Exchange Online start publieke test van inbound SMTP DANE met DNSSEC
Microsoft is gestart met een publieke test van inbound SMTP DANE met DNSSEC voor Exchange Online, dat voor veiligere e-mailcommunicatie moet zorgen. Dat laat het techbedrijf in de aankondiging weten. DANE kan zekerheid geven over de identiteit van mailservers. Zo wordt voorkomen dat een aanvaller zich als een mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af.
DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. "Deze twee standaarden werken samen om spoofing, het kapen en onderscheppen van e-mail te voorkomen", aldus Microsoft. Outbound SMTP DANE met DNSSEC werd in 2022 gelanceerd.
Inbound SMTP DANE met DNSSEC wordt nu getest en zal in oktober voor alle klanten beschikbaar komen. Eind 2024 worden de twee standaarden voor alle Outlook-domeinen uitgerold. Vanaf februari 2025 zal outbound SMTP DANE per-tenant/per-remote domain verplicht worden. "We roepen andere mailproviders en domeineigenaren op om deze standaarden toe te passen en gezamenlijk de lat voor e-mailbeveiliging te verhogen en gebruikers tegen aanvallers te beschermen", aldus Microsoft.
Wat betekend "outbound SMTP DANE per-tenant/per-remote domain" ...?
...dat een mailserver voor 200 domeinen nu 200 certifcaten moet hebben?
Met een beetje educated guessing is dit de mogelijkheid om per domein/tenant in te stellen of DANE verplicht is (i.e. geen mail versturen als er geen DANE is). Wanneer dat niet is ingesteld zal de volgorde DANE, MTA-STS en vervolgens Opportunistic TLS zijn bij geen expliciete configuratie.
En op in te gaan op de eerste reactie of er 200 certificaten nodig zijn: als jouw Microsoft 365 tenant 200 domeinen heeft en op al deze domeinen DANE ingeschakeld heeft dan hoef je je daar geen zorgen over te maken aangezien Microsoft dat verder in de backend regelt.
De meeste MTA's hebben hier al jaren ondersteuning voor. Het was Exchange Online wat hierin verschrikkelijk achterloopt.
Plus de adoptie door browsers is er vrijwel niet. Een heel verschil met MTAs.
Okee een capability van Exchange Online. Maar dan moet je dus nog wel je DNS service ergens buiten Microsoft onderbrengen?
Want Microsoft support bij mijn weten nog steeds geen DNSSEC op de klantdomeinen waarvoor ze zelf DNS service leveren.
De meeste MTA's hebben hier al jaren ondersteuning voor. Het was Exchange Online wat hierin verschrikkelijk achterloopt.
.
Grappig genoeg loopt Microsoft nu met Inbound en Outbound DANE (sinds 2022) voor op in ieder geval Google (GMail en Workspaces) en Yahoo. Ze hebben ook een aparte DNS infrastructuur opgezet hiervoor: mx.microsoft itt tot protection.outlook.com, om DNSSEC op die infrastructuur uit te rollen.
Want Microsoft support bij mijn weten nog steeds geen DNSSEC op de klantdomeinen waarvoor ze zelf DNS service leveren.
Klopt, Azure DNS ondersteund nog geen DNSSEC. Als een org inbound DANE wil configureren, dan moet het domein bij een NS staan die dat ondersteund. Gelukkig had ik mijn domeinen bij Transip staan en nooit verhuist naar Azure DNS.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!