Configureer DANE en DNSSEC voor Exchange Online

Microsoft heeft in oktober aangekondigd volledige ondersteuning te bieden voor de e-mailbeveiligingstandaard DANE op Exchange Online. Hierbij hebben ook bestaande Exchange Online klanten de mogelijkheid gekregen om de extra beveiligingsopties in te schakelen.

Lees meer
Warpnet icon
Configureer DANE en DNSSEC voor Exchange Online

Microsoft heeft in oktober aangekondigd volledige ondersteuning te bieden voor de e-mailbeveiligingstandaard DANE op Exchange Online. Hierbij hebben ook bestaande Exchange Online klanten de mogelijkheid gekregen om de extra beveiligingsopties in te schakelen.

Vanaf begin 2022 biedt Microsoft al ondersteuning voor DANE op uitgaande mail, maar de ondersteuning op uitgaande mail heeft even op zich mogen laten wachten. Hoewel deze optie nu beschikbaar is gekomen, kan een groot deel van de configuratie niet via het webportaal van Microsoft gezet worden, in plaats hiervan moet er gebruikt gemaakt worden van verschillende PowerShell cmdlets.

Om SMTP DANE met DNSSEC te configureren voor inkomende mail op Exchange Online zijn er een aantal stappen die doorlopen moeten worden:

  • Werk de Time To Live (TTL) waarde bij van de bestaande MX-record naar de laagst mogelijke waarde. Wacht daarna in ieder geval de lengte van de vorige TTL-waarde alvorens de volgende stap wordt doorgevoerd. Als de vorige TTL-waarde op bijvoorbeeld ‘3600 seconden’ of ‘1 uur’ stond alvorens deze is gewijzigd, dien je minimaal 1 uur te wachten alvorens stap 2 wordt uitgevoerd.
  • Maak verbinding met Exchange Online via de Connect-ExchangeOnline cmdlet door in PowerShell het commando Connect-ExchangeOnline uit te voeren.
  • Om SMTP DANE met DNSSEC te gebruiken, dient eerst DNSSEC ingeschakeld te worden. Hiervoor kan gebruik gemaakt worden van de Enable-DnssecForVerifiedDomain cmdlet. Voor warpnet.nl ziet het commando er als volgt uit:
> Enable-DnssecForVerifiedDomain -DomainName "warpnet.nl"

DnssecMxValue                Result  ErrorData
-------------                ------  ---------
warpnet-nl.s-v1.mx.microsoft Success
  • Gebruik de DnssecMxValue waarde om een new MX-record op het domein aan te maken. Zorg ervoor dat deze een prioriteitswaarde van 20 krijgt en gebruik maakt van de laagst mogelijk TTL-waarde.
  • Verifieer dat de nieuw geconfigureerde inkomende mailserver correct werkt door gebruik te maken van de Inbound SMTP Email Test van Microsoft. Door de teststappen uit te klappen wordt zichtbaar of de nieuwe Mail Exchanger on het domein mx.microsoft correct werkt zoals in de onderstaande schermafbeelding is te zien.
  • Verwijder het het oude MX-record welke eindigt in mail.protection.outlook.com, mail.eo.outlook.com of mail.protection.outlook.de. Vervolgen kan de TTL-waarde van het MX-record welke eindigt in mx.microsoft worden aangepast naar 3600 seconden of 1 uur.
  • Verifieer dat alles correct werkt door de DNSSEC Validation test in de Remote Connectivity Analyzer van Microsoft voor het domein uit te voeren zoals in de onderstaande schermafbeelding is te zien.
  • Zodra DNSSEC is ingeschakeld kan er ook SMTP DANE op de inkomende mailserver worden gebruikt. Om dit te configureren kan er gebruikt gemaakt worden van de Enable-SmtpDaneInbound cmdlet. Voor warpnet.nl ziet het commando er als volgt uit:
> Enable-SmtpDaneInbound -DomainName "warpnet.nl"

Result  ErrorData
------  ---------
Success
  • Verifieer dat zowel DNSSEC en SMTP DANE records (TLSA) correct zijn geconfigureerd door DANE Validation (including DNSSEC) test in de Remote Connectivity Analyzer van Microsoft voor het domein uit te voeren zoals in de schermafbeelding is te zien.

De configuratie voor SMTP DANE met DNSSEC op de inkomende mailserver van Exchange Online zou nu succesvol doorgevoerd moeten zijn. Eventueel kan er gebruik gemaakt worden van de e-mail test van internet.nl. Hierbij worden ook mogelijke andere verbeterpunten met betrekking tot het gebruik van IPv6, DMARC, DKIM en SPF weergegeven zoals in de volgende schermafbeelding is te zien.