Microsoft въвежда входящ SMTP DANE с DNSSEC за Exchange Online в публична предварителна версия – нова възможност за повишаване на целостта и сигурността на имейлите.

Както обясни екипът на Exchange в сряда, DNS-базираната автентификация на имената на субектите (DANE) за SMTP и разширенията за сигурност на системата за имена на домейни (DNSSEC) работят заедно, за да се защитят от атаки за понижаване на нивото и атаки от типа „човек в средата“ (MiTM).

Протоколът за сигурност SMTP DANE използва запис TLS Authentication (TLSA) в DNS за проверка на самоличността на пощенските сървъри на местоназначението и автентичността на сертификатите, използвани за защита на имейл комуникацията.

Това дава сигурни връзки между изпращащите и получаващите сървъри и помага за предотвратяване на атаки с понижаване на TLS и MiTM атаки, при които злонамерени лица наблюдават или променят комуникациите.

От друга страна, разширенията на DNS DNSSEC осигуряват криптографска проверка на DNS записите по време на преноса, като предотвратяват подмяната, отвличането и прихващането на имейл съобщения.

След като бъде активирана в Exchange Online, функцията Inbound SMTP DANE with DNSSEC ще защити имейл домейните от олицетворяване, ще гарантира, че съобщенията се доставят на предвидените получатели с помощта на криптиране, без да бъдат променяни или пренасочвани, и ще подобри репутацията на електронната поща чрез спазване на най-новите стандарти за сигурност.

Екипът на Exchange сподели пътна карта за внедряване, в която се казва, че новата възможност ще бъде внедрена във всички домейни на Outlook в края на 2024 г:

• август 2024 г. – Входящ SMTP DANE с DNSSEC и MTA-STS отчет в административния център на Exchange
• Октомври 2024 г. – обща наличност на Inbound SMTP DANE с DNSSEC
• Край на 2024 г.
  Внедряване на Inbound SMTP DANE с DNSSEC за всички домейни на Outlook
  Преминаване към осигуряване на пощенски записи за всички новосъздадени домейни Accepted Domains в                             инфраструктура с поддръжка на DNSSEC под *.mx.microsoft
• Февруари 2025 г. – Задължителен изходящ SMTP DANE, зададен за всеки домейн на наемател/отдалечен домейн

Microsoft ще предостави тази нова възможност безплатно на корпоративните и домашните клиенти и твърди, че тя вече е активирана за някои домейни на Outlook.

„Призоваваме другите доставчици на електронна поща и собствениците на домейни да приемат тези стандарти и колективно да вдигнат летвата за сигурност на електронната поща и да защитят потребителите от злонамерени лица“, заяви екипът на Exchange.

„Вече внедрихме входящия SMTP DANE с DNSSEC за няколко имейл домейна на Outlook и ще завършим внедряването за останалите домейни на Outlook (включително Hotmail) до края на 2024 г.“

След като тази нова възможност влезе в действие, Microsoft ще завърши поддръжката на Exchange Online за SMTP DANE с DNSSEC, тъй като изходящият SMTP DANE с DNSSEC се поддържа от март 2022 г.

Компанията първоначално обяви през септември 2023 г., че тази публична предварителна версия ще се разпространява от март до юли 2024 г. Тя обаче беше принудена да го забави поради „необходимите инвестиции в сигурността“, установени по време на етапа на частния преглед.