Experts Inside Blog

Konfigurieren von Inbound SMTP-DANE mit DNSSEC in Exchange Online

Geschrieben von Pano Boschung | Feb 13, 2025 12:22:58 PM

In der heutigen digitalen Welt ist die Sicherheit von E-Mails von entscheidender Bedeutung. Daher freuen wir uns, Ihnen eine Anleitung zur Einführung von Inbound SMTP DANE und DNSSEC in Exchange Online (Microsoft 365) zu präsentieren. SMTP DANE und DNSSEC arbeiten zusammen, um die Authentizität der Zertifikate zu überprüfen, die für die Sicherung der E-Mail-Kommunikation mit TLS verwendet werden, und schützen so vor TLS-Downgrade-Angriffen.

Was ist SMTP DANE und DNSSEC?

  • SMTP DANE (DNS-based Authentication of Named Entities) nutzt DNS, um Zertifikate für TLS-gesicherte E-Mail-Kommunikation zu verifizieren und schützt vor TLS-Downgrade-Angriffen. DNSSEC bietet kryptografische Verifizierung von DNS-Datensätzen und verhindert DNS-Spoofing sowie Man-in-the-Middle-Angriffe auf DNS. 
  • DNSSEC (Domain Name System Security Extensions) erweitert DNS durch kryptografische Verifizierung von Datensätzen, um DNS-Spoofing und Man-in-the-Middle-Angriffe zu verhindern. 

Microsoft bietet Inbound SMTP DANE mit DNSSEC kostenlos an, um die E-Mail-Sicherheit für alle zu verbessern.
Outbound SMTP DANE mit DNSSEC Support ist in Exchange Online bereits seit März 2022 verfügbar und standardmäßig für alle Exchange Online-Kunden aktiviert.

 

Einrichten von Inbound SMTP DANE mit DNSSEC in Exchange Online

Im Folgenden findet ihr die Schritte zur Einrichtung von Inbound SMTP DANE und DNSSEC in Exchange Online:

 

1: Überprüfen, ob die Domäne DNSSEC-signiert ist

Als erstes muss DNSSEC auf der DNS Zone der einzurichtenden Domäne aktiviert sein.

Auf der Seite Verisign DNSSEC Debugger Tool muss der Domänen Name eingegeben werden. Anschliesend auf Enter drücken.

Alle Einträge sollten ein grünes Häkchen haben. 

 

Falls nicht alles grün ist bedeutet das, dass die Domäne noch nicht korrekt signiert ist. Macht erst weiter, wenn hier alles passt. Prüft im Portal eures DNS-Providers ob DNSSEC für die entsprechende Domäne aktiviert ist.  

 

2: MX-Record TTL des bestehenden Eintrag runtersetzen

Um lange Wartezeiten zu verhindern, sollte der TTL-Wert für den bestehenden MX-Record auf 1 Minute heruntergesetzt werden.
Falls 1 Minute nicht zur Auswahl steht, wählt einfach den tiefsten Wert der möglich ist.

Es empfiehlt sich abzuwarten bis die vorherige TTL abgelaufen ist, bevor ihr fortfahrt.

 

3: DNSSEC für die Domäne in Exchange Online aktivieren

DNSSEC muss in der Exchange Online PowerShell pro Domäne aktiviert werden. Das geschieht mit dem Befehl Enable-DnssecForVerifiedDomain. Dadurch wird ein neuer MX-Eintrag generiert der mit .mx.microsoft endet.

Hier einige DNSSEC Befehle:

  • Get-DnssecStatusForVerifiedDomain -DomainName <MeineDomäne.ch>
  • Enable-DnssecForVerifiedDomain -DomainName <MeineDomäne.ch>
  • Disable-DnssecForVerifiedDomain -DomainName <MeineDomäne.ch

In meinem Beispiel sieht das dann wie folgt aus:

 

4: Neuen MX-Record erstellen und testen

Jetzt muss ein neuer MX-Eintrag in der öffentlichen DNS-Zone eurer Domäne erstellt werden.

  • Fügt als Wert den DnssecMxValue aus Schritt 3 ein.
    In meinem Beispiel ist das boschung-rocks.t-v1.mx.microsoft
  • Der TTL sollte auf 1 Minute gesetzt werden, oder auf den tiefst möglichen Wert
  • Die Priorität muss einen höheren Wert haben, als der aktuelle MX-Eintrag, so dass weiterhin der aktuelle MX-Eintrag als erstes ausgewählt wird

Beispiel

Sobald der Eintrag erstellt wurde, prüft über den Remote Connectivity Analyzer, ob der neue MX-Eintrag erscheint.

Tragt eine E-Mail-Adresse ein und klickt auf Perform Test:

Wenn alles Ok ist, dann wird der neue MX-Eintrag im Verlauf auch aufgelistet:

 

5: MX-Einträge anpassen

Wenn der DNSSEC Test in Schritt 1 erfolgreich war und der neue MX Record gemäss Schritt 4 aufgelöst wird, dann kann nun der «Original» MX-Eintrag entfernt werden, und die Priorität des neuen MX-Eintrags auf 10 gesetzt werden.

E-Mails werden ab jetzt einfach über den neuen MX-Eintrag ausgeliefert, jedoch noch ohne SMTP DANE.

In meinem Beispiel lösche ich den ursprünglichen MX-Eintrag boschung-rocks.mail.protection.outlook.com. Dann existiert nur noch der neue Eintrag:

 

6: Überprüft die DNSSEC-Validierung 

Als nächstes sollte die DNSSEC-Validierung mit dem Remote Connectivity Analyzer geprüft werden:

Den Domänen Namen eingeben, DNSSEC Validation auswählen und auf Perform Test klicken

Wenn der Test erfolgreich war, dann ist der neue MX-Eintrag ersichtlich:

 

7: Aktivieren von Inbound SMTP DANE für die Domäne

Mit folgendem Befehl kann jetzt Inbound SMTP DANE für ihre Domäne aktiviert werden: Enable-SmtpDaneInbound -DomainName "IhreDomain.com"

Dieser Befehl erstellt bei Microsoft einen TLSA-Eintrag für ihre Domäne und somit wird Inbound SMTP DANE für die ausgewälte Domäne aktiviert.

Warten Sie 15-30 Minuten, bevor Sie fortfahren, damit der TLSA-Record sich ausbreiten kann.

 

8: DANE-Validierung (einschliesslich DNSSEC) überprüfen

Als letztes sollte die DANE-Validierung wieder mit dem Remote Connectivity Analyzer geprüft werden.

Tragt euren Domänennamen ein und wählt diesmal den Test DANE Validation (including DNSSEC) und klicken Sie auf Perform Test.

 

Als Resultat sollten alle Tests DNSSEC, TLSA und DANE erfolgreich sein:

Exchange Online hostet mehrere TLSA-Einträge, um die Zuverlässigkeit der SMTP-DANE-Validierungen zu erhöhen. Es kann vorkommen, dass einige TLSA-Records als fehlerhaft angezeigt werden. Solange jedoch mindestens ein TLSA-Eintrag die Validierung besteht, ist SMTP DANE korrekt eingerichtet und die Kommunikation wird durch SMTP DANE gesichert.

Funktionsweise der DNS-basierten SMTP-Authentifizierung benannter Entitäten (DANE)

Outbound SMTP DANE with DNSSEC
Vollständigen Beitrag anzeigen