Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Vertrouwelijkheid overheidsmail stap dichterbij door DANE-support Exchange Online

donderdag 9 april 2020, 09:34 door Redactie, 14 reacties

De vertrouwelijkheid van overheidsmail is een stap dichtbij gekomen doordat Microsoft beveiligingsstandaard DANE in Exchange Online gaat ondersteunen. DANE staat voor DNS-Based Authentication of Named Entities en moet voorkomen dat aanvallers mailverkeer kunnen 'afluisteren' of aanpassen. Het is een verplichte standaard voor de overheid.

DANE geeft zekerheid over de identiteit van de ontvangende mailserver. Zo wordt voorkomen dat een aanvaller zich als ontvangende mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding (STARTTLS) af. Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren. Slechts vijftig procent van de overheidsorganisaties heeft DANE echter voor deze deadline geïmplementeerd, zo meldt het Forum Standaardisatie.

Het Forum Standaardisatie onderhoudt onder andere een lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaarden beleid van de overheid. Volgens de organisatie bleek het ontbreken van DANE-support in Exchange Online een knelpunt te zijn waarom overheidsorganisaties de deadline niet haalden. Maandag maakte Microsoft bekend dat DANE eind 2021 volledig in Office 365 Exchange Online zal worden ondersteund.

Volgens Microsoft zal de ondersteuning gefaseerd plaatsvinden. Eind 2020 zal DANE voor verstuurde e-mails in Exchange Online beschikbaar zijn. Een jaar later zal Exchange Online ook voor inkomende e-mails DANE ondersteunen. "Hoewel de aangekondigde ondersteuning nog even op zich laat wachten, biedt dit meer dan honderd overheidsorganisaties die al gebruik maken van Exchange Online een positief vooruitzicht op het voldoen aan de beveiligingseisen", aldus het Forum Standaardisatie.

Overheidsorganisaties die op Exchange Online willen overstappen krijgen van het Forum Standaardisatie het advies om te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd. Het Forum merkt op dat het correct toepassen van de standaarden DNSSEC, DANE en STARTTLS minimaal verwacht mag worden van overheidsmail. Uit onderzoek bleek echter dat het toepassen van DNSSEC op mailservers juist afnam. Dit bleek te worden veroorzaakt doordat overheidsinstanties op Exchange Online overstapten.

Naast DANE ondersteunt de dienst ook nog geen DNSSEC. Microsoft zal echter ook ondersteuning van DNNSEC gaan toevoegen. DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. Dit moet DNS-spoofing voorkomen. DNSSEC moet volgens de richtlijnen op alle overheidsdomeinnamen worden toegepast.

Strategisch Leveranciersmanagement Microsoft Rijk en het Forum Standaardisatie hebben Microsoft vorig jaar dan ook gevraagd om DNSSEC en DANE bij het gebruik van Office 365-mailservers te ondersteunen. Organisaties die willen testen of hun mailverkeer via STARTTLS en DANE is beveiligd kunnen dit via Internet.nl doen.

Image

Duits ministerie beperkt gebruik van Zoom wegens beveiligingsrisico's
Coalitie van privacyexperts stelt eisen aan contact-tracing app van overheid
Reacties (14)
Reageer met quote
09-04-2020, 11:35 door Anoniem
Knap hoor van Microsoft...deze standaarden bestaan ook nog maar jaren...zucht. DNSSEC ondersteuning wordt al jaren om gevraagd bij Microsoft door de community. Enige reactie vanuit Microsoft was dat het op de feature lijst staat...maar goed nu gaat er eindelijk iets gebeuren. Hoewel het dus nog tot eind 2021 gaat duren voordat ze klaar zijn.

Word hier nog niet echt vrolijk van.
Reageer met quote
09-04-2020, 12:04 door Anoniem
Je vraagt zich toch af wat die vertrouwelijkheid waard is als ze vervolgens toch allemaal bij de Amerikaanse overheid in de inbox belanden. Dat zal waarschijnlijk een andere zorg zijn, een waar vooral niet teveel aandacht aan gegeven moet worden.
Reageer met quote
09-04-2020, 12:19 door Anoniem
Veel lagere overheden zitten met al hun mail bij Microsoft (online). Er is kennelijk geen enkel probleem met de vertrouwelijkheid. Microsoft leest berichten zoals Google dat ook doet. Ze openen bijvoorbeeld links die in mails voorkomen.

Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.

En wat is er tegen om een of meer centrale mailsystemen aan te leggen voor lagere overheden door de overheid zelf? Dat kan ook financieel uitkomen. Veiliger dan het neerleggen bij een commerciële partij waarbij toegang is door buitenlandse entiteiten vrijwel is verzekerd.
Reageer met quote
09-04-2020, 13:55 door Anoniem
DANE ? vertrouwelijke email. DANE = een transportbeveiliging. De mail zelf is gewoon unencrypted...
Reageer met quote
09-04-2020, 14:45 door Anoniem
De redactie mag toch wel eens wat kritischer zijn bij het maken van een artikel naar aanleiding van een 'juich-bericht' van het forum standaardisatie, in plaats van dit bijna letterlijk over te nemen. Van een redactie van een algemeen nieuws site verwacht ik niet veel anders dan het overnemen van het persbericht. Op deze website verwacht ik enige inhoudelijke kennis.

1. DANE is een substandaard die STARTTLS betrouwbaarder maakt. STARTTLS voorkomt dat de aanvallers het e-mailverkeer kunnen meelezen (afluisteren kan wel, alleen kunnen ze niet eenvoudig er leesbare tekst van maken) of ongemerkt aanpassen (ook aanpassen kan altijd) en niet DANE.

2. Waar is de kritische noot van de redactie dat MS afgelopen jaren TLS 1.0 is blijven ondersteunen ondanks het afraden van deze versie, dat MS de afgelopen jaren de DNSSEC standaard niet heeft geïmplementeerd?

3. Waar is de kritische noot dat er kennelijk overheidsorganisaties zijn die overstappen op dienstenleveranciers die onder het Amerikaanse rechtssysteem vallen? In het verleden is er toch veel discussie geweest over het gebruik van Amerikaanse cloud-systemen, omdat deze vallen onder het Amerikaanse recht? De USA Freedom Act geldt nog steeds.
Reageer met quote
09-04-2020, 15:41 door Anoniem
Joepie buzzword compliance. Ondertussen drijft de overheid nog steeds op "exchange"-servers die vaak slecht geconfigureerd en dysfunctioneel zijn. Als ze nou eens serieuze software gingen gebruiken, in plaats van proprietary speeltjes voor dichtgetikte werkgroepjes.
Reageer met quote
09-04-2020, 21:36 door Anoniem
Door Anoniem: Joepie buzzword compliance. Ondertussen drijft de overheid nog steeds op "exchange"-servers die vaak slecht geconfigureerd en dysfunctioneel zijn. Als ze nou eens serieuze software gingen gebruiken, in plaats van proprietary speeltjes voor dichtgetikte werkgroepjes.
En wat is dan volgens jouw het serieuze alternatief? Ik hoor graag wat dat is, met dit soort holle uitspraken is niemand gediend, dus kom op met dat alrenatief!!!!!
Reageer met quote
09-04-2020, 22:37 door Anoniem
Het is pas betrouwbaar als elke mail end-to-end encrypted en signed is.
Ohja, nog wat randvoorwaarden als key management.

Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
Reageer met quote
10-04-2020, 08:10 door karma4
Door Anoniem: ...
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
....
Gaat niet meer gebeuren. Net zo min als het onderhoud van een wagenpark niet meer zelf gedaan wordt maar uitbesteed wordt. Het gaat er niet om dat het niet echt moeilijk is. De verantwoordelijken willen de hele rompslomp niet,
Moeten ze nog een heel bedrijf gaan runnen wat niet hun kerntaak is. Ook de schoonmaak en cartering staat al buiten.
Reageer met quote
10-04-2020, 10:46 door Anoniem
Door Anoniem: Het is pas betrouwbaar als elke mail end-to-end encrypted en signed is.
Ohja, nog wat randvoorwaarden als key management.

Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.

Zeker! Betrouwbaar én veilig.
Maar dat gaan ze niet doen, want dan kunnen ze niks meer meelezen...
Reageer met quote
10-04-2020, 11:07 door Anoniem
Door Anoniem: Veel lagere overheden zitten met al hun mail bij Microsoft (online). Er is kennelijk geen enkel probleem met de vertrouwelijkheid. Microsoft leest berichten zoals Google dat ook doet. Ze openen bijvoorbeeld links die in mails voorkomen.
Microsoft opent niet zomaar links in berichten.

Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
Ik hoor toch vrij weinig van de klachten, die echt aan Exchange liggen. Veel issues hebben veel andere oorzaken.

En wat is er tegen om een of meer centrale mailsystemen aan te leggen voor lagere overheden door de overheid zelf? Dat kan ook financieel uitkomen. Veiliger dan het neerleggen bij een commerciële partij waarbij toegang is door buitenlandse entiteiten vrijwel is verzekerd.
Weet je hoe complex dit is om meer te zetten? Ze zijn al jaren bezig met een CMS of andere systemen. Een centrale omgeving voor mail is daarin nog veel complexer om dit neer te zetten.

Door Anoniem: DANE ? vertrouwelijke email. DANE = een transportbeveiliging. De mail zelf is gewoon unencrypted...
TLS?

Door Anoniem: Joepie buzzword compliance. Ondertussen drijft de overheid nog steeds op "exchange"-servers die vaak slecht geconfigureerd en dysfunctioneel zijn. Als ze nou eens serieuze software gingen gebruiken, in plaats van proprietary speeltjes voor dichtgetikte werkgroepjes.
Er zijn eigenlijk alleen heel weinig alternatieven die ook maar een beetje in de buurt komen van MS Exchange.

En slecht slecht geconfigureerd die ik tegenwoordig niet zo vaak meer.
Reageer met quote
10-04-2020, 11:10 door Anoniem
Door Anoniem: Dus stuur maar gewoon een brief als je wat van me wilt.
En die komen wel altijd aan......
Reageer met quote
11-04-2020, 17:18 door Anoniem
Door Anoniem: Het is pas betrouwbaar als elke mail end-to-end encrypted en signed is.
Ohja, nog wat randvoorwaarden als key management.

Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
Volledig terecht. Daarom verbaas ik me ook zo over het feit dat iedereen zich zo druk maakt om Zoom. Ja, Zoom is niet veilig en dat moet beter. Maar als ik zie wat er soms via mail gestuurd wordt......
Reageer met quote
11-04-2020, 17:27 door Anoniem
Door Anoniem:
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.

Dat is het paart achter de wagen spannen. Probleem is dat mail zo oud als het internet is en uit een tijd komt dat de internetwereld er anders uitzag en beveiliging nauwelijks een issue was. Er zijn wat lapmiddelen toegepast om mail veiliger te krijgen, maar in de kern is het nog steeds een onveilig protocol.
Wil je het echt goed doen, dan zou je moeten omschakelen naar een totaal nieuw mailprotocol dat met een end-to-end versleuteling en authenticatie werkt. Maar dat zal nooit compatibel zijn met de huidige standaarden, dus je zal een overgangsfase moeten creëren zodat beide protocollen naast elkaar kunnen bestaan.

Ander probleem is dat de overheid dit niet leuk gaat vinden. Nu kunnen ze mailverkeer eenvoudig doorzoeken. We hebben in het recente verleden al de discussie over end-to-end versleuteling bij bijvoorbeeld WhatsApp en https gezien.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

7 reacties
Aantal stemmen: 614
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
24-02-2021 door Arnoud Engelfriet

Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...

6 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter