image

Exchange Online start publieke test van inbound SMTP DANE met DNSSEC

donderdag 18 juli 2024, 11:39 door Redactie, 5 reacties

Microsoft is gestart met een publieke test van inbound SMTP DANE met DNSSEC voor Exchange Online, dat voor veiligere e-mailcommunicatie moet zorgen. Dat laat het techbedrijf in de aankondiging weten. DANE kan zekerheid geven over de identiteit van mailservers. Zo wordt voorkomen dat een aanvaller zich als een mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af.

DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. "Deze twee standaarden werken samen om spoofing, het kapen en onderscheppen van e-mail te voorkomen", aldus Microsoft. Outbound SMTP DANE met DNSSEC werd in 2022 gelanceerd.

Inbound SMTP DANE met DNSSEC wordt nu getest en zal in oktober voor alle klanten beschikbaar komen. Eind 2024 worden de twee standaarden voor alle Outlook-domeinen uitgerold. Vanaf februari 2025 zal outbound SMTP DANE per-tenant/per-remote domain verplicht worden. "We roepen andere mailproviders en domeineigenaren op om deze standaarden toe te passen en gezamenlijk de lat voor e-mailbeveiliging te verhogen en gebruikers tegen aanvallers te beschermen", aldus Microsoft.

Reacties (5)
18-07-2024, 11:49 door Anoniem
Dus in praktijk een TLSA record in je signed zone - die nu -na zoveel jaar- blijkbaar eindelijk gevalideerd gaat worden?

Wat betekend "outbound SMTP DANE per-tenant/per-remote domain" ...?
...dat een mailserver voor 200 domeinen nu 200 certifcaten moet hebben?
18-07-2024, 17:24 door dmstork
De zin Vanaf februari 2025 zal outbound SMTP DANE per-tenant/per-remote domain verplicht worden. is verkeerd geïnterpreteerd /vertaald. De originele zin is: Mandatory Outbound SMTP DANE, set per-tenant/per-remote domain

Met een beetje educated guessing is dit de mogelijkheid om per domein/tenant in te stellen of DANE verplicht is (i.e. geen mail versturen als er geen DANE is). Wanneer dat niet is ingesteld zal de volgorde DANE, MTA-STS en vervolgens Opportunistic TLS zijn bij geen expliciete configuratie.

En op in te gaan op de eerste reactie of er 200 certificaten nodig zijn: als jouw Microsoft 365 tenant 200 domeinen heeft en op al deze domeinen DANE ingeschakeld heeft dan hoef je je daar geen zorgen over te maken aangezien Microsoft dat verder in de backend regelt.
19-07-2024, 00:26 door h3artbl33d
Door Anoniem: Dus in praktijk een TLSA record in je signed zone - die nu -na zoveel jaar- blijkbaar eindelijk gevalideerd gaat worden?

De meeste MTA's hebben hier al jaren ondersteuning voor. Het was Exchange Online wat hierin verschrikkelijk achterloopt.

Plus de adoptie door browsers is er vrijwel niet. Een heel verschil met MTAs.
19-07-2024, 09:56 door Anoniem
SMTP DANE with DNSSEC, a new capability of Exchange Online that enhances the security of email communications by supporting two security standards: DNS-based Authentication of Named Entities (DANE) for SMTP and Domain Name System Security Extensions (DNSSEC)

Okee een capability van Exchange Online. Maar dan moet je dus nog wel je DNS service ergens buiten Microsoft onderbrengen?
Want Microsoft support bij mijn weten nog steeds geen DNSSEC op de klantdomeinen waarvoor ze zelf DNS service leveren.
19-07-2024, 12:55 door dmstork
Door h3artbl33d:
Door Anoniem: Dus in praktijk een TLSA record in je signed zone - die nu -na zoveel jaar- blijkbaar eindelijk gevalideerd gaat worden?

De meeste MTA's hebben hier al jaren ondersteuning voor. Het was Exchange Online wat hierin verschrikkelijk achterloopt.
.

Grappig genoeg loopt Microsoft nu met Inbound en Outbound DANE (sinds 2022) voor op in ieder geval Google (GMail en Workspaces) en Yahoo. Ze hebben ook een aparte DNS infrastructuur opgezet hiervoor: mx.microsoft itt tot protection.outlook.com, om DNSSEC op die infrastructuur uit te rollen.

Door Anoniem:[Okee een capability van Exchange Online. Maar dan moet je dus nog wel je DNS service ergens buiten Microsoft onderbrengen?
Want Microsoft support bij mijn weten nog steeds geen DNSSEC op de klantdomeinen waarvoor ze zelf DNS service leveren.

Klopt, Azure DNS ondersteund nog geen DNSSEC. Als een org inbound DANE wil configureren, dan moet het domein bij een NS staan die dat ondersteund. Gelukkig had ik mijn domeinen bij Transip staan en nooit verhuist naar Azure DNS.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.