In maart 2022 heeft Microsoft Outbound SMTP DANE met DNSSEC automatisch ingeregeld. Daar hoefde je zelf niets voor te doen.

Inbound mailverkeer (ontvangen van e-mails) was echter een ander verhaal: daar duurde het tot 2024 voordat Microsoft ook deze functionaliteit beschikbaar stelde.

In dit artikel leggen we stap voor stap uit hoe je Inbound SMTP DANE en DNSSEC instelt binnen Exchange Online.

Wat is SMTP DANE en DNSSEC?

• SMTP DANE (DNS-based Authentication of Named Entities) controleert via DNS of de certificaten die gebruikt worden voor e-mailverkeer echt zijn, en beschermt tegen TLS-downgrade aanvallen.
• DNSSEC (Domain Name System Security Extensions) zorgt ervoor dat de DNS-gegevens zelf niet onderweg gemanipuleerd kunnen worden, bijvoorbeeld door een man-in-the-middle aanval.

Microsoft biedt deze extra beveiliging gratis aan voor alle Microsoft 365-gebruikers. Voor Outbound DANE hoef je niets te doen, maar Inbound DANE moet je zelf activeren.

Stappenplan: Inbound SMTP DANE en DNSSEC configureren in Exchange Online

1. Controleer of je domein DNSSEC-ondertekend is

• Ga naar de Verisign DNSSEC Debugger
• Voer je domeinnaam in
• Check of alle velden een groen vinkje hebben

Is je domein niet ondertekend? Schakel DNSSEC in bij je registrar. Ondersteunt je registrar het niet? Dan is het verstandig je domein te verhuizen naar een partij die dat wél kan.

2. Verlaag de TTL van je bestaande MX-record

• Log in bij je DNS-beheerder
• Verlaag de TTL (Time To Live) van je bestaande MX-record naar 1 minuut
• Zorg dat de prioriteit van je MX-record op 0 of 10 staat
• Sla de wijzigingen op

Let op: Wacht totdat de oude TTL volledig is verlopen voordat je doorgaat.

3. Verbind met Exchange Online PowerShell

• Start PowerShell als administrator.
  • Heb je de Exchange Online PowerShell-module nog niet geïnstalleerd? Dan kun je deze eenvoudig toevoegen met:
    _{Install-Module ExchangeOnlineManagement}
  • Mogelijk vraagt PowerShell om toestemming om van de PSGallery te installeren. Bevestig dit met “Ja”.
  • Maak vervolgens verbinding met Exchange Online:
    _{Connect-ExchangeOnline}

4. Activeer DNSSEC voor je domein

• Voer het volgende commando uit:
  _{Enable-DnssecForVerifiedDomain -DomainName "jouwdomein.nl"}
• De uitkomst toont een nieuwe waarde (DnssecMxValue) die je nodig hebt voor de volgende stap.

5. Voeg een nieuw MX-record toe

• Maak bij je DNS-beheerder een nieuw MX-record aan
• Gebruik de DnssecMxValue uit de vorige stap
• TTL: 1 minuut
• Prioriteit: 20
• Opslaan

6. Controleer het nieuwe MX-record

• Test via Inbound SMTP Email Test
• Vul een e-mailadres in dat eindigt op je domein
• Controleer of de test slaagt voor het nieuwe MX-record
   

7. Verwijder het oude MX-record

• Verwijder het oude MX-record in je DNS-beheer

8. Pas de prioriteit van je nieuwe MX-record aan

• Verander de prioriteit van het nieuwe MX-record naar 0
• Opslaan

9. Controleer de DNSSEC-validatie

• Ga naar de DNSSEC en DANE Validatietool
• Kies voor DNSSEC Validation
•  Controleer of alles goed staat

• Activeer Inbound SMTP DANE
• Blijf verbonden met Exchange Online en voer uit:
  _{Enable-SmtpDaneInbound -DomainName "jouwdomein.nl"}

Belangrijk: Wacht 15-30 minuten zodat de TLSA-records zich volledig kunnen verspreiden.

11. Controleer de DANE-validatie (inclusief DNSSEC)

• Ga opnieuw naar de DNSSEC en DANE Validatietool
• Kies DANE Validation (including DNSSEC)
• Controleer of de validatie succesvol is

Let op: Microsoft host meerdere TLSA-records voor betere betrouwbaarheid. Als minimaal één TLSA-record valideert, is je configuratie correct.

 
Conclusie

Met deze stappen beveilig je het inkomende e-mailverkeer in Exchange Online beter tegen spoofing en downgrade-aanvallen. En het mooiste: het kost je niets extra. Elke organisatie die serieus werk maakt van e-mailbeveiliging zou deze stap moeten zetten. Zeker nu je ook bij Microsoft 365 niet meer afhankelijk bent van alleen basisinstellingen.

Wil je weten of jouw e-maildomein écht goed is ingericht? Doe dan de check via internet.nl/test-mail.

Bij een perfecte inrichting van SPF, DKIM, DMARC, DNSSEC én DANE behaal je 100%  en krijg je een plek in de Hall of Fame van internet.nl. Een mooie erkenning voor je e-mailbeveiliging en een belangrijke stap naar een sterkere digitale basis.

Bron:
Gebaseerd op de handleiding van alitajran.com: Inbound SMTP DANE and DNSSEC Exchange Online.