Content
Op 13 april verscheen op AG Connect (externe link)onderstaand artikel over de Veilige E-mail Coalitie door Jelle Wijkstra (adjunct-hoofdredacteur AG Connect).
"De Veilige E-mail Coalitie stimuleert bedrijven en organisaties om mail veiliger te maken."
Beter beschermen van e-mail. Dat is het doel van de onlangs opgerichte Veilige E-Mail Coalitie. Die coalitie beoogt een impuls te geven aan de adoptie van een aantal andere beveiligingsmaatregelen die al geruime tijd beschikbaar zijn, maar nog schoorvoetend worden toegepast.
De coalitie adviseert Nederlandse organisaties en bedrijven om zonder dralen de volgende maatregelen door te voeren.
DNSSEC
De security extensions beveiligen het Domain Name System, het internet-telefoonboek dat domeinnamen vertaalt naar numerieke adressen waar computers mee uit de voeten kunnen. DNSSEC voorziet de vertaling van domeinnaam naar IP-adres van een digitale handtekening. Een internetgebruiker kan die handtekening automatisch laten controleren. Op die manier voorkomt hij dat hij doorverbonden wordt met een vals IP-adres.
STARTTLS
SMTP Service Extension for Secure SMTP over Transport Layer Security maakt het mogelijk om e-mailverkeer over een met TLS versleutelde verbinding te leiden. STARTTLS werkt alleen als beide betrokken mailservers het ondersteunen. Anders valt de server die het al wel ondersteunt, terug op de gebruikelijke onversleutelde (plain-text) verbinding. Versleuteling met STARTTLS beschermt goed tegen afluisteren door een passieve aanvaller die afluistert zonder het berichtenverkeer te manipuleren.
DANE
SMTP Security via Opportunistic DNS-Based Authentication of Named beschermt tegen misbruik van het feit dat STARTTLS terugvalt op een onversleutelde verbinding DANE voorkomt aanvallen waarbij een aanvaller zich uitgeeft voor de ontvangende e-mailserver en STARTTLS blokkeert. Deze standaard vereist expliciet dat DNSSEC al geïmplementeerd is.
SPF
Sender Policy Framework voorkomt acceptatie van mail-berichten van ongeauthoriseerde computersystemen. Daarvoor wordt via DNS een lijst van geldige afzenders voor de afzonderlijke domeinen gepubliceerd. Ontvangende systemen kunnen via deze lijst controleren of een verzender onderdeel uitmaakt van het domein waarvan hij zegt onderdeel uit te maken, voordat zij een bericht aannemen.
DKIM
DomainKeys Identified Mail Signatures beveiligt e-mail door inhoud en de ‘envelop’ van elk uitgaand bericht van een digitale handtekening te voorzien. Zo wordt voorkomen dat kwaadwillenden een bericht namens een ander kunnen verzenden (spoofing) of de inhoud van een bericht onderweg kunnen veranderen.
DMARC
Domain-based Message Authentication, Reporting, and Conformance geeft elektronische brievenbussen een aanwijzing hoe om te gaan met inkomende berichten waarvan de DKIM- of SPF-controle niet in orde blijkt te zijn. Deze kunnen bijvoorbeeld weggegooid worden of apart worden gezet.
Pas toe of leg uit
De voorgestelde maatregelen kregen meteen ook de wind in de zeilen doordat het Forum Standaardisatie ze op de ‘pas toe of leg uit’-lijst plaatste. Overheidsinstanties mogen ze daarom alleen achterwege laen als ze daar een goede reden voor kunnen aanvoeren. Daarmee krijgen de maatregelen die de Veilige E-mail Coalitie adviseert in ieder geval in overheidsland een krachtige impuls. Alleen DMARC staat nog niet op de ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie, maar is wel in beraad genomen.