Wir nehmen Änderungen an der DNS-Bereitstellung von A-Records für alle neuen akzeptierten Domains vor, die ab dem 1. Oktober 2025 (zuvor 1. August) bereitgestellt werden. Zwischen Anfang und Ende Oktober 2025 (zuvor Anfang August bis Ende August) werden wir schrittweise die Bereitstellung aller A-Records für neue akzeptierte Domains auf die neuen Subdomains unter mx.microsoft umstellen.
Dies erfolgt, um die Einführung von DNSSEC langfristig zu erleichtern. DNSSEC ist eine Erweiterung des DNS, die eine kryptografische Verifikation von DNS-Einträgen bietet und somit Spoofing sowie Man-in-the-Middle-Angriffe auf DNS verhindert.
Wie sich dies auf Ihre Organisation auswirkt:
Nach dem 1. Oktober 2025 (zuvor 1. August) werden alle A-Records für neue akzeptierte Domains in den neuen Subdomains unter mx.microsoft bereitgestellt.
Die DNS-Auflösung fällt sicher auf das „einfache“ DNS zurück, wenn eine Domain nicht mit DNSSEC abgesichert ist. Wenn eine akzeptierte Domain, die Sie nach dem 1. Oktober (zuvor 1. August) im Exchange Admin Center hinzufügen, auf Domain-Ebene nicht mit DNSSEC gesichert ist (z. B. contoso.com), funktioniert die DNS-Auflösung weiterhin wie gewohnt. Wenn die akzeptierte Domain jedoch mit DNSSEC gesichert ist, wird diese Sicherung automatisch auf den mx.microsoft-DNS-Eintrag ausgeweitet, sodass Sie die Vorteile von DNSSEC ohne weitere Maßnahmen erhalten. Etwaige DNSSEC-Probleme können durch Deaktivierung von DNSSEC für die betreffende akzeptierte Domain (z. B. contoso.com) über Ihren DNS-Anbieter gelöst werden.
Was Sie tun müssen, um sich vorzubereiten:
Wenn Sie Automatisierungen verwenden, beispielsweise in Workflows zur Domain-Einrichtung oder zur Erstellung von MX-Einträgen, die bisher davon ausgehen, dass A-Records für neu bereitgestellte akzeptierte Domains in mail.protection.outlook.com bereitgestellt werden, müssen Sie diese Automatisierungen bis zum 1. Oktober 2025 (zuvor 1. August) aktualisieren, um die List serviceConfigurationRecords Graph API zu verwenden (List serviceConfigurationRecords). Verwenden Sie diese API, um den mailExchange-Wert für Ihren MX-Eintrag abzurufen. Ab dem 1. Oktober 2025 (zuvor 1. August) ist die List serviceConfigurationRecords Graph API die einzige zuverlässige Quelle für den MX-Eintragswert Ihrer akzeptierten Domains. Sie können sich dann nicht mehr darauf verlassen, dass der A-Record der akzeptierten Domain in mail.protection.outlook.com bereitgestellt wird.
Wenn Ihre Automatisierung erwartet, dass der Eintrag mit mail.protection.outlook.com endet, funktioniert der E-Mail-Verkehr unter Umständen bei der Erstkonfiguration einer neuen akzeptierten Domain im Exchange Admin Center nach dem 1. Oktober 2025 (zuvor 1. August) nicht und Sie müssen den MX-Eintrag entweder an den im Exchange Admin Center angezeigten Wert anpassen oder den mailExchange-Wert aus der List serviceConfigurationRecords Graph API verwenden.
Falls Sie erwarten, dass diese Änderung Probleme für Ihre Organisation verursacht, bitten wir um Ihr Feedback.