{"id":305567,"date":"2024-10-29T00:10:23","date_gmt":"2024-10-28T23:10:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305567"},"modified":"2024-10-28T22:41:39","modified_gmt":"2024-10-28T21:41:39","slug":"exchange-online-inbound-smtp-dane-mit-dnssec-verfuegbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/29\/exchange-online-inbound-smtp-dane-mit-dnssec-verfuegbar\/","title":{"rendered":"Exchange Online: Inbound SMTP DANE mit DNSSEC verf\u00fcgbar"},"content":{"rendered":"

\"Exchange[English<\/a>]Microsoft hat das Inbound SMTP DANE mit DNSSEC f\u00fcr Exchange Online allgemein freigegeben, nachdem das Ganze bereits im Juli 2024 als Preview verf\u00fcgbar war (siehe Exchange Online: Inbound SMTP DANE mit DNSSEC als Public Preview<\/a>). Mit der neuen Funktion Inbound SMTP DANE with DNSSEC in Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterst\u00fctzung zweier Sicherheitsstandards erh\u00f6ht werden.<\/p>\n

<\/p>\n

Die Ank\u00fcndigung Microsofts<\/h2>\n

\"\"Mir ist das Thema \u00fcber nachfolgenden Tweet untergekommen. Microsoft hat die Details zum 28. Oktober 2024 im Techcommunity-Beitrag Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online<\/a> ver\u00f6ffentlicht.<\/p>\n

\"Inbound<\/a><\/p>\n

Dort freut man sich, die generelle Verf\u00fcgbarkeit von Inbound SMTP DANE with DNSSEC bekannt zu geben. Die neue Funktion von Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterst\u00fctzung zweier Sicherheitsstandards (DANE und DNSSEC) erh\u00f6hen.<\/p>\n

DANE und DNSSEC, was ist das?<\/h3>\n

DANE<\/a> (DNS-based Authentication of Named Entities) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschl\u00fcsselung SSL\/TLS<\/a> in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden k\u00f6nnen, und erh\u00f6ht so die Sicherheit beim verschl\u00fcsselten Transport von E-Mails und beim Zugriff auf Webseiten. Die Normen und Standards sind 2011 bis 2015 entstanden.<\/p>\n

DNSSEC<\/a> steht f\u00fcr Domain Name System Security Extensions, eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gew\u00e4hrleistung der Authentizit\u00e4t und Integrit\u00e4t der Daten erweitern. Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tats\u00e4chlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt. Es sichert die \u00dcbertragung von Resource Records durch digitale Signaturen ab. Eine Authentifizierung von Servern oder Clients findet nicht statt. Vertraulichkeit ist bei DNSSEC nicht vorgesehen, DNS-Daten werden daher nicht verschl\u00fcsselt.<\/p>\n

Microsoft stellt das neue Feature bereit<\/h2>\n

Die beiden neuen Features stehen sofort (und kostenlos) f\u00fcr Exchange Online bereit. SMTP DANE verwendet einen TLS-Authentifizierungs-DNS-Eintrag (TLSA), um die Identit\u00e4t eines Ziel-Mailservers zu \u00fcberpr\u00fcfen. Die neue Funktion bietet eine sichere Verbindung zwischen dem sendenden und dem empfangenden Mailserver, die sowohl gegen TLS-Downgrade-Angriffe als auch gegen Adversary-in-the-Middle-Angriffe resistent ist.<\/p>\n

DNSSEC verwendet kryptografische Signaturen, um sicherzustellen, dass die DNS-Eintr\u00e4ge der Zieldom\u00e4ne authentisch sind und w\u00e4hrend der \u00dcbertragung nicht manipuliert wurden. Diese beiden Standards werden kombiniert, um Spoofing, Hijacking und das Abfangen von E-Mail-Nachrichten in Exchange Online zu verhindern.<\/p>\n

Microsoft hat Outbound SMTP DANE mit DNSSEC im Jahr 2022 ver\u00f6ffentlich. Im Jahr 2024 zog man mit der \u00f6ffentlichen Vorschau f\u00fcr Inbound SMTP DANE mit DNSSEC und jetzt mit der allgemeinen Freigabe nach. Im Techcommunity-Beitrag gibt man folgende\u00a0Roadmap f\u00fcr das Rollout an:<\/p>\n