DANE i MTA-STS

Kilka lat temu pisałem o wchodzących na rynek kolejnych mechanizmach zabezpieczenia poczty - DANE i MTA-STS. Mechanizmy te są od pewnego czasu dostępne w Exchange Online, MTA-STS jest również możliwy do skonfigurowania na innych platformach pocztowych. Niestety, jeżeli chodzi o systemy Exchange on-premises, ciągle nie widać istotnych zmian (podobnie jak ciągły brak DKIM). Microsoft nastawił się przede wszystkim na mechanizmy ochronne Exchange Online. Ponieważ jednak wiele bramek pocztowych pozwala na skonfigurowanie dodatkowych mechanizmów ochrony, warto zweryfikować możliwość skonfigurowania niezbędnych elementów (przynajmniej DKIM).

Innym promowanym przez wielu dostawców poczty w ostatnim czasie rozwiązaniem jest BIMI, który nadal jest ignorowany przez Microsoft, możemy jednak skonfigurować go dla naszej domeny (podobnie jak dla pozostałych mechanizmów konfiguracja w dużej mierze sprowadza się do ustawienia odpowiednich rekordów DNS), tak żeby nie mieć problemów wysyłając pocztę np. do Gmaila. O konfiguracji BIMI będzie mowa w kolejnym wpisie.

Co ważne, konfigurację naszych zabezpieczeń możemy sprawdzić, używając mojego ulubionego serwisu mxtoolbox.com (rysunek poniżej). Interesującą alternatywą jest serwis National Cyber Security Centre, chociaż jeszcze nie wszystkie opcje są dostępne.

Jak zatem skonfigurować naszą domenę pocztową, tak żeby skutecznie wykorzystać DANE  (DNS‑based Authentication of Named Entities) w Exchange Online? Exchange Online implementuje DANE w taki sposób:

1. Ruch wychodzący (z Microsoft 365 do Internetu):
• Exchange Online Protecion (EOP) przy próbie dostarczenia wiadomości do zewnętrznych domen sprawdza, czy domena docelowa ma odpowiednie rekordy MX i TLSA, a strefa jest podpisana DNSSEC.
• Jeśli tak, EOP egzekwuje DANE: nawiązuje TLS, weryfikuje certyfikat serwera odbiorcy zgodnie z polityką TLSA i w razie niezgodności nie dostarcza wiadomości.
• Jeśli TLSA/DNSSEC nie są obecne, EOP stosuje standardowy opportunistic TLS (lub inne mechanizmy polityki, np. MTA‑STS, jeśli są dostępne).
2. Ruch przychodzący (z Internetu do Microsoft 365):
• Microsoft publikuje rekordy TLSA dla swoich hostów MX obsługujących Exchange Online, aby nadawcy wspierający DANE mogli kryptograficznie zweryfikować połączenie TLS do EOP.

Dzięki temu, jeśli nadawca obsługuje DANE, jego MTA będzie wymuszał TLS w drodze do Microsoft 365.

Reboot

Kilka dni temu spotkałem na konferencji administratora z organizacji, w której kilka lat temu wdrażałem Exchange, który uświadomił mnie, że powinienem wrócić do pisania bloga. Nie wiem jak długo będę w stanie wytrwać w tym postanowieniu. Faktycznie, kiedy w zeszłym roku pojawiła się w końcu nowa wersja Exchange, a Exchange 2016 i 2019 utraciły wsparcie, wróciłem do podstaw i udało mi się zrobić spotkanie PEPUG online, poświęcone zmianom, a w październiku nawet spotkanie stacjonarne. Wykonałem również kilka migracji do wersji Exchange SE, zarówno in-place jak i na nowe serwery. Pojawiło się przy tym kilka ciekawych problemów do udostępnienia. Zatem po dwóch latach przerwy wracam do blogowania.