We use cookies to ensure that we give you the best experience on our website.

如何與DNSSEC在線建立Inbound SMTP Dane

Microsoft於2022年3月設立了帶有DNSSEC功能的出站SMTP Dane。您無需為此做任何事情。但是,他們花了多年的時間才終於將其添加到入站郵件流之前。在本文中,您將學習如何使用在線交易所配置DNSSEC入站SMTP DANE。

  • SMTP Dane(基於DNS的命名實體的身份驗證)是一種安全協議,該協議使用DNS來驗證用於與TLS確保電子郵件通信並防止TLS降級攻擊的證書的真實性。
  • DNSSEC(域名系統安全擴展)是向DNS的一組擴展,可提供DNS記錄的加密驗證,防止DNS欺騙和對DNS的中間攻擊。

筆記:Microsoft與DNSSEC免費提供了Inbound SMTP Dane,這是其為所有人改善電子郵件安全性的努力的一部分。您不必使用DNSSEC配置出口SMTP Dane,因為Microsoft已補充說自2022年3月以來。

參見:使用PowerShell在交換中獲取所有SMTP(電子郵件)地址

在線配置Inbound SMTP Dane和DNSSEC

要在Exchange Online(Microsoft 365)中設置Inbound SMTP Dane和DNSSEC,請執行以下步驟:

步驟1。驗證域是DNSSEC簽名的

要獲得該功能的全部安全益處,請確保域名登錄DNSSEC:

  1. Verisign DNSSEC調試工具
  2. 填寫域名
  3. 進入
  4. 驗證所有字段都有一個綠色檢查標記

如果未簽署DNSSEC的域,請確保您在進行DNS註冊商中啟用它。假設您的註冊服務商沒有此功能,請將您的域名移至其他DNSSEC支持的註冊服務商。

步驟2。更新DNS註冊商中的現有MX記錄TTL

  1. 登錄您的DNS登記冊
  2. 編輯現有的MX記錄
  3. 將現有MX記錄的TTL降低到1分鐘
  4. 確保您的MX記錄優先級設置為0或者10
  5. 點擊節省
  1. 等待先前的TTL在繼續之前到期。例如,如果現有MX記錄的TTL為1小時,則必須等待1小時才能繼續下一步。

步驟3。連接到在線PowerShell

運行PowerShell作為管理員,並連接到在線PowerShell。

Connect-ExchangeOnline

步驟4。啟用DNSSEC for域

使用以下命令啟用DNSSEC為域。

Enable-DnssecForVerifiedDomain -DomainName "alitajran.com"

下面的輸出出現。

DnssecMxValue                   Result  ErrorData
-------------                   ------  ---------
alitajran-com.k-v1.mx.microsoft Success

步驟5。將新的MX記錄添加到DNS註冊商

  1. 去你DNS登記冊
  2. 創建一個新的MX記錄
  3. 複製DNSSECMXVALUE從上一步中的輸出並將其粘貼為值
  4. 將TTL設置為1分鐘
  5. 將新的MX記錄的優先級設置為20
  6. 點擊節省

步驟6。驗證新的MX記錄

  1. 入站SMTP電子郵件測試
  2. 填寫電子郵件以你的域結尾
  3. 點擊執行測試
  1. 輸出表明測試成功的MX結束mx.microsoft

步驟7。刪除DNS註冊商中的舊MX記錄

  1. 去你DNS登記冊
  2. 刪除舊的MX記錄

步驟8。更改DNS註冊商中新的MX記錄

  1. 編輯新的MX記錄在DNS註冊商中
  2. 將優先級更改為0
  3. 點擊節省

步驟9。驗證DNSSEC驗證

  1. DNSSEC和DANE驗證測試
  2. 填寫域名
  3. 確保您選擇測試類型DNSSEC驗證
  4. 點擊執行測試
  1. 屏幕顯示DNSSEC驗證測試成功地結束了MXmx.microsoft

步驟10。啟用域的入站SMTP dane

當您仍然連接到Exchange Online PowerShell時,請在下面的命令中啟用Inbound SMTP Dane。

Enable-SmtpDaneInbound -DomainName "alitajran.com"

下面的輸出出現。

Result  ErrorData
------  ---------
Success

重要的:等待15-30分鐘,然後再進行進一步,因為TLSA記錄需要傳播。

步驟11。驗證dane驗證(包括DNSSEC)

  1. DNSSEC和DANE驗證測試
  2. 填寫域名
  3. 確保您選擇測試類型DANE驗證(包括DNSSEC)
  4. 點擊執行測試
  1. 屏幕顯示DANE驗證(包括DNSSEC)測試成功地結束了MXmx.microsoft

筆記:Exchange Online主持了多個TLSA記錄,以提高SMTP DANE驗證成功的可靠性。預計某些TLSA記錄可能會失敗驗證。只要有1個TLSA記錄通過驗證,SMTP DANE就可以正確配置,並使用SMTP Dane確保電子郵件。

就是這樣!

結論

您學會瞭如何與DNSSEC在線建立Inbound SMTP Dane。每個Microsoft 365組織都應將其配置為其在線交換中的接收域,以確保其入站郵件流。請記住,它是完全免費的。

您喜歡這篇文章嗎?您可能還喜歡Office 365推薦的配置分析儀。不要忘記關注我們並分享這篇文章。

Related articles