DKIM Konfiguration schlägt fehl mit ‚object couldn’t be found‘

In diesem Artikel zeige ich, wie man den nachfolgenden Fehler behebt:

The operation couldn't be performed because object 'MyDomain' couldn't be found on 'DB7P281A04DC002.DEUP281A004.PROD.OUTLOOK.COM'.

Im vorliegenden Artikel verlinke ich auf offizielle Microsoft Dokumentationen. Die Links führen zu den englisch-sprahigen Versionen, da die maschinell deutsch übersetzen oft nicht schön zu lesen sind. Die Umstellung auf deutsche Sprache können Sie aber auf der Seite selber vornehmen. Ich empfehle jedem, Microsoft Dokumentationen auf Englisch zu lesen.

Der Fehler passiert, wenn man DKIM für eine eigene Domain in Microsoft 365 konfigurieren möchte. Sieht man via PowerShell oder im Admin Center ( DomainKeys Identified Mail (DKIM) – Security & Compliance (office.com) ) nach, sieht man, dass keine DKIM Einstellungen hinterlegt sind:

Prinzipiell findet man auf docs.microsoft.com gute Artikel zum Thema DKIM Konfiguration: How to use DKIM for email in your custom domain – Office 365 | Microsoft Docs

Blöd ist nur, dann wenn man direkt zum Kapitel „configure DKIM for more than one custom domain“ springt (so wie ich es getan habe, weil ich mehrere Domains hatte), dann überspringt man versehentlich einen sehr wichtigen Schritt bei der DKIM Konfiguration. Das Ergebnis ist eine Meldung wie diese:

The operation couldn't be performed because object 'MyDomain' couldn't be found on 'DB7P281A04DC002.DEUP281A004.PROD.OUTLOOK.COM'.
     + CategoryInfo          : NotSpecified: (:) [Set-DkimSigningConfig], ManagementObjectNotFoundException
     + FullyQualifiedErrorId : [Server=FR0P281MB0560,RequestId=3e731813-405c-452f-a32c-869c465b9fd8,TimeStamp=4/6/2021 9:41:15 PM] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] 6DE53B5,Microsoft.Exchange.Management.SystemConfigurationTasks.SetDkimSigningConfig
     + PSComputerName        : outlook.office365.com

Führen Sie diese Schritte der Reihe nach aus, und dann klappt es mit DKIM:

Im Admin Center sieht man sofort, dass das geklappt hat:

Den Rest erledige ich mit PowerShell:

Jetzt haben Sie die Vorlagen für 2 DNS Einträge, die Sie für DKIM setzen müssen. Ihre Aufgabe besteht nun darin, die CNAMEs korrekt zusammenzusetzen. Hierfür benötigen Sie Ihre domainGUID und den Namen Ihrer onmicrosoft.com Domäne.

Die domainGUID kann aus dem MX Record abgelesen werden (sofern dieser auf Exchange Online zeigt) oder aus den DNS Einstellungen im Domänen-Menü von Microsoft 365:

nslookup
set type=mx
YOURDOMAIN.COMCode-Sprache: Bash (bash)

Die Kommandos zeigen den MX Eintrag. Am Beispiel von contoso.com könnte das so aussehen:

contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.comCode-Sprache: Bash (bash)

Hieraus lassen sich die 2 CNAME Einträge ableiten und setzen:

Host Name	selector1._domainkey
Points to:	selector1-contoso-com._domainkey.contoso.onmicrosoft.com
TTL:	3600
Host Name:	selector2._domainkey
Points to:	selector2-contoso-com._domainkey.contoso.onmicrosoft.com
TTL:	3600

Liste der DKIM DNS Einträge

Dies ist der Zeitpunkt für das,w as alle in der IT am meisten lieben (nicht) – warten.. Normalerweise ca 10 Minuten. Nach dieser kurzen Wartezeit kann der DKIM Schalter aktiviert werden (entweder im Admincenter oder mit der PowerShell):

Kein Fehler ist in der PowerShell immer ein gutes Zeichen. Jetzt gilt es nur noch zu prüfen, ob der DKIM Eintrag funktioniert. Am leichtesten geht das mit einem outlook.com oder Hotmail-Konto. Schicken Sie dort eine Mail hin und überprüfen Sie die Kopfzeilen der Email. Es sollte sich ein Eintrag finden, der diesem ähnlich sieht:

From: Example User <>
  DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
      s=selector1; d=contoso.com; t=1429912795;
      h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
      bh=<body hash>;
      b=<signed field>;Code-Sprache: HTML, XML (xml)

Dieses Beispiel habe ich aus den Microsoft Docs kopiert. Es gibt eine weitere Kopfzeile namens Authentication-Results. Diese enthält den Wert DKIM=pass oder DKIM=ok.

Alle diese Schritte müssen für jede Domain im Tenant durchgeführt werden (wenn sie für Mail verwendet wird). Und nicht vergessen: Bitte mit New-DkimSigningConfig starten statt Set-DkimSigningConfig 🙂 DKIM ergänzt dann die Sicherheit die man durch den SPF bereits gewonnen hat und verringert die Chance drastisch dass eine Email als Spam oder Phishing eingestuft wird. Meine Tests haben ergeben, dass sich das SCL von 9 auf 5 oder niedriger ändert.

Cookie	Dauer	Beschreibung
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
pll_language	1 year	This cookie is set by Polylang plugin for WordPress powered websites. The cookie stores the language code of the last browsed page.
ugid	1 year	This cookie is set by the provider Unsplash. This cookie is used for enabling the video content on the website.

DKIM Konfiguration schlägt fehl mit ‚object couldn’t be found‘

Gefällt mir:

Related

Published by Andreas