Microsoft agregará compatibilidad con DANE y DNSSEC a los servidores de Trade On the web


Microsoft Exchange

Microsoft anunció esta semana que planea agregar soporte oficial para los protocolos DANE y DNSSEC a su oferta de servidor de correo electrónico alojado en la nube, conocido como Office environment 365 Exchange On the internet.

DANE y DNSSEC son dos protocolos de World-wide-web para garantizar que las comunicaciones se realicen a través de conexiones debidamente encriptadas y autenticadas.

Los protocolos involucrados en el envío seguro de un correo electrónico a través de World-wide-web se pueden describir como un pastel, con diferentes capas en la parte excellent. Dependiendo de cuántos protocolos relacionados con el correo electrónico admita un servidor, el correo electrónico más seguro es.

En la foundation de todo el tráfico de correo electrónico se encuentra el antiguo SMTP (Protocolo uncomplicated de transferencia de correo), que define una forma de enviar un correo electrónico entre servidores de correo electrónico (puertas de enlace). Sin que la mayoría de los usuarios lo sepan, SMTP no admite el cifrado y envía todos los correos electrónicos en texto sin formato.

Para solucionar este problema, la comunidad de World wide web ha desarrollado STARTTLS (Extensión de servicio SMTP para SMTP seguro sobre la seguridad de la capa de transporte), que es un complemento del protocolo SMTP para garantizar que los correos electrónicos se envíen encriptados entre servidores.

Pero el protocolo STARTTLS, también conocido como «TLS oportunista», tiene dos defectos principales.

El primero es que el tráfico de correo electrónico no va directamente del remitente al receptor y pasa a través de otros servidores de correo electrónico cuando llega a su destino. Un atacante en la ruta de viaje del correo electrónico puede hacerse pasar por un servidor antiguo y engañar al servidor emisor para que reduzca la conexión de STARTTLS al SMTP de texto claro más débil.

El segundo es que un atacante en la ruta de un correo electrónico también puede engañar al remitente para que piense que es el servidor receptor del correo electrónico. Esto significa que incluso si la conexión está encriptada, el servidor emisor nunca sabrá que el correo electrónico se desvió al servidor malicioso y nunca llegó a su destino previsto.

DANE y DNSSEC agregan protección contra estos dos problemas, respectivamente.

DANÉS, que significa Autenticación de entidades designadas basada en DNS, permite a los propietarios de servidores transmitir a todos los demás servidores de correo electrónico que admiten el cifrado y la autenticación adecuados.

Microsoft dice que al admitir DANE, los servidores de Trade On-line no serán engañados para degradar STARTTLS al SMTP más débil.

Pero mientras que DANE agrega contramedidas contra el problema de los ataques de degradación, DNSSEC endurece los servidores de Trade On line contra el segundo problema de SMTP / STARTTLS, autenticando erróneamente otras puertas de enlace de correo electrónico.

DNSSEC, que significa Extensiones de seguridad del sistema de nombres de dominio, corrige esto al permitir a los propietarios de servidores de correo electrónico una forma de firmar digitalmente registros DNS y asegurarse de que nadie más pueda pasar como su servidor.

Despliegue en dos fases

«El soporte de los estándares anteriores, especialmente DNSSEC, requerirá inversiones y cambios de arquitectura en la infraestructura de Microsoft, una inversión que creemos que es necesaria para mejorar la protección de nuestros clientes». Ingenieros de Microsoft dijeron en una publicación de blog site ayer.

«Como esto requerirá un trabajo significativo, lanzaremos DANE y DNSSEC para SMTP en dos fases», dijo Microsoft.

«La primera fase incluirá solo soporte saliente (correo enviado saliente desde Exchange On the web) y nuestro objetivo es habilitarlo para el final del año calendario 2020. La segunda fase agregará soporte entrante para Trade On the net y planeamos habilitarlo para el finales de 2021. «

Microsoft dijo que además de DANE y DNSSEC, también agregaría soporte para el SMTP TLS-RPT (SMTP TLS Reporting) estándar para dar a los propietarios de servidores de Exchange On line una herramienta para depurar cualquier error que pueda surgir cuando habilitan DANE y DNSSEC en sus servidores de correo electrónico.

Otros protocolos de seguridad de correo electrónico suitable con servidores de Exchange On line incluir DMARC (Autenticación de mensajes basada en dominio, informes y conformidad), DKIM (Correo identificado de DomainKeys), y SPF (Marco de políticas del remitente).



Enlace a la noticia original