DANE i MTA-STS

Kilka lat temu pisałem o wchodzących na rynek kolejnych mechanizmach zabezpieczenia poczty - DANE i MTA-STS. Mechanizmy te są od pewnego czasu dostępne w Exchange Online, MTA-STS jest również możliwy do skonfigurowania na innych platformach pocztowych. Niestety, jeżeli chodzi o systemy Exchange on-premises, ciągle nie widać istotnych zmian (podobnie jak ciągły brak DKIM). Microsoft nastawił się przede wszystkim na mechanizmy ochronne Exchange Online. Ponieważ jednak wiele bramek pocztowych pozwala na skonfigurowanie dodatkowych mechanizmów ochrony, warto zweryfikować możliwość skonfigurowania niezbędnych elementów (przynajmniej DKIM).

Innym promowanym przez wielu dostawców poczty w ostatnim czasie rozwiązaniem jest BIMI, który nadal jest ignorowany przez Microsoft, możemy jednak skonfigurować go dla naszej domeny (podobnie jak dla pozostałych mechanizmów konfiguracja w dużej mierze sprowadza się do ustawienia odpowiednich rekordów DNS), tak żeby nie mieć problemów wysyłając pocztę np. do Gmaila. O konfiguracji BIMI będzie mowa w kolejnym wpisie.

Co ważne, konfigurację naszych zabezpieczeń możemy sprawdzić, używając mojego ulubionego serwisu mxtoolbox.com (rysunek poniżej). Interesującą alternatywą jest serwis National Cyber Security Centre, chociaż jeszcze nie wszystkie opcje są dostępne.

Jak zatem skonfigurować naszą domenę pocztową, tak żeby skutecznie wykorzystać DANE  (DNS‑based Authentication of Named Entities) w Exchange Online? Exchange Online implementuje DANE w taki sposób:

1. Ruch wychodzący (z Microsoft 365 do Internetu):
• Exchange Online Protecion (EOP) przy próbie dostarczenia wiadomości do zewnętrznych domen sprawdza, czy domena docelowa ma odpowiednie rekordy MX i TLSA, a strefa jest podpisana DNSSEC.
• Jeśli tak, EOP egzekwuje DANE: nawiązuje TLS, weryfikuje certyfikat serwera odbiorcy zgodnie z polityką TLSA i w razie niezgodności nie dostarcza wiadomości.
• Jeśli TLSA/DNSSEC nie są obecne, EOP stosuje standardowy opportunistic TLS (lub inne mechanizmy polityki, np. MTA‑STS, jeśli są dostępne).
2. Ruch przychodzący (z Internetu do Microsoft 365):
• Microsoft publikuje rekordy TLSA dla swoich hostów MX obsługujących Exchange Online, aby nadawcy wspierający DANE mogli kryptograficznie zweryfikować połączenie TLS do EOP.

Dzięki temu, jeśli nadawca obsługuje DANE, jego MTA będzie wymuszał TLS w drodze do Microsoft 365.

Po stronie Exchange Online nie ma przełącznika „włącz DANE” dla ruchu wychodzącego – obsługa jest automatycznie zapewniana przez platformę od roku 2022. Dla ruchu przychodzącego usługa osiągnęła status GA w roku 2024, podobnie jak dla domen konsumenckich (outlook.com i hotmail). W lutym 2026 roku Microsoft wprowadził również opcję konfiguracji konektorów wysyłających w Exchange Online, tak żeby administrator mógł zdecydować, czy dany konektor ma wymuszoną konfigurację DANE z użyciem DNSSEC, korzysta z opcji domyślnej (negocjacja sposobu zabezpieczenia z serwerem docelowym) czy też DANE jest wyłączony, bo system naszego partnera tego nie potrafi - .

Żeby uprościć konfigurację inbound DANE z użyciem DNSSEC, Microsoft ma w Q3 2026 wprowadzić kreator ułatwiający konfigurację (DNSEC enablement wizard), co właśnie ogłosił na blogu zespół produktowy.

Nie ma potrzeby publikowania samodzielnie rekordów TLSA dla hostów MX należących do Microsoftu - Microsoft je utrzymuje.