In der sich schnell digitalisierenden Welt von heute ist E-Mail-Sicherheit nicht mehr nur eine Option, sondern eine Notwendigkeit. Angesichts dieser Anforderung plant Microsoft einen weiteren Schritt zur E-Mail-Sicherheit. Im Jahr 2022 begann Microsoft mit der Unterstützung von DNSSEC mit ausgelagertem SMTP DANE. Nun soll diese Funktion im Jahr 2024 vollständig fertiggestellt sein.
SMTP DANE ist ein Sicherheitsprotokoll, das die Authentizität von Zertifikaten überprüft, die die E-Mail-Kommunikation mit TLS über DNS sichern. DNSSEC ist eine Reihe von DNS-Erweiterungen, die eine kryptografische Überprüfung von DNS-Einträgen ermöglichen. Dies verhindert DNS-Spoofing und Angriffe auf DNS.
Um diese Funktion bereitzustellen, hat Microsoft Online austauschen Erstellt eine neue DNS-Infrastruktur für Diese neue Struktur wird sich auf die bestehende Exchange Online DNS-Infrastruktur auswirken. Daher ist es für die E-Mail-Community von großer Bedeutung, diese Änderungen im Voraus zu kennen.
Wie wird DNSSEC mit SMTP DANE eingeführt?
Diese Funktion wird in zwei Phasen verfügbar sein:
- März 2024: Wird mit einer öffentlichen Vorschau veröffentlicht. Kunden können SMTP DANE über das M365 Management Center aktivieren.
- Juli 2024: Nach der allgemeinen Verfügbarkeit wird DNSSEC für eingehende E-Mails an Exchange Online hinzugefügt.
Diese Änderung umfasst die Bereitstellung von Mail Exchange (MX)-Datensätzen und Adressdatensätzen (A) für akzeptierte Domänen. Die wichtigste Änderung besteht darin, dass mail.protection.outlook.com ersetzt wird, um A-Datensätze neu akzeptierter Domänennamen zu hosten. Es wird die Einführung von Subdomains namens .mx.microsoft geben.

Was ändert sich?
Ab Juli 2024 werden einige der neuen A-Records in einer der zahlreichen Subdomains unter mx.microsoft bereitgestellt. Dies soll mit einer schrittweisen Erhöhung bis Dezember 2024 erreicht werden. Für übernommene Domänen, die vor Juli 2024 erstellt wurden, wird ein DNSSEC-fähiger Assistent verfügbar sein, der es Administratoren ermöglicht, DNS-Einträge in DNSSEC-gesicherte Domänen zu migrieren.

Aus diesem Grund plant Microsoft, die E-Mail-Sicherheit noch einen Schritt weiter zu entwickeln. E-Mail-Administratoren und Drittorganisationen, die Microsoft 365 integrieren oder weiterverkaufen, sollten diese Informationen beachten, um zu verstehen, ob sie Maßnahmen ergreifen müssen, bevor diese Funktionen verfügbar werden. Dies markiert den Beginn einer neuen Ära der E-Mail-Sicherheit.
Was bedeutet die DNSSEC-Änderung bei Exchange Online?
- Mit der Einführung neuer mx.microsoft-Subdomänen im März 2024 und der Einführung von SMTP DANE und DNSSEC Public Preview durch Benutzer wird es nicht mehr möglich sein, sich bei MX-Suchen, Wiederholungsversuchen, Validierungen oder Fallback-Mechanismen auf mail.protection.outlook auf harte Codierung zu verlassen .com. Wenn Sie Informationen über die MX-Eintragskonfiguration einer akzeptierten Domäne benötigen, müssen Sie die List serviceConfigurationRecords Graph-API verwenden.
- Die automatische Bereitstellung von MX-Einträgen beim Start sollte ab Juli 2024 nicht mehr auf A-Einträge in mail.protection.outlook.com verweisen. Die automatische Bereitstellung von MX-Einträgen muss mithilfe der List serviceConfigurationRecords Graph-API erfolgen, um das Feld „mailExchange“ abzurufen, das zur Bereitstellung der korrekten Domänenpräfixinformationen erforderlich ist. Diese Änderung könnte zu erheblichen Problemen beim E-Mail-Versand für zukünftige Mieter führen, wenn keine Maßnahmen ergriffen werden.
- Liste der IP-Adressen/URLs, die sie ihrer Zugriffskontrollliste als „Zulässig“ hinzufügen sollten. E-Mail-Dienstanbieter, Administratoren oder andere Stellen, die E-Mails an Exchange Online senden, sollten die IP-/URL-Seite überwachen und alle erforderlichen Änderungen an den Netzwerk- und Firewall-Einstellungen vornehmen.
Einschränkungen
Während eingehendes SMTP der Unterstützung von DNSSEC mit DANE immer näher kommt, gibt es einige Szenarien, die zunächst nicht unterstützt werden:
- Von Microsoft erworbene Domänen, sogenannte Viral- oder Self-Service-Registrierungsdomänen: Von Microsoft erworbene und als Self-Service eingerichtete Domänen erhalten im Rahmen der öffentlichen Vorschau keine Unterstützung für DNSSEC mit Inbound SMTP DANE. Es ist geplant, DNSSEC mit Inbound SMTP DANE für diese Domänen zu unterstützen.
- onmicrosoft.com-Domänen: Die Domäne „onmicrosoft.com“ für den Mandanten erhält im Rahmen der öffentlichen Vorschau keine Unterstützung für DNSSEC mit eingehendem SMTP DANE. Die Unterstützung von DNSSEC mit eingehendem SMTP DANE für onmicrosoft.com-Domänen wird derzeit untersucht, ein von Microsoft angegebener Zeitrahmen ist jedoch nicht bekannt.
- Kunden, die ein E-Mail-Gateway eines Drittanbieters verwenden, das E-Mails für einen Mandanten akzeptiert, einige Verarbeitungsvorgänge durchführt und die E-Mails dann an Exchange Online weiterleitet, können diese Funktion vom Gateway des Drittanbieters verwenden, wenn das Gateway des Drittanbieters die DNSSEC-Authentifizierung mit SMTP DANE unterstützt zur Sicherung der an Exchange Online weitergeleiteten E-Mails verwendet werden.