Hlavní navigace

Microsoft oznámil podporu DANE a DNSSEC ve své e-mailové službě

Sdílet

Petr Krčmář 6. 4. 2020
Microsoft

Microsoft oznámil, že na své službě Office 365 Exchange Online nasadí DNSSEC a DANE pro ověřování otisků veřejných klíčů určených pro přenos elektronické pošty. Implementace bude probíhat ve dvou fázích: ke konci letošního roku bude infrastruktura Microsoftu ověřovat podpisy při odchozí komunikaci, o rok později pak bude stejnou službu nabízet i pro příchozí poštu.

DNSSEC (seriál na Rootu) slouží ke zveřejnění digitálních podpisů pro DNS záznamy. Odesílající poštovní server tak má možnost ověřit, že poštu skutečně doručuje na zamýšlený poštovní server a údaje nebyly během putování sítí pozměněny.

Protokol DANE umožňuje vložit do podepsané domény záznamy typu TLSA, které obsahují otisky používaných veřejných klíčů. Odesílající server tak má možnost získat bezpečným kanálem informaci o tom, jaké klíče bude při komunikaci s protistranou využívat. Výsledkem je tak výrazně bezpečnější předávání pošty, protože vystavovatel TLSA záznamů tím zároveň nutí odesílatele povinně šifrovat (dogmatické šifrování).

V souvislosti s Microsoftem je zajímavé, že byl jedním z autorů alternativního standardu MTA-STS, který informace o šifrování pošty přenáší z DNS na HTTPS. Přesto se rok a půl po vydání příslušného RFC přiklonil k původnímu standardu DANE. Přidají se také další poskytovatelé e-mailových služeb?

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 4. 2020 1:28

    bez přezdívky

    > o rok později pak bude stejnou službu nabízet i pro příchozí poštu

    To má znamenat co? TLSA záznamy přece vystavuje provozovatel TLS serveru a ověřuje je TLS klient při připojování k tomuto serveru. V SMTP je za zabezpečení přenosu zprávy zodpovědný klient (odesílající MTA), co tedy budou nabízet pro příchozí poštu? Znamená to jen, že vystaví záznamy TLSA?

  • 7. 4. 2020 19:47

    bez přezdívky

    No, ja to chapu tak, ze tim, ze v dnssec vystavim otisky klicu, budu predpokladat, ze vsichni, kdo budou mit prijmout mail
    z me domeny, budou vyzadovat, aby byl sifrovan tim vystavenym klicem. Kdyz ne, je to z jejich pohledu spam.

    A kdo si na to hrat nebude, klidne prijme podvrzeny spam, jakoby se nechumelilo.

    Popravde vzhledem k nutnosti platit nebo menit certifikaty kazde 3 mesice (na serveru i v dns), k tomu, ze vyzadovani sifrovani a kontrola otisku je zalezitosti DRUHE strany, mi to neprijde az tak skvele.

    Proste pokud si na to budu hrat, budu moct odmitat spoustu mailu casto na zaklade nekorektni konfigurace ciziho mail serveru. Je to lepsi nez DKIM, ale zavisle na DNS a DNSSEC, navic distribuce klicu a certifikatu muze byt problem a zbytecne casty stres - zejmena pri pouziti letsencrypt certifikatu zdarma.

    Ja mam aktualne naopak problem s tim, ze nove TLD umoznujici za $5 mit komplet domenu s DNSSEC a valid MX, kdy komplet konfigurace je zalezitosti robota a trva pet minut, umoznuji spammerum 1-2 dny beztrestneho spamovani s validnimi URL pro "unsubscribe", s platnymi MX, SPF, DKIM i DNSSEC a DANE - a muj antispam vsechny tyhle zbytecne blbosti oceni snizenim pravdepodobnosti, ze jde o spam.

    Cili kazdy dalsi podobne zbytecny mechanismus jen zvysuje pravdepodobnost, ze realni velci spammeri uspeji.

  • 7. 4. 2020 20:24

    Petr Krčmář

    Bohužel to chápete úplně špatně. TLSA není ochrana proti spamu, ale proti odposlechu komunikace po síti. Nevystavují se tam klíče pro podpis zpráv, ale pro šifrování. Když vystavím otisk klíče v doméně, tak odesílací strana může ověřit, že můj mail server má používat daný klíč a poštu mi natlačí šifrovaně. Nehrozí tak odposlech nebo podvržení jiného klíče útočníkem. Podrobně je to popsáno v článku Bezpečnější předávání pošty s TLSA záznamy.

    Měnit otisky v DNS každé tři měsíce také není nutné, protože se tam obvykle dávají otisky veřejných klíčů a ty se s vystavením nového certifikátu měnit nemusí. Obvykle se to ani nedělá. Prostě autorita znovu podepíše stejný klíč. Tím odpadá nutnost sahat do DNS.

    SPF a DKIM nezaručují, že zmizí spam. Jen zaručují, že není možné podvrhnout doménu odesílatele. Takže spamovat z vlastní domény si může kdokoliv, tomu se těmito mechanismy bránit nedá. Nemůžou ale zneužívat moji doménu. Ergo pokud přijde mail s mojí doménou a vy ověříte platnost DKIM, pak víte, že mail odešel skutečně od oprávněného serveru. Opět mi to ale nijak nebrání vás z této domény spamovat. DKIM neřeší všechny problémy světa, jen jeden konkrétní s možností podvrhnout libovolnou doménu odesílatele.

  • 8. 4. 2020 0:17

    atomicfall

    Ještě bych k tomu dodal, že Let's Encrypt, o kterém se ve svém komentáři zmiňujete, vznikl nejen pro certifikáty (a tedy i šifrování) pro všechny a zdarma, ale hlavně také proto, že jako první na trhu nabídl automatizaci vydávání certifikátů, a to takovou, že pokud to dobře nastavíte, nemusíte se o to potom starat v podstatě vůbec. Mnoho lidí LE používá právě z tohoto důvodu, a právě proto si mohou dovolit mít certifikáty platné pouze 3 měsíce - což je mimochodem výborné bezpečnostní opatření (viz Scott Helme, Michal Špaček) a já jsem za ně rád. Pokud nadáváte na LE kvůli krátké platnosti certifikátu a nevyužíváte automatizaci, která to za vás vyřeší, tak je něco špatně.

  • 8. 4. 2020 7:16

    rpajik

    Pokud Vám náhodou tato super CA odpoledne neoznámí, že musíte udělat renew některých certifikátů, protože je kvůli vlastní chybě za pár hodin revokuje.

    To se pak z toho Vašeho zdůrazněního "vůbec" stane poměrně intenzivní a neplánovaná druhá směna.