Public Preview of Inbound SMTP DANE bei Exchange Online

[NorbertFe 2.034]

Hi,

 

Microsoft hat aktuell den Test für inbound SMTP DANE ermöglicht. Wer also seinen MX bei ExO liegen hat und DNSSec aktiviert hat bzw. aktivieren kann, kann sich das jetzt mal live und in Farbe anschauen.

Unter https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-public-preview-of-inbound-smtp-dane-with-dnssec-for/ba-p/4155257 ist das alles beschrieben und verlinkt.

 

Interessant ist sicherlich auch die Roadmap für das Feature:

• August 2024 – Inbound SMTP DANE with DNSSEC and MTA-STS report in the Exchange admin center
• October 2024 – General Availability of Inbound SMTP DANE with DNSSEC
• End of 2024
  • Deploying Inbound SMTP DANE with DNSSEC for all Outlook domains
  • Transition provisioning of mail records for all newly created Accepted Domains into DNSSEC-enabled infrastructure underneath *.mx.microsoft
• February 2025 – Mandatory Outbound SMTP DANE, set per-tenant/per-remote domain

 

Falls jemand die Voraussetzungen hat und testen kann/will, wäre es nett, wenn man evtl. an den Erfahrungen teilhaben kann.

 

Bye

Norbert

 

PS: bei IONOS ist DNSSec inzwischen fürs 1. Jahr quasi geschenkt und ab dann auch nicht unbedingt unbezahlbar. TLSA Records kann man über die DNS API anlegen. Den Hinweis geb ich hier nur, weil IONOS ja doch ein recht gebräuchlicher DNS Provider für viele kleine und mittlere Kunden ist und ich deswegen dem TLSA Thema bei denen schon vor einiger Zeit hinterhergerannt bin. ;)

[testperson 1.677]

Moin,

 

bei mir scheitert es leider daran, dass der Azure DNS Service kein DNSSEC unterstützt: FAQ - Azure DNS | Microsoft Learn

 

Ich hatte seit der ersten Ankündigung zu diesem Thema die Hoffnung, dass Microsoft bis zur Preview bis zum Start dann auch DNSSEC im Azure DNS kann..

 

Gruß

Jan

 

bearbeitet 22. Juli von testperson

[NorbertFe 2.034]

vor 30 Minuten schrieb testperson:

bis zum Start dann auch DNSSEC im Azure DNS kann.

Lt. Kommentar auf der oben verlinkten Seite dauert das noch „ein paar Monate“ ist wohl im internal preview.

[testperson 1.677]

Im Endeffekt gilt also weiterhin

Zitat

Fully Delegated domains: domains that are hosted by Microsoft and use NS delegation so that Microsoft’s name servers are authoritative for the domain, will not get support for Inbound SMTP DANE with DNSSEC as part of the public preview. We do intend to support Inbound SMTP DANE with DNSSEC for these domains and we are tentatively aiming for second half of CY24.

aus Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub. (Sofern man davon ausgeht, dass Microsoft ebenfalls Azure DNS nutzt.)

 

Unterm Strich: Sobald Azure DNS DNSSEC kann (und es kein Vermögen kostet), werde ich mitmachen.

[NorbertFe 2.034]

Warum nutzt man den azure DNS? Ist das irgendwie besser als andere?

[testperson 1.677]

Ich habe keinen Anbieter gefunden, wo ich meine angesammelten TLDs hätte unter einen Hut bringen können und habe dann einfach Azure genutzt, um überall die gleiche API zu haben. Dann "läuft" noch ein AVD mit Beiwerk in Azure und ich habe dann vieles in einem Portal. Das muss jetzt nicht für Azure DNS sprechen aber auch nicht dagegen.

[NorbertFe 2.034]

vor 39 Minuten schrieb testperson:

wo ich meine angesammelten TLDs hätte unter einen Hut bringen können

Ach du bist der mit den ganzen komischen tlds! 😎

[testperson 1.677]

vor 6 Minuten schrieb NorbertFe:

Ach du bist der mit den ganzen komischen tlds! 😎

Und ich hätte so gerne eine / welche aus Andorra. Notfalls auch .ads von Google. :)

[NorbertFe 2.034]

Da wäre dann aber noch zu klären, ob die auch dnssec anbieten. Hab mindestens einen Kunden der unbedingt .pm nutzt, und die bieten kein dnssec an.

[testperson 1.677]

SMTP DANE mit DNSSEC ist jetzt GA: Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub

[NorbertFe 2.034]

Da liegen sie ja voll im Zeitplan bei MS. ;)