Im Juli 2026 führt Microsoft eine Änderung in Exchange Online ein, die auf den ersten Blick wie eine kleine DNS-Anpassung wirkt, tatsächlich aber ein wichtiger Schritt für eine stärkere Sicherheitsarchitektur im E-Mail-Transport ist.
Bei neuen akzeptierten Domains werden MX-Records künftig nicht mehr unter*.mail.protection.outlook.com
bereitgestellt, sondern unter*.mx.microsoft.
Diese Änderung schafft die Grundlage für eine saubere DNSSEC-Vertrauenskette und eine bessere Unterstützung von SMTP DANE, wodurch die Sicherheit beim Versand von E-Mails deutlich verbessert werden kann.
Warum diese Änderung wichtig ist
Die Anpassung betrifft nicht das Routing von E-Mails, sondern die zugrunde liegende Sicherheitsarchitektur.
Der bisherige MX-Namespace erschwerte es, eine durchgängige DNSSEC-Trust-Chain bis in die Microsoft-Mailinfrastruktur aufzubauen.
Mit dem neuen Namespace kann Microsoft künftig:
- MX-Endpunkte besser mit DNSSEC-fähiger Infrastruktur verknüpfen
- TLSA-Records für SMTP DANE sauber bereitstellen
- die Identität von Mailservern während der TLS-Verhandlung zuverlässiger prüfen
Das Ziel ist eine stärkere Absicherung der Transportverschlüsselung zwischen Mailservern.
Hintergrund: TLS ohne verpflichtende Validierung reicht nicht mehr aus
Der überwiegende Teil des E-Mail-Verkehrs im Internet verwendet weiterhin TLS ohne verpflichtende Servervalidierung.
Dabei wird die Verbindung zwar verschlüsselt, aber das Zielsystem wird nicht streng authentifiziert.
Das eröffnet theoretisch Angriffsflächen, zum Beispiel durch:
- DNS-Manipulation
- Downgrade-Angriffe
- Man-in-the-Middle-Angriffe
- kompromittierte Zertifikate
Hier setzen DNSSEC und SMTP DANE an.
DNSSEC
- signiert DNS-Antworten kryptografisch
- verhindert DNS-Spoofing
- stellt sicher, dass MX-Einträge authentisch sind
SMTP DANE
- veröffentlicht TLS-Informationen über DNS (TLSA-Records)
- nutzt DNSSEC zur Absicherung
- stellt sicher, dass Mailserver nur mit verifizierter Infrastruktur kommunizieren
- verhindert TLS-Downgrades und Man-in-the-Middle-Angriffe
Der neue Namespace mx.microsoft erleichtert es Microsoft, eine vollständige DNSSEC-Trust-Chain bis zu Exchange Online aufzubauen und damit eine stärkere Validierung des Mailtransports zu ermöglichen.
Was Administratoren jetzt tun sollten
Für die meisten Tenants ist keine sofortige Aktion erforderlich.
Die Änderung betrifft zunächst nur neu hinzugefügte akzeptierte Domains.
Trotzdem ist dies ein guter Zeitpunkt, die eigene Mail-Security zu überprüfen.
Empfohlene Checks
- Prüfen, ob die eigene DNS-Zone mit DNSSEC signiert ist
- Sicherstellen, dass Skripte oder Automatisierungen kein festes MX-Format erwarten
- Mail-Transport mit DNSSEC- / DANE-Testtools überprüfen
- Monitoring für MX- und TLS-Validierung aktivieren
Wichtiger Hinweis
Bestehende Domains sollten durch diese Änderung nicht beeinträchtigt werden.
Probleme können jedoch auftreten, wenn Umgebungen auf hart codierte MX-Hostnamen, Validierungsregeln oder alte Automatisierungsskripte angewiesen sind.
Gerade in größeren oder stark automatisierten Microsoft-365-Umgebungen empfiehlt es sich daher, die Kompatibilität frühzeitig zu prüfen.
Fazit
Die Umstellung auf *.mx.microsoft ist keine kosmetische Änderung, sondern ein strategischer Schritt hin zu:
- stärkerer Transportverschlüsselung
- verifizierbaren Mailserver-Identitäten
- besserer DNSSEC-Integration
- breiterer Unterstützung von SMTP DANE
Damit schafft Microsoft eine wichtige Grundlage für einen deutlich sichereren E-Mail-Transport im Microsoft-365-Ökosystem.