Jump to content

Public Preview of Inbound SMTP DANE bei Exchange Online


Empfohlene Beiträge

Geschrieben

Hi,

 

Microsoft hat aktuell den Test für inbound SMTP DANE ermöglicht. Wer also seinen MX bei ExO liegen hat und DNSSec aktiviert hat bzw. aktivieren kann, kann sich das jetzt mal live und in Farbe anschauen.

Unter https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-public-preview-of-inbound-smtp-dane-with-dnssec-for/ba-p/4155257 ist das alles beschrieben und verlinkt.

 

Interessant ist sicherlich auch die Roadmap für das Feature:

  • August 2024 – Inbound SMTP DANE with DNSSEC and MTA-STS report in the Exchange admin center
  • October 2024 – General Availability of Inbound SMTP DANE with DNSSEC
  • End of 2024
    • Deploying Inbound SMTP DANE with DNSSEC for all Outlook domains
    • Transition provisioning of mail records for all newly created Accepted Domains into DNSSEC-enabled infrastructure underneath *.mx.microsoft
  • February 2025 – Mandatory Outbound SMTP DANE, set per-tenant/per-remote domain

 

Falls jemand die Voraussetzungen hat und testen kann/will, wäre es nett, wenn man evtl. an den Erfahrungen teilhaben kann.

 

Bye

Norbert

 

PS: bei IONOS ist DNSSec inzwischen fürs 1. Jahr quasi geschenkt und ab dann auch nicht unbedingt unbezahlbar. TLSA Records kann man über die DNS API anlegen. Den Hinweis geb ich hier nur, weil IONOS ja doch ein recht gebräuchlicher DNS Provider für viele kleine und mittlere Kunden ist und ich deswegen dem TLSA Thema bei denen schon vor einiger Zeit hinterhergerannt bin. ;)

Geschrieben

Im Endeffekt gilt also weiterhin

Zitat

Fully Delegated domains: domains that are hosted by Microsoft and use NS delegation so that Microsoft’s name servers are authoritative for the domain, will not get support for Inbound SMTP DANE with DNSSEC as part of the public preview. We do intend to support Inbound SMTP DANE with DNSSEC for these domains and we are tentatively aiming for second half of CY24.

aus Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub. (Sofern man davon ausgeht, dass Microsoft ebenfalls Azure DNS nutzt.)

 

Unterm Strich: Sobald Azure DNS DNSSEC kann (und es kein Vermögen kostet), werde ich mitmachen.

Geschrieben

Ich habe keinen Anbieter gefunden, wo ich meine angesammelten TLDs hätte unter einen Hut bringen können und habe dann einfach Azure genutzt, um überall die gleiche API zu haben. Dann "läuft" noch ein AVD mit Beiwerk in Azure und ich habe dann vieles in einem Portal. Das muss jetzt nicht für Azure DNS sprechen aber auch nicht dagegen.

  • 3 Monate später...
  • 4 Monate später...
Geschrieben

Da ist man heute nochmal im Azure DNS Portal und stolpert über "DNSSEC". Scheinbar ist das Anfang des Jahres live gegangen: How to sign your Azure Public DNS zone with DNSSEC | Microsoft Learn

 

Zitat

If the parent zone is a top level domain (for example: .com), you must add the DS record at your registrar. Each registrar has its own process. The registrar might ask for values such as the Key Tag, Algorithm, Digest Type, and Key Digest.

 

Jetzt muss ich nur noch den Prozess für .it in Erfahrung bringen. :D

Geschrieben

DNSSEC funktioniert (scheinbar) schonmal. Die Domain ist bei selfHOST registriert und die DNS Zone liegt bei Azure. Hab den Support angeschrieben und die brauchen dann nur die Infos aus dem oben verlinkten Artikel und richten das dann ein.

# Punkt 6 aus 
# https://learn.microsoft.com/en-us/azure/dns/dnssec-how-to?tabs=sign-portal#sign-a-zone-with-dnssec
Key Tag: 4535
Algorithm: 13
Digest Type: 2
Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

 

Morgen dann mal in Ruhe mit How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications | Microsoft Learn weitermachen. Wobei ich da wohl nach dem ersten Überfliegen recht zügig 7 Tage Pause machen muss.. :-)

  • Like 1
  • Haha 1
Geschrieben

So. Zwei Spaß und Spiel Domains (eine mit MTA-STS, die andere ohne) sind für Inbound SMTP DANE konfiguriert. Bei der dritten Domain im Bunde warte ich mal noch die restlichen 6,5 Tage. :-)

 

Für .de Domains benötigt der selfHOST Support dann übrigens:

DNSSEC Schlüssel Flags
DNSSEC Schlüssel Protokoll
DNSSEC Algorithmus
Öffentlicher Schlüssel

 

Für .it und .cloud Domains (wie oben geschrieben):

DNSSEC KeyTag
DNSSEC Algorithmus
DNSSEC Digest Typ
DNSSEC Digest

 

  • Like 1
  • Danke 1

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...