Public Preview of Inbound SMTP DANE bei Exchange Online

[NorbertFe 2.197]

Hi,

 

Microsoft hat aktuell den Test für inbound SMTP DANE ermöglicht. Wer also seinen MX bei ExO liegen hat und DNSSec aktiviert hat bzw. aktivieren kann, kann sich das jetzt mal live und in Farbe anschauen.

Unter https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-public-preview-of-inbound-smtp-dane-with-dnssec-for/ba-p/4155257 ist das alles beschrieben und verlinkt.

 

Interessant ist sicherlich auch die Roadmap für das Feature:

• August 2024 – Inbound SMTP DANE with DNSSEC and MTA-STS report in the Exchange admin center
• October 2024 – General Availability of Inbound SMTP DANE with DNSSEC
• End of 2024
  • Deploying Inbound SMTP DANE with DNSSEC for all Outlook domains
  • Transition provisioning of mail records for all newly created Accepted Domains into DNSSEC-enabled infrastructure underneath *.mx.microsoft
• February 2025 – Mandatory Outbound SMTP DANE, set per-tenant/per-remote domain

 

Falls jemand die Voraussetzungen hat und testen kann/will, wäre es nett, wenn man evtl. an den Erfahrungen teilhaben kann.

 

Bye

Norbert

 

PS: bei IONOS ist DNSSec inzwischen fürs 1. Jahr quasi geschenkt und ab dann auch nicht unbedingt unbezahlbar. TLSA Records kann man über die DNS API anlegen. Den Hinweis geb ich hier nur, weil IONOS ja doch ein recht gebräuchlicher DNS Provider für viele kleine und mittlere Kunden ist und ich deswegen dem TLSA Thema bei denen schon vor einiger Zeit hinterhergerannt bin. ;)

[testperson 1.786]

Moin,

 

bei mir scheitert es leider daran, dass der Azure DNS Service kein DNSSEC unterstützt: FAQ - Azure DNS | Microsoft Learn

 

Ich hatte seit der ersten Ankündigung zu diesem Thema die Hoffnung, dass Microsoft bis zur Preview bis zum Start dann auch DNSSEC im Azure DNS kann..

 

Gruß

Jan

 

bearbeitet 22. Juli 2024 von testperson

[NorbertFe 2.197]

vor 30 Minuten schrieb testperson:

bis zum Start dann auch DNSSEC im Azure DNS kann.

Lt. Kommentar auf der oben verlinkten Seite dauert das noch „ein paar Monate“ ist wohl im internal preview.

[testperson 1.786]

Im Endeffekt gilt also weiterhin

Zitat

Fully Delegated domains: domains that are hosted by Microsoft and use NS delegation so that Microsoft’s name servers are authoritative for the domain, will not get support for Inbound SMTP DANE with DNSSEC as part of the public preview. We do intend to support Inbound SMTP DANE with DNSSEC for these domains and we are tentatively aiming for second half of CY24.

aus Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub. (Sofern man davon ausgeht, dass Microsoft ebenfalls Azure DNS nutzt.)

 

Unterm Strich: Sobald Azure DNS DNSSEC kann (und es kein Vermögen kostet), werde ich mitmachen.

[NorbertFe 2.197]

Warum nutzt man den azure DNS? Ist das irgendwie besser als andere?

[testperson 1.786]

Ich habe keinen Anbieter gefunden, wo ich meine angesammelten TLDs hätte unter einen Hut bringen können und habe dann einfach Azure genutzt, um überall die gleiche API zu haben. Dann "läuft" noch ein AVD mit Beiwerk in Azure und ich habe dann vieles in einem Portal. Das muss jetzt nicht für Azure DNS sprechen aber auch nicht dagegen.

[NorbertFe 2.197]

vor 39 Minuten schrieb testperson:

wo ich meine angesammelten TLDs hätte unter einen Hut bringen können

Ach du bist der mit den ganzen komischen tlds! 😎

[testperson 1.786]

vor 6 Minuten schrieb NorbertFe:

Ach du bist der mit den ganzen komischen tlds! 😎

Und ich hätte so gerne eine / welche aus Andorra. Notfalls auch .ads von Google. :)

[NorbertFe 2.197]

Da wäre dann aber noch zu klären, ob die auch dnssec anbieten. Hab mindestens einen Kunden der unbedingt .pm nutzt, und die bieten kein dnssec an.

[testperson 1.786]

SMTP DANE mit DNSSEC ist jetzt GA: Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub

[NorbertFe 2.197]

Da liegen sie ja voll im Zeitplan bei MS. ;)

[testperson 1.786]

Da ist man heute nochmal im Azure DNS Portal und stolpert über "DNSSEC". Scheinbar ist das Anfang des Jahres live gegangen: How to sign your Azure Public DNS zone with DNSSEC | Microsoft Learn

 

Zitat

If the parent zone is a top level domain (for example: .com), you must add the DS record at your registrar. Each registrar has its own process. The registrar might ask for values such as the Key Tag, Algorithm, Digest Type, and Key Digest.

 

Jetzt muss ich nur noch den Prozess für .it in Erfahrung bringen. 

[NorbertFe 2.197]

vor 1 Stunde schrieb testperson:

Da ist man heute nochmal im Azure DNS Portal und stolpert über "DNSSEC". Scheinbar ist das Anfang des Jahres live gegangen: How to sign your Azure Public DNS zone with DNSSEC | Microsoft Learn

 

 

Jetzt muss ich nur noch den Prozess für .it in Erfahrung bringen. 

Sind wir mal gespannt :)

[testperson 1.786]

DNSSEC funktioniert (scheinbar) schonmal. Die Domain ist bei selfHOST registriert und die DNS Zone liegt bei Azure. Hab den Support angeschrieben und die brauchen dann nur die Infos aus dem oben verlinkten Artikel und richten das dann ein.

# Punkt 6 aus 
# https://learn.microsoft.com/en-us/azure/dns/dnssec-how-to?tabs=sign-portal#sign-a-zone-with-dnssec
Key Tag: 4535
Algorithm: 13
Digest Type: 2
Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

 

Morgen dann mal in Ruhe mit How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications | Microsoft Learn weitermachen. Wobei ich da wohl nach dem ersten Überfliegen recht zügig 7 Tage Pause machen muss..

[testperson 1.786]

So. Zwei Spaß und Spiel Domains (eine mit MTA-STS, die andere ohne) sind für Inbound SMTP DANE konfiguriert. Bei der dritten Domain im Bunde warte ich mal noch die restlichen 6,5 Tage.

 

Für .de Domains benötigt der selfHOST Support dann übrigens:

DNSSEC Schlüssel Flags
DNSSEC Schlüssel Protokoll
DNSSEC Algorithmus
Öffentlicher Schlüssel

 

Für .it und .cloud Domains (wie oben geschrieben):

DNSSEC KeyTag
DNSSEC Algorithmus
DNSSEC Digest Typ
DNSSEC Digest