DKIM -Relay an Exchange-Online - Emails werden als Spam erkannt

wznutzer · 21. März 2024

Guten Abend,

mir fehlt leider ein Ansatz mein Problem zu lösen. Im Prinzip verwende ich nur Exchange-Online. Für ein paar Dinge wie Scanner, ERP-Software verwende ich einen lokalen Exchange um Mails anzunehmen und an ExO zu senden. Der lokale ExO sendet direkt an den MX der Domain. Dafür ist in ExO in Relay eingerichtet, das Emails von einer bestimmten IP-Adresse annimmt. Das funktioniert prinzipiell.

Hin und wieder kommt es vor, dass (warum auch immer) fast alle Emails die so gesendet werden, von Kunden, aber auch intern, als SPAM erkannt werden. Microsoft meint immer, das wäre ein Markenidentitätsdiebstahl. Ich kann überhaupt keinen Grund erkennen, warum das so ist. Es gibt nur eine Auffälligkeit, wenn man das so nennen kann, dass die Emails die über das Relay gesendet werden, erst in einem zweiten Schritt mit DKIM signiert werden. Lt. Header werden die Emails von lokalen Exchange ohne DKIM-Signatur gesendet und ExO fügt dann wohl die DKIM-Signatur ein.

Die Analyse vom Security-Center (Office365) sagt mit bei solchen Emails DKIM:none.

Hat hier irgendwer eine Idee warum das so ist?

Grüße und einen schönen Abend

bearbeitet 21. März 2024 von wznutzer
Schreibfehler

NorbertFe · 21. März 2024

Weil Exchange on prem keine dkim Signatur kann. Wenn du das willst, musst du dir einen entsprechenden Agent installieren und konfigurieren.

an deiner Stelle würde ich mal schauen, ob du nicht einen hybrid connector konfigurieren kannst, denn der ist da etwas „toleranter“ meiner Erfahrung nach.

wznutzer · 22. März 2024

vor 13 Stunden schrieb NorbertFe:

an deiner Stelle würde ich mal schauen, ob du nicht einen hybrid connector konfigurieren kannst, denn der ist da etwas „toleranter“ meiner Erfahrung nach

Das muss ich mir mal anschauen und komme dann evtl. nochmals mit einer gezielten Frage zurück.

Damit ich nicht in die falsche Richtung suche. Derzeit habe ich keine Hybrid-Umgebung. Ursprünglich war der lokale Exchange nur zur Verwaltung der AD-Attribute gedacht, weil er dann aber eh schon da war, dann halt noch ein lokales Relay. Ein Hybrid-Connector setzt dann auch eine komplette Hybrid-Umgebung voraus? Den Hybrid-Assistenten habe ich an der Stelle abgebrochen, als ich die Lizenz hatte.

NorbertFe · 22. März 2024

vor 9 Minuten schrieb wznutzer:

Ein Hybrid-Connector setzt dann auch eine komplette Hybrid-Umgebung voraus?

Achso, du meinst du hast kein öffentliches Zertifikat und kein funktionierendes Autodiscover? Ja, das wird vorausgesetzt. Grundsätzlich muss das aber nach der Einrichtung afair nicht mehr verfügbar gehalten werden (https muss nicht zwingend offen sein).

Wenn du es erstmal nur mit dem DKIM Agent testen willst: https://github.com/Pro/dkim-exchange

Musst du dir nur nen Selector Namen ausdenken und den passenden DKIM Eintrag im public DNS hinterlegen.

wznutzer · 22. März 2024

vor 4 Minuten schrieb NorbertFe:

Achso, du meinst du hast kein öffentliches Zertifikat und kein funktionierendes Autodiscover?

Öffentliches Zertifikat habe ich und Autodiscover funktioniert, aber halt "Cloud-Only".

Vielen Dank, den DKIM-Agenten muss ich mir mal anschauen.

Microsoft-Call hatte ich auch schon, der allerdings ohne konkrete Aussage geschlossen wurde.

NorbertFe · 22. März 2024

vor 7 Minuten schrieb wznutzer:

Microsoft-Call hatte ich auch schon, der allerdings ohne konkrete Aussage geschlossen wurde.

:lol2: Naja also wie immer. Mal von ganz klar technischen Problemen abgesehen, habe ich in den letzten Jahren nie irgendwie einen "erfolgreichen" Support Case bei MS gesehen/erlebt. Die wurden alle mit "no scope" oder "no premier support" geschlossen.