Når selector2 i Microsoft 365 DKIM driller – og hvorfor en key-rotation løser problemet
Hvis du arbejder med e-mail‑sikkerhed i Microsoft 365, har du sikkert stiftet bekendtskab med DKIM‑opsætningen og de to selectors: selector1 og selector2. Normalt kører tingene gnidningsfrit, men indimellem rammer man et scenarie, hvor selector2 ganske enkelt nægter at virke – uanset hvor mange gange DNS‑poster dobbelttjekkes.
Hvorfor fejler selector2?
Når selector2 ikke fungerer, skyldes det typisk én af følgende årsager:
- DNS-posten for selector2 er forkert formateret eller mangler helt.
- DNS‑udbyderen cacher gamle værdier for længe.
- Der ligger gamle eller ugyldige DKIM‑nøgler i Microsoft 365, som forhindrer korrekt signering.
- Domænet har tidligere været flyttet, og gamle nøgler hænger stadig fast i systemet.
Uanset hvad rodårsagen er, oplever mange, at selector2 nægter at komme online – selv efter lange DNS‑debug‑sessioner.
Den hurtige og sikre løsning: Rotate DKIM Keys
Heldigvis er løsningen næsten altid simpel: Lav en DKIM key‑rotation i Microsoft 365.
Når du roterer nøglerne, gør Microsoft 365 følgende:
- Genererer et nyt sæt DKIM‑nøgler
- Udgiver nye selector‑værdier
- Sikrer at både selector1 og selector2 bliver opdateret korrekt
- Tvinger systemet til at slippe gamle, defekte eller cached nøgler
Efter rotationen kan du opdatere DNS‑poster med de nye værdier, og i langt de fleste tilfælde vil både selector1 og selector2 fungere fejlfrit igen.
Hvorfor er rotation en god praksis?
Foruden at løse problemer er det faktisk en anbefalet sikkerhedspraksis at rotere DKIM‑nøgler med jævne mellemrum. Det reducerer risikoen for misbrug og sikrer, at dine DKIM‑signaturer lever op til moderne standarder.
Konklusion
Hvis du ikke kan få selector2 til at virke i Microsoft 365 – selv efter korrekt DNS‑opsætning – er den bedste løsning næsten altid at rotere DKIM‑nøglerne. Det rydder op i gamle nøgler, opdaterer selectors og får DKIM til at køre stabilt igen.