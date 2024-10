Microsoft maakt inbound SMTP DANE met DNSSEC algemeen beschikbaar voor klanten van Exchange Online, de mail- en samenwerkingstool in Microsoft 365. Dit moet helpen bij het versterken van de security van e-mail, vooral waar het overheidsdiensten betreft en andere sectoren waar hoge beveiligingseisen gelden.

DANE (DNS-based Authentication of Named Entities) en DNSSEC (Domain Name System Security Extensions) werken samen om e-mails te beschermen tegen man-in-the-middle-aanvallen, downgrade-aanvallen en spoofing. Het zijn beide protocollen die een rol spelen bij het beveiligen van e-mail door een versleutelde verbinding te garanderen en de identiteit van e-mailservers te verifiëren via DNS-signatures. Dit verkleint de kans dat kwaadwillenden zich als legitieme e-mailservers kunnen voordoen en e-mails onderscheppen.

Outbound SMTP DANE in mei 2025 verplicht

In 2022 introduceerde Microsoft al outbound SMTP DANE met DNSSEC, wat een basis legde voor bredere adoptie van deze standaarden. Met de toevoeging van de inbound-functionaliteit maakt Microsoft een toekomstbestendig e-mailbeveiligingsbeleid mogelijk, aldus het bedrijf zelf in een bericht. Daar staat ook een link naar uitleg over hoe de protocollen per tenant zijn in te stellen.

De komende maanden komt de extra security-laag ook beschikbaar voor Outlook- en Hotmail-domeinen. Microsoft kondigt in het bericht verder aan dat outbound SMTP DANE tegen mei 2025 verplicht wordt, waarbij deze instelbaar is per tenant en per remote domein.

Meerlaagse security

DANE maakt een beveiligde verbinding tussen mailservers mogelijk op basis van DNS-gegevens. Het maakt gebruik van TLSA-records in de DNS om aan te geven welke certificaten te vertrouwen zijn. Dit voorkomt dat e-mails door kwaadaardige servers worden onderschept of gemanipuleerd tijdens het transport. DNSSEC is op zijn beurt een extensie van de DNS dat versleutelde handtekeningen toevoegt aan de aanwezige DNS-informatie, waarmee is te verifiëren dat de ontvangen DNS-gegevens niet zijn gewijzigd. Het betreft dus een meerlaagse security-aanpak.

Naast SMTP DANE en DNSSEC biedt ook DMARC (Domain-based Message Authentication, Reporting, and Conformance) een extra beschermingslaag tegen e-mailspoofing. Waar DANE en DNSSEC zich richten op het beveiligen van de e-mailverbinding en serverauthenticatie, controleert DMARC of inkomende e-mails daadwerkelijk afkomstig zijn van de personen of instanties die ze zeggen te zijn.

Het Forum Standaardisatie meldde deze zomer nog dat de adoptie van standaarden voor internet- en mailsecurity bij de Nederlandse overheid achterblijft.

