Exchange Online

マイクロソフトは、Exchange OnlineのDNSSEC付きインバウンドSMTP DANEをパブリックプレビューで展開する。

Exchangeチームが水曜日に説明したように、DNS-based Authentication of Named Entities (DANE) for SMTPとDomain Name System Security Extensions (DNSSEC)は、ダウングレード攻撃と中間者攻撃(MiTM)を防御するために連携する。

SMTP DANEセキュリティプロトコルは、TLS認証(TLSA)DNSレコードを利用して、宛先メールサーバーの身元と、電子メール通信のセキュリティ保護に使用される証明書の信頼性を検証する。

これにより、送信サーバーと受信サーバー間の安全な接続が保証され、悪意のあるアクターが通信を監視または変更するTLSダウングレード攻撃やMiTM攻撃の防止に役立ちます。

一方、DNSSEC DNS拡張機能は、転送中のDNSレコードの暗号検証を提供し、電子メールメッセージのなりすまし、ハイジャック、傍受を防止します。

Exchange OnlineでInbound SMTP DANE with DNSSECを有効にすると、電子メールドメインをなりすましから保護し、メッセージが改ざんやリダイレクトされることなく、暗号化を使用して意図した受信者に確実に配信され、最新のセキュリティ標準に準拠して電子メールのレピュテーションが向上します。

Exchangeチームは、この新機能が2024年後半にすべてのOutlookドメインに展開されるという展開ロードマップを共有した:

  • 2024 年 8 月 – Exchange 管理センターで DNSSEC および MTA-STS を使用した受信 SMTP DANE レポートが作成される。
  • 2024年10月 – DNSSEC付きInbound SMTP DANEの一般提供開始
  • 2024 年末
    • すべてのOutlookドメインに対するDNSSEC付き受信SMTP DANEの展開
    • *.mx.microsoftの下のDNSSEC対応インフラストラクチャに、新しく作成された すべてのAcceptedドメインのメールレコードのプロビジョニングを移行
  • 2025年2月 – Outbound SMTP DANEの必須化、テナント/リモートドメインごとに設定

マイクロソフトはこの新機能を企業および家庭顧客に無料で提供し、一部のOutlookドメインではすでに有効になっているという。

「我々は、他の電子メールプロバイダおよびドメイン所有者がこれらの標準を採用し、集合的に電子メールセキュリティの水準を引き上げ、悪意のある行為者からユーザーを保護することを強く勧める」とExchange Teamは述べている。

「我々はすでにいくつかのOutlookメールドメインにDNSSEC付きインバウンドSMTP DANEを実装しており、2024年末までに残りのOutlookドメイン(Hotmailを含む)への実装を完了する予定である。

この新機能が稼動した後、マイクロソフトはExchange OnlineのSMTP DANE with DNSSECのサポートを完了する予定である。

同社は当初、2023年9月にこのパブリックプレビューを2024年3月から7月まで展開すると発表していた。しかし、プライベートプレビューの段階で判明した「必要なセキュリティ投資」のため、延期を余儀なくされた。