在Excel中永远不要做的10件事

阅读更多

微软本周宣布，计划在其云托管的电子邮件服务器Office365ExchangeOnline上增加对DANE和DNSSEC协议的官方支持。

DANE和DNSSEC是两个internet协议，用于确保通信发生在正确加密和经过身份验证的连接上。

通过互联网安全发送电子邮件所涉及的协议可以被描述为一个蛋糕，上面有不同的层。取决于服务器支持多少与电子邮件相关的协议，电子邮件就越安全。

所有电子邮件流量的基础是古老的SMTP(简单邮件传输协议)，它定义了在电子邮件服务器(网关)之间发送电子邮件的方式。大多数用户不知道的是，SMTP不支持加密，所有电子邮件都是明文发送的。

为了解决这个问题，internet社区开发了STARTTLS(SMTP服务扩展，用于传输层安全SMTP)，它是SMTP协议的一个附加组件，用于确保在服务器之间加密发送电子邮件。

但是，也被称为“机会式TLS”的STARTTLS协议有两个主要缺陷。

首先，电子邮件流量不会直接从发送者到接收者，而是在到达目的地时通过其他电子邮件服务器。攻击者在电子邮件的传输路径上可以伪装成一个古老的服务器，欺骗发送服务器将连接从STARTTLS降级为较弱的明文SMTP。

第二，在电子邮件的路径上的攻击者也可以欺骗发送者，使其认为是电子邮件的接收服务器。这意味着，即使连接被加密，发送服务器也永远不会知道电子邮件被转移到恶意服务器，也永远不会到达预期的目的地。

DANE和DNSSEC分别针对这两个问题增加了保护。

DANE代表命名实体的基于dna的身份验证，它允许服务器所有者向所有其他电子邮件服务器广播他们支持正确的加密和身份验证。

微软表示，通过支持DANE,Exchange在线服务器不会被骗将STARTTLS降级为较弱的SMTP。

不过，尽管DANE针对降级攻击问题增加了应对措施，DNSSEC却加强了交换在线服务器以应对第二个SMTP/STARTTLS问题——对其他电子邮件网关进行身份验证失败。

域名系统安全扩展(DNSSEC)解决了这个问题，它允许电子邮件服务器所有者对DNS记录进行数字签名，并确保没有其他人可以作为他们的服务器通过。

微软工程师昨日在一篇博客文章中表示:“支持上述标准，尤其是DNSSEC，将需要对微软的基础设施进行投资和架构更改——我们认为，为了加强对客户的保护，这一投资是必要的。”

微软表示:“由于这需要大量的工作，我们将分两个阶段发布用于SMTP的DANE和DNSSEC。”

“第一阶段将只包括出站支持(从Exchange在线发送的邮件)，我们的目标是到2020年年底实现这一点。”第二阶段将增加对ExchangeOnline的入站支持，我们计划在2021年底实现这一目标。”

微软表示，除了DANE和DNSSEC，它还将增加对SMTPTLS-rpt(SMTPTLS报告)标准的支持，以便为Exchange在线服务器所有者提供一个工具，以调试他们在电子邮件服务器上启用DANE和DNSSEC时可能出现的任何错误。

Exchange在线服务器支持的其他电子邮件安全协议包括DMARC(基于域的消息身份验证、报告和一致性)、DKIM(域密钥标识邮件)和SPF(发送方策略框架)。