Hlavní navigace

Microsoft oznámil podporu DANE a DNSSEC ve své e-mailové službě

Sdílet

Petr Krčmář
Microsoft

Microsoft oznámil, že na své službě Office 365 Exchange Online nasadí DNSSEC a DANE pro ověřování otisků veřejných klíčů určených pro přenos elektronické pošty. Implementace bude probíhat ve dvou fázích: ke konci letošního roku bude infrastruktura Microsoftu ověřovat podpisy při odchozí komunikaci, o rok později pak bude stejnou službu nabízet i pro příchozí poštu.

DNSSEC (seriál na Rootu) slouží ke zveřejnění digitálních podpisů pro DNS záznamy. Odesílající poštovní server tak má možnost ověřit, že poštu skutečně doručuje na zamýšlený poštovní server a údaje nebyly během putování sítí pozměněny.

Protokol DANE umožňuje vložit do podepsané domény záznamy typu TLSA, které obsahují otisky používaných veřejných klíčů. Odesílající server tak má možnost získat bezpečným kanálem informaci o tom, jaké klíče bude při komunikaci s protistranou využívat. Výsledkem je tak výrazně bezpečnější předávání pošty, protože vystavovatel TLSA záznamů tím zároveň nutí odesílatele povinně šifrovat (dogmatické šifrování).

V souvislosti s Microsoftem je zajímavé, že byl jedním z autorů alternativního standardu MTA-STS, který informace o šifrování pošty přenáší z DNS na HTTPS. Přesto se rok a půl po vydání příslušného RFC přiklonil k původnímu standardu DANE. Přidají se také další poskytovatelé e-mailových služeb?

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?