Recentemente, a Microsoft lançou publicamente o recurso de Inbound SMTP DANE com DNSSEC (Domain Name System Security Extensions) no Exchange Online, visando fortalecer a segurança e integridade das comunicações por e-mail. Esta implementação, programada para ser amplamente disponibilizada até o final de 2024, teve sua fase de testes públicos iniciada em julho, após ajustes decorrentes de investimentos adicionais em segurança. O suporte ao recurso foi estendido sem custos adicionais para todos os clientes do Exchange Online, incluindo domínios do Outlook e Hotmail.
O que é o DANE com DNSSEC e Por Que é Importante?
O SMTP DANE (DNS-based Authentication of Named Entities) é um protocolo que adiciona uma camada extra de segurança ao processo de envio e recebimento de e-mails, mitigando ataques como downgrade e man-in-the-middle (MiTM). O DANE autentica a comunicação por e-mail verificando os certificados de servidores com base em registros DNS TLSA (Transport Layer Security Authentication). Ao integrar o DNSSEC, a Microsoft assegura a validade dos registros DNS durante o tráfego, prevenindo possíveis interceptações e falsificações de dados. Isso é especialmente crucial, pois a falsificação de DNS e a interceptação de mensagens são táticas comuns em ataques direcionados contra empresas e usuários.
Com o uso do DANE, o Exchange Online pode verificar a identidade dos servidores de destino dos e-mails e autenticar os certificados de comunicação. Dessa forma, o recurso bloqueia tentativas de comprometimento da conexão entre servidores emissores e receptores, garantindo maior segurança e confiança na entrega das mensagens.
Etapas da Implementação
O plano de implementação da Microsoft detalha três fases principais para a ativação do SMTP DANE de entrada com DNSSEC:
Dezembro de 2024: Introdução do Inbound SMTP DANE com DNSSEC e MTA-STS (Mail Transfer Agent Strict Transport Security) no Centro de Administração do Exchange. Isso permite que administradores verifiquem e gerenciem as configurações de segurança aplicadas aos domínios.
Dezembro de 2024 a Março de 2025: Implementação do SMTP DANE para todos os domínios de consumidores do Outlook e Hotmail. Esse processo também inclui a ativação de DNSSEC em novos domínios da infraestrutura .mx.microsoft, garantindo que as novas contas aceitas na plataforma já estejam protegidas.
Maio de 2025: Tornar o SMTP DANE de saída um requisito obrigatório, sendo configurado por domínio remoto ou por locatário, ampliando o escopo de proteção em toda a infraestrutura de e-mail.
Impactos e Benefícios para Empresas e Usuários
Para empresas e usuários residenciais do Exchange Online, a adoção do SMTP DANE com DNSSEC traz diversos benefícios, incluindo:
Segurança aprimorada: Proteção contra ataques de falsificação de DNS, sequestro de domínio e interceptação de mensagens.
Redução de ataques MiTM: Autenticação de servidores de e-mail e validação de certificados de segurança evitam interceptações e comprometimento das comunicações.
Confiabilidade na entrega de e-mails: Com o recurso, os administradores têm maior garantia de que as mensagens chegarão ao destinatário correto, sem desvios, manipulação ou exposição a terceiros mal-intencionados.
O avanço é parte da estratégia contínua da Microsoft para ampliar a resiliência de segurança da sua plataforma de e-mail, ajustando-a ao nível de sofisticação dos ataques atuais, e oferecendo aos seus usuários uma experiência de comunicação mais segura.
ความคิดเห็น