DKIM -Relay an Exchange-Online - Emails werden als Spam erkannt

[wznutzer 32]

Guten Abend,

 

mir fehlt leider ein Ansatz mein Problem zu lösen. Im Prinzip verwende ich nur Exchange-Online. Für ein paar Dinge wie Scanner, ERP-Software verwende ich einen lokalen Exchange um Mails anzunehmen und an ExO zu senden. Der lokale ExO sendet direkt an den MX der Domain. Dafür ist in ExO in Relay eingerichtet, das Emails von einer bestimmten IP-Adresse annimmt. Das funktioniert prinzipiell.

 

Hin und wieder kommt es vor, dass (warum auch immer) fast alle Emails die so gesendet werden, von Kunden, aber auch intern, als SPAM erkannt werden. Microsoft meint immer, das wäre ein Markenidentitätsdiebstahl. Ich kann überhaupt keinen Grund erkennen, warum das so ist. Es gibt nur eine Auffälligkeit, wenn man das so nennen kann, dass die Emails die über das Relay gesendet werden, erst in einem zweiten Schritt mit DKIM signiert werden. Lt. Header werden die Emails von lokalen Exchange ohne DKIM-Signatur gesendet und ExO fügt dann wohl die DKIM-Signatur ein.

 

Die Analyse vom Security-Center (Office365) sagt mit bei solchen Emails DKIM:none.

 

Hat hier irgendwer eine Idee warum das so ist?

 

Grüße und einen schönen Abend

 

 

bearbeitet 21. März von wznutzer
Schreibfehler

[NorbertFe 1.805]

Weil Exchange on prem keine dkim Signatur kann. Wenn du das willst, musst du dir einen entsprechenden Agent installieren und konfigurieren.

 

an deiner Stelle würde ich mal schauen, ob du nicht einen hybrid connector konfigurieren kannst, denn der ist da etwas „toleranter“ meiner Erfahrung nach.

[wznutzer 32]

vor 13 Stunden schrieb NorbertFe:

an deiner Stelle würde ich mal schauen, ob du nicht einen hybrid connector konfigurieren kannst, denn der ist da etwas „toleranter“ meiner Erfahrung nach

Das muss ich mir mal anschauen und komme dann evtl. nochmals mit einer gezielten Frage zurück.

 

Damit ich nicht in die falsche Richtung suche. Derzeit habe ich keine Hybrid-Umgebung. Ursprünglich war der lokale Exchange nur zur Verwaltung der AD-Attribute gedacht, weil er dann aber eh schon da war, dann halt noch ein lokales Relay. Ein Hybrid-Connector setzt dann auch eine komplette Hybrid-Umgebung voraus? Den Hybrid-Assistenten habe ich an der Stelle abgebrochen, als ich die Lizenz hatte.

[NorbertFe 1.805]

vor 9 Minuten schrieb wznutzer:

Ein Hybrid-Connector setzt dann auch eine komplette Hybrid-Umgebung voraus?

Achso, du meinst du hast kein öffentliches Zertifikat und kein funktionierendes Autodiscover? Ja, das wird vorausgesetzt. Grundsätzlich muss das aber nach der Einrichtung afair nicht mehr verfügbar gehalten werden (https muss nicht zwingend offen sein).

 

Wenn du es erstmal nur mit dem DKIM Agent testen willst: https://github.com/Pro/dkim-exchange

Musst du dir nur nen Selector Namen ausdenken und den passenden DKIM Eintrag im public DNS hinterlegen.

[wznutzer 32]

vor 4 Minuten schrieb NorbertFe:

Achso, du meinst du hast kein öffentliches Zertifikat und kein funktionierendes Autodiscover?

Öffentliches Zertifikat habe ich und Autodiscover funktioniert, aber halt "Cloud-Only".

 

Vielen Dank, den DKIM-Agenten muss ich mir mal anschauen.

 

Microsoft-Call hatte ich auch schon, der allerdings ohne konkrete Aussage geschlossen wurde.

[NorbertFe 1.805]

vor 7 Minuten schrieb wznutzer:

Microsoft-Call hatte ich auch schon, der allerdings ohne konkrete Aussage geschlossen wurde.

 Naja also wie immer. Mal von ganz klar technischen Problemen abgesehen, habe ich in den letzten Jahren nie irgendwie einen "erfolgreichen" Support Case bei MS gesehen/erlebt. Die wurden alle mit "no scope" oder "no premier support" geschlossen.

[wznutzer 32]

vor 10 Minuten schrieb NorbertFe:

Die wurden alle mit "no scope" oder "no premier support" geschlossen.

Aber ich gehe schwer davon aus, dass der Hinweis in der nachfolgenden Umfrage 10 Punkte zu vergeben nie gefehlt hat.

[NorbertFe 1.805]

😂 ja, wobei ich bei den letzten beiden keine Umfrage erhalten habe. Die wissen schon warum.