Exchange Online krijgt ondersteuning voor inbound-SMTP DANE en Dnssec

Exchange Online krijgt ondersteuning voor inbound-SMTP DANE en Dnssec. Ontwikkelaar Microsoft stelt een publieke preview beschikbaar voor die twee beveiligingsstandaarden in de online mailservice.

Microsoft schrijft in een ondersteuningsdocument dat het twee nieuwe securitystandaarden wil integreren in Exchange Online. De eerste daarvan is DNS-based Authentication for Named Entities, ofwel DANE. Dat is een standaard voor SMTP waarbij een TLS-verbinding wordt gelegd met een ontvangende mailserver. Daarmee worden de dns-gegevens van die server geverifieerd, wat het spoofen van domeinnamen of een man-in-the-middleaanval moeilijker maakt.

Voor die verificatie voegt Microsoft ook ondersteuning voor Dnssec toe aan Exchange Online. Daarmee wordt weer geverifieerd of de dns-records authentiek zijn en niet tijdens een verbinding worden aangepast.

Microsoft heeft in 2022 al experimentele outbound-SMTP DANE via Dnssec toegevoegd. Nu komt daar inboundondersteuning bij. Het gaat nog om een publieke bèta die beheerders zelf moeten inschakelen. In augustus wil Microsoft die functie beschikbaar stellen via de Exchange-adminconsole en in oktober moet er brede beschikbaarheid komen. Vanaf februari 2025 wordt outbound-SMTP-DANE verplicht in Exchange Online.

Reacties (35)

Snow_King

19 juli 2024 13:33

Top! Kan de score op internet.nl hopelijk naar de 100% toe, waar je nu maximaal 77% kan scoren.

Nu zou het fijn zijn als ze IPv6 een opt-out zouden maken (al zou ik niet weten waarom je het uit wil) ipv de opt-in die het nu is: https://docs.microsoft.co...-ipv6?view=o365-worldwide

Bij Google staat het aan en kan je het niet eens uit laten zetten. Ik heb voor al onze domeinen dit handmatig moeten laten aanzetten...

[Reactie gewijzigd door Snow_King op 22 juli 2024 13:18]

tw-backdoorbug @Snow_King • 19 juli 2024 13:43

Is dat alleen voor Microsoft 365 E3 enzo, of ook voor Microsoft 365 Business Standard/Premium?

Kan ik ook naar de 70+% toe, waar ik nu op 65% ofzo blijf steken.

michelr @tw-backdoorbug • 19 juli 2024 13:49

Geen license requirement meer. Na de E5 vermelding was er wat feedback die als een boemerang terugkwam nav Nadella's eerdere statement, "when we face a choice between adding features and resolving security issues, we need to choose security."

Dr Pro @tw-backdoorbug • 19 juli 2024 13:58

Voor iedereen. Ik heb het bij een Business Basic klant ingeschakeld net!

Snow_King

@tw-backdoorbug • 19 juli 2024 14:01

Dat weet ik niet, ben niet zo thuis in de licenties van Microsoft. Net gekeken, wij komen op de 77%.

Je kan deze als voorbeeld pakken: https://internet.nl/mail/eerstekamer.nl/1296041/

Frits1980 @Snow_King • 19 juli 2024 18:30

Is dat met Google Workspace? Want ik krijg het, zelfs met Google support, niet voor elkaar.

Snow_King

@Frits1980 • 19 juli 2024 19:27

IPv6 bedoel je? Staat bij Google overal aan

Frits1980 @Snow_King • 19 juli 2024 20:47

Nee ik bedoelde Dane en dnssec.

Scriptkid @Snow_King • 19 juli 2024 21:25

Wat is het probleem dat je geen 100% haalt.

Dane is gewoon ee. Redudant protocol naast mta-sts en bijde zijn weer opertunistic.

Dus je flow verbeterd maar alleen voor supported senders. Dus attackers boeit het totaal niet.

Anoniem: 316512 @Scriptkid • 19 juli 2024 21:42

Ik ben hier ook wel benieuwd naar @Snow_King.

Meer dan een basis checklistje is het toch niet. Beetje alsof je een ssllabs check doet en een A+ krijgt?

r-jansen @Snow_King • 19 juli 2024 21:29

Heb het al ingesteld. Best makkelijk te doen. Nu 100% score.

Vaevictis_ @Snow_King • 20 juli 2024 12:57

Eindelijk! Heeft jaren moeten duren, advies was altijd "ga maar ergens anders mail hosten als je DANE en DNSSec moet hebben". Idioot natuurlijk, maar begrijp dat het niet zo makkelijk is aan te passen voor een cloud dienst.

HKLM_ 19 juli 2024 13:33

Ik zie het nu niet meer terug maar Microsoft was van plan dit in de E5 licentie te stoppen wanneer GA

michelr @HKLM_ • 19 juli 2024 13:46

Geen E5 licentie requirement meer "na feedback". Het zou ook een lastig uit te leggen verhaal worden voor (semi-)overheid en zorg hier waar SMTP over DANE en DNSSEC - in principe - verplicht worden.
GA October.

[Reactie gewijzigd door michelr op 22 juli 2024 13:18]

Scriptkid @michelr • 19 juli 2024 23:27

Snap niet hoe ze dane ooit verplicht kunnen maken.

Taak van die lijst is nietbprotocols selecteren maar rand voorwaarden.

MtA -sts is net zo goed al dan niet beter dan dane.

Dane doet ook geen verplichting dus je kunt alsnog zonder

michelr @Scriptkid • 21 juli 2024 15:44

Genoeg managers of klanten die zichzelf "groene vinkjes" op internet.nl tot doel hebben gesteld.
Of DANE-SMTP beter is dan MTA-STS of niet kun je over discussieren; MTA-STS is een alternatief (en beter dan niks), maar zeker geen vervanger. GMail ondersteunt SMTP DANE (nog) niet (MTA-STS wel), en dat helpt ook niet qua globale acceptatie.

Scriptkid @michelr • 22 juli 2024 08:44

Ja maar mijn punt is overheid moet guidance bepalen. Het moet encrypted zijn. Niet je moet protocol a gebruiken.

En gezien mtasts nu de grootste supported is moet ncsc meschien eens wakker worden en bijde standaarden accepteren we zijn al bijna 5 jaar verder dan de rfc.

Dane blijft gewoon een issue met dnssec.

michelr @Scriptkid • 22 juli 2024 14:40

Overheid bepaalt toch de richtlijn? Is het een keer gedetailleerd, is het weer niet goed. Is het te globaal, krijg je allerlei variaties met hoge kans op valse schijnveiligheid. Verder, MTA-STS blijft gewoon een tekstfile op een te spoofen DNS lookup. En die tekstfile wordt ook vaak bij 3rd parties gehost.DANE opzet kan complex zijn, maar hangt geheel af van je setup - als je alles zelf managed heb je wat werk maar daar kies je dan ook voor. Daarbij, DNSSEC is niet alleen nodig voor DANE-SMTP, dus raakt het meer schijven. En fwiw, 0.3% van 1m ondervraagde bedrijven gebruikte MTA-STS in jan2024 - dat is incl. misconfiguraties (niet 100% representatief, geeft wel beeld bron). Of je daar zoveel mee opschiet.

[Reactie gewijzigd door michelr op 22 juli 2024 14:43]

Scriptkid @michelr • 23 juli 2024 09:03

Lol,

Als je mta sts kunt spoofen , dan spoof je ook dane want die server zie het dane record nooit. Zelfde probleem.

Daarnaast kijk jij naar 1 mil ondervraagde. Ik haal mijn data uit de top 150 nl bedrijven waar ik kom en we een o365 assesment doen en die klanten daarna mtasts implementeren. Penetratie bij top 150 grote klanten is boven de 50%.

michelr @Scriptkid • 23 juli 2024 10:21

En nu moet ik onder de indruk zijn? Kan ook wel roepen dat ik secure mail assessments / implementaties doe bij top 100 organisaties in NL (en daarbuiten). Ik kom bij dezelfde soort klanten, Martijn, alleen dan zonder de pet van de leverancier

Verder gaat je vergelijking niet helemaal op; MTA-STS is een reguliere DNS lookup. Bij SMTP-DANE is er enige zekerheid dat het antwoord wat je krijgt ook klopt.

[Reactie gewijzigd door michelr op 23 juli 2024 10:36]

Sevyx 19 juli 2024 13:32

Eindelijk, hoe vaak wel niet is uitgesteld!

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Sevyx • 19 juli 2024 14:29

Dat niet alleen maar er is ook veel commentaar geweest op het plan dit aan een (dure) licentievorm te hangen. Daar lijkt men inmiddels van teruggekomen. Dit soort (basic) security features behoren voor iedereen beschikbaar te zijn in mijn ogen.

Gunner 19 juli 2024 13:50

Begrijp ik uit de bron URL dat je er als admin verder niets voor hoeft te doen als het in 2025 verplicht is?

[Reactie gewijzigd door Gunner op 22 juli 2024 13:18]

ZeRoC00L @Gunner • 19 juli 2024 14:06

Ik denk dat je uiteindelijk nog wel naar een mx.microsoft.com Mx record zult moeten migreren.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Gunner • 19 juli 2024 14:27

Die zin gaat over outbound (uitgaand) verkeer. Het artikel gaat over ondersteuning voor inbound-SMTP DANE en Dnssec.

Vanaf februari 2025 wordt outbound-SMTP-DANE verplicht in Exchange Online.

dasiro @Bor • 19 juli 2024 18:15

Inderdaad, als het inbound verplicht zou worden, dan gaan er héél veel bedrijven hun mailsetup moeten gaan aanpassen.

Overigens zou het wel eens een sterk wapen tegen spammers kunnen worden dat serieus wat minder cpu-load zou veroorzaken omdat er dan simpelweg niets meer binnen kan komen dat gescand moet worden als de mail al niet kan vertrekken bij de verzendende server

Scriptkid @dasiro • 22 juli 2024 08:47

Die snap ik niet kun je die uitleggen.

Zoowel mtasts sla dane zijn oppertunistic. Als de serder het niet aanbied zal de ontvanger er geen rekening mee houden.

Als aanvaller veranderd er dus niks.

Enige wat je verbeterd is de mitm aanval ie kan niet plaats vinden. Maar ja dat is bij email toch al niet zoon ding gezien het short lived connections zijn.

michelr @Scriptkid • 23 juli 2024 10:52

Maargoed dat MTA-STS en DANE opportunistisch zijn, anders wordt het lastig mailen met een groot deel van de wereld. Neemt niet weg dat je tzt wel eisen kunt gaan stellen aan zender danwel ontvanger, niet geheel onbelangrijk in bepaalde werkgebieden (en minder afhankelijk van zelfcertificerende clubjes als Zivver/ZorgMail ed). Het short-lived karakter is niet echt een argument in 2024.

jochemd @Gunner • 19 juli 2024 14:38

Dat hangt er van af hoe je je DNS ingericht hebt. Als Microsoft DNS records kan aanmaken voor jouw domein en bij de TLD (oftewel: je hebt je domein via Azure geregistreerd) dan zouden ze het in principe verder geheel zelf kunnen configureren. Maar als je niet zowel je domainnaam als je DNS bij Microsoft hebt ondergebracht zal je zelf dingen moeten doen.

Gunner @jochemd • 19 juli 2024 14:41

Heb je anders geen uitgaand mailverkeer meer?
(verder ben ik hier dus van op de hoogte door dit artikel, dat mogen ze dan tegen die tijd wel communiceren lijkt me?)

[Reactie gewijzigd door Gunner op 22 juli 2024 13:18]

Scriptkid @jochemd • 19 juli 2024 23:29

Daar hebben ze cnames voor zoals het ook bij dkim gebeurd