Microsoft déploie SMTP DANE entrant avec DNSSEC pour Exchange Online en avant-première publique, une nouvelle fonctionnalité pour renforcer l’intégrité et la sécurité des e-mails.
Comme l’équipe Exchange l’a expliqué mercredi, l’Authentification basée sur DNS des entités nommées (DANE) pour SMTP et les Extensions de Sécurité du Système de Noms de Domaine (DNSSEC) travaillent ensemble pour se défendre contre les attaques de rétrogradation et d’intermédiaire (MiTM).
Le protocole de sécurité SMTP DANE utilise un enregistrement DNS d’authentification TLS (TLSA) pour vérifier l’identité des serveurs de messagerie de destination et l’authenticité des certificats utilisés pour sécuriser la communication par courrier électronique.
Cela garantit des connexions sécurisées entre les serveurs d’envoi et de réception et aide à prévenir les attaques de rétrogradation TLS et les attaques MiTM, où des acteurs malveillants surveillent ou modifient les communications.
D’autre part, les extensions DNS DNSSEC fournissent une vérification cryptographique des enregistrements DNS pendant le transit, empêchant l’usurpation d’identité, le détournement et l’interception des messages électroniques.
Une fois activé dans Exchange Online, le DANE SMTP entrant avec DNSSEC protégera les domaines de messagerie contre l’usurpation d’identité, garantira que les messages sont livrés aux destinataires prévus à l’aide du cryptage sans être modifiés ou redirigés, et améliorera la réputation des e-mails grâce à la conformité aux dernières normes de sécurité.
L’équipe Exchange a partagé une feuille de route de déploiement qui indique que la nouvelle fonctionnalité sera déployée sur tous les domaines Outlook à la fin de 2024:
- Août 2024-DANE SMTP entrant avec rapport DNSSEC et MTA-STS dans le centre d’administration Exchange
- Octobre 2024-Disponibilité générale du DANOIS SMTP entrant avec DNSSEC
- Fin 2024
- Déploiement de SMTP DANE entrant avec DNSSEC pour tous les domaines Outlook
- Transition du provisionnement des enregistrements de messagerie pour tous les domaines acceptés nouvellement créés vers une infrastructure compatible DNSSEC sous *. mx. microsoft
- Février 2025-Danois SMTP sortant obligatoire, défini par locataire/par domaine distant
Microsoft fournira gratuitement cette nouvelle fonctionnalité aux entreprises et aux particuliers et indique qu’elle est déjà activée pour certains domaines Outlook.
« Nous exhortons les autres fournisseurs de messagerie et propriétaires de domaines à adopter ces normes et à élever collectivement la barre de la sécurité des e-mails et à protéger les utilisateurs contre les acteurs malveillants », a déclaré l’équipe d’échange.
« Nous avons déjà implémenté le DANE SMTP entrant avec DNSSEC pour plusieurs domaines de messagerie Outlook, et nous achèverons l’implémentation pour les domaines Outlook restants (y compris Hotmail) d’ici la fin de 2024. »
Après la mise en service de cette nouvelle fonctionnalité, Microsoft achèvera la prise en charge d’Exchange Online pour SMTP DANE avec DNSSEC, car le SMTP DANE sortant avec DNSSEC est pris en charge depuis mars 2022.
La société avait initialement annoncé en septembre 2023 que cet aperçu public serait déployé de mars à juillet 2024. Cependant, il a été contraint de le retarder en raison des « investissements de sécurité nécessaires » identifiés lors de la phase de prévisualisation privée.