SMTP DANE (SMTP Domain-based Message Authentication, Reporting, and Conformance) è una tecnologia di sicurezza per la posta elettronica che mira a migliorare l’autenticazione e la sicurezza delle comunicazioni via e-mail. Si basa sull’uso del protocollo DNS (Domain Name System) per verificare la validità dei certificati utilizzati nella crittografia delle e-mail con TLS (Transport Layer Security).
In buona sostanza, SMTP DANE aiuta a garantire che le email siano inviate e ricevute in modo sicuro, riducendo il rischio di manomissioni o attacchi informatici durante la trasmissione.
DNSSEC (Domain Name System Security Extensions) è una serie di estensioni al sistema DNS progettate per aumentare la sicurezza del sistema di risoluzione dei nomi di dominio. Semplicemente, DNSSEC aggiunge un livello di autenticazione crittografica ai record DNS, confermando che le informazioni fornite dal sistema DNS sono autentiche e non sono state alterate da terze parti malevole.
A partire da marzo 2024, Microsoft presenterà una versione di anteprima pubblica per l’implementazione di SMTP DANE (in ingresso) con l’integrazione di DNSSEC nell’ambito del flusso di posta di Exchange Online. Questo rappresenterà il completamento del supporto di Exchange Online per SMTP DANE con DNSSEC, già presente per le comunicazioni in uscita sin dal marzo 2022.
SMTP DANE rappresenta un protocollo di sicurezza che sfrutta il DNS per autenticare i certificati impiegati nella protezione delle comunicazioni via e-mail mediante TLS. Questo sistema è progettato per difendersi dagli attacchi di TLS downgrade. Al contempo, DNSSEC costituisce un insieme di estensioni per il DNS, garantendo una verifica crittografica dei record DNS e prevenendo il rischio di spoofing e attacchi malevoli diretti al sistema DNS.
Per sostenere l’implementazione di SMTP DANE in ingresso con DNSSEC, Microsoft ha creato una nuova infrastruttura DNS per Exchange Online che sarà protetta mediante DNSSEC. L’introduzione di questa nuova architettura avrà un impatto sull’infrastruttura DNS legacy di Exchange Online, in particolare sul dominio mail.protection.outlook.com, che attualmente ospita i record A dei clienti per il flusso di posta verso Exchange Online. Vista la tendenza a considerare il DNS come un servizio di backend da configurare e poi dimenticare, Microsoft desidera sensibilizzare gli operatori del settore, garantendo che tutti siano informati in anticipo rispetto alla Public Preview prevista per marzo 2024. I messaging administrators, o le organizzazioni terze che rivendono Microsoft 365 o si integrano con Exchange Online per scopi di flusso di posta, sono invitati ad esaminare i cambiamenti in atto per stabilire se ci sono azioni da intraprendere prima del rilascio della funzionalità.
Modalità di Rilascio
l supporto iniziale per SMTP DANE in ingresso con DNSSEC seguirà due fasi:
- Marzo 2024 – durante l’attivazione dell’anteprima pubblica, i clienti avranno la possibilità di utilizzare il centro di amministrazione di Microsoft 365 per abilitare SMTP DANE su un dominio accettato. Sarà anche possibile migrare i domini esistenti verso le nuove zone abilitate per DNSSEC.
- Luglio 2024 – dopo la disponibilità generale (GA), DNSSEC verrà rilasciato gradualmente. Tra luglio e dicembre 2024, Microsoft procederà al trasferimento progressivo del provisioning di tutti i record A relativi ai nuovi domini accettati verso i nuovi sottodomini sotto mx.microsoft.
Questa modifica riguarda il provisioning dei record Mail Exchange (MX) e dei record Address (A) per il flusso di posta dei Domini Accettati noti come “vanity domains”, e in particolare le zone in cui Microsoft provvederà ai futuri record A. La modifica chiave consiste nell’introduzione dei sottodomini <subdominio>.mx.microsoft, i quali sostituiranno mail.protection.outlook.com per ospitare i record A dei futuri Domini Accettati. Si dovranno utilizzare molti sottodomini invece di un unico grande dominio a causa delle limitazioni di DNSSEC.
Attualmente, quando viene creato un dominio accettato, Exchange Online provvede alla creazione di un record A in mail.protection.outlook.com, e l’amministratore configura un record MX che fa riferimento a tale record A. Per tali record, nulla cambia. Ad esempio, se un amministratore aggiunge Contoso.com come dominio accettato prima di luglio 2024, il Microsoft 365 Admin Center mostrerà quanto segue:
A partire da luglio 2024, verrà avviato un processo graduale di creazione di una porzione dei nuovi record A nei sottodomini di mx.microsoft. Questo processo si estenderà fino a dicembre 2024, con l’obiettivo di completare il provisioning del 100% dei domini accettati come sottodomini sotto mx.microsoft entro la fine di dicembre 2024.
L’amministratore del tenant dovrà configurare un record MX che faccia riferimento al corretto record A nel suo specifico sottodominio. Questa è l’unica modifica all’esperienza amministrativa quando si configura manualmente il dominio accettato la prima volta. Per i domini accettati creati prima di luglio 2024, verrà rilasciato un assistente di attivazione DNSSEC come parte della Public Preview di SMTP DANE con DNSSEC, consentendo agli amministratori di migrare i loro record DNS verso domini protetti da DNSSEC.
Proseguendo con l’esempio di Contoso.com, se l’amministratore di Contoso.com aggiunge Fabrikam.com come dominio accettato (non come dominio onmicrosoft.com per il tenant) dopo luglio 2024, il centro amministrativo di Microsoft 365 potrebbe mostrare quanto segue:
Dato che la parte “1j2b” del nome di dominio viene assegnata casualmente, questa modifica introduce una certa ambiguità con l’auto-provisioning dei record MX e rappresenterà un problema per coloro che utilizzano l’automazione per auto-provvisionare record MX che fanno riferimento a record A in mail.protection.outlook.com.
Microsoft, dunque, adotterà DNSSEC a causa dei significativi benefici in termini di sicurezza. Nonostante mail.protection.outlook.com rimarrà operativo a tempo indeterminato, verrà interrotta la fornitura di futuri record A per i domini accettati. A partire da marzo 2024, come parte della Public Preview, i clienti potranno utilizzare Microsoft 365 Admin Center e/o Exchange PowerShell per migrare i loro record DNS di flusso di posta da mail.protection.outlook.com ai nuovi subdomain sotto mx.microsoft
Conclusioni
L’implementazione di SMTP DANE con DNSSEC in Exchange Online rappresenta un passo significativo per Microsoft nella promozione della sicurezza e dell’affidabilità del flusso di posta del servizio. La pianificazione di nuovi record A in sottodomini specifici sotto mx.microsoft a partire da luglio 2024 segna un cambiamento strategico per migliorare la sicurezza, affermando chiaramente l’impegno verso la protezione degli utenti.
Il passaggio da mail.protection.outlook.com ai nuovi sottodomini, insieme alla transizione graduale pianificata tra marzo e dicembre 2024, riflette un approccio attento per garantire una migrazione fluida e un’adozione agevole delle nuove misure di sicurezza. L’introduzione di DNSSEC è particolarmente saliente, poiché contribuirà in modo significativo a prevenire attacchi e migliorare l’integrità dei DNS.
Durante l’anteprima pubblica, gli amministratori avranno la possibilità di utilizzare strumenti come il Microsoft 365 Admin Center e Exchange PowerShell per gestire la transizione dei record DNS di flusso di posta. Questo processo consentirà agli utenti di abilitare DNSSEC per i propri Domini Accettati e di attivare successivamente SMTP DANE su domini protetti da DNSSEC.