Nesta postagem em 2024 eu falava sobre DNSSEC e o Dane – https://chesley.com.br/2024/10/07/smtp-dane-de-entrada-com-dnssec-no-exchange-online/, agora temos uma importante atualização!
O SMTP de saída DANE com funcionalidade DNSSEC foi configurado pela Microsoft em março de 2022. Você não precisava fazer nada para isso. No entanto, eles levaram anos extras até finalmente adicioná-lo para o fluxo de correspondência recebida. Neste artigo, você aprenderá como configurar o Inbound SMTP Dane com DNSSEC no Exchange Online.
O que são SMTP DANE e DNSSEC?
SMTP DANE (Autenticação Baseada em DNS de Entidades Nomeadas) é um protocolo de segurança que utiliza DNS para verificar a autenticidade dos certificados usados para proteger a comunicação por e-mail com TLS e proteger contra ataques de downgrade TLS.
DNSSEC (Domain Name System Security Extensions) é um conjunto de extensões para DNS que fornece verificação criptográfica dos registros DNS, prevenindo a falsificação de DNS e ataques adversários no meio ao DNS.
Nota: A Microsoft inclui o Inbound SMTP DANE com DNSSEC gratuitamente como parte de seus esforços para melhorar a segurança do e-mail para todos. Você não precisa configurar o Outbound SMTP DANE com DNSSEC porque a Microsoft adicionou isso desde março de 2022.
Configure o DANE e DNSSEC do SMTP de entrada no Exchange Online
Para configurar o Inbound SMTP DANE e DNSSEC no Exchange Online (Microsoft 365), siga os passos abaixo:
Passo 1. O domínio Verify é assinado por DNSSEC
Para obter todos os benefícios de segurança do recurso, certifique-se de que o domínio seja assinado pelo DNSSEC:
- Acesse a ferramenta de depuração DNSSEC da Verisign
- Preencha o nome de domínio
- Pressione Enter
- Verifique se todos os campos têm um seletor verde
Se o domínio não estiver assinado pelo DNSSEC, certifique-se de habilitá-lo no seu registrador DNS antes de prosseguir. Suponha que seu registrador não tenha esse recurso disponível, mova seu domínio para outro registrador com suporte a DNSSEC.
Passo 2. Atualize o TTL do registro MX existente no registrador DNS
- Faça login no seu registrador DNS
- Editar o registro MX existente
- Reduza o TTL do seu disco MX existente para 1 minuto
- Certifique-se de que a prioridade do seu registro MX esteja definida para 0 ou 10
- Clique em Salvar
Espere o TTL anterior expirar antes de prosseguir. Por exemplo, se o TTL do registro MX existente foi de 1 hora, você deve esperar 1 hora antes de prosseguir para a próxima etapa.
Passo 3. Conecte-se ao PowerShell do Exchange Online
Execute o PowerShell como administrador e conecte-se ao PowerShell do Exchange Online.
Connect-ExchangeOnlinePasso 4. Habilitar DNSSEC para domínio
Ative o DNSSEC para o domínio com o comando abaixo.
Enable-DnssecForVerifiedDomain -DomainName “chesley.com.br”
Passo 5. Adicionar novo registro MX ao registrador DNS
- Vá para o seu registrador DNS
- Criar um novo recorde MX
- Copie o DnssecMxValue da saída da etapa anterior e cole como valor
- Defina o TTL para 1 minuto
- Defina a prioridade do novo recorde MX para 20
- Clique em Salvar
Passo 6. Verificar novo recorde MX
- Vá para o teste de E-mail SMTP de entrada
- Preencha um endereço de e-mail que termine com seu domínio
- Clique em executar Teste
Passo 7. Remover o registro MX antigo no registrador DNS
- Vá para o seu registrador DNS
- Remova o antigo recorde MX
Passo 8. Alterar prioridade novo registro MX no registrador DNS
- Editar o novo registro MX no registrador DNS
- Mude prioridade para 0
- Clique em Salvar
Passo 9. Verificar a validação DNSSEC
- Vá para DNSSEC e Teste de Validação DANE
- Preencha o nome de domínio
- Certifique-se de selecionar o tipo de teste DNSSEC Validação
- Clique em executar Teste
A tela mostra que o teste de validação DNSSEC foi bem-sucedido para o MX terminando com mx.microsoft
Passo 10. Habilitar o Inbound SMTP DANE para domínio
Ative o Inbound SMTP DANE para o domínio com o comando abaixo enquanto você ainda estiver conectado ao PowerShell do Exchange Online.
Enable-SmtpDaneInbound -DomainName “chesley.com.br”
Passo 11. Verificar a Validação DANE (incluindo DNSSEC)
- Vá para DNSSEC e Teste de Validação DANE
- Preencha o nome de domínio
- Certifique-se de selecionar o tipo de teste Validação DANE (incluindo DNSSEC)
- Clique em executar Teste
Nota: O Exchange Online hospeda múltiplos registros TLSA para aumentar a confiabilidade do sucesso das validações DANE do SMTP. Espera-se que alguns dos registros TLSA possam não ser validados. Desde que 1 registro TLSA esteja passando pela validação, o SMTP DANE está configurado corretamente e o e-mail é protegido com o SMTP DANE.