black mail box

DKIM Konfiguration schlägt fehl mit ‚object couldn’t be found‘

In diesem Artikel zeige ich, wie man den nachfolgenden Fehler behebt:

The operation couldn't be performed because object 'MyDomain' couldn't be found on 'DB7P281A04DC002.DEUP281A004.PROD.OUTLOOK.COM'.

Im vorliegenden Artikel verlinke ich auf offizielle Microsoft Dokumentationen. Die Links führen zu den englisch-sprahigen Versionen, da die maschinell deutsch übersetzen oft nicht schön zu lesen sind. Die Umstellung auf deutsche Sprache können Sie aber auf der Seite selber vornehmen. Ich empfehle jedem, Microsoft Dokumentationen auf Englisch zu lesen.

Der Fehler passiert, wenn man DKIM für eine eigene Domain in Microsoft 365 konfigurieren möchte. Sieht man via PowerShell oder im Admin Center ( DomainKeys Identified Mail (DKIM) – Security & Compliance (office.com) ) nach, sieht man, dass keine DKIM Einstellungen hinterlegt sind:

Prinzipiell findet man auf docs.microsoft.com gute Artikel zum Thema DKIM Konfiguration: How to use DKIM for email in your custom domain – Office 365 | Microsoft Docs

Blöd ist nur, dann wenn man direkt zum Kapitel „configure DKIM for more than one custom domain“ springt (so wie ich es getan habe, weil ich mehrere Domains hatte), dann überspringt man versehentlich einen sehr wichtigen Schritt bei der DKIM Konfiguration. Das Ergebnis ist eine Meldung wie diese:

The operation couldn't be performed because object 'MyDomain' couldn't be found on 'DB7P281A04DC002.DEUP281A004.PROD.OUTLOOK.COM'.
     + CategoryInfo          : NotSpecified: (:) [Set-DkimSigningConfig], ManagementObjectNotFoundException
     + FullyQualifiedErrorId : [Server=FR0P281MB0560,RequestId=3e731813-405c-452f-a32c-869c465b9fd8,TimeStamp=4/6/2021 9:41:15 PM] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] 6DE53B5,Microsoft.Exchange.Management.SystemConfigurationTasks.SetDkimSigningConfig
     + PSComputerName        : outlook.office365.com

Führen Sie diese Schritte der Reihe nach aus, und dann klappt es mit DKIM:

Im Admin Center sieht man sofort, dass das geklappt hat:

Den Rest erledige ich mit PowerShell:

Jetzt haben Sie die Vorlagen für 2 DNS Einträge, die Sie für DKIM setzen müssen. Ihre Aufgabe besteht nun darin, die CNAMEs korrekt zusammenzusetzen. Hierfür benötigen Sie Ihre domainGUID und den Namen Ihrer onmicrosoft.com Domäne.

Die domainGUID kann aus dem MX Record abgelesen werden (sofern dieser auf Exchange Online zeigt) oder aus den DNS Einstellungen im Domänen-Menü von Microsoft 365:

nslookup set type=mx YOURDOMAIN.COM
Code-Sprache: Bash (bash)

Die Kommandos zeigen den MX Eintrag. Am Beispiel von contoso.com könnte das so aussehen:

contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com
Code-Sprache: Bash (bash)

Hieraus lassen sich die 2 CNAME Einträge ableiten und setzen:

Host Nameselector1._domainkey
Points to:selector1-contoso-com._domainkey.contoso.onmicrosoft.com
TTL:3600
Host Name:selector2._domainkey
Points to:selector2-contoso-com._domainkey.contoso.onmicrosoft.com
TTL:3600
Liste der DKIM DNS Einträge

Dies ist der Zeitpunkt für das,w as alle in der IT am meisten lieben (nicht) – warten.. Normalerweise ca 10 Minuten. Nach dieser kurzen Wartezeit kann der DKIM Schalter aktiviert werden (entweder im Admincenter oder mit der PowerShell):

Kein Fehler ist in der PowerShell immer ein gutes Zeichen. Jetzt gilt es nur noch zu prüfen, ob der DKIM Eintrag funktioniert. Am leichtesten geht das mit einem outlook.com oder Hotmail-Konto. Schicken Sie dort eine Mail hin und überprüfen Sie die Kopfzeilen der Email. Es sollte sich ein Eintrag finden, der diesem ähnlich sieht:

From: Example User <> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; s=selector1; d=contoso.com; t=1429912795; h=From:To:Message-ID:Subject:MIME-Version:Content-Type; bh=<body hash>; b=<signed field>;
Code-Sprache: HTML, XML (xml)

Dieses Beispiel habe ich aus den Microsoft Docs kopiert. Es gibt eine weitere Kopfzeile namens Authentication-Results. Diese enthält den Wert DKIM=pass oder DKIM=ok.

Alle diese Schritte müssen für jede Domain im Tenant durchgeführt werden (wenn sie für Mail verwendet wird). Und nicht vergessen: Bitte mit New-DkimSigningConfig starten statt Set-DkimSigningConfig 🙂 DKIM ergänzt dann die Sicherheit die man durch den SPF bereits gewonnen hat und verringert die Chance drastisch dass eine Email als Spam oder Phishing eingestuft wird. Meine Tests haben ergeben, dass sich das SCL von 9 auf 5 oder niedriger ändert.

Published by Andreas

Gründer von M365 Evangelists Cloud-Architekt, Strategieberater, Consultant für Microsoft Technologien Graph API Enthusiast, PowerShell Enthusiast
%d Bloggern gefällt das: