

Denken sie auch daran, dass Mails über diesen Versandweg an ihre eigene Domain nicht von allen Providern über den MX-Record gesendet werden, sondern vielleicht gar nicht ankommen. Zudem sollte ihr richtiges System die eingehende Mails nicht als "spoofing" der eigenen Domain blockieren. Das sind alles Gründe, warum solche automatischen Prozesse besser nicht ihre primäre SMTP-Domain nutzen. Dennoch kann dies zumindest übergangsweise eine Option zum Versand von Mails per SMTP mit DKIM sein, wenn ihr Quellsystem DKIM nicht unterstützt. Das geht auch mit dem Windows SMTP-Service, der ausgehend eine Authentifizierung unterstützt.

Weitere Links