DANE (DNS-based Authentication of Named Entities) est un protocole de sécurité qui repose sur DNSSEC pour authentifier les certificats TLS lors des échanges SMTP entre serveurs de messagerie. Voir notre article "Qu'est-ce que DANE"
Prérequis :
- Le domaine expéditeur et le domaine du serveur MX cible (ici Microsoft) doivent supporter DNSSEC
- DANE côté Microsoft est disponible uniquement pour les domaines vérifiés dans Exchange Online
Accès requis :
- Zone DNS du domaine
- Registrar (Si les NS sont gérés séparément, pour activer DNSSEC)
- Fichier de politique MTA-STS (si MTA-STS est déployé)
- Administrateur Exchange Online
- Vérifier et Activer DNSSEC sur votre domaine
- Assurez-vous que votre domaine est signé DNSSEC, préquis absolu
- DANE s'appuie sur la chaine de confiance DNSSEC pour valider les enregistrelnts TLSA
- Si DNSSEC n'est pas encore activé, vérifiez la comptabilité auprés de votre registrar et fournisseur NS, puis activez-le
- Préparer l'enregistrement MX existant :
- Réduisez le TTL à 1 minute et augmenter sa priorité à 30
- Cela permettra une bascule rapide et une propagation DNS efficace pour les étapes suivantes
- Se connecter à Exchange Online en PowerShell :
Installer le module si nécessaire :
Install-Module -Name ExchangeOnlineManagement
- Se connecter au tenant :
Connect-ExchangeOnline -UserPrincipalName ***@votredomaine.com
- Activer DNSSEC puis DANE sur le domaine dans Exchange Online :
- Référence Microsoft : enable-SmtpDaneInbound
Activer DNSSEC :
Enable-DnssecForVerifiedDomain -DomainName votredomaine.com
- Activer DANE en entrée :
Enable-SmtpDaneInbound -DomainName votredomaine.com
- Ces commandes génèrent un nouvel enregistrement MX de la forme votredomaine-com.x-v1.mx.microsoft ainsi que les enregistrements TLSA associés dans la zone DNS Microsoft.
- Mettre MTA-STS à jour (si activé) :
- Si MTA-STS est déployé sur votre domaine en mode enforce, il est impératif de le basculer en mode testing avant d'ajouter le nouveau MX. Sans cette précaution, les serveurs émetteurs respectant MTA-STS refuseront de délivrer vers un MX non listé dans votre fichier de politique
- ⚠️Si le max_age précédent était élevé (ex: 5184000 soit 28 jours), les serveurs ayant mis en cache l'ancienne politique continueront à l'appliquer pendant toute cette durée. Pour réduire ce délai, publiez en amont un fichier avec max_age: 86400 (1 jour) en conservant les MX existants, et attendez l'expiration avant de procéder.
- Ajouter le nouveau MX :
Ajoutez dans votre zone DNS le nouvel enregistrement MX fourni par Miscrosoft :
Type MX
Nom @
Valeur "votredomaine-com.x-v1.mx.microsoft"
Priorité 0
TTL 60 secondes
- Vérifier la mise en place :
- Vérifiez que le nouveau MX est opérationnel que DANE est correctement validé : check.merox.io on DaneSmtp
- Testez la la bonne réception d'un email depuis un domaine externe
- Nettoyer la zone DNS :
- Si les tests sont corrects
- Supprimez l'ancien enregistrement MX
- Passez le TTL du nouveau MX à 4h (14400 secondes), valeur stabilisée
- Restaurer MTA-STS en mode enforce (si c'était le cas) :
- Mettez à jour le fichier de politique MTA-STS pour ne référencer que le nouveau MX et le bon mode :
Risques et points d'attention :
- Non-réception d'email depuis l'extérieur : c'est le risque principal si la bascule MX est mal séquencée
- Interaction avec le délai de cache du fichier MTA-STS : si le mode est enforce et max_age élevé, les serveurs ayant mis en cache (notamment Gmail) continueront à la respecter jusqu'à expiration. Donc il faut prévoir un temps de cohabitation avant la version finale, comme expliqué au-dessus
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article