NorbertFe 2.184 Geschrieben 21. Juli 2024 Melden Geschrieben 21. Juli 2024 Hi, Microsoft hat aktuell den Test für inbound SMTP DANE ermöglicht. Wer also seinen MX bei ExO liegen hat und DNSSec aktiviert hat bzw. aktivieren kann, kann sich das jetzt mal live und in Farbe anschauen. Unter https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-public-preview-of-inbound-smtp-dane-with-dnssec-for/ba-p/4155257 ist das alles beschrieben und verlinkt. Interessant ist sicherlich auch die Roadmap für das Feature: August 2024 – Inbound SMTP DANE with DNSSEC and MTA-STS report in the Exchange admin center October 2024 – General Availability of Inbound SMTP DANE with DNSSEC End of 2024 Deploying Inbound SMTP DANE with DNSSEC for all Outlook domains Transition provisioning of mail records for all newly created Accepted Domains into DNSSEC-enabled infrastructure underneath *.mx.microsoft February 2025 – Mandatory Outbound SMTP DANE, set per-tenant/per-remote domain Falls jemand die Voraussetzungen hat und testen kann/will, wäre es nett, wenn man evtl. an den Erfahrungen teilhaben kann. Bye Norbert PS: bei IONOS ist DNSSec inzwischen fürs 1. Jahr quasi geschenkt und ab dann auch nicht unbedingt unbezahlbar. TLSA Records kann man über die DNS API anlegen. Den Hinweis geb ich hier nur, weil IONOS ja doch ein recht gebräuchlicher DNS Provider für viele kleine und mittlere Kunden ist und ich deswegen dem TLSA Thema bei denen schon vor einiger Zeit hinterhergerannt bin. ;) 2 Zitieren
testperson 1.779 Geschrieben 22. Juli 2024 Melden Geschrieben 22. Juli 2024 (bearbeitet) Moin, bei mir scheitert es leider daran, dass der Azure DNS Service kein DNSSEC unterstützt: FAQ - Azure DNS | Microsoft Learn Ich hatte seit der ersten Ankündigung zu diesem Thema die Hoffnung, dass Microsoft bis zur Preview bis zum Start dann auch DNSSEC im Azure DNS kann.. Gruß Jan bearbeitet 22. Juli 2024 von testperson Zitieren
NorbertFe 2.184 Geschrieben 22. Juli 2024 Autor Melden Geschrieben 22. Juli 2024 vor 30 Minuten schrieb testperson: bis zum Start dann auch DNSSEC im Azure DNS kann. Lt. Kommentar auf der oben verlinkten Seite dauert das noch „ein paar Monate“ ist wohl im internal preview. Zitieren
testperson 1.779 Geschrieben 22. Juli 2024 Melden Geschrieben 22. Juli 2024 Im Endeffekt gilt also weiterhin Zitat Fully Delegated domains: domains that are hosted by Microsoft and use NS delegation so that Microsoft’s name servers are authoritative for the domain, will not get support for Inbound SMTP DANE with DNSSEC as part of the public preview. We do intend to support Inbound SMTP DANE with DNSSEC for these domains and we are tentatively aiming for second half of CY24. aus Implementing Inbound SMTP DANE with DNSSEC for Exchange Online Mail Flow - Microsoft Community Hub. (Sofern man davon ausgeht, dass Microsoft ebenfalls Azure DNS nutzt.) Unterm Strich: Sobald Azure DNS DNSSEC kann (und es kein Vermögen kostet), werde ich mitmachen. Zitieren
NorbertFe 2.184 Geschrieben 22. Juli 2024 Autor Melden Geschrieben 22. Juli 2024 Warum nutzt man den azure DNS? Ist das irgendwie besser als andere? Zitieren
testperson 1.779 Geschrieben 22. Juli 2024 Melden Geschrieben 22. Juli 2024 Ich habe keinen Anbieter gefunden, wo ich meine angesammelten TLDs hätte unter einen Hut bringen können und habe dann einfach Azure genutzt, um überall die gleiche API zu haben. Dann "läuft" noch ein AVD mit Beiwerk in Azure und ich habe dann vieles in einem Portal. Das muss jetzt nicht für Azure DNS sprechen aber auch nicht dagegen. Zitieren
NorbertFe 2.184 Geschrieben 22. Juli 2024 Autor Melden Geschrieben 22. Juli 2024 vor 39 Minuten schrieb testperson: wo ich meine angesammelten TLDs hätte unter einen Hut bringen können Ach du bist der mit den ganzen komischen tlds! 😎 Zitieren
testperson 1.779 Geschrieben 22. Juli 2024 Melden Geschrieben 22. Juli 2024 vor 6 Minuten schrieb NorbertFe: Ach du bist der mit den ganzen komischen tlds! 😎 Und ich hätte so gerne eine / welche aus Andorra. Notfalls auch .ads von Google. :) Zitieren
NorbertFe 2.184 Geschrieben 22. Juli 2024 Autor Melden Geschrieben 22. Juli 2024 Da wäre dann aber noch zu klären, ob die auch dnssec anbieten. Hab mindestens einen Kunden der unbedingt .pm nutzt, und die bieten kein dnssec an. Zitieren
testperson 1.779 Geschrieben 29. Oktober 2024 Melden Geschrieben 29. Oktober 2024 SMTP DANE mit DNSSEC ist jetzt GA: Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub Zitieren
NorbertFe 2.184 Geschrieben 29. Oktober 2024 Autor Melden Geschrieben 29. Oktober 2024 Da liegen sie ja voll im Zeitplan bei MS. ;) Zitieren
testperson 1.779 Geschrieben Mittwoch um 15:31 Melden Geschrieben Mittwoch um 15:31 Da ist man heute nochmal im Azure DNS Portal und stolpert über "DNSSEC". Scheinbar ist das Anfang des Jahres live gegangen: How to sign your Azure Public DNS zone with DNSSEC | Microsoft Learn Zitat If the parent zone is a top level domain (for example: .com), you must add the DS record at your registrar. Each registrar has its own process. The registrar might ask for values such as the Key Tag, Algorithm, Digest Type, and Key Digest. Jetzt muss ich nur noch den Prozess für .it in Erfahrung bringen. 1 Zitieren
NorbertFe 2.184 Geschrieben Mittwoch um 17:29 Autor Melden Geschrieben Mittwoch um 17:29 vor 1 Stunde schrieb testperson: Da ist man heute nochmal im Azure DNS Portal und stolpert über "DNSSEC". Scheinbar ist das Anfang des Jahres live gegangen: How to sign your Azure Public DNS zone with DNSSEC | Microsoft Learn Jetzt muss ich nur noch den Prozess für .it in Erfahrung bringen. Sind wir mal gespannt :) Zitieren
testperson 1.779 Geschrieben Mittwoch um 19:28 Melden Geschrieben Mittwoch um 19:28 DNSSEC funktioniert (scheinbar) schonmal. Die Domain ist bei selfHOST registriert und die DNS Zone liegt bei Azure. Hab den Support angeschrieben und die brauchen dann nur die Infos aus dem oben verlinkten Artikel und richten das dann ein. # Punkt 6 aus # https://learn.microsoft.com/en-us/azure/dns/dnssec-how-to?tabs=sign-portal#sign-a-zone-with-dnssec Key Tag: 4535 Algorithm: 13 Digest Type: 2 Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001 Morgen dann mal in Ruhe mit How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications | Microsoft Learn weitermachen. Wobei ich da wohl nach dem ersten Überfliegen recht zügig 7 Tage Pause machen muss.. 1 1 Zitieren
testperson 1.779 Geschrieben Donnerstag um 16:49 Melden Geschrieben Donnerstag um 16:49 So. Zwei Spaß und Spiel Domains (eine mit MTA-STS, die andere ohne) sind für Inbound SMTP DANE konfiguriert. Bei der dritten Domain im Bunde warte ich mal noch die restlichen 6,5 Tage. Für .de Domains benötigt der selfHOST Support dann übrigens: DNSSEC Schlüssel Flags DNSSEC Schlüssel Protokoll DNSSEC Algorithmus Öffentlicher Schlüssel Für .it und .cloud Domains (wie oben geschrieben): DNSSEC KeyTag DNSSEC Algorithmus DNSSEC Digest Typ DNSSEC Digest 1 1 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.