image

Overheid en bedrijven lanceren coalitie voor veilig e-mailen

donderdag 2 februari 2017, 13:34 door Redactie, 15 reacties

Overheid en bedrijfsleven hebben vandaag een coalitie voor veilig e-mailen gelanceerd, die misbruik zoals phishing en het afluisteren van e-mail moet tegengaan. De standaarden waar de 'Veilige E-mail Coalitie' voor staat, zoals SPF, DKIM, DMARC, STARTTLS en DANE, moeten er onder andere voor zorgen dat internetcriminelen niet zomaar uit naam van andermans e-mailadres phishingmails kunnen versturen.

Daarnaast helpen ze om het afluisteren van bedrijfs- en privacygevoelige informatie in e-mails te voorkomen. De Veilige E-Mail Coalitie wil het gebruik van de standaarden nog verder versnellen door onderlinge kennisdeling en promotie. Aan de coalitie doen verschillende partijen mee, zoals PostNL, KPN, Betaalvereniging Nederland, DDMA, Thuiswinkel.org, VNO-NCW, MKB-Nederland en het ministerie van Binnenlandse Zaken. De initiatiefnemers nodigen andere bedrijven en overheden uit om zich aan te sluiten en gebruik te maken van de kennis binnen de coalitie.

"Onveilige e-mail zorgt helaas voor misbruik en schade. Gelukkig kan e-mail veiliger. Daarvoor is het wel belangrijk dat verzenders en ontvangers in de gehele keten moderne beveiligingsmaatregelen en daarbij behorende standaarden toepassen. Steeds meer partijen doen dat al", aldus Betaalvereniging Nederland. Het initiatief is tot stand gekomen onder regie van het ministerie van Economische Zaken en het Forum Standaardisatie. Daarnaast is Platform Internetstandaarden (Internet.nl), een samenwerkingsverband van de Nederlandse internetcommunity en overheid, betrokken.

Image

Reacties (15)
02-02-2017, 14:28 door Ramon.C
Overheid en bedrijven in een zin.. Dat is nooit goed!
02-02-2017, 14:34 door Anoniem
Betaalvereniging Nederland

Laat ze zelf eerst eens aan DMARC gaan doen...
02-02-2017, 15:15 door Anoniem
Zolang in een spf record nog steeds een ~ (softfail) staat i.p.v. - (hardfail) gaat het niet zo veel zin hebben. Softfail is ooit bedoeld voor test doeleinden, maar de meeste gebruiken dit gewoon voor productie.
Bovendien is er bijna geen partij die het aandurft om ook bij een softfail mail te weigeren. Heb zelf wel weigeren bij softfail aangezet binnen de organisatie en het is schokkend om te zien hoeveel bedrijven het record niet op orde hebben.

Vaak ontbreekt de juiste mailserver in het record, of staan er te veel lookups in het record, is er meer dan 1 record en dan er zijn nog bedrijven die helemaal geen spf record hebben.

Er zouden gewoon strakke richtlijnen moeten komen waar je aan moet voldoen als je een mailserver wilt gebruiken. Voldoe je hier niet aan, dan kan je gewoonweg niet mailen. Helaas kan je nu maar wat aanklooien, mail komt over het algemeen toch wel aan. Helaas betekend dit dat spam, phishing en malware ook nog steeds vrij spel hebben en we het, de criminelen die zich hiermee bezig houden, wel erg makkelijk maken.
02-02-2017, 15:20 door Anoniem
Zullen we eerst eens beginnen met de heiliging van het briefgeheim voor email, gewoon even wettelijk regelen a.u.b.
02-02-2017, 15:24 door Anoniem
Too little, too late. Inmiddels hebben wereldwijd vele duizenden bedrijven commerciële toepassingen ontwikkeld voor veilig e-mailen. Omdat al deze systemen niet met elkaar kunnen communiceren komt het er vaak op neer dat inhoud van mails ingepakt worden op een gateway en alleen een https link voor toegang tot de gateway in de feitelijke mail wordt geplakt. Qua usability natuurlijk rampzalig, weer een account voor iedere organisatie die hier gebruik van maakt.
02-02-2017, 15:51 door Briolet
Beveiliging implementeren blijft lastig voor sommigen. Ik kreeg net een telefoontje van een klant dat zijn mail naar ons steeds bounced. Na een blik in mijn maillog zie ik dat hij via een strikt policy in zijn SPF record ingesteld heeft dat hij geen mail mag verzenden vanaf het IP adres dat hij gebruikt.

Eigenlijk vreemd dat hij überhaupt nog mail kan verzenden. Blijkbaar negeren de meeste andere mail ontvangers zo'n strikt policy. Slechte zaak!
02-02-2017, 16:00 door Anoniem
Afz FB

En ik juich dit toe. Ik ben blij dat er aandacht is voor dit onderwerp.
Ik ben wel benieuwd of en in hoeverre de genoemde concepten bruikbaar zullen zijn voor de niet-opgeleide particulier.
Zelf zie ik meer in het gebruik van certificaten die mensen zelf in bezit hebben. Bijv de combinatie van
- Overheidscertificaten op identiteitsbewijzen
- Attributen voor specifieke doeleinden (zoek naar 'IRMA')
02-02-2017, 16:10 door Anoniem
Door Anoniem: Zolang in een spf record nog steeds een ~ (softfail) staat i.p.v. - (hardfail) gaat het niet zo veel zin hebben.

Het probleem is juist dat men probeert dit op server niveau, verborgen voor de gebruiker probeert op te lossen. De gebruiker moet duidelijke informatie krijgen die aangeeft of de mail geverifieerd van de geclaimde verzender is. Zolang die informatie niet voorhanden is kan een gebruiker nooit een goede beslissing nemen - en is hij eigenlijk niet verantwoordelijk te houden voor die beslissing.
02-02-2017, 16:37 door karma4
Laat ik die techniek al tijden bij de open standaarden als verplichting zien staan. Waarom is er al die tijd niets mee gedaan?
02-02-2017, 17:02 door Anoniem
Door Anoniem: Zolang in een spf record nog steeds een ~ (softfail) staat i.p.v. - (hardfail) gaat het niet zo veel zin hebben. Softfail is ooit bedoeld voor test doeleinden, maar de meeste gebruiken dit gewoon voor productie.
Bovendien is er bijna geen partij die het aandurft om ook bij een softfail mail te weigeren. Heb zelf wel weigeren bij softfail aangezet binnen de organisatie en het is schokkend om te zien hoeveel bedrijven het record niet op orde hebben.

Er zijn te veel problemen met SPF en het gaat te makkelijk stuk, als gevolg hiervan heeft SPF alleen totaal geen zin meer heeft, ongeacht de hard of soft fail. Het word, terecht, volledig genegeerd behalve als overweging voor DMARC alignment.

Zelf filteren op DKIM alleen (ie. ongeldige DKIM signature = spam) geeft al aardig wat false positives. SPF is een stuk makkelijker te doen en gaat dus overweldigend veel vaker fout.
02-02-2017, 18:05 door Erik van Straten
Helaas, zelfs de combinatie van SPF, DKIM, DMARC, STARTTLS en DANE gaat phishing niet voorkomen.

Afgelopen zondag nog ontving ik 3 e-mails met de volgende karakteristieken:
From: ICS Fraudepreventie
Subject: Uw Creditcard is gedeactiveerd


Pas als ik goed kijk wie de geclaimde SMTP afzender is (From en Return-Path) in die 3 mails, en vanaf welk IP-adres ze zijn verzonden, zie ik het volgende (waarbij ik steeds "@" door een "." heb vervangen om degenen wiens afzenderadressen zijn misbruikt, niet nog meer spam te bezorgen):

Mail 1:
From: "ICS Fraudepreventie" <hrmulder.pcsntwk.net>
Return-Path: <hrmulder.pcsntwk.net>

Sending IP-address: 121.10.253.162
Dat is een IP-adres in China dat op minstens 1 botnet lijst staat (zie [1]) en waar de mail exchanger voor pcsntwk.net, namelijk mail.pcsntwk.net (82.94.250.249, klant van xs4all.nl die geen SPF records publiceert en mogelijk een boel spam-bounces ontvangt) vermoedelijk niets mee te maken heeft.

Mail 2:
From: "ICS Fraudepreventie" <nieves.glatis.kz>
Return-Path: <nieves.glatis.kz>

Sending IP-address: 45.242.101.55
Dat is een IP-adres in Egypte dat op minstens 1 botnet lijst staat (zie [1]) en waar de mail exchanger voor glatis.kz (Google mail servers waar geen SPF records voor gedefinieerd zijn, .kz = Kazakhstan) vermoedelijk niets mee te maken heeft.

Mail 3:
From: "ICS Fraudepreventie" <angelescohesive.regionmedia.kz>
Return-Path: <angelescohesive.regionmedia.kz>

Sending IP-address: r186-48-37-8.dialup.adsl.anteldata.net.uy [186.48.37.8], een PC in Uruguay dat op minstens 1 botnet lijst staat (zie [1]) en waar regionmedia.kz vermoedelijk niets met te maken heeft.

Zelfs als ontvangende mailservers van alle potentiële ICS klanten SPF, DKIM, DMARC, STARTTLS en DANE zouden implementeren (correct natuurlijk), kan icscards.nl door zelf SPF, DKIM, DMARC, STARTTLS en DANE in te zetten deze ellende nooit voorkomen.

[1] http://www.abuseat.org/lookup.cgi
02-02-2017, 19:51 door AlwindB
Persoonlijk ben ik erg gelukkig dat er eindelijk actie ondernomen wordt, graag had ik het eerder gehad. Namelijk in 2012 toen de DMARC standaard gepubliceerd werd.

Door de druk van de toenmalige contributors van de DMARC standaard zie je nu eigelijk dat er in versneld tempo mensen wakker worden. Waarvan het grijze vraagteken binnen Gmail de eerste zichtbare indicator KPN heeft gedwongen DKIM signing op de uitgaande mail van kpnmail.nl toe te passen.

In Nederland lopen de ISP's (behalve XS4ALL) en de hosting wereld gigantisch achter als het gaat om het toepassen van controle op e-mail authenticatie mechanismen. Door dit signaal richting de markt wordt benadrukt hoe belangrijk het is dat deze standaarden toegepast gaan worden, het gaat immers om bescherming.

Natuurlijk los je hiermee het lookalike probleem niet op of het misbruik van andere domeinen, maar je kan met behulp van deze technieken wel een vers geregistreerd domein bij een van de domeinnaam boeren dicht zetten. Zolang de klant niets met mail gaat doen kun je email technisch dit domein potdicht zetten. (zie hiervoor ook de M3AAWG parked domains best practice).

Het toepassen van email authenticatie is niet moeilijk, maar een implementatie hiervan moet wel zorgvuldig uitgevoerd worden. Plus is het een extra maatregel aan de achterdeur waar de mail richting het internet gaat.

Later zullen er toch weer andere risico's naar boven komen, echter zolang nog niet iedereen email authenticatie toepast blijft er een markt voor de phishers en andere cybercriminelen.

PS email authenticatie is mijn werk, toepassing van email standaarden en de verdere adoptie en evangelisatie ervan.
02-02-2017, 21:30 door Anoniem
Door Anoniem: Afz FB

En ik juich dit toe. Ik ben blij dat er aandacht is voor dit onderwerp.
Ik ben wel benieuwd of en in hoeverre de genoemde concepten bruikbaar zullen zijn voor de niet-opgeleide particulier.
Zelf zie ik meer in het gebruik van certificaten die mensen zelf in bezit hebben. Bijv de combinatie van
- Overheidscertificaten op identiteitsbewijzen
- Attributen voor specifieke doeleinden (zoek naar 'IRMA')

Helemaal goed Frans, ik ben het met je eens.
Afz AK
02-02-2017, 23:07 door Anoniem
Helaas is de volgorde van belang omgekeerd in dit lijstje. Begin eerst eens met encryptie van transport.

Er zijn rijksoverheden die dat uit hebben staan.
05-02-2017, 21:58 door Anoniem
Een coalitie lanceren? Dat is wel heel creatief taalgebruik. Of erg agressief, als je het al langer tijd vond voor een nieuwe regeringssamenstelling. Een campagne kun je wel lanceren en daar lijkt dit meer op. Maar hé, wie ben ik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.