Günümüzün hızla dijitalleşen dünyasında, e-posta güvenliği artık sadece bir seçenek değil, bir zorunluluktur. Microsoft, bu gerekliliği fark ederek e-posta güvenliğine bir adım daha eklemeyi planlıyor. 2022 yılında, Microsoft, dışarıdan gelen SMTP DANE ile DNSSEC’i desteklemeye başladı. Şimdi ise, 2024 yılında bu özelliğin tam anlamıyla tamamlanması hedefleniyor.
SMTP DANE, e-posta iletişimini TLS ile güvence altına alan sertifikaların doğruluğunu DNS aracılığıyla doğrulayan bir güvenlik protokolüdür. DNSSEC ise, DNS kayıtlarının kriptografik doğrulanmasını sağlayan bir DNS uzantıları setidir. Bu, DNS sahteciliğini ve DNS’ye yönelik saldırıları engeller.
Microsoft, bu özelliği getirebilmek için Exchange Online için yeni bir DNS altyapısı oluşturdu. Bu yeni yapı, mevcut Exchange Online DNS altyapısını etkileyecek. Bu nedenle, bu değişikliklerin önceden bilinmesi, e-posta topluluğu için büyük önem taşıyor.
SMTP DANE ile DNSSEC Nasıl Kullanıma Sunulacak?
Bu özellik, iki aşamada kullanıma sunulacak:
- Mart 2024: Halka açık bir önizleme ile başlanacak. Müşteriler, M365 Yönetim Merkezi’ni kullanarak SMTP DANE’yi etkinleştirebilecekler.
- Temmuz 2024: Genel kullanıma sunulduktan sonra, Exchange Online’a gelen e-postalar için DNSSEC eklenmeye başlanacak.
Bu değişiklik, kabul edilen alan adları için Mail Exchange (MX) kayıtlarının ve Adres (A) kayıtlarının sağlanmasını kapsayacak. Ana değişiklik, yeni kabul edilen Alan Adlarının A kayıtlarını barındırmak için mail.protection.outlook.com’un yerini alacak olan <subdomain>.mx.microsoft adlı alt alanların tanıtılması olacak.
Neler Değişiyor?
2024 Temmuz’dan itibaren, yeni A kayıtlarının bir kısmı mx.microsoft altındaki birçok alt alanlardan birinde sağlanacak. Bu, 2024 Aralık’a kadar kademeli bir artışla gerçekleştirilecek. Temmuz 2024’ten önce oluşturulan Kabullenilen Alanlar için DNSSEC-özellikli bir sihirbaz kullanıma sunulacak, bu da yöneticilerin DNS kayıtlarını DNSSEC ile güvence altına alınmış alanlara taşımasına olanak tanıyacak.
Sonuç olarak, Microsoft, e-posta güvenliğini bir adım daha ileri taşımayı planlıyor. E-posta yöneticileri ve Microsoft 365 ile entegre olan veya Microsoft 365’i yeniden satan üçüncü taraf organizasyonlar, bu özelliklerin kullanıma sunulmasından önce herhangi bir eylemde bulunmaları gerekip gerekmediğini anlamak için bu bilgilere dikkat etmelidir. Bu, e-posta güvenliğinde yeni bir dönemin başlangıcını işaret ediyor.
Exchange Online DNSSEC Değişikliği Ne Anlama Geliyor?
- Mart 2024’te yeni mx.microsoft alt alan adlarının tanıtılması ve kullanıcılarınSMTP DANE ile DNSSEC Kamu Ön İzlemesi’ni benimsemeleriyle mail.protection.outlook.com’da MX aramalarında, yeniden denemelerde, doğrulamalarda veya yedek mekanizmalarda sert kodlamaya güvenmek mümkün olmayacak. Kabul edilen bir Alanın MX kayıt yapılandırmasına dair bilgi edinmeniz gerekiyorsa, List serviceConfigurationRecords Graph API’ını kullanılması gerekiyor.
- Herhangi bir MX kaydının başlangıçta otomatik olarak sağlanması, Temmuz 2024’ten itibaren mail.protection.outlook.com’daki A kayıtlarına atıfta bulunmayı durdurmalıdır. MX kayıtlarının otomatik sağlanması, doğru etki alanı öneki bilgisini sağlamak için gereken “mailExchange” alanını almak için List serviceConfigurationRecords Graph API’sini kullanarak taşınmalıdır. Bu değişiklik, eylem alınmadığı takdirde gelecekteki kiracılar için posta akışında önemli sorunlara yol açabilir.
- Erişim Kontrol Listelerinde ‘İzin Verilen’ olarak eklemeleri gereken IP/URL listesi. Exchange Online’a posta gönderen e-posta hizmeti sağlayıcıları, yöneticiler veya diğer varlıklar, IP/URL sayfasını takip etmeli ve ağ ve güvenlik duvarı ayarlarında gerekli değişiklikleri yapmalıdır.
Kısıtlamalar
Inbound SMTP DANE ile DNSSEC’i desteklemeye daha yaklaşırken, başlangıçta desteklenmeyecek bazı senaryoları bulunmaktadır:
- Viral ya da self-service kayıt alanları olarak bilinen Microsoft’tan satın alınan alanlar: Microsoft’tan satın alınan ve self-service olarak kurulan alanlar, kamu ön izlemesinin bir parçası olarak Inbound SMTP DANE ile DNSSEC için destek almayacak. Bu alanlar için Inbound SMTP DANE ile DNSSEC’i desteklemeyi planlanmaktadır.
- onmicrosoft.com alanları: kiracı için ‘onmicrosoft.com’ alanı, kamu ön izlemenin bir parçası olarak Inbound SMTP DANE ile DNSSEC için destek alamayacak. onmicrosoft.com alanları için Inbound SMTP DANE ile DNSSEC’i desteklemeyi inceniyor ama Microsoft tarafından belirtilmiş bir süre bilinmemektedir.
- Bir tenant için postayı kabul eden, bazı işlemler yapan ve daha sonra postayı Exchange Online’a ileten bir 3. parti e-posta ağ geçidini kullanan müşteriler, 3. parti ağ geçidi SMTP DANE ile DNSSEC doğrulamayı destekliyorsa, bu özelliği 3. parti ağ geçidinden Exchange Online’a yönlendirilen e-postayı güvence altına almak için kullanıbilecekler.