Terug naar het overzicht
17 juli 2024
Microsoft kondigt publieke preview van Inbound DANE voor Exchange Online aan!
🎉 Eindelijk goed nieuws voor de beveiliging van e-mailverkeer! Microsoft heeft vandaag de publieke preview van Inbound DANE (DNS-based Authentication of Named Entities) voor Exchange Online aangekondigd. Met DANE kun je TLS-geauthenticeerde verbindingen tot stand brengen en versleuteld e-mailtransport garanderen. Dit helpt om Man-in-the-Middle-aanvallen op e-mail te voorkomen.
Hier is een uitgebreide blog met de details en voordelen van DANE voor Exchange Online:
Voordelen van DANE voor Exchange Online
- TLS Authenticated Connections:
- Zorgt voor versleuteld e-mailtransport
- Voorkomt Man-in-the-Middle-aanvallen
- Alternatief voor Mandatory/Mutual TLS:
- Geen handmatige configuratie vereist aan beide kanten per e-maildomein
- Makkelijker en veiliger in gebruik
- Veiliger dan MTA-STS:
- MTA-STS werkt op basis van “trust on first connection” principe
- Beschermt niet altijd tegen DNS-aanvallen
- DANE biedt betere beveiliging tegen dergelijke aanvallen
- Complementaire Protocollen:
- DANE kan worden gecombineerd met andere protocollen zoals Mandatory/Mutual TLS en MTA-STS
- Biedt een gelaagde beveiligingsstrategie
Belangrijk voor Nederlandse Overheidsinstellingen
🚀 Voor Nederlandse overheidsinstanties is DANE een verplicht protocol. Microsoft stond onder druk om dit te implementeren omdat het als een blokkerend probleem werd beschouwd. Voorheen was het nodig om derde partij oplossingen voor Exchange Online te gebruiken om aan deze vereisten te voldoen. Nu hebben we eindelijk een publieke tijdlijn van Microsoft voor de implementatie.
Vereisten voor het Gebruik van DANE
- DNSSEC Vereist:
- Je maildomein moet DNSSEC ondersteunen om DANE te kunnen gebruiken
- Op dit moment wordt DNSSEC niet ondersteund in Azure DNS, maar er kunnen updates zijn die ik gemist heb
- Persoonlijk gebruik ik DNS-domeinen met DNSSEC ondersteuning elders 🥳
Veelgestelde Vragen over Inbound DANE voor Exchange Online
1. Wat is DANE en hoe werkt het?
DANE (DNS-based Authentication of Named Entities) is een protocol dat TLS-authenticatie mogelijk maakt door gebruik te maken van DNSSEC (DNS Security Extensions). Het zorgt ervoor dat e-mailverkeer versleuteld en geauthenticeerd is, wat Man-in-the-Middle-aanvallen voorkomt. Door het toevoegen van TLSA-records aan je DNS-instellingen, kunnen ontvangers verifiëren dat de versleuteling legitiem is en afkomstig van de juiste bron.
2. Waarom is DANE veiliger dan MTA-STS?
DANE biedt een hogere beveiliging omdat het gebruik maakt van DNSSEC om de integriteit van de DNS-records te waarborgen. Dit betekent dat DANE beter bestand is tegen DNS-aanvallen, terwijl MTA-STS vertrouwt op het eerste verbinding principe, wat minder robuust is tegen bepaalde vormen van aanvallen zoals DNS-spoofing.
3. Heb ik DNSSEC nodig voor DANE?
Ja, DNSSEC is een vereiste voor het gebruik van DANE. Zonder DNSSEC kunnen de TLSA-records die nodig zijn voor DANE niet betrouwbaar worden geverifieerd, waardoor de beveiligingsvoordelen teniet worden gedaan.
4. Wordt DNSSEC ondersteund in Azure DNS?
Op dit moment ondersteunt Azure DNS geen DNSSEC. Dit betekent dat je je DNS-domeinen bij een andere provider moet hosten die DNSSEC wel ondersteunt om DANE te kunnen gebruiken.
5. Kan ik DANE combineren met andere protocollen zoals MTA-STS en Mandatory/Mutual TLS?
Ja, DANE is complementair aan andere beveiligingsprotocollen zoals MTA-STS en Mandatory/Mutual TLS. Je kunt ze samen gebruiken om een gelaagde en robuuste beveiligingsstrategie voor je e-mailverkeer te creëren.
6. Hoe configureer ik DANE voor mijn Exchange Online-domein?
Het configureren van DANE vereist dat je TLSA-records toevoegt aan je DNS-instellingen. Dit omvat het publiceren van de openbare sleutels en certificaatgegevens die door de ontvangende servers worden gebruikt om je versleutelde verbindingen te verifiëren. Raadpleeg de documentatie van je DNS-provider en Microsoft voor gedetailleerde stappen.
7. Waarom is DANE belangrijk voor Nederlandse overheidsinstellingen?
Voor Nederlandse overheidsinstellingen is DANE een verplicht protocol. Dit zorgt ervoor dat e-mailverkeer tussen overheidsinstanties en andere partijen veilig en betrouwbaar is. Door DANE te implementeren, voldoen deze instanties aan nationale veiligheidsnormen en -richtlijnen.
8. Wat zijn de voordelen van het gebruik van DANE in plaats van derde partij oplossingen?
Het gebruik van DANE in plaats van derde partij oplossingen biedt directe integratie met je bestaande e-mailinfrastructuur zonder afhankelijk te zijn van externe services. Dit vermindert complexiteit en kosten, en verhoogt de betrouwbaarheid en veiligheid van je e-mailverkeer.
Conclusie
DANE voor Exchange Online is een grote stap in e-mailbeveiliging, essentieel voor organisaties met hoge beveiligingseisen, zoals Nederlandse overheidsinstellingen. Het zorgt voor veilige, versleutelde e-mailverbindingen zonder de noodzaak van handmatige configuraties.
🚀 Zero Trust Email Security Pakket 🚀
Ons Zero Trust Email Security Pakket biedt complete configuratie en monitoring van DANE, gecombineerd met andere beveiligingsprotocollen zoals MTA-STS en Mandatory/Mutual TLS. Dit pakket zorgt voor:
- Automatische configuratie en monitoring van DANE
- Integratie met aanvullende beveiligingsprotocollen
- Continu toezicht en snelle incidentrespons
Blijf veilig en beveiligd met ons Zero Trust Email Security Pakket! 🚀📧