DANE
やっと、ExchangeOnlineのSMTP DANEパブリックプレビューが開始されました。
警告
Microsftの資料にも書いてある通り、プレビュー機能であり動作保証がありません。
この記事を読んで設定変更を思い立ったとしても、一切の保証はしませんので、ご注意ください。
DANEの有効化作業
上記ページの通り進めていけば有効になります。
きちんと読めばそんなに難しくないと思いますが、やってみた中でいくつか補足したいと思います。
DNSレコードの変更が複数回必要
DNSレコードの変更が必要になるので、変更権限があるか確認しましょう。
設定変更は何度かあるので、全部一人で出来る場合はあまり問題はないと思いますが、
他の人にレコード変更を依頼する必要がある場合は、作業中何度か変更するという事を十分説明してから始めましょう。
そもそものドメインがDNSSECに対応しているか?
To receive the full security benefits of the feature, ensure that you have enabled DNSSEC for your domain.
とあるように、メールのドメインのDNS自体がDNSSECに対応していない場合は
機能に不備が出来てしまいます。
そのような場合はわざわざパブリックプレビュー中にやる必要はないと思います。
Connect to Exchange Online PowerShell. とだけ言われる。
これの細かい説明がありません、わざわざプレビュー機能に手を出す人は知っておくべきという事でしょう。
ちなみに
Connect-ExchangeOnline -UserPrincipalName <管理者PrincipalName>
実行前に対象テナントにDNSSECの機能が有効に出来るか確認する方法
プレビュー機能が使えない場合、関連コマンドが存在しないと言われます。
以下のコマンドは現在のDNSSECの設定状況を確認するコマンドです。
Get-DnssecStatusForVerifiedDomain -DomainName <DOMAIN>
これが
名前が正しく記述されていることを確認し、パスが含まれている場合はそのパスが正しいことを確認してから、再試行してください。
とか出たら、たぶん関連コマンドは全部使えません。
手順3のEnable-DnssecForVerifiedDomainの実行時間
This command can take a few minutes to execute.
の通り、少し時間かかります。コマンド実行後何も反応ありませんが待ちましょう。
終われば、以下のような表示が出てきます
DnssecMxValue Result ErrorData
------------- ------ ---------
jp. .mx.microsoft Success
TTLは待った方がいい?
手順7で
Then, update the TTL for the MX record ending in mx.microsoft to 3600 seconds.
とありますが、個人的にはパブリックプレビュー中は短めにしておこうと思っています。
最終的に有効になるのも少し待つ
手順8で
Enable-SmtpDaneInbound -DomainName <DomainName>
これの実行後、
手順9での確認は、書いてある通り少し時間がかかります。
完全に反映されるまではDNNSEC,TLSA,DANE3つの内一部が緑でなくて、
一部のみが緑なのに「テストに合格しました」とか出る場合がありますが、
完了すれば3つとも緑なるので、きちんと確認しましょう。
結果
以前の状況はこちらの記事参照
IPv6以外はクリアとなり、65%→87%に上がった。
しかし、TLSの暗号選択で警告が出ています。
切り替え前は出ていなかったはずなんですが、なんででしょうか?
マイクロソフトのコミュニティサイトで確認している人がいたので、そのうちなにか情報が得られるかも。