Microsoft 365 のメッセージセンターを確認していたところ、 DANE ( DNS-based Authentication of Named Entities ) を利用したメール送信が開始されることがアナウンスされていました。
送信メールの対応のみでも 2022 年 1 月から 5 月にかけてと時間をかけての導入となるようです。
詳細は以下 Blog に記されているのですが、この対応によりより厳格にメール送信相手先を確認するようになると思っておけばよいでしょう。
この機能はメール受信側が DNS に TLSA レコードを登録しておくことで DNSSec を用いて相手メールサーバーを認証するというものとなるため TLSA レコードの適用が契機になるのかと思います。
基本このレコードがあるということは DANE を使ってもらう前提であるということなので、問題が発生することはないと思われます。
しかしながら TLSA レコードは証明書の有効期間ごとに変更する必要があるため、この更新をメール受信側が忘れていた場合などにメールの送信ができなくなるということは考えられますね。
この時は NDR 応答が発生するため、いつもメールを送れていたのに急に送付できなくなったときなどはこの設定周りを疑うことになるのかと思います。(かといって送信側は対処できないのですが、、、)
証明書の切り替え時もそうなのですが、現状 Exchange Online は DANE には未対応となっているため、対応していたサーバーからの切り替えを行うときに TLSA レコードを消し忘れるなどが起きるとメールが受信できなくなるという事態が考えられるのですよね。(これは今も起こりえるのでこの変更が問題というわけではないのですが。)
そのためか、 Microsoft 365 内のメールはほかテナントであっても DANE は利用されないようです。
セキュリティのためとはいえ結構強い制約なので、 PowerShell などでもよいので別送する手段は提供しておいてほしいところですね。一応 2022 年の早い段階でリモート接続アナライザーに DANE が有効になっているか、相手側を確認するための機能が追加されるようです。
この機能はもともと 2020 年には送信メールを対象として動作するようにする計画だったようなのでほぼ 1.5 年遅れての対応となります。
それだけ計画に時間をかけ、問題のあるサーバーが少ないことを確認しているのかと思いますが、メールインフラは止まると大変なのでぜひこの慎重さは今後も継続してほしいですね!
音楽:Pearls
