Hallo Herr Kuhn,

danke für Ihren Beitrag - es wurde uns gestern von Microsoft bestätigt, dass das Problem auf deren Seite liegt und die Behebung gestern im Laufe des Tages hätte erfolgen sollen. Wie stark sind Sie aktuell betroffen?

Wir haben bei den anderen betroffenen Kunden ein stark schwankendes Fehlerbild - bei manchen Kunden werden nur wenige Mails abgelehnt, bei anderen fast alle.

Sie können sich gern im DATEVnet-Service melden, dann können wir im Einzelfall eventuell einen Workaround umsetzen (Abschaltung der Signaturprüfung für einzelne Tenants auf Kundenwunsch). DKIM-Signaturen sind eines der zentralen Sicherheitsmerkmale für den Mailversand, weswegen wir die Prüfung darauf nicht global abschalten können.

Zum Hintergrund der externen Störung: Microsoft 365 ist offenbar derzeit nicht in der Lage, ordnungsgemäß DKIM-Signaturen auf alle ausgehenden Mails aufzubringen. Die DKIM-Signaturprüfung schlägt dann an unseren Mailservern fehl und die Mail wird abgelehnt.

Hallo Herr Mätz,

wir sind immer dann betroffen, wenn es um Kommunikation mit Kunden geht, die O365 und DATEVnet einsetzen. Und das sind mittlerweile fast alle Kunden, da wir bei allen Kunden immer DATEVnet einsetzen und empfehlen.

Die Lösung ist DKIM Prüfung temporär auf der DATEV Seite abzuschalten. Dann den Fehler zu suchen, beheben und dann die DKIM Prüfung wieder aktivieren.

Ihre DATEV Kollegen schätzen das Problem bei akt. 5000 Mails pro Stunde.

Gerne helfen wir auch mit Logs und Fehlerbeschreibungen weiter. Aber ich denke das ist das DATEVnet Team bereits gut aufgestellt und versorgt.

Um eine rasche Lösung bitte ich an dieser Stelle ausdrücklich.

Beste Grüße

Thilo Kuhn

Hallo Herr Kuhn,

danke für die Lageeinschätzung ihrerseits. Wir bewerten die Lage aufgrund der uns zur Verfügung stehenden Informationen neu und melden uns im Laufe des Vormittags mit einem Update.

vielleicht noch eine Ergänzung, unsere Kunden haben wie wir alle DATEVnet und O365.

Bei dieser Kommunikation tritt das Problem auf.

Da es sich hier um unsere Top Geschäftspartner handelt haben wir ein echtes "Kommunikations"-Problem

Beste Grüße

Thilo Kuhn

Hallo Herr Kuhn,

hier der aktuelle Stand:

wir können aus Sicherheitsgründen die DKIM-Prüfung nicht global für alle Kunden deaktivieren. Melden Sie sich bitte bei uns, falls nicht schon gesehen, im DATEVnet-Service. Wir führen dann zügig die manuelle Abschaltung der DKIM-Prüfung für die angefragten Domains durch. Wir weisen aber explizit darauf hin, dass wir aus Sicherheitsgründen von dieser Maßnahme abraten müssen und wir die Verantwortung für etwaige Konsequenzen nicht übernehmen können.

Bitte versuchen Sie parallel auch selbst Druck auf Microsoft aufzubauen, da nur von deren Seite das Problem ursächlich behoben werden kann. Wir sind hier bereits im Gespräch.

Aktuelle Informationen, wenn sich etwas ändert, finden Sie in diesem Beitrag: Externe Störung: DKIM-Fehler beim E-Mail-Versand m... - DATEV-Community - 340512

Hallo Herr Mätz,

wir können definitiv nur sehr eingeschränkt arbeiten.

Welche Domains muss ich Ihnen melden? Nur unsere oder auch die Zieldomains? Dann geht es in die hunderte.

Das Problem tritt nur in Verbindung mit DATEVnet und Office 365 auf. Daher sehe ich hier die DATEV eG schon in der Pflicht uns zu unterstützen.

Ein Anruf bei Microsoft kann ich gerne durchführen. Das wird aber nichts bringen. Es sei denn Sie nennen mir hier einen zuständigen Ansprechpartner.

Das Problem besteht seit 27.02.2023. Wir können zuverlässig keine E-Mails versenden.

Das Problem trifft doch aber auch noch weitere DATEV Kunden. Wie gehen die mit dem Problem um.

Mir fehlt hier die verbindliche Aussage von Ihrer Seite sich um das Problem zu kümmern.

Gerne können wir auch telefonieren.

Beste Grüße

Thilo Kuhn

An welcher Stelle soll DATEV hier unterstützen, wenn Microsoft in der Exchange online Welt unter unklaren Umständen die DKIM Signatur nicht - wie konfiguriert - anfügt?

Wenn es wirklich wichtig ist, wäre wohl ein Servicekontakt bei DATEVnet zielführender als hier in der Community zu diskutieren. 😉 Da einfach mal mit der eigenen Tenant-Id und ggfs. den dort hinterlegten akzeptierten Domains melden und darum bitten, die DKIM Überprüfung (temporär) zu deaktivieren.

Ansonsten unter https://admin.microsoft.com ein Supportticket mit der Prio hoch aufmachen.

genau das haben wir bereits heute Vormittag gemacht
Danke für die Info

Die Community ist dafür da, auch solche Themen zu diskutieren. Mein Ansatz war, ob es auch anderen mit dem selben Problem hilft

Hallo Herr Maetz,
auch hier ist das sehr anstrengend: Unheimlich viele Emails gehen nicht raus.
Viele Grüße,
Alexander Hermelink

Hallo Herr Hermelink,

ich nehme wahr, dass Sie zu den stärker betroffenen Kunden gehören - Wir unterstützen Sie gern dabei, dass Sie besser weiterarbeiten können. Sie können uns gern einen Servicekontakt oder eine Mail an datevnet@service.datev.de zukommen lassen und wie im zentralen Beitrag beschrieben die Abschaltung der DKIM-Überprüfung auf eigenes Risiko beauftragen.

Aufgrund der Reduzierung des Sicherheitsniveaus müssen wir von dieser Maßnahme abraten, sind uns gleichzeitig aber auch im Klaren, dass für Sie die grundsätzliche Arbeitsfähigkeit der Kanzlei im Vordergrund steht. 

Wir stehen mit Microsoft bereits zum Thema im Kontakt, sind aber natürlich auf deren Reaktion angewiesen, da wir den Fehler nach aktuellem Stand nicht selbst verursachen und ihn entsprechend auch nicht ursächlich beheben können.

Lieber Kollege @Thilo_Kuhn ,

das gleiche DKIM-Problem trat bei uns unmittelbar nach Einführung von MS365 und Exchange-Account bei Microsoft auf.

Wir machen seit 16.9.2022 mit diesem Thema rum. 

Über 4 Monate schieben sich DATEV und Microsoft den „schwarzen Pete“r zu.  Ob und wo das Problem liegt, und wer da letztlich zuständig sein soll, lässt sich von uns nicht klären. Unzählige Microsoft-Support-Tickets führen zu nichts, weil Microsoft empfiehlt, dass DATEV ein Ticket aufmachen soll und dann DATEV die Mitwirkung an der Problemlösung unmöglich macht, weil aus DATENSCHUTZGRÜNDEN zu unserem Problem keine Auskünfte erteilt werden können. Selbst eine explizite „Vollmacht“ interessiert Redmond nicht.

Fazit: wen interessiert schon, was in einem digital hinter dem Mond und Datenschutzrechtlich hinter der chinesischen Mauer wirkenden Unternehmen abläuft.

Hallo Herr Renz,

hat bei ihnen damals die Rotation der DKIM-Schlüssel in irgendeiner Weise Abhilfe gebracht?

Wir stehen in der Kommunikation gegenüber Microsoft leider häufig vor ähnlichen Hürden, dass wir keinerlei Informationen über Kunden-Tenants bekommen. Bei unseren eigenen Test-Tenants lassen sich die Probleme nicht oder nur eingeschränkt reproduzieren.

Da DATEVasp selbst M365-Tenants im Kundenauftrag betreut, sind wir aktuell dabei, aus dieser Richtung verbindliche Informationen über die Problemlage und eine mögliche nachhaltige Lösung zu bekommen.

Sehr geehrter Herr @Stefan_Maetz ,

nein, die Rotation der DKIM-Schlüssel hat - soweit ich das korrekt erinnere - nichts gebracht.

Wir haben eine Lösung gefunden, die ich hier nicht öffentlich diskutieren will.