Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung signiert Microsoft 365 deine ausgehenden E-Mails mit DKIM — über zwei CNAME-Selektoren, die auf von Microsoft verwaltete Schlüssel zeigen.
Voraussetzungen
- Ein Microsoft-365-Tenant mit benutzerdefinierter Domain
- Zugriff auf das Microsoft Defender-Portal (Rolle für E-Mail-Authentifizierung)
- Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)
Was ist DKIM?
DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur, die der Empfänger über einen im DNS veröffentlichten öffentlichen Schlüssel prüft. Microsoft 365 speichert diese Schlüssel als CNAME-Einträge — andere E-Mail-Systeme nutzen stattdessen oft TXT-Einträge.
Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht. Erst mit DMARC wird daraus ein durchsetzbares Fundament.
Die Ausgangslage bei Microsoft 365
Zwei Dinge vorweg:
Die *.onmicrosoft.com-Domäne ist automatisch signiert — für Mails, die nur darüber laufen, musst du nichts tun. Für deine benutzerdefinierte Domain (beispiel.de) aktivierst du DKIM einmal im Defender-Portal und legst zwei CNAME-Einträge beim Domainhost an.
Microsoft generiert zwei Schlüsselpaare und stellt die Selektoren selector1._domainkey und selector2._domainkey bereit — die Hostnamen sind für alle Microsoft-365-Organisationen identisch. Die privaten Schlüssel bleiben bei Microsoft; die CNAMEs zeigen auf die öffentlichen.
Achtung, Formatwechsel: Seit Mai 2025 verwendet Microsoft für neue Domains ein neues CNAME-Zielformat mit einem dynamisch zugewiesenen Partitionszeichen. Deshalb solltest du die exakten Zielwerte immer aus deinem eigenen Tenant holen und nicht aus einer älteren Anleitung kopieren.
Schritt-für-Schritt-Anleitung
1. DKIM im Defender-Portal öffnen
Gehe zu security.microsoft.com/authentication und wähle die Registerkarte DKIM. Klicke auf deine benutzerdefinierte Domain — das Detail-Flyout zeigt die zwei zu erstellenden CNAME-Werte an.
2. Die exakten CNAME-Zielwerte holen
Die Hostnamen sind fix:
selector1._domainkeyselector2._domainkey
Die Zielwerte hängen von deinem Tenant ab. Für neue Domains (seit Mai 2025) haben sie die Form:
selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft
Für Bestandsdomains gilt weiter das alte Format:
selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Das dynamische Partitionszeichen wird von Microsoft zugewiesen und ist nicht konfigurierbar. Statt zu raten, hol dir die exakten Werte per PowerShell:
Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
(ersetze contoso.com durch deine Domain). Die beiden SelectorXCNAME-Werte sind die Ziele deiner CNAME-Einträge.
3. Die CNAME-Einträge beim Domainhost anlegen
Lege beim DNS-Anbieter deiner Domain zwei CNAME-Records an: selector1._domainkey und selector2._domainkey, jeweils mit dem passenden Zielwert aus Schritt 2. Wo genau, zeigen unsere Hoster-Anleitungen — z. B. IONOS, Strato oder Netcup.
Wichtig bei Cloudflare: Deaktiviere den Cloudflare-Proxy (die orange Wolke) für die DKIM-CNAME-Einträge — proxied CNAMEs lösen nicht korrekt auf und Microsofts Validierung schlägt fehl.
4. DKIM aktivieren
Zurück im Defender-Portal: Schiebe auf der DKIM-Registerkarte den Schalter deiner Domain von Deaktiviert auf Aktiviert. Ändert sich der Status nicht sofort, wähle Aktualisieren — dann springt der Wert auf Aktiviert.
5. Warten, bis die Änderung aktiv ist
Die DNS-Weitergabe kann je nach Anbieter und TTL einige Minuten bis 48 Stunden dauern. Bleibt der Status länger auf CnameMissing, prüfe die Einträge (und den Cloudflare-Proxy).
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DKIM, SPF und DMARC auf einen Blick.
Häufige Fehler
Alte CNAME-Werte aus einer Anleitung kopiert. Seit Mai 2025 ist das Format anders und tenant-spezifisch. Immer die eigenen Werte aus dem Portal oder per Get-DkimSigningConfig holen — altes und neues Format dürfen für denselben Selektor nicht gleichzeitig existieren.
Cloudflare-Proxy angelassen. Proxied (orange) DKIM-CNAMEs lösen nicht auf; der Status bleibt CnameMissing. Proxy auf „DNS only” (graue Wolke) stellen.
Nur einen Selektor angelegt. Microsoft 365 braucht beide (selector1 und selector2._domainkey).
Toggle aktiviert, bevor die CNAMEs propagiert sind. Erst die CNAMEs anlegen und auflösen lassen, dann den Schalter umlegen — sonst schlägt die Aktivierung fehl.
Weiterführende Links
- Microsoft Learn: DKIM zum Signieren ausgehender E-Mails einrichten (abgerufen: 10. Juli 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
