E-mail authenticatie eind 2017 verplicht! Wat nu?

Op dit moment ligt het vraagstuk “e-mail security” bij gemeenten flink onder het vergrootglas. De invoering en/of extra maatregelen zoals toepassen van e-mail authenticatie zijn hierbij noodzakelijk. De IBD heeft hiervoor in 2015 al een impactanalyse gemaakt, diverse factsheets ontwikkeld en haar visie op dit vraagstuk gegeven. Daarom staat dit onderwerp hoog op de prioriteitenlijst bij gemeenten.

De Nederlandse gemeenten dienen voor eind 2017 e-mail authenticatie te hebben geïmplementeerd op hun mailservers. Dat schrijft minister van Binnenlandse Zaken Ronald Plasterk naar aanleiding van Kamervragen over slecht beveiligde e-mail van gemeenten.

De belangrijkste reden is dat phishing, één van de security bedreigingen, steeds ingenieuzer wordt ingezet door criminelen. Door e-mail authenticatie goed in te richten kan een gemeente zichzelf beschermen tegen (betrouwbaar lijkende) phishing e-mailberichten. Gebruikers worden steeds vaker geconfronteerd met legitiem uitziende bijlagen of links naar malware of valse inlogpagina’s.

E-mail authenticatie voorkomt dit alles en zorgt er ook voor dat spam nog nauwkeuriger wordt herkend als legitiem. De e-mail authenticatie waarover wij spreken werkt op basis van de open standaarden SPF, DKIM, DMARC. Op dit moment passen verschillende gemeenten deze standaarden reeds toe.

Daarnaast dient geborgd te zijn dat derden niet zomaar de gemeentelijke domeinnaam als afzender adres kunnen misbruiken. Dit fenomeen wordt ook wel ‘e-mail spoofing’ genoemd en hiervoor is geen diepgaande technische kennis nodig.

Volgens de brief van de minister moeten gemeenten nu bij activering van een nieuwe mailserver de beveiligingsmaatregelen al ingebouwd hebben. Standaarden zoals DKIM+SPF en DNSSEC staan op de zogenaamde ‘pas-toe-of-leg-uit’-lijst. Alles wat op deze lijst staat is verplicht bij aanschaf, aankoop, aanbesteding of ontwikkeling van een nieuwe dienst (tenzij er zwaarwegende uitlegbare redenen zijn om hier van af te zien). DMARC en STARTTLS in combinatie met DANE zijn kandidaat om opgenomen te worden.

De visie van de IBD

De informatiebeveiligingsdienst (IBD) nuanceert de testmethode en de conclusies; de belangrijkste zinsnede uit de mail van IBD (die verderop in mijn mail staat) luidt:

Samenvattend: het klopt dat SPF/DKIM/DMARC en DNNSSEC en STARTTLS moeten worden ingevoerd door de overheid, liever eerder dan later. Maar de suggestie dat het met het zetten van een vinkje op de e-mailserver klaar zou zijn is geheel onjuist en veroorzaakt meer onrust dan feitelijk nodig is

Waarom is implementatie van e-mail authenticatie nu nog niet (overal) gebeurd?:

Zorgvuldige implementatie kost gewoon tijd (denk o.a. aan het analyseren van alle gemeentelijke e-mailstromen). Nogmaals: als je dit fout instelt kan de e-mail ontvangst en verzending ernstig verstoord worden. Zorgvuldigheid is hierbij heel erg belangrijk.

Een technische maatregel om het risico op spam en phishing te verlagen mag niet leiden tot verhoging van het risico dat e-mail van en naar de gemeente wordt verstoord!

Wat zijn de standaarden SPF, DKIM, DMARC:

• DKIM + SPF + DMARC b.v. anti-phishing
• DNSSEC t.b.v. domeinnaambeveiliging
• STARTTLS t.b.v. beveiligde verbindingen.

SPF, DKIM en DMARC zijn open e-mail authenticatiestandaarden en zorgen voor het terugdringen van phishing, spam en virussen die via een e-mailbericht bezorgd worden. Ze worden meestal gezamenlijk ingezet om te controleren dat de afzender, het e-mailadres en –server, van een e-mailbericht inderdaad kloppen, en dat de inhoud van het e-mailbericht onderweg niet is gewijzigd. Deze e-mail authenticatiestandaarden maken gebruik van het DNS-systeem om hun informatie te publiceren. Voor alle drie de e-mail authenticatiestandaarden geldt dat zowel de verzendende als ontvangende organisatie van e-mailberichten, implementatie- en beheeractiviteiten dienen uit te voeren om volledig gebruik te kunnen maken van de geboden bescherming door deze e-mailauthenticatiestandaarden.

 Kortom SPF, DKIM en DMARC zijn standaarden die er in principe voor zorgen dat andere partijen kunnen controleren of mail met de extensie @gemeente.nl ook daadwerkelijk vanuit de eigen mailserver verstuurd wordt. Echter, op dit moment constateren we dat veel providers gebruik van deze standaarden afraden omdat de werking niet waterdicht is en dus voor problemen kan zorgen in de aflevering van mail.

DKIM en DMARC is (nog) niet waterdicht!:

We willen u ervan bewust maken dat het gebruik van SPF (en DKIM en DMARC) nog niet waterdicht is en dat dat er (veel) legitieme mail foutief aangemerkt kan worden als vals.

Dit komt omdat DKIM en DMARC gebaseerd zijn op SPF en binnen SPF zit het “probleem”. Met geforwarde mail is er een kans dat records door de tussenliggende mailservers niet juist worden aangepast, met als gevolg dat deze niet juist doorkomen. Kortom: SPF heeft feitelijk pas zin als dit protocol bij alle mailgebruikers wereldwijd standaard wordt gebruikt. De voorwaarde is dan wel dat alle tussenliggende (mailservers) zodanig zijn aangepast dat deze dus ook SPF ondersteunen.

STARTTLS en DNSSEC:

Naast het bovengenoemde is STARTTLS verplicht om voor eind 2017 te worden geïmplementeerd. STARTTLS is een methode om mail door middel van een certificaat te versturen in plaats van mail te versturen als “plain” tekst.

DNSSEC heeft feitelijk niets met email authenticatie te maken maar hoort wel bij de aanpak van emailsecurity. DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de ‘bewegwijzering’ van het internet veiliger en betrouwbaarder wordt.

De belangrijkste conclusie is dat een succesvolle implementatie afhangt van een goede voorbereiding, zoals inventariseren van de mailstromen en de aanwezige infrastructuur en inrichting ervan.

Extra info:

• Impact analyse door de IBD (Bekijk hier de Impactanalyse maart 2016 opgesteld door de IBD):
• Factsheets e-mailauthenticatie (Bekijk hier de factsheets e-mailauthenticatie van de IBD)
• In het factsheet e-mailauthenticatie staat een uitgebreide beschrijving over het beter beschermen van uw domainnaam en uw e-mailvoorziening. Dit document beschrijft uitgebreid de achtergrond, legt de verschillende standaarden uit en beschrijft welke en hoe de verschillende protocollen toe te passen (stappenplan).