Die Absicherung von E-Mails gehört zu den wichtigsten Sicherheitsmaßnahmen in jeder Organisation. Angriffe über Phishing, Spoofing oder kompromittierte Accounts gehören nach wie vor zu den größten Bedrohungen für Unternehmen – unabhängig von deren Größe. Ein zentraler Baustein zum Schutz vor solchen Angriffen ist DomainKeys Identified Mail (DKIM). DKIM stellt sicher, dass ausgehende E-Mails kryptografisch signiert werden und der Empfänger prüfen kann, ob die Nachricht tatsächlich von Ihrer Domain stammt und auf dem Transportweg nicht verändert wurde.
Allerdings reicht es nicht aus, DKIM einmalig zu aktivieren. Viele Organisationen richten DKIM ein und lassen die Konfiguration anschließend über Jahre unverändert. Das führt dazu, dass die kryptografischen Schlüssel veralten oder die Schlüssellänge nicht mehr den aktuellen Empfehlungen entspricht. Genau hier kommt die DKIM Key Rotation ins Spiel. Die regelmäßige Rotation sorgt dafür, dass die dahinterliegende Kryptografie robust bleibt, Angriffsflächen minimiert werden und Ihre Domain-Reputation geschützt wird.
Ein häufiger Grund, weshalb Unternehmen sich mit ihrem DKIM-Eintrag auseinandersetzen müssen, ist die zu kurze Schlüssellänge. Ältere DKIM-Konfigurationen verwenden oft noch 1024-Bit-Schlüssel. Diese Länge galt einst als ausreichend, wird heute aber als nicht mehr zeitgemäß betrachtet. Moderne Sicherheitsrichtlinien empfehlen durchgängig 2048-Bit-Schlüssel, da diese kryptografisch deutlich stärker sind und besser gegen mögliche Angriffe schützen. Auch viele E-Mail-Anbieter und Spamfilter bewerten zu kurze DKIM-Schlüssel zunehmend negativ, was letztlich die Zustellbarkeit beeinträchtigen kann. Daher ist es sinnvoll, regelmäßig zu prüfen, welche Schlüssellänge in Ihrer DKIM-Konfiguration hinterlegt ist. Schon die einfache Abfrage eines TXT-Records im DNS zeigt Ihnen, ob Ihr Schlüssel veraltet ist und dringend rotiert werden sollte.
Ansonsten geht es natürlich auch direkt über Powershell. Dazu muss sich zunächst mit Exchange Online verbunden werden und danach über DkimSigningConfig die aktuelle Schlüssellänge für alle Domänen, bei den aktuell DKIM konfiguriert ist, ausgelesen werden.
Get-DkimSigningConfig | Format-Table Identity, Selector1KeySize, Selector2KeySize
Wenn bei Selector1KeySize und Selector2KeySize jeweils anstelle von 2048 noch 1024 steht, sind die Gründe für eine zeitige DKIM Key Rotation noch größer.
Wenn Sie DKIM-Schlüssel in Microsoft 365 rotieren möchten, bietet das Security-Portal einen klar strukturierten Prozess. Sie finden die entsprechenden Einstellungen im Microsoft 365 Defender Portal unter „E-Mail & Kollaboration“ und dann unter den „Bedrohungsrichtlinien“. Dort können Sie unter „E-Mail authentication setting“ die DKIM-Konfigurationen Ihrer Domains verwalten.
Für jede Domain stellt Microsoft zwei Selektoren bereit, typischerweise selector1 und selector2. Über die Funktion zur Rotation generiert Microsoft automatisch einen neuen DKIM-Schlüssel. Allerdings immer nur für einen der beiden Selectoren. Die zweite Rotation muss vier Tage später erfolgen! Dieser Ablauf stellt sicher, dass der alte Schlüssel so lange gültig bleibt, bis der neue ohne Unterbrechung übernommen werden kann. Auf diese Weise wird die Signierung nicht unterbrochen, und die E-Mail-Kommunikation bleibt jederzeit abgesichert. Problematisch es nur, wenn ich gleichzeitig auch die Key-Size ändern möchte, denn das kann ich nur über Powershell machen.
Neben der Änderung der Schlüssellänge ist die Nutzung der Powershell besonders praktisch, wenn Sie mehrere Domains verwalten oder Vorgänge automatisieren möchten. Über den Befehl Connect-ExchangeOnline stellen Sie zunächst die Verbindung her. Nachdem wir bereits, wie zuvor beschrieben, die Keys ausgelesen haben, können wir anschließend mit Rotate-DkimSigningConfig -Identity „Rewion.com“ -KeySize „2048“ („Rewion.com“ hier nur als Beispiel), den ersten DKIM-Schlüssel rotieren lassen und gleichzeitig dessen Schlüssellänge auf 2048-Bit festlegen. Um zu überprüfen, ob die Anpassung der Schlüssellänge erfolgreich war, können Sie erneut Get-DkimSigningConfig | Format-Table Identity, Selector1KeySize, Selector2KeySize verwenden. Auch hier bitte daran denken, dass die zweite Rotation vier Tage später erfolgen muss und der zweite 1024-Bit Wert so lange bestehen bleiben würde, bzw. der zweite 2024-Bit Key weiterhin denselben öffentlichen Schlüssel behält.
Ob der eine Schlüssel erfolgreich rotiert wurde, ist daraufhin öffentlich abfragbar. Dazu gibt es diverse Websites, die es anbieten, den eignen DKIM-Eintrag abzufragen. Beispielsweise können Sie Mxtoolbox.com oder DMARCadvisor.com nutzen.
Die regelmäßige DKIM Key Rotation sorgt also dafür, dass Ihre Organisation langfristig geschützt bleibt. Angesichts der zunehmenden Zahl an Angriffen, die auf schwache oder veraltete Kryptografie abzielen, ist dieses Thema keinesfalls optional. Eine saubere DKIM-Konfiguration stärkt die Vertrauenswürdigkeit Ihrer E-Mails, verbessert die Zustellbarkeit und stellt die Einhaltung moderner Sicherheitsstandards sicher. Es lohnt sich daher, Ihre bestehenden DKIM-Einträge zu überprüfen und – falls notwendig – unverzüglich auf 2048-Bit-Schlüssel umzustellen. Durch die angebotenen Werkzeuge im Security Portal oder in PowerShell lässt sich dieser Prozess effizient und mit überschaubarem Aufwand umsetzen. Wenn Sie möchten, unterstützen wir Sie gerne bei der Umsetzung.
Bei Fragen oder Anregungen zum Thema New Work, zur Microsoft Welt oder zu Collaboration Tools stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Sustainable IT reichen, finden Sie auf unserer Blogseite. Bleiben Sie des Weiteren auf dem aktuellen Stand und folgen Sie uns auf LinkedIn.
Willkommen bei unserem exklusiven Support für Bestandskunden. Hier finden Sie alle nötigen Informationen, um schnell und unkompliziert Hilfe bei technischen Anfragen zu erhalten.
Senden Sie uns Ihr Anliegen mit allen relevanten Details an:
Für eine direkte Unterstützung per Fernwartung, laden Sie bitte unser TeamViewer-Modul herunter:
Bitte beachten Sie: Dieser Kanal ist speziell für technische Anfragen unserer Bestandskunden vorgesehen. Für allgemeine Anfragen, Informationen zu unseren Dienstleistungen oder eine Erstberatung nutzen Sie bitte unser Kontaktformular oder schreiben Sie eine E-Mail an info@rewion.ucepts.de.
