Microsoft、DNSSECを使用した受信SMTP DANEの一般提供を開始

画像提供：マイナビニュース

Microsoftは10月28日(米国時間)、「Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub」において、DNSSECを使用した受信SMTP DANE(DNS-Based Authentication of Named Entities)の一般提供を開始したと発表した。Exchange Onlineに搭載されたこの新機能は2つのセキュリティ標準をサポートすることで、電子メール通信のセキュリティを強化するもの。

○DNSSECを使用したSMTP DANE

DNSSECを使用したSMTP DANEはTLSダウングレード攻撃および中間者攻撃(MITM: Man-in-the-middle attack)に耐性を持つとされ、送信メールサーバと受信メールサーバ間の安全な接続を提供する。DNSSECおよびSMTP DANEの概要は次のとおり。

DNSSEC - 暗号署名を使用してDNSサーバーへの問い合わせの正しさを検証する。DNSスプーフィングなどを防御可能
SMTP DANE - DNSのTLSAレコードを使用してメールサーバーのTLS(Transport Layer Security)証明書の正しさを検証。TLSAレコードの正しさはDNSSECにより確保

○今後の展開

DNSSECを使用した受信SMTP DANEは、すでに一部のOutlookに実装されており、残りのOutlookおよびHotmailへの実装は2024年末までに完了する予定。今後のロードマップは次のとおり。

2024年12月：DNSSECおよびMTA-STSレポートを使用した受信SMTP DANEがExchange管理センターから利用可能に
2024年12月～2025年3月：すべての消費者向けOutlookおよびHotmailにDNSSECを使用したSMTP DANEを導入
2024年12月～2025年3月：新規で作成されたすべての承認済みドメインのメールレコードのプロビジョニングを、*.mx.microsoft下のDNSSEC対応インフラストラクチャーに移行
2025年5月 - 送信SMTP DANEの必須化。テナントまたはリモートドメインごとに設定

MicrosoftはDNSSECを使用した受信SMTP DANEについて、有効化プロセスに関する意見を募集している。意見や懸念事項がある場合は「Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online - Microsoft Community Hub」のコメント欄から投稿できる。
（後藤大地）