如何在 Exchange Online 中使用 DNSSEC 设置入站 SMTP DANE

具有 DNSSEC 功能的出站 SMTP DANE 由 Microsoft 于 2022 年 3 月设置。您无需为此执行任何操作。然而，他们花了几年时间才最终将其添加到入站邮件流中。在本文中，您将了解如何在 Exchange Online 中使用 DNSSEC 配置入站 SMTP Dane。

• SMTP协议（基于 DNS 的命名实体身份验证）是一种安全协议，它使用 DNS 来验证用于保护 TLS 电子邮件通信安全并防止 TLS 降级攻击的证书的真实性。

• DNSSEC（域名系统安全扩展）是一组 DNS 扩展，提供 DNS 记录的加密验证，防止 DNS 欺骗和中间对手攻击 DNS。

笔记：Microsoft 免费提供带有 DNSSEC 的入站 SMTP DANE，作为其提高每个人的电子邮件安全性的努力的一部分。您不必使用 DNSSEC 配置出站 SMTP DANE，因为 Microsoft 自 2022 年 3 月起已添加此功能。

在 Exchange Online 中配置入站 SMTP DANE 和 DNSSEC

要在 Exchange Online (Microsoft 365) 中设置入站 SMTP DANE 和 DNSSEC，请按照以下步骤操作：

步骤 1. 验证域是否经过 DNSSEC 签名

要获得该功能的全部安全优势，请确保域经过 DNSSEC 签名：

1. 前往威瑞信 DNSSEC 调试器工具
2. 填写域名
3. 按进入
4. 验证所有字段都有绿色复选标记

如果域未经过 DNSSEC 签名，请确保在继续之前在 DNS 注册商中启用它。假设您的注册商没有此功能，请将您的域移至另一个具有 DNSSEC 支持的注册商。

步骤 2. 更新 DNS 注册器中的现有 MX 记录 TTL

1. 登录您的DNS注册
2. 编辑现有 MX 记录
3. 将现有 MX 记录的 TTL 降低至1分钟
4. 确保您的 MX 记录优先级设置为0或者10
5. 点击节省

6. 等待先前的 TTL 到期后再继续。例如，如果现有 MX 记录的 TTL 为 1 小时，则必须等待 1 小时才能继续下一步。

步骤 3. 连接到 Exchange Online PowerShell

以管理员身份运行 PowerShell 并连接到 Exchange Online PowerShell。

Connect-ExchangeOnline

步骤 4. 为域启用 DNSSEC

使用以下命令为域启用 DNSSEC。

Enable-DnssecForVerifiedDomain -DomainName "alitajran.com"

将出现以下输出。

DnssecMxValue                   Result  ErrorData
-------------                   ------  ---------
alitajran-com.k-v1.mx.microsoft Success

步骤 5. 将新 MX 记录添加到 DNS 注册器

1. 去你的DNS注册
2. 创建一个新 MX 记录
3. 复制DnssecMx值从上一步的输出中提取并将其粘贴为值
4. 将 TTL 设置为1分钟
5. 将新 MX 记录的优先级设置为20
6. 点击节省

步骤 6. 验证新的 MX 记录

1. 前往入站 SMTP 电子邮件测试
2. 填写一个电子邮件以您的域名结尾
3. 点击执行测试

4. 输出显示以 MX 结尾的测试成功微软MX

步骤 7. 删除 DNS 注册器中的旧 MX 记录

1. 去你的DNS注册
2. 删除旧 MX 记录

步骤 8. 在 DNS 注册器中更改新 MX 记录的优先级

1. 编辑新 MX 记录在 DNS 注册商中
2. 将优先级更改为0
3. 点击节省

步骤 9. 验证 DNSSEC 验证

1. 前往DNSSEC 和 DANE 验证测试
2. 填写域名
3. 确保您选择测试类型DNSSEC 验证
4. 点击执行测试

5. 屏幕显示 MX 结尾的 DNSSEC 验证测试已成功微软MX

步骤 10. 为域启用入站 SMTP DANE

当您仍连接到 Exchange Online PowerShell 时，使用以下命令为域启用入站 SMTP DANE。

Enable-SmtpDaneInbound -DomainName "alitajran.com"

将出现以下输出。

Result  ErrorData
------  ---------
Success

重要的：请等待 15-30 分钟，然后再继续，因为 TLSA 记录需要传播。

步骤 11. 验证 DANE 验证（包括 DNSSEC）

1. 前往DNSSEC 和 DANE 验证测试
2. 填写域名
3. 确保您选择测试类型DANE 验证（包括 DNSSEC）
4. 点击执行测试

5. 屏幕显示以 MX 结尾的 DANE 验证（包括 DNSSEC）测试已成功微软MX

笔记：Exchange Online 托管多个 TLSA 记录，以提高 SMTP DANE 验证成功的可靠性。预计某些 TLSA 记录可能会验证失败。只要 1 条 TLSA 记录通过验证，SMTP DANE 就会正确配置，并且电子邮件将受到 SMTP DANE 的保护。

有关的：PowerShell：为 Exchange Online (Azure) 配置基于证书的身份验证

就是这样！

结论

您了解了如何在 Exchange Online 中使用 DNSSEC 设置入站 SMTP DANE。每个 Microsoft 365 组织都应为其在 Exchange Online 中的接受域配置此功能，以保护其入站邮件流。请记住，它是完全免费的。

您喜欢这篇文章吗？您可能还喜欢 Office 365 推荐配置分析器。不要忘记关注我们并分享这篇文章。