DKIM wird bei Microsoft manchmal als timeout angezeigt obwohl alles korrekt ist?

Hallo zusammen,

ich betreibe ein Setup mit externem DNS und mailbox.org als Mailprovider. SPF, DKIM und DMARC sind sauber eingerichtet und funktionieren grundsätzlich zuverlässig.

Trotzdem sehe ich bei Microsoft (Outlook / Exchange Online Protection) in manchen Fällen folgendes Verhalten:

Authentication-Results:

spf=pass

dkim=timeout (key query timeout)

dmarc=pass action=none

header.from=service@notify.example.com

DKIM Setup (vereinfacht):

mbo0001._domainkey.notify.example.com

→ CNAME → mbo0001._domainkey.mailbox.org

Der DKIM Public Key ist korrekt erreichbar:

dig mbo0001._domainkey.mailbox.org TXT +short

Ergebnis: gültiger DKIM TXT Record (2048-bit Key vorhanden)

Ergebnis im Mailflow:

- SPF: PASS

- DKIM: technisch korrekt konfiguriert, aber Microsoft zeigt „timeout“

- DMARC: PASS (Alignment korrekt)

- Zustellung: problemlos

Beobachtung:

Obwohl der DKIM-Key korrekt im DNS vorhanden ist und auflösbar bleibt, bewertet Microsoft ihn teilweise als:

dkim=timeout (key query timeout)

Das wirkt so, als ob der Lookup nicht rechtzeitig abgeschlossen wurde, obwohl der Record existiert.

Mögliche Ursachen:

- kurze DNS-Timeouts bei Microsoft EOP

- Latenz durch CNAME-Kette

- DNS-Resolver-Caching Unterschiede

- temporäre Anycast Routing Effekte

Interessant dabei:

Trotz DKIM-Timeout:

- DMARC bleibt PASS

- SPF ist stabil PASS

- keine Zustellprobleme sichtbar

Frage an die Community:

Hat jemand ähnliche Erfahrungen mit mailbox.org DKIM via CNAME und Microsoft 365 / Outlook EOP?

Gibt es Best Practices, um DNS-Lookups stabiler zu bekommen?