如何在 Exchange Online 中使用 DNSSEC 设置入站 SMTP DANE

具有 DNSSEC 功能的出站 SMTP DANE 由 Microsoft 于 2022 年 3 月设置。您无需为此执行任何操作。然而，他们花了几年时间才最终将其添加到入站邮件流中。在本文中，您将了解如何在 Exchange Online 中使用 DNSSEC 配置入站 SMTP Dane。

什么是 SMTP DANE 和 DNSSEC？

• SMTP DANE（基于 DNS 的命名实体身份验证）是一种安全协议，它使用 DNS 来验证用于保护 TLS 电子邮件通信并防止 TLS 降级攻击的证书的真实性。

• DNSSEC（域名系统安全扩展）是一组 DNS 扩展，提供 DNS 记录的加密验证，防止 DNS 欺骗和中间对手攻击。

注意：Microsoft 免费将入站 SMTP DANE 与 DNSSEC 结合在一起，作为其提高每个人的电子邮件安全性的努力的一部分。您不必使用 DNSSEC 配置出站 SMTP DANE，因为 Microsoft 自 2022 年 3 月以来已添加此功能。

在 Exchange Online 中配置入站 SMTP DANE 和 DNSSEC

要在 Exchange Online (Microsoft 365) 中设置入站 SMTP DANE 和 DNSSEC，请按照以下步骤操作：

步骤 1. 验证域是否经过 DNSSEC 签名

要获得该功能的全部安全优势，请确保域经过 DNSSEC 签名：

1. 转到 Verisign DNSSEC 调试器工具
2. 填写域名
3. 按输入
4. 验证所有字段都有绿色复选标记

如果域未经过 DNSSEC 签名，请确保在继续之前在 DNS 注册商中启用它。假设您的注册商没有此功能，请将您的域移至另一个具有 DNSSEC 支持的注册商。

步骤 2. 更新 DNS 注册器中的现有 MX 记录 TTL

1. 登录您的 DNS 注册商
2. 编辑现有 MX 记录
3. 将现有 MX 记录的 TTL 降低至1 分钟
4. 确保您的 MX 记录优先级设置为 0 或 10
5. 点击保存

1. 等待先前的 TTL 到期后再继续。例如，如果现有 MX 记录的 TTL 为1 小时，则必须等待 1 小时才能继续下一步。

步骤 3. 连接到 Exchange Online PowerShell

以管理员身份运行 PowerShell 并连接到 Exchange Online PowerShell。

Connect-ExchangeOnline

步骤 4. 为域启用 DNSSEC

使用以下命令为域启用 DNSSEC。

Enable-DnssecForVerifiedDomain -DomainName "a-d.site"

将出现以下输出。

DnssecMxValue                   Result  ErrorData
-------------                   ------  ---------
a-d-com.k-v1.mx.microsoft Success

步骤 5. 将新 MX 记录添加到 DNS 注册器

1. 前往您的 DNS 注册商
2. 创建新 MX 记录
3. 从上一步的输出中复制 DnssecMxValue 并将其粘贴为值
4. 将 TTL 设置为1 分钟
5. 将新 MX 记录的优先级设置为 20
6. 点击保存

步骤 6. 验证新的 MX 记录

1. 转到入站 SMTP 电子邮件测试
2. 填写以您的域名结尾的电子邮件地址
3. 点击执行测试

1. 输出显示以 mx.microsoft 结尾的 MX 测试成功

步骤 7. 删除 DNS 注册器中的旧 MX 记录

1. 前往您的 DNS 注册商
2. 删除旧 MX 记录

步骤 8. 在 DNS 注册器中更改新 MX 记录的优先级

1. 在 DNS 注册器中编辑新 MX 记录
2. 将优先级更改为0
3. 点击保存

步骤 9. 验证 DNSSEC 验证

1. 转到 DNSSEC 和 DANE 验证测试
2. 填写域名
3. 确保您选择测试类型 DNSSEC 验证
4. 点击执行测试

1. 屏幕显示对于以 mx.microsoft 结尾的 MX，DNSSEC 验证测试已成功

步骤 10. 为域启用入站 SMTP DANE

当您仍连接到 Exchange Online PowerShell 时，使用以下命令为域启用入站 SMTP DANE。

Enable-SmtpDaneInbound -DomainName "a-d.site"

将出现以下输出。

Result  ErrorData
------  ---------
Success

重要提示：请等待 15-30 分钟，然后再继续操作，因为 TLSA 记录需要传播。

步骤 11. 验证 DANE 验证（包括 DNSSEC）

1. 转到 DNSSEC 和 DANE 验证测试
2. 填写域名
3. 确保您选择测试类型DANE 验证（包括 DNSSEC）
4. 点击执行测试

1. 屏幕显示对于以 mx.microsoft 结尾的 MX，DANE 验证（包括 DNSSEC）测试 已成功

注意：Exchange Online 托管多个 TLSA 记录，以提高 SMTP DANE 验证成功的可靠性。预计某些 TLSA 记录可能会验证失败。只要 1 条 TLSA 记录通过验证，SMTP DANE 就会正确配置，并且电子邮件将受到 SMTP DANE 的保护。

就是这样！

了解更多：如何检查 SPF/DKIM/DMARC 是否正确设置 »

结论

您了解了如何在 Exchange Online 中使用 DNSSEC 设置入站 SMTP DANE。每个 Microsoft 365 组织都应为其在 Exchange Online 中的接受域配置此功能，以保护其入站邮件流。请记住，它是完全免费的。

您喜欢这篇文章吗？您可能还喜欢 Office 365 推荐配置分析器。不要忘记关注我们并分享这篇文章。