[English]Microsoft hat das Inbound SMTP DANE mit DNSSEC für Exchange Online allgemein freigegeben, nachdem das Ganze bereits im Juli 2024 als Preview verfügbar war (siehe Exchange Online: Inbound SMTP DANE mit DNSSEC als Public Preview). Mit der neuen Funktion Inbound SMTP DANE with DNSSEC in Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards erhöht werden.
Die Ankündigung Microsofts
Mir ist das Thema über nachfolgenden Tweet untergekommen. Microsoft hat die Details zum 28. Oktober 2024 im Techcommunity-Beitrag Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online veröffentlicht.
Dort freut man sich, die generelle Verfügbarkeit von Inbound SMTP DANE with DNSSEC bekannt zu geben. Die neue Funktion von Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards (DANE und DNSSEC) erhöhen.
DANE und DNSSEC, was ist das?
DANE (DNS-based Authentication of Named Entities) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können, und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten. Die Normen und Standards sind 2011 bis 2015 entstanden.
DNSSEC steht für Domain Name System Security Extensions, eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern. Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt. Es sichert die Übertragung von Resource Records durch digitale Signaturen ab. Eine Authentifizierung von Servern oder Clients findet nicht statt. Vertraulichkeit ist bei DNSSEC nicht vorgesehen, DNS-Daten werden daher nicht verschlüsselt.
Microsoft stellt das neue Feature bereit
Die beiden neuen Features stehen sofort (und kostenlos) für Exchange Online bereit. SMTP DANE verwendet einen TLS-Authentifizierungs-DNS-Eintrag (TLSA), um die Identität eines Ziel-Mailservers zu überprüfen. Die neue Funktion bietet eine sichere Verbindung zwischen dem sendenden und dem empfangenden Mailserver, die sowohl gegen TLS-Downgrade-Angriffe als auch gegen Adversary-in-the-Middle-Angriffe resistent ist.
DNSSEC verwendet kryptografische Signaturen, um sicherzustellen, dass die DNS-Einträge der Zieldomäne authentisch sind und während der Übertragung nicht manipuliert wurden. Diese beiden Standards werden kombiniert, um Spoofing, Hijacking und das Abfangen von E-Mail-Nachrichten in Exchange Online zu verhindern.
Microsoft hat Outbound SMTP DANE mit DNSSEC im Jahr 2022 veröffentlich. Im Jahr 2024 zog man mit der öffentlichen Vorschau für Inbound SMTP DANE mit DNSSEC und jetzt mit der allgemeinen Freigabe nach. Im Techcommunity-Beitrag gibt man folgende Roadmap für das Rollout an:
- Dezember 2024: Inbound SMTP DANE mit DNSSEC und MTA-STS-Reports im Exchange Admin Center.
- Dezember 2024 – März 2025: Bereitstellung von Inbound SMTP DANE mit DNSSEC für alle Consumer Outlook- und Hotmail-Domänen. Übergang der Bereitstellung von Mail-Einträgen für alle neu erstellten akzeptierten Domänen in eine DNSSEC-fähige Infrastruktur unter *.mx.microsoft
- Mai 2025: Obligatorische DANE für ausgehende SMTP-Nachrichten, die pro Tenant/pro entfernter Domäne festgelegt werden.
Anleitungen zur Implementierung in einem Tenant finden sich im Artikel How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications. Ich erinnere eine Bemerkung eines Administrators zur Technical Preview, dass er dies bereits 2014 umgesetzt habe und Microsoft weitere 10 Jahre brauchte, um dies nachzuziehen.
Hallo zusammen, Hetzner unterstützt DANE momentan nicht (hat bei denen keine Prio). Cloudflare, Amazon Route 53 unterstützen beides. Ich hatte mich vor ein paar Wochen hiermit beschäftigt. Evtl. hilft es jemanden.
M. E. wäre das ein Anlass, Provider wie Hetznber nochmal anzuschreiben. In der Regel ist DNSSEC bislang mangels Verbreitung und Nachfrage nicht umgesetzt worden (so z. B. Hetzner). Dass MS das jetzt umsetzt, ändert die Sichtweise möglicherweise.
Hatten wir schon angeschrieben. Kundenseitig existiert schlicht keinerlei Nachfrage. Leider.
Was wohl daran liegt, das die meisten Leute von DNSSEC und DANE noch nie etwas gehört haben.
Wenn etwas weitgehend unbekannt ist, besteht auch keine Nachfrage danach.
Das liegt daran, dass sie kein DNSSEC bei der DNS-Verwaltung unterstützen (https://docs.hetzner.com/de/dns-console/dns/general/dnssec/), was schade ist.
In dem von dir verlinkten Beitrag steht aber auch: „Sollte die Nachfrage jedoch steigen, sind wir bereit, diese Entscheidung zu überdenken.“
Insofern liegt es an allen Hetzner-Kunden, die Interesse an DNSSEC und DANE haben, Hetzner diesbezüglich einmal anzuschreiben. Wenn keiner nachfragt, besteht natürlich für Hetzner auch „kein Bedarf“.
Bei Strato gibts DNSSEC, aber nur als kostenpflichtiges Zusatzpaket.
DANE gibts da aber auch bei aktiviertem DNSSEC nicht.