Nieuws
image

Vertrouwelijkheid overheidsmail stap dichterbij door DANE-support Exchange Online

donderdag 9 april 2020, 09:34 door Redactie, 14 reacties

De vertrouwelijkheid van overheidsmail is een stap dichtbij gekomen doordat Microsoft beveiligingsstandaard DANE in Exchange Online gaat ondersteunen. DANE staat voor DNS-Based Authentication of Named Entities en moet voorkomen dat aanvallers mailverkeer kunnen 'afluisteren' of aanpassen. Het is een verplichte standaard voor de overheid.

DANE geeft zekerheid over de identiteit van de ontvangende mailserver. Zo wordt voorkomen dat een aanvaller zich als ontvangende mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding (STARTTLS) af. Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren. Slechts vijftig procent van de overheidsorganisaties heeft DANE echter voor deze deadline geïmplementeerd, zo meldt het Forum Standaardisatie.

Het Forum Standaardisatie onderhoudt onder andere een lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaarden beleid van de overheid. Volgens de organisatie bleek het ontbreken van DANE-support in Exchange Online een knelpunt te zijn waarom overheidsorganisaties de deadline niet haalden. Maandag maakte Microsoft bekend dat DANE eind 2021 volledig in Office 365 Exchange Online zal worden ondersteund.

Volgens Microsoft zal de ondersteuning gefaseerd plaatsvinden. Eind 2020 zal DANE voor verstuurde e-mails in Exchange Online beschikbaar zijn. Een jaar later zal Exchange Online ook voor inkomende e-mails DANE ondersteunen. "Hoewel de aangekondigde ondersteuning nog even op zich laat wachten, biedt dit meer dan honderd overheidsorganisaties die al gebruik maken van Exchange Online een positief vooruitzicht op het voldoen aan de beveiligingseisen", aldus het Forum Standaardisatie.

Overheidsorganisaties die op Exchange Online willen overstappen krijgen van het Forum Standaardisatie het advies om te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd. Het Forum merkt op dat het correct toepassen van de standaarden DNSSEC, DANE en STARTTLS minimaal verwacht mag worden van overheidsmail. Uit onderzoek bleek echter dat het toepassen van DNSSEC op mailservers juist afnam. Dit bleek te worden veroorzaakt doordat overheidsinstanties op Exchange Online overstapten.

Naast DANE ondersteunt de dienst ook nog geen DNSSEC. Microsoft zal echter ook ondersteuning van DNNSEC gaan toevoegen. DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. Dit moet DNS-spoofing voorkomen. DNSSEC moet volgens de richtlijnen op alle overheidsdomeinnamen worden toegepast.

Strategisch Leveranciersmanagement Microsoft Rijk en het Forum Standaardisatie hebben Microsoft vorig jaar dan ook gevraagd om DNSSEC en DANE bij het gebruik van Office 365-mailservers te ondersteunen. Organisaties die willen testen of hun mailverkeer via STARTTLS en DANE is beveiligd kunnen dit via Internet.nl doen.

Image

Reacties (14)
09-04-2020, 11:35 door Anoniem
Knap hoor van Microsoft...deze standaarden bestaan ook nog maar jaren...zucht. DNSSEC ondersteuning wordt al jaren om gevraagd bij Microsoft door de community. Enige reactie vanuit Microsoft was dat het op de feature lijst staat...maar goed nu gaat er eindelijk iets gebeuren. Hoewel het dus nog tot eind 2021 gaat duren voordat ze klaar zijn.

Word hier nog niet echt vrolijk van.
09-04-2020, 12:04 door Anoniem
Je vraagt zich toch af wat die vertrouwelijkheid waard is als ze vervolgens toch allemaal bij de Amerikaanse overheid in de inbox belanden. Dat zal waarschijnlijk een andere zorg zijn, een waar vooral niet teveel aandacht aan gegeven moet worden.
09-04-2020, 12:19 door Anoniem
Veel lagere overheden zitten met al hun mail bij Microsoft (online). Er is kennelijk geen enkel probleem met de vertrouwelijkheid. Microsoft leest berichten zoals Google dat ook doet. Ze openen bijvoorbeeld links die in mails voorkomen.

Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.

En wat is er tegen om een of meer centrale mailsystemen aan te leggen voor lagere overheden door de overheid zelf? Dat kan ook financieel uitkomen. Veiliger dan het neerleggen bij een commerciële partij waarbij toegang is door buitenlandse entiteiten vrijwel is verzekerd.
09-04-2020, 13:55 door Anoniem
DANE ? vertrouwelijke email. DANE = een transportbeveiliging. De mail zelf is gewoon unencrypted...
09-04-2020, 14:45 door Anoniem
De redactie mag toch wel eens wat kritischer zijn bij het maken van een artikel naar aanleiding van een 'juich-bericht' van het forum standaardisatie, in plaats van dit bijna letterlijk over te nemen. Van een redactie van een algemeen nieuws site verwacht ik niet veel anders dan het overnemen van het persbericht. Op deze website verwacht ik enige inhoudelijke kennis.

1. DANE is een substandaard die STARTTLS betrouwbaarder maakt. STARTTLS voorkomt dat de aanvallers het e-mailverkeer kunnen meelezen (afluisteren kan wel, alleen kunnen ze niet eenvoudig er leesbare tekst van maken) of ongemerkt aanpassen (ook aanpassen kan altijd) en niet DANE.

2. Waar is de kritische noot van de redactie dat MS afgelopen jaren TLS 1.0 is blijven ondersteunen ondanks het afraden van deze versie, dat MS de afgelopen jaren de DNSSEC standaard niet heeft geïmplementeerd?

3. Waar is de kritische noot dat er kennelijk overheidsorganisaties zijn die overstappen op dienstenleveranciers die onder het Amerikaanse rechtssysteem vallen? In het verleden is er toch veel discussie geweest over het gebruik van Amerikaanse cloud-systemen, omdat deze vallen onder het Amerikaanse recht? De USA Freedom Act geldt nog steeds.
09-04-2020, 15:41 door Anoniem
Joepie buzzword compliance. Ondertussen drijft de overheid nog steeds op "exchange"-servers die vaak slecht geconfigureerd en dysfunctioneel zijn. Als ze nou eens serieuze software gingen gebruiken, in plaats van proprietary speeltjes voor dichtgetikte werkgroepjes.
09-04-2020, 21:36 door Anoniem
Door Anoniem: Joepie buzzword compliance. Ondertussen drijft de overheid nog steeds op "exchange"-servers die vaak slecht geconfigureerd en dysfunctioneel zijn. Als ze nou eens serieuze software gingen gebruiken, in plaats van proprietary speeltjes voor dichtgetikte werkgroepjes.
En wat is dan volgens jouw het serieuze alternatief? Ik hoor graag wat dat is, met dit soort holle uitspraken is niemand gediend, dus kom op met dat alrenatief!!!!!
09-04-2020, 22:37 door Anoniem
Het is pas betrouwbaar als elke mail end-to-end encrypted en signed is.
Ohja, nog wat randvoorwaarden als key management.

Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
10-04-2020, 08:10 door karma4
Door Anoniem: ...
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
....
Gaat niet meer gebeuren. Net zo min als het onderhoud van een wagenpark niet meer zelf gedaan wordt maar uitbesteed wordt. Het gaat er niet om dat het niet echt moeilijk is. De verantwoordelijken willen de hele rompslomp niet,
Moeten ze nog een heel bedrijf gaan runnen wat niet hun kerntaak is. Ook de schoonmaak en cartering staat al buiten.
10-04-2020, 10:46 door Anoniem
Door Anoniem: Het is pas betrouwbaar als elke mail end-to-end encrypted en signed is.
Ohja, nog wat randvoorwaarden als key management.

Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.

Zeker! Betrouwbaar én veilig.
Maar dat gaan ze niet doen, want dan kunnen ze niks meer meelezen...
10-04-2020, 11:07 door Anoniem
Door Anoniem: Veel lagere overheden zitten met al hun mail bij Microsoft (online). Er is kennelijk geen enkel probleem met de vertrouwelijkheid. Microsoft leest berichten zoals Google dat ook doet. Ze openen bijvoorbeeld links die in mails voorkomen.
Microsoft opent niet zomaar links in berichten.

Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.
Ik hoor toch vrij weinig van de klachten, die echt aan Exchange liggen. Veel issues hebben veel andere oorzaken.

En wat is er tegen om een of meer centrale mailsystemen aan te leggen voor lagere overheden door de overheid zelf? Dat kan ook financieel uitkomen. Veiliger dan het neerleggen bij een commerciële partij waarbij toegang is door buitenlandse entiteiten vrijwel is verzekerd.
Weet je hoe complex dit is om meer te zetten? Ze zijn al jaren bezig met een CMS of andere systemen. Een centrale omgeving voor mail is daarin nog veel complexer om dit neer te zetten.

Door Anoniem: DANE ? vertrouwelijke email. DANE = een transportbeveiliging. De mail zelf is gewoon unencrypted...
TLS?

Door Anoniem: Joepie buzzword compliance. Ondertussen drijft de overheid nog steeds op "exchange"-servers die vaak slecht geconfigureerd en dysfunctioneel zijn. Als ze nou eens serieuze software gingen gebruiken, in plaats van proprietary speeltjes voor dichtgetikte werkgroepjes.
Er zijn eigenlijk alleen heel weinig alternatieven die ook maar een beetje in de buurt komen van MS Exchange.

En slecht slecht geconfigureerd die ik tegenwoordig niet zo vaak meer.
10-04-2020, 11:10 door Anoniem
Door Anoniem: Dus stuur maar gewoon een brief als je wat van me wilt.
En die komen wel altijd aan......
11-04-2020, 17:18 door Anoniem
Door Anoniem: Het is pas betrouwbaar als elke mail end-to-end encrypted en signed is.
Ohja, nog wat randvoorwaarden als key management.

Dit kom nog niet in de buurt. Dus stuur maar gewoon een brief als je wat van me wilt.
Volledig terecht. Daarom verbaas ik me ook zo over het feit dat iedereen zich zo druk maakt om Zoom. Ja, Zoom is niet veilig en dat moet beter. Maar als ik zie wat er soms via mail gestuurd wordt......
11-04-2020, 17:27 door Anoniem
Door Anoniem:
Iedereen zou weer terug moeten gaan naar eigen mail systemen die optimaal beveiligd kunnen worden volgens de laatste standaarden, de voorwaarden van NCSC zijn niet zo moelijk. Denken dat je er makkelijk vanaf bent door uit te besteden is kortzichtig en niet-compliant. Er zijn veel problemen met Microsoft's mail systemen, er zijn dagelijks veel klachten.

Dat is het paart achter de wagen spannen. Probleem is dat mail zo oud als het internet is en uit een tijd komt dat de internetwereld er anders uitzag en beveiliging nauwelijks een issue was. Er zijn wat lapmiddelen toegepast om mail veiliger te krijgen, maar in de kern is het nog steeds een onveilig protocol.
Wil je het echt goed doen, dan zou je moeten omschakelen naar een totaal nieuw mailprotocol dat met een end-to-end versleuteling en authenticatie werkt. Maar dat zal nooit compatibel zijn met de huidige standaarden, dus je zal een overgangsfase moeten creëren zodat beide protocollen naast elkaar kunnen bestaan.

Ander probleem is dat de overheid dit niet leuk gaat vinden. Nu kunnen ze mailverkeer eenvoudig doorzoeken. We hebben in het recente verleden al de discussie over end-to-end versleuteling bij bijvoorbeeld WhatsApp en https gezien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure LIVE Online training