Nieuws
image

Onderzoek: gemeentelijke e-mail slecht beveiligd

donderdag 2 juni 2016, 10:54 door Redactie, 6 reacties

Gemeenten hebben hun e-mail slecht beveiligd, zo stelt het magazine Binnenlands Bestuur aan de hand van een steekproef met de e-maildomeinen van vijftig verschillende gemeenten. De meeste gemeenten voldoen niet aan standaarden als dkim, dmarc en spf om spoofing, spam en phishing terug te dringen.

Alleen Den Haag, ‘s-Hertogenbosch en Woerden maken wel gebruik van de standaarden. Daardoor is het bij veel gemeenten bijvoorbeeld mogelijk om phishingmails te versturen die vanuit de gemeente afkomstig lijken. Ook een beveiligde gegevensuitwisseling via tls-encryptie is voor veel gemeenten een probleem, omdat er geen gebruik van starttls wordt gemaakt. Hiermee kan er een smtp-sessie over tls worden opgezet. Van de vijftig geteste gemeenten maken er 14 geen gebruik van tls.

"Zonder deze standaarden kan iedereen zonder problemen een niet van echt te onderscheiden e-mail sturen namens een willekeurige ambtenaar", zegt Michiel Leenaars, directeur van Internet Society Nederland. Hij stelt dat veel overheidsorganisaties behoorlijk laks zijn als het op informatiebeveiliging aankomt. "Ook als ze er al jaren op worden gewezen door externe beveiligingsexperts en organisaties als NCSC en Forum Standaardisatie."

Reacties (6)
02-06-2016, 11:27 door [Account Verwijderd]
STARTTLS is op enkele punten slechter dan TLS voor SMTP: https://www.agwa.name/blog/post/starttls_considered_harmful
02-06-2016, 11:49 door Anoniem
Zonder deze standaarden kan iedereen zonder problemen een niet van echt te onderscheiden e-mail sturen namens een willekeurige ambtenaar
Wat is het onderscheidend vermogen tussen vals en legitiem van de gemiddelde ambtenaar als er wel aan de standaarden zou worden voldaan?
02-06-2016, 13:54 door Anoniem
Door [Account Verwijderd]: STARTTLS is op enkele punten slechter dan TLS voor SMTP: https://www.agwa.name/blog/post/starttls_considered_harmful

STARTTLS is vergelijkbaar met een redirect van http naar https. Genoeg manier om in te breken tijdens de initiele fase van de verbinding. Voor websites bestaat HSTS. Voor mailservers is zo iets er (volgens mij) nog niet. Veel mailservers zullen ook niet automatisch overschakelen naar TLS als standaard SMTP niet reageert.

Peter
02-06-2016, 13:54 door Anoniem
Tsja, commentaar van Internet Society is leuk, echter heeft de rest van de wereld te maken met de werkelijkheid. In theorie is beveiliging snel en simpel te implementeren, in de praktijk loop je echter tegen vele problemen aan in zeer grote organisaties : in de cloud afgenomen producten, gehoste websites die mailen naar burgers met interne mailadressen, apparatuur welke nieuwe standaarden niet ondersteunen maar niet vervangen mogen worden wegens geldgebrek, leverancier die 0 verstand hebben van e-mailsystemen, europese aanbestedingen die jaren duren etc. etc.
Op die manier loop je als grote overheidsorganisatie altijd achter de feiten aan en is er helaas elke zoveel tijd een "onderzoek" die uitwijst dat het allemaal prut gesteld is met de veiligheid. Laksheid heeft daar NIKS mee te maken, de werkelijkheid van alle dag, politiek en geld helaas wel.
02-06-2016, 16:18 door [Account Verwijderd]
Door Anoniem:
Door [Account Verwijderd]: STARTTLS is op enkele punten slechter dan TLS voor SMTP: https://www.agwa.name/blog/post/starttls_considered_harmful

STARTTLS is vergelijkbaar met een redirect van http naar https. Genoeg manier om in te breken tijdens de initiele fase van de verbinding. Voor websites bestaat HSTS. Voor mailservers is zo iets er (volgens mij) nog niet. Veel mailservers zullen ook niet automatisch overschakelen naar TLS als standaard SMTP niet reageert.

Peter

Hey Peter, ja dat klopt. Configureren van de mail-omgeving moet daarom extra zorgvuldig gebeuren en zo veel als mogelijk security features daarbij aanzetten.

Persoonlijk mogen van mij de grote email providers mail naar niet TLS mail servers gewoon blokkeren. Dan schakelen de providers vanzelf wel mee :).
02-06-2016, 17:24 door Briolet - Bijgewerkt: 02-06-2016, 17:26
De meeste gemeenten voldoen niet aan standaarden als dkim, dmarc en spf

De eerste en laatste zijn misschien inmiddels standaard, maar dmarc is nog verre weg van een standaard techniek omdat er nog veel te weinig providers zijn die er echt op blokkeren en te weinig domeinen die een actieve policy ingesteld hebben.

GMail is er een van, maar die beschermen hun eigen mail nog steeds niet met dmarc. Hoe staat het daar overigens mee. Vorig jaar heeft Google aangekondigd dat ze per juni 2016 eindelijk ook hun 'gmail.com' account via dmarc zouden gaan beschermen. zie: https://www.security.nl/posting/448417/Google+gaat+strenger+DMARC-beleid+voor+Gmail+doorvoeren

Het is inmiddels juni 2016, maar ik heb hier nog niets nieuws over gelezen. Hun dmarc-policy staat in elk geval nog steeds op none:
$ host -t txt _dmarc.gmail.com
_dmarc.gmail.com descriptive text "v=DMARC1\; p=none\; rua=mailto:*******-reports@google.com"

En als zo'n mailspecialist hier moeite mee heeft om dit goed te implementeren in hun complexe mailstruktuur, dan kun je de gemeentes toch niet te veel verwijten voor dit protocol.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search