{"id":297446,"date":"2024-07-18T00:46:29","date_gmt":"2024-07-17T22:46:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297446"},"modified":"2024-10-28T22:28:46","modified_gmt":"2024-10-28T21:28:46","slug":"exchange-online-inbound-smtp-dane-mit-dnssec-als-public-preview","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/18\/exchange-online-inbound-smtp-dane-mit-dnssec-als-public-preview\/","title":{"rendered":"Exchange Online: Inbound SMTP DANE mit DNSSEC als Public Preview"},"content":{"rendered":"

\"Exchange[English]Microsoft hat etwas \"richtig cooles\" angek\u00fcndigt. Es gibt jetzt eine \u00f6ffentliche Vorschau (Public Preview) von Inbound SMTP DANE mit DNSSEC f\u00fcr Exchange Online. Microsoft zeigt sich erfreut, diese \u00f6ffentliche Vorschau von Inbound SMTP DANE with DNSSEC ank\u00fcndigen zu k\u00f6nnen. Mit der neuen Funktion von Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterst\u00fctzung zweier Sicherheitsstandards erh\u00f6ht werden. Gab dann auf Facebook schon ein \"vergiftetes\" Lob f\u00fcr diesen Move.<\/p>\n

<\/p>\n

Die Ank\u00fcndigung Microsofts<\/h2>\n

\"\"Mir ist das Thema sowohl auf Facebook (\u00fcber den erw\u00e4hnten Post) als auch auf X \u00fcber nachfolgenden Tweet<\/a> untergekommen. Microsoft hat die Details im Techcommunity-Beitrag Announcing Public Preview of Inbound SMTP DANE with DNSSEC for Exchange Online<\/a> ver\u00f6ffentlicht.<\/p>\n

\"<\/a><\/p>\n

Dort freut man sich, die \u00f6ffentliche Vorschau (Preview) von Inbound SMTP DANE with DNSSEC ank\u00fcndigen zu k\u00f6nnen. Die neue Funktion von Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterst\u00fctzung zweier Sicherheitsstandards (DANE und DNSSEC) erh\u00f6hen.<\/p>\n

DANE und DNSSEC, was ist das?<\/h3>\n

DANE<\/a> (DNS-based Authentication of Named Entities) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschl\u00fcsselung SSL\/TLS<\/a> in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden k\u00f6nnen, und erh\u00f6ht so die Sicherheit beim verschl\u00fcsselten Transport von E-Mails und beim Zugriff auf Webseiten. Die Normen und Standards sind 2011 bis 2015 entstanden.<\/p>\n

DNSSEC<\/a> steht f\u00fcr Domain Name System Security Extensions, eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gew\u00e4hrleistung der Authentizit\u00e4t und Integrit\u00e4t der Daten erweitern. Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tats\u00e4chlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt. Es sichert die \u00dcbertragung von Resource Records durch digitale Signaturen ab. Eine Authentifizierung von Servern oder Clients findet nicht statt. Vertraulichkeit ist bei DNSSEC nicht vorgesehen, DNS-Daten werden daher nicht verschl\u00fcsselt.<\/p>\n

Microsoft stellt das neue Feature bereit<\/h3>\n

Die beiden neuen Features stehen sofort f\u00fcr Exchange Online bereit. SMTP DANE verwendet einen TLS-Authentifizierungs-DNS-Eintrag (TLSA), um die Identit\u00e4t eines Ziel-Mailservers zu \u00fcberpr\u00fcfen. Die neue Funktion bietet eine sichere Verbindung zwischen dem sendenden und dem empfangenden Mailserver, die sowohl gegen TLS-Downgrade-Angriffe als auch gegen Adversary-in-the-Middle-Angriffe resistent ist.<\/p>\n

DNSSEC verwendet kryptografische Signaturen, um sicherzustellen, dass die DNS-Eintr\u00e4ge der Zieldom\u00e4ne authentisch sind und w\u00e4hrend der \u00dcbertragung nicht manipuliert wurden. Diese beiden Standards werden kombiniert, um Spoofing, Hijacking und das Abfangen von E-Mail-Nachrichten in Exchange Online zu verhindern.<\/p>\n

Microsoft hat Outbound SMTP DANE mit DNSSEC im Jahr 2022 ver\u00f6ffentlich. Im Jahr 2024 zieht man nun mit der \u00f6ffentlichen Vorschau f\u00fcr Inbound SMTP DANE mit DNSSEC nach. Ach so, das Ganze soll sogar kostenlos sein, weil Microsoft sich bem\u00fcht, die die E-Mail-Sicherheit f\u00fcr Nutzer zu verbessern.<\/p>\n

Microsoft hat bereits Inbound SMTP-DANE mit DNSSEC f\u00fcr mehrere Outlook-E-Mail-Dom\u00e4nen implementiert und will die Implementierung f\u00fcr die \u00fcbrigen Outlook-Dom\u00e4nen (einschlie\u00dflich Hotmail) bis Ende 2024 abschlie\u00dfen. Die \u00f6ffentliche Vorschau f\u00fcr Inbound SMTP DANE mit DNSSEC wird derzeit eingef\u00fchrt.<\/p>\n

Anleitungen zur Implementierung in einem Tenant finden sich im Artikel How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications<\/a>. Im Techcommunity-Beitrag, der noch einige Details beinhaltet, kommentiert ein Benutzer, dass die Commandlets noch nicht zu existieren scheinen, wenn er versucht, sie auszuf\u00fchren.<\/p>\n

Ein \"vergiftetes\" Lob aus dem Feld<\/h2>\n

Im Techcommunity-Beitrag feiert Microsoft sich als \"Innovator\" und fordert \"andere E-Mail-Anbieter und Domaininhaber auf, diese Standards zu \u00fcbernehmen und gemeinsam die Messlatte f\u00fcr die E-Mail-Sicherheit h\u00f6her zu legen und die Benutzer vor b\u00f6swilligen Akteuren zu sch\u00fctzen.\"<\/p>\n

Ein mir namentlich bekannter Nutzer, der als Administrator unterwegs ist, zeigt sich \"voll des Lobes\"\" f\u00fcr den innovativen Einsatz Microsofts, hat er dies doch bereits 2014 umgesetzt. Nun zieht Microsoft nach fast 10 Jahren nach. Passt, manche Dinge brauchen etwas l\u00e4nger und \"gut Ding will Weile haben\" dazu ein. Und wenn es dann auch noch funktioniert, sind alle gl\u00fccklich.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat etwas \"richtig cooles\" angek\u00fcndigt. Es gibt jetzt eine \u00f6ffentliche Vorschau (Public Preview) von Inbound SMTP DANE mit DNSSEC f\u00fcr Exchange Online. Microsoft zeigt sich erfreut, diese \u00f6ffentliche Vorschau von Inbound SMTP DANE with DNSSEC ank\u00fcndigen zu k\u00f6nnen. Mit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2039,7459],"tags":[7211,4353,4328],"class_list":["post-297446","post","type-post","status-publish","format-standard","hentry","category-cloud","category-mail","category-software","tag-exchange-online","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297446"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297446\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}