Tags: Exchange, DNS, Sicherheit, E-Mail
Office 365 erhält mit dem Support für DNS-based Authentication of Named Entities (DANE) und Domain Name System Security Extensions (DNSSEC) zwei neue Sicherheitsfunktionen. Sie sollen bis Ende März ausgerollt werden und gewährleisten, dass ausgehende Nachrichten verschlüsselt über vertrauenswürdige Gateways versandt werden.
Das zum Versand von E-Mails eingesetzte SMTP ist ein Klartextprotokoll aus grauer Vorzeit. Um Nachrichten abzusichern, hat sich der Transport mittels SMTP über TLS durchgesetzt. Dieses Verfahren, auch als Opportunistic TLS bezeichnet, hat jedoch einige Schwächen.
DNS-Spoofing und Downgrade-Attacken
So ist es anfällig für so genannte Downgrade-Attacken. Dabei bringen Angreifer den sendenden Mail-Server dazu, die Nachrichten unverschlüsselt zu übertragen, indem sie in der anfänglichen im Klartextkommunikation das STARTTLS-Verb entfernen.
Eine weitere Möglichkeit, den Schutz durch Secure SMTP zu umgehen, bietet DNS-Spoofing, so dass der Mail-Server sich mit einem Gateway des Angreifers verbindet. Dieser führt auf diese Weise eine Man-in-the-Middle-Attacke aus.
Absicherung über DNS
Die Unterstützung von DANE und DNSSEC sollen solche Versuche von böswilligen Akteuren vereiteln. DANE wertet den TLSA-Eintrag im DNS aus, der Auskunft darüber gibt, welche Zertifikate für eine Domäne gültig sind.
Ergänzend dazu sichert DNSSEC den MX-Record durch digitale Signierung vor einer Fälschung ab und verhindert so ein DNS-Spoofing.
Vorerst nur für Outbound Mails
Microsoft möchte seinen Kunden die beiden Technologien in zwei Phasen zur Verfügung stellen. Exchange Online erhält bis Ende März nach und nach die Unterstützung für ausgehende Mails. Für ankommende Nachrichten soll DANE und DNSSEC ab Ende 2022 in Betrieb gehen.
Anwender von Exchange Online müssen nichts tun, um die beiden Security-Features zu aktivieren. Ob sie überhaupt zum Zuge kommen, hängt natürlich davon ab, ob die Domäne des Empfängers dafür vorbereitet wurde.
Keine Zustellung bei Fehlkonfiguration
Wenn deren MX-Record nicht signiert wurde und für die Domäne des Empfängers kein TLSA-Eintrag existiert, dann versendet Office 365 die Nachrichten weiterhin über Opportunistic TLS. Wenn DANE und DNSSEC jedoch falsch konfiguriert wurden, dann verweigert Exchange die Zustellung von Mails an die betreffende Domäne.
Anwender auf der Absenderseite können in diesem Fall nicht dagegen unternehmen, dass Nachrichten mit einer Unzustellbarkeitsnachricht (NDR) zurückkommen. Es obliegt dem Admin des Empfängers, das Problem zu beheben.
Von einer solchen Fehlkonfiguration betroffene Exchange-Anwender können jedoch mit dem DNSSEC and DANE Validation Test der Ursache auf den Grund gehen. Er analysiert die entsprechende Konfiguration einer Domäne und gibt dem Absender so Auskunft darüber, ob die Unzustellbarkeit daran liegt.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Exchange Online für DKIM konfigurieren
- Spam- und Virenschutz in Office 365 konfigurieren
- Automatische Mail-Weiterleitung in Exchange blockieren
- Patch für kritische Outlook-Schwachstelle, Security-Updates für Exchange
Weitere Links