Microsoft unterstützt DANE und DNSSEC in Exchange Online


    Tags: , , ,

    Versenden von Mail nicht möglichOffice 365 erhält mit dem Support für DNS-based Authen­tication of Named Entities (DANE) und Domain Name System Security Extensions (DNSSEC) zwei neue Sicherheits­funk­tionen. Sie sollen bis Ende März ausgerollt werden und gewähr­leisten, dass aus­gehende Nach­richten ver­schlüsselt über ver­trauens­­würdige Gateways versandt werden.

    Das zum Versand von E-Mails eingesetzte SMTP ist ein Klartext­protokoll aus grauer Vorzeit. Um Nachrichten abzusichern, hat sich der Transport mittels SMTP über TLS durchgesetzt. Dieses Verfahren, auch als Opportunistic TLS bezeichnet, hat jedoch einige Schwächen.

    DNS-Spoofing und Downgrade-Attacken

    So ist es anfällig für so genannte Downgrade-Attacken. Dabei bringen Angreifer den sendenden Mail-Server dazu, die Nachrichten unverschlüsselt zu übertragen, indem sie in der anfänglichen im Klartextkommunikation das STARTTLS-Verb entfernen.

    Eine weitere Möglichkeit, den Schutz durch Secure SMTP zu umgehen, bietet DNS-Spoofing, so dass der Mail-Server sich mit einem Gateway des Angreifers verbindet. Dieser führt auf diese Weise eine Man-in-the-Middle-Attacke aus.

    Absicherung über DNS

    Die Unterstützung von DANE und DNSSEC sollen solche Versuche von böswilligen Akteuren vereiteln. DANE wertet den TLSA-Eintrag im DNS aus, der Auskunft darüber gibt, welche Zertifikate für eine Domäne gültig sind.

    Ergänzend dazu sichert DNSSEC den MX-Record durch digitale Signierung vor einer Fälschung ab und verhindert so ein DNS-Spoofing.

    Validierung eines DNS-Eintrags mittels DNSSEC

    Vorerst nur für Outbound Mails

    Microsoft möchte seinen Kunden die beiden Technologien in zwei Phasen zur Verfügung stellen. Exchange Online erhält bis Ende März nach und nach die Unterstützung für ausgehende Mails. Für ankommende Nachrichten soll DANE und DNSSEC ab Ende 2022 in Betrieb gehen.

    Anwender von Exchange Online müssen nichts tun, um die beiden Security-Features zu aktivieren. Ob sie überhaupt zum Zuge kommen, hängt natürlich davon ab, ob die Domäne des Empfängers dafür vorbereitet wurde.

    Keine Zustellung bei Fehlkonfiguration

    Wenn deren MX-Record nicht signiert wurde und für die Domäne des Empfängers kein TLSA-Eintrag existiert, dann versendet Office 365 die Nachrichten weiterhin über Opportunistic TLS. Wenn DANE und DNSSEC jedoch falsch konfiguriert wurden, dann verweigert Exchange die Zustellung von Mails an die betreffende Domäne.

    Anwender auf der Absenderseite können in diesem Fall nicht dagegen unternehmen, dass Nachrichten mit einer Unzustellbarkeitsnachricht (NDR) zurückkommen. Es obliegt dem Admin des Empfängers, das Problem zu beheben.

    Von einer solchen Fehlkonfiguration betroffene Exchange-Anwender können jedoch mit dem DNSSEC and DANE Validation Test der Ursache auf den Grund gehen. Er analysiert die entsprechende Konfiguration einer Domäne und gibt dem Absender so Auskunft darüber, ob die Unzustellbarkeit daran liegt.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links