Waarom moeten we DANE en DNSSEC inschakelen?
DNSSEC (Domain Name System Security Extensions) Voorkomt dat DNS-records worden gemanipuleerd tijdens transport. Dit beschermt tegen man-in-the-middle-aanvallen waarbij kwaadwillenden je DNS-verkeer onderscheppen of vervalsen.
DANE (DNS-based Authentication of Named Entities) Verifieert via DNS of het TLS-certificaat van de ontvangende mailserver echt is. Dit voorkomt TLS downgrade attacks, waarbij een aanvaller probeert de versleuteling van e-mailverkeer uit te schakelen.
Samen zorgen ze ervoor dat je e-mailverkeer via Microsoft 365 niet alleen versleuteld is, maar ook dat de route en certificaten betrouwbaar zijn
Het instellen doe je in een paar korte stappen, belangrijk is dat de volgorde hieronder aangehouden wordt en geen stappen worden overgeslagen.
Testen
Test eerst op http://internet.nl bij Test your email wat de huidige staat van je domein is. Aan het einde willen wel alles op 100% hebben staan.
Controle
Zorg ervoor dat je zeker weet dat je toegang hebt tot de DNS zodat je het MX Record kan aanpassen. Zorg er voor dat je als admin kan aanmelden in de Microsoft 365 omgeving.
Aanpassen MX Record
Meld je aan bij je Hostingprovider of het bedrijf waar je DNS staat, in dit voorbeeld gebruik ik CloudFlare.
Het huidige record moet aangepast worden naar TTL van 60 seconden en een Priority van 10.
Start nu PowerShell op en voer de onderstaande regels uit.
Connect-ExchangeOnline -ShowProgress $true -ShowBanner:$false
Enable-DnssecForVerifiedDomain -DomainName "jouwdomein.nl"MxValue Result ErrorData
------- ------ ---------
techblogdemo-nl.d-v1.mx.microsoft SuccessJe hebt nu het nieuwe MX Record, voeg deze nu toe bij je DNS provider, met TTL van 60 seconden en een Priority van 0.
Inschakelen Inbound SMTP DANE
Gebruik het onderstaande commando om Inbound SMTP DANE in te schakelen.
Enable-SmtpDaneInbound -DomainName "jouwdomein.nl"Result ErrorData
------ ---------
SuccessControle uitvoeren
Ga naar https://mxtoolbox.com en controleer of de oude en de nieuwe MX records aanwezig zijn.
Als beide records erin staan verwijder je nu het oude MX Record bij je DNS Provider.
Test
Test nu opnieuw met https://internet.nl of alles nu op 100% staat.
