Microsoftは10月28日(米国時間)、「Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub」において、DNSSECを使用した受信SMTP DANE(DNS-Based Authentication of Named Entities)の一般提供を開始したと発表した。Exchange Onlineに搭載されたこの新機能は2つのセキュリティ標準をサポートすることで、電子メール通信のセキュリティを強化するもの。

  • Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub

    Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub

DNSSECを使用したSMTP DANE

DNSSECを使用したSMTP DANEはTLSダウングレード攻撃および中間者攻撃(MITM: Man-in-the-middle attack)に耐性を持つとされ、送信メールサーバと受信メールサーバ間の安全な接続を提供する。DNSSECおよびSMTP DANEの概要は次のとおり。

  • DNSSEC - 暗号署名を使用してDNSサーバーへの問い合わせの正しさを検証する。DNSスプーフィングなどを防御可能
  • SMTP DANE - DNSのTLSAレコードを使用してメールサーバーのTLS(Transport Layer Security)証明書の正しさを検証。TLSAレコードの正しさはDNSSECにより確保

今後の展開

DNSSECを使用した受信SMTP DANEは、すでに一部のOutlookに実装されており、残りのOutlookおよびHotmailへの実装は2024年末までに完了する予定。今後のロードマップは次のとおり。

  • 2024年12月:DNSSECおよびMTA-STSレポートを使用した受信SMTP DANEがExchange管理センターから利用可能に
  • 2024年12月~2025年3月:すべての消費者向けOutlookおよびHotmailにDNSSECを使用したSMTP DANEを導入
  • 2024年12月~2025年3月:新規で作成されたすべての承認済みドメインのメールレコードのプロビジョニングを、*.mx.microsoft下のDNSSEC対応インフラストラクチャーに移行
  • 2025年5月 - 送信SMTP DANEの必須化。テナントまたはリモートドメインごとに設定

MicrosoftはDNSSECを使用した受信SMTP DANEについて、有効化プロセスに関する意見を募集している。意見や懸念事項がある場合は「Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub」のコメント欄から投稿できる。