Exchange Online stärkt die E-Mail-Sicherheit mit vollständiger Unterstützung für DANE und DNSSEC

Microsoft hat die E-Mail-Sicherheit in Exchange Online erneut verbessert, indem es volle Unterstützung für DANE (DNS-basierte Authentifizierung von benannten Entitäten) und DNSSEC (Domain Name System Security Extensions) bietet. Diese in zwei Phasen eingeführte Implementierung erhöht den Schutz der ein- und ausgehenden E-Mail-Kommunikation vor verschiedenen Bedrohungen wie Man-in-the-Middle-Angriffen und DNS-Manipulation.

Was sind DANE und DNSSEC?

DNSSEC ist ein Sicherheitsprotokoll, das DNS-Einträge mit digitalen Signaturen versieht und so verhindert, dass DNS-Daten von böswilligen Akteuren manipuliert werden. Dies verhindert Angriffe wie DNS-Spoofing und Cache Poisoning, bei denen Hacker gefälschte DNS-Einträge einspeisen, um Benutzer auf bösartige Websites umzuleiten. DNSSEC verwendet eine kryptographische Authentifizierung, um sicherzustellen, dass die DNS-Informationen, die ein Benutzer erhält, authentisch und unverändert sind.

DANE baut auf DNSSEC auf und ermöglicht es Domaininhabern, TLS-Zertifikate direkt in ihren DNS-Einträgen zu veröffentlichen. Das bedeutet, dass E-Mail-Server vor dem Aufbau einer verschlüsselten Verbindung prüfen können, ob ein Empfangsserver über ein gültiges Zertifikat verfügt. Dadurch wird das Risiko von Man-in-the-Middle-Angriffen und Downgrade-Angriffen erheblich reduziert.

Warum sind DANE und DNSSEC wichtig für die E-Mail-Sicherheit?

Traditionell stützt sich die E-Mail-Sicherheit auf opportunistisches TLS, bei dem E-Mail-Server versuchen, eine verschlüsselte Verbindung aufzubauen, aber auf eine ungesicherte Verbindung zurückgreifen, wenn TLS nicht verfügbar ist. Dies macht den E-Mail-Verkehr anfällig für Angriffe, bei denen böswillige Akteure die Verschlüsselung umgehen können.

Mit DANE und DNSSEC wird dieses Problem gelöst:

• E-Mail-Server-Authentifizierung – Absender können überprüfen, ob sie mit einem legitimen Server kommunizieren.
• Schutz vor Downgrade-Angriffen – E-Mails werden immer über eine verschlüsselte Verbindung gesendet.
• Erhöhte Zuverlässigkeit – DNSSEC verhindert die Manipulation von DNS-Einträgen, wodurch der E-Mail-Verkehr sicherer wird.

Markteinführung in zwei Phasen

1. Ausgehende E-Mails (Ausgehendes SMTP DANE mit DNSSEC) Im Februar 2022 begann Microsoft mit der Implementierung von DANE und DNSSEC für ausgehende E-Mails in Exchange Online. Diese Funktion ist standardmäßig für alle Exchange Online-Kunden aktiviert und erfordert keine zusätzliche Konfiguration. E-Mails an Domänen, die ordnungsgemäß mit DANE und DNSSEC konfiguriert sind, profitieren von einer verbesserten Sicherheit. Wenn die empfangende Domäne diese Standards nicht unterstützt, fällt sie auf opportunistisches TLS zurück.
2. Eingehende E-Mails (Eingehende SMTP DANE mit DNSSEC) Ab Juli 2024 wurde die Unterstützung für eingehende E-Mails mit DANE und DNSSEC in einer öffentlichen Vorschau verfügbar gemacht. Im April 2025 wurde diese Funktion allgemein verfügbar, so dass Exchange Online vollständige Unterstützung für die Sicherheit eingehender und ausgehender E-Mails mit DANE und DNSSEC bietet.

Vorteile für Exchange Online-Benutzer

• Besserer Schutz vor Downgrade-Angriffen: E-Mails werden immer über eine verschlüsselte TLS-Verbindung gesendet.
• Verbesserte Server-Authentifizierung: Die Identität von E-Mail-Servern wird überprüft, so dass es für Angreifer deutlich schwieriger ist, sich als legitime Server auszugeben.
• Verbesserte Integrität und Vertraulichkeit: E-Mail-Daten bleiben vor Manipulation, Phishing und unbefugtem Zugriff geschützt.
• Einhaltung von Industriestandards: Unternehmen halten sich besser an Vorschriften wie die GDPR und die NIST-Datenschutzrichtlinien.

Wichtige Punkte von Interesse

• Korrekte Konfiguration unerlässlich: Für optimale Sicherheit müssen sowohl die sendenden als auch die empfangenden Domänen DANE und DNSSEC korrekt implementieren. Eine fehlerhafte Konfiguration auf der Empfängerseite kann dazu führen, dass E-Mails blockiert oder falsch zugestellt werden.
• Verwendung von Diagnosetools: Microsoft bietet den DANE- und DNSSEC-Validierungstest über den Remote Connectivity Analyzer an, mit dem Konfigurationsprobleme effektiv erkannt und gelöst werden können.
• Zukünftige Verpflichtungen: Ab Mai 2025 wird die Verwendung von ausgehendem SMTP-DANE pro Mandant und pro externer Domäne obligatorisch sein. Unternehmen sollten sich auf diese Änderung vorbereiten, um Betriebsstörungen zu vermeiden.

Fazit

Die Hinzufügung von DANE und DNSSEC zu Exchange Online ist ein bedeutender Schritt in Richtung E-Mail-Sicherheit. Arbeiten Sie mit Exchange Online? Dann empfiehlt es sich, diese Sicherheitsoptionen für eingehende und ausgehende E-Mails aktiv zu implementieren und korrekt zu konfigurieren. So stellen Sie sicher, dass Ihr Unternehmen optimal gegen moderne Bedrohungen geschützt bleibt und dass Sie die neuesten Richtlinien und Compliance-Anforderungen in Bezug auf die E-Mail-Sicherheit erfüllen.