Dans le monde d’aujourd’hui qui se numérise rapidement, la sécurité de la messagerie électronique n’est plus seulement une option, mais une nécessité. Conscient de cette exigence, Microsoft prévoit d'ajouter une autre étape à la sécurité du courrier électronique. En 2022, Microsoft a commencé à prendre en charge DNSSEC avec SMTP DANE externalisé. Désormais, cette fonctionnalité devrait être entièrement achevée en 2024.
SMTP DANE est un protocole de sécurité qui vérifie l'authenticité des certificats qui sécurisent la communication par courrier électronique avec TLS via DNS. DNSSEC est un ensemble d'extensions DNS qui permettent une vérification cryptographique des enregistrements DNS. Cela empêche l'usurpation d'identité DNS et les attaques sur DNS.
Microsoft a créé une nouvelle infrastructure DNS pour Exchange Online pour apporter cette fonctionnalité. Cette nouvelle structure affectera l'infrastructure DNS Exchange Online existante. Par conséquent, connaître ces changements à l’avance est d’une grande importance pour la communauté du courrier électronique.
Comment DNSSEC sera-t-il introduit avec SMTP DANE ?
Cette fonctionnalité sera disponible en deux étapes :
- Mars 2024 : lancement avec un aperçu public. Les clients pourront activer SMTP DANE à l'aide du centre de gestion M365.
- Juillet 2024 : après la disponibilité générale, DNSSEC commencera à être ajouté pour les e-mails entrants sur Exchange Online.
Ce changement inclura la fourniture d'enregistrements Mail Exchange (MX) et d'enregistrements d'adresse (A) pour les domaines acceptés. Le principal changement est qu'il remplacera mail.protection.outlook.com pour héberger les enregistrements A des noms de domaine nouvellement acceptés. Il y aura l'introduction de sous-domaines appelés .mx.microsoft.
Qu'est-ce qui change ?
À partir de juillet 2024, certains des nouveaux enregistrements A seront fournis dans l'un des nombreux sous-domaines sous mx.microsoft. Cet objectif sera atteint avec une augmentation progressive jusqu’en décembre 2024. Un assistant compatible DNSSEC sera disponible pour les domaines adoptés créés avant juillet 2024, permettant aux administrateurs de migrer les enregistrements DNS vers des domaines sécurisés DNSSEC.
En conséquence, Microsoft prévoit d’aller encore plus loin en matière de sécurité de la messagerie électronique. Les administrateurs de messagerie et les organisations tierces qui intègrent ou revendent Microsoft 365 doivent prêter attention à ces informations pour comprendre s'ils doivent prendre des mesures avant que ces fonctionnalités ne soient disponibles. Cela marque le début d’une nouvelle ère en matière de sécurité du courrier électronique.
Que signifie le changement DNSSEC d’Exchange Online ?
- Avec l'introduction de nouveaux sous-domaines mx.microsoft en mars 2024 et l'adoption par les utilisateurs de SMTP DANE et DNSSEC Public Preview, il ne sera plus possible de s'appuyer sur le codage en dur pour les recherches MX, les tentatives, les validations ou les mécanismes de secours sur mail.protection.outlook. .com. Si vous avez besoin d'obtenir des informations sur la configuration de l'enregistrement MX d'un domaine accepté, vous devez utiliser l'API List serviceConfigurationRecords Graph.
- Le provisionnement automatique des enregistrements MX au démarrage devrait cesser de référencer les enregistrements A dans mail.protection.outlook.com à partir de juillet 2024. Le provisionnement automatique des enregistrements MX doit être effectué à l’aide de l’API Graph du service ListConfigurationRecords pour récupérer le champ « mailExchange » requis pour fournir les informations de préfixe de domaine correctes. Ce changement pourrait entraîner des problèmes importants de flux de courrier pour les futurs locataires si aucune mesure n'est prise.
- Liste des adresses IP/URL qu'ils doivent ajouter comme « Autorisés » dans leur liste de contrôle d'accès. Les fournisseurs de services de messagerie, les administrateurs ou autres entités envoyant du courrier à Exchange Online doivent surveiller la page IP/URL et apporter toutes les modifications nécessaires aux paramètres du réseau et du pare-feu.
Limites
Bien que le SMTP entrant se rapproche de la prise en charge de DNSSEC avec DANE, certains scénarios ne seront pas pris en charge initialement :
- Domaines achetés auprès de Microsoft, appelés domaines d'enregistrement viraux ou en libre-service : les domaines achetés auprès de Microsoft et configurés en libre-service ne bénéficieront pas de la prise en charge de DNSSEC avec Inbound SMTP DANE dans le cadre de la préversion publique. Il est prévu de prendre en charge DNSSEC avec Inbound SMTP DANE pour ces domaines.
- Domaines onmicrosoft.com : le domaine « onmicrosoft.com » pour le locataire ne bénéficiera pas de la prise en charge de DNSSEC avec SMTP entrant DANE dans le cadre de la préversion publique. La prise en charge de DNSSEC avec Inbound SMTP DANE pour les domaines onmicrosoft.com est à l'étude, mais le délai spécifié par Microsoft est inconnu.
- Les clients qui utilisent une passerelle de messagerie tierce qui accepte le courrier d'un locataire, effectue certains traitements, puis transfère le courrier vers Exchange Online peuvent utiliser cette fonctionnalité à partir de la passerelle tierce si celle-ci prend en charge l'authentification DNSSEC avec SMTP DANE. être utilisé pour sécuriser les e-mails transférés vers Exchange Online.