Microsoft Exchange Online 支持入站 SMTP DANE 提升邮件安全性

关键要点

微软宣布 Exchange Online 加入入站 SMTP DANE 和 DNSSEC 支持以提升邮件安全性。尽管这一新功能备受欢迎，但其实施过程可能对管理员来说颇具挑战。正确配置这两项协议可增强连接安全性，但常常需要较高的技术能力和资源。

来源：Markus Mainka / Shutterstock

微软本周宣布将为其 Exchange Online 增加对两种新的安全标准的支持，专家们对此消息表示欢迎前提是首席信息安全官CISO和邮件管理员能够正确处理复杂的实施细节。

该公告应该激励所有邮件管理员和邮件解决方案供应商将这些能力添加到他们的解决方案中，但专家们提醒，添加这两种协议基于 DNS 的命名实体认证DANE和域名系统扩展DNSSEC并不容易，即便是 Exchange Online 的用户也不例外。

DANE 提供了一种安全的方法来检测远程邮件服务器是否支持 TLS传输层安全，以及其用于加密和验证连接的证书。微软进一步解释，SMTP DANE 与 DNSSEC 提供了发送和接收邮件服务器之间的安全连接，抵御 TLS 降级攻击和中间人攻击即一种通信被恶意监视或篡改的形式。

Beauceron Security 的安全意识培训提供商负责人 David Shipley 表示：“这一消息‘很有帮助’，但前提是人们具备良好的记录并能够实施这些记录。我相信像微软这样的知名品牌具备资源来做到这一点，但我对所有企业乃至大部分中小型企业是否能做到这一点持怀疑态度。”

他还指出，许多网站尚未实施其他现有的邮件安全协议。例如，仅有 59 的前 100 万个域名的旧协议 SPF发件政策框架配置有效，他引用了 DMARC Checker 文章。在前 1000 个域名中，只有 77 的基本 SPF 配置正确。

Shipley 补充道，DANE 并不能完全阻止网络钓鱼，但“它可能在抵御伪造方面发挥作用”。

SANS Institute 研究院的院长 Johannes Ullrich 指出，Exchange Online 客户可能不需要做太多事情，因为微软会在其平台上处理这些问题。然而，使用自己域名的邮件管理员如果想要增加邮件保护，将需要面对配置这些协议的挑战。

Ullrich 表示，实施 DNSSEC 时出现的错误很可能会导致自我引发的拒绝服务攻击，这是许多 CISO 愿意避免的风险。

另一方面，Forrester Research 的首席分析师 Jess Burn 表示，微软的公告是“对各种规模企业以及拥有个人邮件地址的消费者的重大利好”。

“任何能够增强邮件基础设施和安全公司保护用户的能力的额外措施都是有益的。越来越多的成功商业邮件妥协BEC尝试源于攻击者通过未加密连接跳入邮件线程。若 SMTP DANE 和 DNSSEC 能被正确配置并广泛采用，将减少中间人攻击。”

Burn 强调，为保护终端用户免受网络钓鱼和 BEC 尝试的最佳组合是实施 SMTP DANE 和 DNSSEC，以保障消息的机密性，同时采用 DMARC、DKIM 和 SPF 等邮件认证协议以验证发件人，减少来自伪造域的邮件进入收件箱的数量。

“实现这一组合需要付出相当大的努力、维护工作，并且往往需要多个利益相关者的协作。”他提醒道。

管理员需要做的工作相当多，微软提供的关于 SMTP DANE 如何运作的文档应该被认真遵循。管理员需要注意，若想获得 SMTP DANE 的好处，微软表示 DNSSEC 必须为域名启用。

在开始之前，管理员必须将组织的域