Nieuwe e-mailbeveiligingsstandaarden verplicht voor de overheid

Overheden moeten bij investeringen in e-mailsystemen voortaan ook de e-mailbeveiligingsstandaarden STARTTLS en DANE implementeren. STARTTLS in combinatie met DANE gaan het afluisteren en manipuleren van mailverkeer tegen. Het Nationaal Beraad Digitale Overheid heeft onlangs beide open standaarden toegevoegd aan de lijst met verplichte standaarden volgens het 'pas-toe-of-leg-uit'-regime.

Eén van de meest onderschatte veiligheidsproblemen op internet is misschien wel de wijze waarop e-mail werkt. De hiervoor gebruikte standaard, het zogenaamde SMTP-protocol, dateert al uit 1982 en werd ontworpen zonder inachtneming van hedendaagse beveiligingsaspecten. E-mails verplaatsen zich in gewoon leesbare tekst over het internet en zijn dus heel gemakkelijk af te kijken of zelfs te manipuleren. Ook is het heel gemakkelijk om je voor te doen als iemand anders. Kwaadwillenden maken hier veelvuldig gebruik van.Recent ontstond hierover nog ophef, toen bleek dat ook veel gemeenten hun e-mailbeveiliging niet goed op orde hebben. Gelukkig zijn veel standaarden in de loop der tijd gemoderniseerd en veiliger geworden, inclusief de mailstandaard. Helaas worden deze verbeteringen en aanvullingen nog niet door iedereen toegepast.De Nederlandse overheid bevordert actief het gebruik van deze moderne internetstandaarden en hanteert daarvoor de zogenaamde ‘pas-toe-of-leg-uit’-lijst. Op deze lijst staan ook standaarden die het knoeien met e-mails lastiger moeten maken, zoals SPF en DKIM. En recent is aan deze lijst de combinatie STARTTLS+DANE toegevoegd.

TLS bescherming voor e-mail

Het is tegenwoordig mogelijk om e-mail verkeer te versleutelen met behulp van TLS. Dit is dezelfde standaard die we ook gebruiken voor het versleutelen van webverkeer (eenvoudig gezegd: het slotje bij HTTPS). Een ontvangende server kan aangeven over deze mogelijkheid te beschikken en met het STARTLS-commando kan de verzendende server aangeven dat hij van deze mogelijkheid gebruik wil maken. Veel servers ondersteunen deze optie al.Maar in tegenstelling tot browsers, communiceren mailservers onderling zonder tussenkomst van mensen, wat bepaalde consequenties heeft. Er wordt ook geen TLS afgedwongen, zoals bij HTTPS. De servers kunnen om een upgrade naar TLS-versleuteling vragen, maar die wordt pas van kracht als dit aan beide kanten wordt ondersteund.

Opportunistische beveiliging, maar niet waterdicht

We noemen TLS-beveiliging tussen mailservers ook wel een vorm van ‘opportunistische beveiliging’ en helaas is die beveiliging niet waterdicht. Een ‘man-in-the-middle’ kan het ‘upgrade-signaal waarmee beide servers aangeven over STARTTLS te beschikken, gemakkelijk tegenhouden waardoor het de andere server niet bereikt. Dit noemen we een ‘downgrade-attack’. Als gevolg daarvan wordt teruggeschakeld naar de oude standaard uit 1982 en wordt de e-mail weer gewoon leesbaar over het netwerk wordt verstuurd. Ook is het niet moeilijk voor de ‘man-in the-middle’ om met een vals TLS-certificaat te werken.

DANE komt te hulp

DANE maakt de beveiliging op basis van STARTTLS compleet. Met DANE kan een server via een apart kanaal, namelijk het DNS , aangeven over TLS-beveiliging te beschikken. Bovendien wordt in het DANE-signaal informatie uitgewisseld over het te gebruiken TLS-certificaat, zodat niet meer klakkeloos alles hoeft te worden geaccepteerd. Dit aparte kanaal is in principe niet te manipuleren, want het is beveiligd met DNSSEC. Een kwaadwillende heeft dus het nakijken.Een hierop aansluitende techniek is eveneens voorgesteld binnen de Internet Engineering Task Force (IETF), maar die is nog niet af. Deze nieuwe techniek werkt volgens het ‘trust on first use’-beginsel in plaats van op basis van DNSSEC. Dit maakt ‘m helaas niet waterdicht. Beide technieken sluiten elkaar overigens niet uit, maar STARTTLS+DANE op zich volstaat prima, vanwege de vereiste DNSSEC-beveiliging. Dit toont aan dat DNSSEC ook een ‘enabling-technology’ is voor nieuwe ontwikkelingen. Verschillende Nederlandse mailproviders, zoals XS4ALL en TransIP, maar ook SIDN, zetten de combinatie STARTTLS+DANE al in. In Duitsland zijn er ook verschillende grote mailproviders die beide standaarden ondersteunen. De Duitse overheidsorganisatie BSI adviseert overheden ook om beide standaarden toe te passen. Met de mail-test op https://internet.nl kan nu al iedere domeinnaam getest worden op de ondersteuning van beide standaarden.

Reacties

  • vrijdag 26 januari 2018

    Weblog

    Mensenrechten, daar voldoen we toch aan?

    Thumb-human-rights

    Human rights impact assessments voor registry’s

    Lees meer
  • vrijdag 19 april 2019

    Weblog

    SIDN gaat adoptie van internetstandaard DANE stimuleren

    Thumb-e-mail

    Standaard voor veiliger e-mail wordt onderdeel van de Registrar Scorecard

    Lees meer
  • zondag 17 juni 2018

    Nieuws

    Het groene slotje biedt geen garanties. Maar wat dan wel?

    Thumb-https

    Hoe laat je zien dat jouw website wel betrouwbaar is?

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.