SMTP DANE de Entrada com DNSSEC no Exchange Online

Publicado em por chesleysilva

Em março de 2022, a Microsoft implementou o SMTP DANE (DNS-based Authentication of Named Entities) para fluxos de e-mail de saída no Exchange Online, juntamente com a funcionalidade DNSSEC (Domain Name System Security Extensions). Essa implementação trouxe mais segurança ao tráfego de e-mail, garantindo que a autenticação de servidores seja feita através de verificações criptográficas baseadas em DNS. O mais interessante foi que essa mudança ocorreu sem a necessidade de qualquer intervenção administrativa por parte dos usuários ou administradores.

No entanto, levou mais tempo para que essa funcionalidade fosse estendida ao fluxo de e-mails de entrada. Agora, é possível configurar o SMTP DANE também para os e-mails recebidos, elevando o nível de segurança contra ataques de intermediários (man-in-the-middle) e garantindo que o tráfego de e-mails seja protegido desde a origem até o destino.

  1. O que é SMTP DANE e como ele funciona?
  2. Etapa 1. Verifique se o domínio é assinado por DNSSEC
  3. Etapa 2. Atualizar o TTL do registro MX existente no registrador DNS
  4. Etapa 3. Conecte-se ao Exchange Online PowerShell
  5. Etapa 4. Habilitar DNSSEC para domínio
  6. Etapa 5. Adicionar novo registro MX ao registrador DNS
  7. Etapa 6. Verifique o novo registro MX
  8. Etapa 7. Remova o registro MX antigo no registrador DNS
  9. Etapa 8. Alterar prioridade do novo registro MX no registrador DNS
  10. Etapa 9. Verifique a validação do DNSSEC
  11. Etapa 10. Habilitar SMTP DANE de entrada para domínio
  12. Etapa 11. Verifique a validação DANE (incluindo DNSSEC)

O que é SMTP DANE e como ele funciona?

O SMTP DANE utiliza registros TLSA (Transport Layer Security Authentication) no DNS para assegurar que as conexões de e-mail sejam criptografadas e verificadas corretamente. Com o DNSSEC, os registros DNS usados para essa verificação são assinados criptograficamente, garantindo a integridade dos dados e a proteção contra manipulação.

Ao utilizar SMTP DANE, o servidor de e-mail que envia a mensagem verifica no DNS se o domínio do destinatário tem um registro TLSA configurado. Se esse registro existir e estiver devidamente assinado com DNSSEC, o servidor tentará estabelecer uma conexão TLS segura com o servidor de destino, conforme especificado no registro TLSA. Caso o registro não esteja disponível, o servidor tentará o fallback para conexões SMTP convencionais.

Configurar SMTP DANE e DNSSEC de entrada no Exchange Online

Para configurar o SMTP DANE e o DNSSEC de entrada no Exchange Online (Microsoft 365), siga as etapas abaixo:

Etapa 1. Verifique se o domínio é assinado por DNSSEC

Para receber todos os benefícios de segurança do recurso, certifique-se de que o domínio seja assinado por DNSSEC:

  1. Vá para a ferramenta Verisign DNSSEC Debugger
  2. Preencha o nome do domínio
  3. Pressione Enter
  4. Verifique se todos os campos têm uma marca de verificação verde

Se o domínio não for assinado por DNSSEC, certifique-se de habilitá-lo em seu registrador DNS antes de prosseguir. Suponha que seu registrador não tenha esse recurso disponível, mova seu domínio para outro registrador com suporte a DNSSEC.

Etapa 2. Atualizar o TTL do registro MX existente no registrador DNS

  1. Entre no seu registrador DNS
  2. Editar o registro MX existente
  3. Reduza o TTL do seu registro MX existente para 1 minuto
  4. Certifique-se de que a prioridade do seu registro MX esteja definida como 0 ou 10
  5. Clique em Salvar

Aguarde até que o TTL anterior expire antes de prosseguir. Por exemplo, se o TTL do registro MX existente era de 
1 hora , você deve aguardar 1 hora antes de prosseguir para a próxima etapa.

Etapa 3. Conecte-se ao Exchange Online PowerShell

Execute o PowerShell como administrador e Conecte-se ao Exchange Online Powershell

Etapa 4. Habilitar DNSSEC para domínio

Habilite o DNSSEC para o domínio com o comando abaixo.

A saída abaixo aparece.

Etapa 5. Adicionar novo registro MX ao registrador DNS

  1. Vá para o seu registrador DNS
  2. Criar um novo registro MX
  3. Copie o DnssecMxValue da saída na etapa anterior e cole-o como o valor
  4. Defina o TTL para 1 minuto
  5. Defina a prioridade do novo registro MX para 20
  6. Clique em Salvar

Etapa 6. Verifique o novo registro MX

  1. Vá para o teste de e-mail SMTP de entrada
  2. Preencha um endereço de e-mail que termine com seu domínio
  3. Clique em Executar teste

A saída mostra que o teste foi bem-sucedido para o MX que termina com 
mx.microsoft

Etapa 7. Remova o registro MX antigo no registrador DNS

  1. Vá para o seu registrador DNS
  2. Remover o registro MX antigo

Etapa 8. Alterar prioridade do novo registro MX no registrador DNS

  1. Editar o novo registro MX no registrador DNS
  2. Alterar prioridade para 10
  3. Clique em Salvar

Etapa 9. Verifique a validação do DNSSEC

  1. Vá para Teste de Validação DNSSEC e DANE
  2. Preencha o nome do domínio
  3. Certifique-se de selecionar o tipo de teste Validação DNSSEC
  4. Clique em Executar teste

A tela mostra que o 
teste de validação DNSSEC foi bem-sucedido para o MX que termina com 
mx.microsoft

Etapa 10. Habilitar SMTP DANE de entrada para domínio

Habilite o SMTP DANE de entrada para o domínio com o comando abaixo quando você ainda estiver conectado ao Exchange Online PowerShell.

Etapa 11. Verifique a validação DANE (incluindo DNSSEC)

  1. Vá para Teste de Validação DNSSEC e DANE
  2. Preencha o nome do domínio
  3. Certifique-se de selecionar o tipo de teste Validação DANE (incluindo DNSSEC)
  4. Clique em Executar teste

A tela mostra que o 
teste de validação DANE (incluindo DNSSEC) foi bem-sucedido para o MX que termina com 
mx.microsoft

Conclusão

Você aprendeu como configurar o Inbound SMTP DANE com DNSSEC no Exchange Online. Toda organização do Microsoft 365 deve configurar isso para seus domínios aceitos no Exchange Online para proteger seu fluxo de e-mails de entrada. Lembre-se de que é totalmente gratuito.

Deixe um comentário