Microsoft déploie SMTP DANE entrant avec DNSSEC pour Exchange Online en aperçu public, une nouvelle fonctionnalité permettant d'améliorer l'intégrité et la sécurité des e-mails.

Comme l'a expliqué l'équipe Exchange mercredi, l'authentification basée sur DNS des entités nommées (DANE) pour SMTP et les extensions de sécurité du système de noms de domaine (DNSSEC) fonctionnent ensemble pour se défendre contre les attaques de rétrogradation et de l'homme du milieu (MiTM).

Le protocole de sécurité SMTP DANE utilise un enregistrement DNS d'authentification TLS (TLSA) pour vérifier l'identité des serveurs de messagerie de destination et l'authenticité des certificats utilisés pour sécuriser la communication par courrier électronique.

Cela garantit des connexions sécurisées entre les serveurs d'envoi et de réception et aide à prévenir les attaques de rétrogradation TLS et les attaques MiTM, où des acteurs malveillants surveillent ou modifient les communications.

D'autre part, les extensions DNS DNSSEC fournissent une vérification cryptographique des enregistrements DNS pendant le transit, empêchant l'usurpation d'identité, le piratage et l'interception des messages électroniques.

Une fois activé dans Exchange Online, Inbound SMTP DANE avec DNSSEC protégera les domaines de messagerie contre l'usurpation d'identité, garantira que les messages sont livrés aux destinataires prévus à l'aide du cryptage sans être modifiés ou redirigés, et améliorera la réputation du courrier électronique grâce au respect des dernières normes de sécurité.

L'équipe Exchange a partagé une feuille de route de déploiement qui indique que la nouvelle fonctionnalité sera déployée sur tous les domaines Outlook fin 2024 :

• Août 2024 – Rapport SMTP DANE entrant avec DNSSEC et MTA-STS dans le centre d'administration Exchange
• Octobre 2024 – Disponibilité générale du SMTP entrant DANE avec DNSSEC
• Fin 2024
  • Déploiement de SMTP entrant DANE avec DNSSEC pour tous les domaines Outlook
  • Provisionnement transitoire des enregistrements de courrier pour tous nouvellement créé Domaines acceptés dans l'infrastructure compatible DNSSEC sous *.mx.microsoft
• Février 2025 – SMTP sortant DANE obligatoire, défini par locataire/par domaine distant

Microsoft fournira gratuitement cette nouvelle fonctionnalité aux entreprises et aux particuliers et indique qu'elle est déjà activée pour certains domaines Outlook.

« Nous exhortons les autres fournisseurs de messagerie et propriétaires de domaines à adopter ces normes et à relever collectivement la barre en matière de sécurité de la messagerie et à protéger les utilisateurs contre les acteurs malveillants », a déclaré l'équipe Exchange.

« Nous avons déjà implémenté le protocole SMTP entrant DANE avec DNSSEC pour plusieurs domaines de messagerie Outlook, et nous terminerons l'implémentation pour les domaines Outlook restants (y compris Hotmail) d'ici la fin de 2024. »

Une fois cette nouvelle fonctionnalité mise en service, Microsoft complètera la prise en charge d'Exchange Online pour SMTP DANE avec DNSSEC puisque SMTP DANE sortant avec DNSSEC est désormais pris en charge depuis mars 2022.

La société a initialement annoncé en septembre 2023 que cet aperçu public serait déployé de mars à juillet 2024. Cependant, il a été contraint de le retarder en raison des « investissements de sécurité nécessaires » identifiés lors de la phase d'aperçu privé.