Helft e-maildomeinen overheid onvoldoende beschermd tegen ‘spoofing’

Content

Forum Standaardisatie onderzoekt ieder half jaar het gebruik van standaarden voor veilige websites en e-mail bij overheidsorganisaties. Uit de meting medio 2019 blijkt dat de adoptie van de verplichte standaarden blijft toenemen. DNSSEC op mailservers neemt daarentegen juist af. De anti-spoofing e-mailstandaard DMARC is op slechts 49% van de overheidsdomeinen voldoende strikt is geconfigureerd.

Blijvende groei in adoptie

Webbeveiligingsstandaarden worden gemiddeld beter toegepast dan de mailbeveiligingsstandaarden (92% vs 77%). Het implementeren van STARTTLS en DANE (om vertrouwelijkheid van mailverkeer te borgen) en het voldoende strikt configureren van SPF en DMARC (om e-mailspoofing tegen te gaan) zijn gemiddeld 5% gegroeid. Daarmee ligt het groeitempo iets lager dan dat van de vorige meting, waar 7% groei werd gemeten.

Voorkomen van e-mailspoofing

E-mailspoofing is dat een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen. Zo bleek het in 2017 mogelijk om namens Mark Rutte en de AIVD te mailen, en hebben de Tweede Kamer en de AIVD sindsdien hun e-mailbeveiliging op orde gebracht. DMARC helpt – in combinatie met e-mailstandaarden DKIM en SPF – om e-mailspoofing te voorkomen. Hoewel we een toename in het gebruik van deze standaarden zien is het belangrijk dat andere overheidsorganisaties dit zo spoedig mogelijk op orde brengen.

Rijk versleuteld webverkeer

Het Rijk heeft een flinke inhaalslag gemaakt met betrekking tot de standaarden voor het versleutelen van webverkeer (HTTPS en HSTS). Dit komt doordat een aantal doorverwijzende domeinen (redirects) van de ministeries recent voorzien zijn van HTTPS. Het gaat om domeinen die voornamelijk voor mail worden gebruikt, waar geen website op gehost wordt, maar die doorverwijzen naar een ander domein. Bijvoorbeeld www.minbzk.nl dat doorverwijst naar www.rijksoverheid.nl.

Risico voor mailuitwisseling

We zien een neerwaartse trend in de toepassing van DNSSEC op mailservers, dit is een randvoorwaarde voor DANE. De oorzaak is dat een aantal provincies en gemeenten de overstap naar Microsoft Office 365 Exchange Online heeft gemaakt, dit product biedt vooralsnog geen ondersteuning voor DNSSEC en DANE. Dit is een duidelijk zorgpunt voor de vertrouwelijkheid van overheidsmail, omdat deze overheidsorganisaties niet altijd een versleuteld mailtransport kunnen afdwingen en tevens niet aan de streefbeeldafspraak omtrent het gebruik van DANE kunnen voldoen. Desondanks groeit het gebruik van DANE overheidsbreed nog steeds, we zien bij het Rijk al een adoptiegraad van 75%.

Lees meer