Exchange Online introduce DANE e DNSSEC per la posta in uscita

L’aggiornamento lanciato a metà gennaio si completerà entro la fine di maggio

Nell’aprile 2020, il gruppo di sviluppo di Exchange ha dichiarato l’ intenzione di introdurre DANE e DNSSEC per Exchange Online . Quasi ventuno mesi dopo l’annuncio originale di aprile 2020, Microsoft ha pubblicato la notifica del centro messaggi MC308285 il 24 dicembre, per dire che un lento lancio di DANE e DNSSEC per la posta in uscita inizierà a metà gennaio 2022 e si completerà entro la fine di maggio.

 

DANE e DNSSEC

 

DANE è l’autenticazione DNS delle entità nominate (definita in RFC7672 ). DNSSEC è l’estensione di sicurezza del sistema dei nomi di dominio (definita in RFC4033 ). Insieme, questi standard affrontano alcune debolezze di sicurezza fondamentali nel modo in cui i server scambiano i messaggi SMTP. DANE utilizza i record di risorse DNS TLSA per segnalare il protocollo TLS supportato dai server per consentire ai server di invio di autenticare i server di posta elettronica di ricezione legittimi.

Ecco un esempio di come potrebbe apparire un record TLSA per il dominio Practical365.com:

 

1

2

_25.tcp.practical365.com. IN TLSA 3 1 1

e1c362c8c03a15023fff83831a70d6fce33203d499a3f3d0b13243a1ac689088

 

Quando un server di posta che supporta DANE desidera inviare e-mail, esegue una query DNS sul dominio del destinatario per vedere se esiste il record DNS TLSA. Se il record esiste, il server di posta di invio avvia il trasferimento della posta al server di posta del destinatario utilizzando il protocollo TLS definito nel record TLSA. Sebbene l’handshake iniziale non crittografato con il server remoto persista, l’esistenza di un record TLSA significa che Exchange Online può essere sicuro di inviare e-mail al dominio corretto perché il certificato fornito dal server di destinazione corrisponde a ciò che è nel DNS.

DNSSEC funziona firmando digitalmente i record TLSA in DNS utilizzando la crittografia a chiave pubblica. I server che utilizzano i record DNS MX per trovare il punto di connessione per la posta elettronica per un dominio possono convalidare i record per garantire che siano autentici e un utente malintenzionato non ha manomesso i record per deviare il flusso di posta altrove.

Il supporto iniziale è per le connessioni in uscita. Ciò significa che quando Exchange Online si connette a server SMTP esterni per inviare e-mail, utilizza la convalida DANE e DNSSEC per garantire che la connessione sia sicura. Se i controlli sul dominio del destinatario hanno esito negativo, Exchange Online non considera attendibile il dominio del destinatario e pertanto si rifiuta di connettersi al server remoto per inviare la posta elettronica. I controlli vengono eseguiti automaticamente e gli amministratori tenant non devono fare nulla per abilitare la convalida in uscita.

Secondo la roadmap di Microsoft 365 , il supporto in entrata per DANE in Exchange Online arriverà a dicembre 2022.

 

Convalide server non riuscite

 

È possibile che un dominio di destinazione sia configurato in modo errato o compromesso. Se ciò accade, la convalida non riesce. Né l’amministratore del tenant mittente né il supporto Microsoft possono eseguire operazioni per ripristinare il flusso di posta nel dominio di destinazione. Qualcuno con il controllo amministrativo su quel dominio deve risolvere il problema correggendo qualsiasi configurazione errata o proteggendolo da compromissioni. Tutto ciò che puoi fare è stabilire un contatto (ma non utilizzando la posta elettronica inviata da Exchange Online) con il dominio del destinatario per dire loro che qualcosa sta causando a Exchange Online il rifiuto delle connessioni per l’invio della posta elettronica. Si spera che presteranno attenzione e rettificheranno il problema per ristabilire il flusso di posta.

I proprietari del dominio di destinazione hanno la possibilità di ricevere rapporti dai mittenti per monitorare se DANE sta passando o meno. Lo standard di reporting TLS (TLS-RPT) è un meccanismo di feedback per fornire informazioni dettagliate su ciò che i mittenti sperimentano quando tentano di inviarti la posta. Gli errori potrebbero indicare una configurazione errata o un attacco basato su DNS attivo.

Secondo Microsoft, l’analisi delle connessioni rivela che solo lo 0,00023% di tutti i domini a cui Exchange Online invia la posta elettronica sono configurati in modo errato o potenzialmente compromessi. Sembra che l’implementazione di DANE e DNSEC possa influire su una piccola percentuale di traffico, soprattutto perché è probabile che i domini problematici ricevano un volume ridotto di traffico di posta elettronica da Exchange Online. Tuttavia, dato l’enorme volume di posta elettronica elaborata da Exchange Online, il blocco del flusso di posta verso questi domini genererà un numero maggiore di notifiche di mancato recapito (NDR) ricevute dalle cassette postali di Exchange Online. Si spera che i domini problematici si rendano conto che il loro traffico di posta in entrata è diminuito per qualche motivo e indagheranno e risolveranno il problema.

Oltre a interpretare le informazioni incluse nei rapporti di mancato recapito, Microsoft ha aggiornato lo strumento Microsoft Remote Connectivity Analyzer (RCA) per eseguire test DANE e DNSSEC rispetto ai domini di destinazione. Gli amministratori possono anche vedere quando i messaggi hanno esito negativo sui domini utilizzando l’utilità di traccia dei messaggi di Exchange. Microsoft afferma che prevede di pubblicare i dettagli dei passaggi di convalida eseguiti da Exchange Online insieme ai collegamenti a ulteriori informazioni sulla risoluzione dei problemi (come un report su DANE/DNSSEC disponibile nell’interfaccia di amministrazione di Exchange) in una notifica del centro messaggi prima dell’implementazione dell’aggiornamento.

 

Perchè così tanto tempo?

 

Alcuni saranno critici sul fatto che Microsoft abbia mancato di un anno la data originale per il supporto in uscita per DANE e DNSSEC e si chiederanno quando sarà disponibile il supporto in entrata. Ci sono in gioco diversi fattori, tra cui:

  • Le dimensioni dell’infrastruttura di Exchange Online e il numero di server coinvolti.
  • La necessità di eseguire test per analizzare l’impatto dell’implementazione di DANE e DNSSEC per Exchange Online rispetto ai domini dei destinatari in tutto il mondo. In un commento al post originale, Microsoft ha indicato di aver pianificato di implementare prima la modalità di solo log e di convalidare i risultati prima di procedere alla distribuzione. Come spesso accade nei progetti di ingegneria, questo processo potrebbe aver richiesto più tempo del previsto.
  • Dopo l’analisi, Microsoft ha intrapreso azioni per migliorare i potenziali effetti collaterali per Exchange Online e i tenant. L’ultima cosa che Microsoft vuole è vedere una marea di problemi di supporto registrati con il supporto Microsoft. Gli strumenti, lo sviluppo e la documentazione richiedono tempo.

 

Nessuna implementazione in sede

 

Microsoft afferma di non avere in programma di introdurre il supporto per DANE e DNSSEC in Exchange Server. Tuttavia, se si utilizza una distribuzione ibrida e si instrada la posta elettronica tramite Exchange Online, la posta elettronica proveniente da cassette postali locali trarrà vantaggio dalle nuove funzionalità.

 

Le informazioni presenti in questo post, sono prese dall’articolo: Exchange Online Introduces DANE and DNSSEC for Outbound Email

Contattaci

La tua crescita parte da qui
Per maggiori informazioni

Contattaci

    Iscriviti alla newsletter

      Tematiche d'interesse