SEPPmail.cloud und DANE/DNSSEC mit Exchange Online

Am 17. Juli 2024 haben die Exchange Engineering Teams die öffentliche Vorschau von SMTP DANE mit DNSSEC angekündigt.

In wenigen Worten: DANE (DNS-based Authentication of Named Entities) und DNSSEC (Domain Name System Security Extensions) arbeiten zusammen, um die E-Mail-Sicherheit zu verbessern, indem sie sicherstellen, dass der E-Mail-Server, mit dem Sie sich verbinden, legitim ist und die Kommunikation sicher ist.

– DNSSEC sichert das Domain Name System (DNS), indem es sicherstellt, dass die Antworten auf DNS-Abfragen (z. B. Ermittlung der IP-Adresse eines E-Mail-Servers) nicht manipuliert wurden. Es fügt eine Überprüfungsebene mit digitalen Signaturen hinzu, die Angreifer daran hindert Sie auf gefälschte Server umzuleiten (DNS-Spoofing).

– DANE baut auf DNSSEC auf, indem es E-Mail-Anbietern erlaubt, die kryptografischen Zertifikate (TLS-Zertifikate) ihrer E-Mail-Server in DNS-Einträgen veröffentlichen. Dies hilft E-Mail-Clients zu überprüfen, ob das Zertifikat des Servers korrekt ist und nicht durch ein gefälschtes Zertifikat ersetzt wurde.

Warum also macht DANE mein E-Mail-System sicherer?

DNSSEC und DANE verhindern vor allem Man-in-the-Middle-Angriffe und stellen sicher, dass E-Mail-Verschlüsselung sicher an den richtigen Server gesendet werden, was die allgemeine Sicherheit von E-Mail-Diensten erhöht. Für weitere Informationen zu den genauen Details von DANE/DNSSEC lesen Sie https://labs.ripe.net/author/dennis_baaten/better-mail-security-with-dane-for-smtp

DANE und SEPPmail.cloud

SEPPmail.cloud ist seit langem für DANE/DNSSEC vorbereitet und ein Setup mit Exchange online und SEPPmail.cloud ist eine tolle Kombination. Sie können die Vorteile von DANE/DNSSEC sowohl in parallelen als auch in Inline-Szenarien nutzen, lesen Sie Details unten.

Inline-Modus mit Exchange Online

Im Inline-Modus, bei dem SEPPmail.cloud die erste Verteidigungslinie ist und Exchange Online über Partnerkonnektoren angebunden ist, veröffentlicht SEPPmail automatisch das richtige TLSA-Zertifikat für den MX-Eintrag im DNS. Dies ist jedoch nur dann wirksam, wenn die Domäne unseres Kunden DNSSEC aktiviert hat, was in den Händen des Kunden selbst liegt.

Wenn DNSSEC richtig konfiguriert ist, kann nicht nur SEPPmail.cloud als Front zum Internet E-Mail sicherer handhaben, auch die Verbindung zwischen SEPPmail.cloud und Exchange Online könnte ein wenig von DANE profitieren. Der Konnektor, den wir heute verwenden, ist zertifikatsbasiert, d.h. Microsoft akzeptiert die Verbindung nur, wenn unser Zertifikat gegeben ist. Indem wir sicherstellen können, dass das richtige Zertifikat von Microsoft geliefert wird (und kein DNS-Spoofing stattfindet), hilft es, auch dieses unwahrscheinliche Szenario abzudecken und reduziert das Risiko eines MITM-Angriffs auch auf dieser Angriffsfläche.

Paralleler Modus mit Exchange Online

In einem Parallelmodus-Szenario bearbeitet Microsoft die DNS-Anfragen für entfernte E-Mail-Server, so dass der größte Teil der Konfiguration dort vorgenommen werden muss.

Änderungen bei Exchange Online

Im Parallelmodus macht die Aktivierung von DANE auf Exchange Online einen größeren Unterschied, da die Verbindungen von überall her zu Microsoft kommen. DANE stellt sicher, dass diese Mails an die richtige Stelle zugestellt werden und dass die E-Mails, die von SEPPmail.cloud zurück zu Exchange Online injiziert werden, ebenfalls mit TLS verschlüsselt und an die richtigen Server zugestellt werden.

Um DANE im Parallelmodus zu aktivieren, folgen Sie einfach den Anweisungen von Microsoft in den „Learn“-Artikeln. Grundsätzlich wird bei der Einrichtung ein neuer DANE-aktivierter MX-Eintrag erstellt, den Sie konfigurieren müssen. Details finden Sie unter dem Link Inbound aktivieren.

Für ausgehende E-Mails gibt es scheinbar nichts zu tun, wie hier Enable outbound dokumentiert.

Änderungen in der SEPPmail.cloud

In der SEPPmail.cloud müssen Sie dann die Forward-Server in login.seppmail.cloud auf Ihrem Kunden-Tenant auf die vom Powershell-Befehl ausgegebenen ändern. Dies soll zeitlich gut abgestimmt mit der Änderung des MX-Eintrags geschehen. Prüfen Sie Sie anschließend den Mailflow in der SEPPmail.cloud, indem Sie den Mailflow in den Logs überwachen.

Tools:

Um die DNSSEC-Konfiguration einer E-Mail-Domain zu überprüfen, verwenden Sie https://dnsviz.net/ (auch verlinkt im Menü „Support-Tools“ des SEPPmail.cloud Portals)

Links:

Microsoft Learn Artikel zu DNSSEC/DANE: https://learn.microsoft.com/en-us/purview/how-smtp-dane-works