Microsoft rolt een inkomende SMTP DANE met DNSSEC uit voor Exchange Online in openbare preview, een nieuwe mogelijkheid om de e-mailintegriteit en -beveiliging te verbeteren.

Zoals het Exchange-team woensdag uitlegde, werken DNS-gebaseerde Authenticatie van Benoemde Entiteiten (DANE) voor SMTP en Domain Name System Security Extensions (DNSSEC) samen om downgrade- en man-in-the-middle (MiTM) aanvallen te voorkomen.

Het SMTP DANE-beveiligingsprotocol maakt gebruik van een TLS Authenticatie (TLSA) DNS-record om de identiteit van bestemmingsmailservers en de authenticiteit van de certificaten die worden gebruikt voor het beveiligen van e-mailcommunicatie te verifiëren.

Dit zorgt voor veilige verbindingen tussen verzendende en ontvangende servers en helpt TLS-downgrade aanvallen en MiTM-aanvallen te voorkomen, waarbij kwaadwillenden communicatie monitoren of aanpassen.

Aan de andere kant bieden de DNSSEC DNS-extensies cryptografische verificatie van DNS-records tijdens het transport, waardoor spoofing, kaping en onderschepping van e-mailberichten worden voorkomen.

Zodra deze is ingeschakeld in Exchange Online, zal Inkomende SMTP DANE met DNSSEC e-maildomeinen beschermen tegen nabootsing, ervoor zorgen dat berichten met encryptie aan de bedoelde ontvangers worden afgeleverd zonder te worden aangepast of omgeleid, en de e-mailreputatie verbeteren door te voldoen aan de nieuwste beveiligingsnormen.

Het Exchange Team deelde een uitrol roadmap die zegt dat de nieuwe mogelijkheid eind 2024 zal worden uitgerold over alle Outlook-domeinen:

• Augustus 2024 – Inkomende SMTP DANE met DNSSEC en MTA-STS rapport in het Exchange-beheercentrum
• Oktober 2024 – Algemene beschikbaarheid van inkomende SMTP DANE met DNSSEC
• Eind 2024
  • Implementatie van inkomende SMTP DANE met DNSSEC voor alle Outlook-domeinen
  • Transitievoorziening van mailrecords voor alle nieuw gecreëerde geaccepteerde domeinen in een DNSSEC-ingeschakelde infrastructuur onder *.mx.microsoft
• Februari 2025 – Verplichte uitgaande SMTP DANE, ingesteld per tenant/per extern domein

Microsoft zal deze nieuwe mogelijkheid gratis aan zakelijke en particuliere klanten bieden en zegt dat het al is ingeschakeld voor sommige Outlook-domeinen.

“We dringen er bij andere e-mailproviders en domeineigenaren op aan om deze standaarden over te nemen en gezamenlijk de lat voor e-mailbeveiliging hoger te leggen en gebruikers te beschermen tegen kwaadwillenden,” zei het Exchange Team.

“We hebben al inkomende SMTP DANE met DNSSEC geïmplementeerd voor verschillende Outlook e-maildomeinen, en we zullen de implementatie voor de resterende Outlook-domeinen (inclusief Hotmail) eind 2024 voltooien.”

Nadat deze nieuwe functie live gaat, zal Microsoft de ondersteuning van Exchange Online voor SMTP DANE met DNSSEC voltooien, aangezien uitgaande SMTP DANE met DNSSEC sinds maart 2022 wordt ondersteund.

Het bedrijf kondigde aanvankelijk in september 2023 aan dat deze openbare preview van maart tot juli 2024 zou worden uitgerold. Het werd echter gedwongen deze uit te stellen vanwege “noodzakelijke beveiligingsinvesteringen” die werden geïdentificeerd tijdens de Private Preview fase.