image

Stijging van .nl-domeinen die veilig e-mailen ondersteunen

donderdag 24 januari 2019, 11:15 door Redactie, 8 reacties

Het aantal .nl-domeinen dat standaarden voor veilig e-mailen ondersteunt is vorig jaar verder gestegen. Dat meldt de Stichting Internet Domeinregistratie Nederland (SIDN), de beheerder van .nl-domeinnamen. Zo steeg het aantal domeinnamen met StartTLS het afgelopen halfjaar van 3,2 naar 3,6 miljoen.

StartTLS versleutelt het verkeer tussen mailservers, wat het lastiger maakt voor aanvallers om het mailverkeer te onderscheppen of aan te passen. Het aantal domeinen dat DMARC ondersteunt groeide van 36.000 naar 470.000. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd.

DomainKeys Identified Mail (DKIM), dat het onderweg aanpassen van e-mails moet voorkomen, wordt inmiddels door meer dan 1 miljoen domeinen ondersteund. Een stijging van 732.000. Verder steeg het aantal domeinen dat SPF toepast van 2,2 miljoen naar 2,6 miljoen. SPF (Sender Policy Framework) moet voorkomen dat iemand in naam van een organisatie een e-mail kan versturen. Het doet dit door een lijst met vertrouwde ip-adressen aan het dns toe te voegen. E-mails die uit naam van de organisatie worden verstuurd mogen alleen van deze ip-adressen afkomstig zijn.

Naast het toepassen van e-mailstandaarden groeide het aantal met DNSSEC beveiligde domeinnamen naar 3,1 miljoen. Daarmee is ruim 53 procent van de .nl-zone voorzien van DNSSEC. Eind 2017 ging het nog om ruim 2,8 miljoen domeinen (ruim 49 procent). DNSSEC is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Het doet dit door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren.

Om de uitrol van deze standaarden onder registrars te bevorderen keert de SIDN een financiële beloning uit. Het doet dit via de Registrar Scorecard, een programma dat .nl-registrars beloont voor hun bijdragen aan de kwaliteit van de .nl-zone. De Registrar Scorecard moet registrars stimuleren om verbeteringen door te voeren op vier gebieden: actief gebruik, IPv6, correcte contactgegevens en veiligheid. Inmiddels doen honderden registrars aan het programma mee. Vorig jaar keerde de SIDN ruim 1,5 miljoen euro uit aan registrars die aan het programma deelnamen.

Reacties (8)
24-01-2019, 11:56 door Anoniem
StartTLS is makkelijk te omzeilen door een active aanvaller.

DANE is op dit moment het enige signaal dat we hebben om aan te geven dat de server SSL/TLS zou kunnen gebruiken.
24-01-2019, 12:33 door Anoniem
Leuk. Maar zolang het nog steeds geen end-to-end encryptie heeft, kun je het niet gebruiken voor dingen die je niet ook op het prikbord n de supermarkt zou hangen...
24-01-2019, 13:04 door Anoniem
Niets dan lof voor SIDN om het bevorderen van meer veiligheid.
24-01-2019, 17:36 door Anoniem
Door Anoniem: Leuk. Maar zolang het nog steeds geen end-to-end encryptie heeft, kun je het niet gebruiken voor dingen die je niet ook op het prikbord n de supermarkt zou hangen...
Je moet ergens beginnen.... Het laatste stukje naar de ontvanger is in veel gevallen ook encrypted. Het grote probleem is dat er geen 2FA op de meeste mailboxen zit. Dus wanneer een wachtwoord uitlekt door phishing, een virus, hergebruikt wachtwoord of whatever, is dit als eerste een probleem waar de eindgebruiker zelf aan heeft meegewerkt.
24-01-2019, 19:08 door Anoniem
StartTLS gelijkstellen of in dezelfde discussie noemen als "veilig mailen" is al net zo dom als mensen zeggen dat een
website veilig is als er een slotje in beeld is. Dat nivo daar zou SIDN zich niet toe moeten verlagen.
24-01-2019, 20:10 door Anoniem
Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd.
Nee, DMARC kijkt in principe alleen naar de header-FROM (het adres aan de 'binnenkant', zichtbaar in je e-mail programma).
Als DKIM of SPF op dit adres klopt dan is het voor DMARC voldoende.
De envelope-FROM (het adres aan de 'buitenkant') mag gerust afwijken.
24-01-2019, 21:57 door Anoniem
Door Anoniem: StartTLS is makkelijk te omzeilen door een active aanvaller.

DANE is op dit moment het enige signaal dat we hebben om aan te geven dat de server SSL/TLS zou kunnen gebruiken.

Je bedoelt een man-in-the-middle aanval? STARTTLS kan worden uitgeschakeld via MitM, door simpelweg deze functie niet aan te geven na een EHLO. Je hebt ook nog CA nodig om aan te geven welke CA voor de certifcaten mag zorgen en DNSSEC. Maar welke mail server controleert dat allemaal? Zulke servers moet je met een lampje zoeken, maar ook als een server het doet, wordt er na een controle een zinnig gevolg aan gegeven (weigeren voor DATA, of accepteren en ontvanger waarschuwen)?

Daarnaast moet je ook nog op de server instellen dat berichten zonder TLS niet worden aangenomen. Zwakke methoden moeten niet worden ondersteunt. Alleen TLS 1.2 en 1.3 zouden moeten worden toegestaan.

Dat nivo daar zou SIDN zich niet toe moeten verlagen.

Verlagen? Je hebt last van een overwaardering van SIDN. SIDN is bezig om hun imago op te vijzelen. Er zijn andere partijen die daar veel actiever mee bezig zijn, zoals https://internet.nl. Die verdienen meer lof.
25-01-2019, 11:52 door Anoniem
Door Anoniem:
Door Anoniem: StartTLS is makkelijk te omzeilen door een active aanvaller.

DANE is op dit moment het enige signaal dat we hebben om aan te geven dat de server SSL/TLS zou kunnen gebruiken.

Je bedoelt een man-in-the-middle aanval? STARTTLS kan worden uitgeschakeld via MitM, door simpelweg deze functie niet aan te geven na een EHLO.
Wat een beetje (veel) verdacht zou zijn als er ook TLSA records voor de echte server zijn.

Je hebt ook nog CA nodig om aan te geven welke CA voor de certifcaten mag zorgen en DNSSEC.
Je hebt met DANE dus géén CA nodig en kun gewoon een Self Signed Certificate gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.