Helft e-mail overheden kwetsbaar voor spoofing en afluisteren
Een aanzienlijk deel van de Nederlandse overheden heeft de e-mailbeveiliging nog altijd niet goed op orde en heeft daarmee de derde streefbeeldafspraak die eind 2019 afliep niet gehaald. E-mail van ongeveer de helft van de 548 onderzochte overheidsdomeinen is kwetsbaar voor spoofing en/of afluisteren.
Dat blijkt uit een meting van het Forum Standaardisatie. Binnen de overheid zijn afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moesten vorig jaar in ieder geval STARTTLS en DANE voor encryptie van mailverkeer en SPF en DMARC juist hebben ingesteld.
Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. DMARC helpt, in combinatie met e-mailstandaarden DKIM en SPF, om e-mailspoofing te voorkomen. Daarbij is het belangrijk dat het DMARC-beleid goed is ingesteld, zodat de ontvanger weet wat er met verdachte e-mail moet gebeuren.
Ondanks de afspraken blijkt dat slechts bij de helft van de onderzochte overheidsdomeinen DMARC en DANE voor e-mail worden toegepast. "Dat betekent bijvoorbeeld dat mails van fraudeurs die afzenderadressen van de overheid misbruiken nog steeds bij burgers en bedrijven aankomen. Op die plekken waar DMARC nog steeds niet streng is afgesteld, kunnen bijvoorbeeld ook de mailadressen van bewindspersonen en bestuurders worden misbruikt", aldus het Forum Standaardisatie, dat de cijfers zorgelijk noemt.
Gemiddeld genomen scoort de Rijksoverheid het best als het gaat om de adoptie van e-mailstandaarden, gevolgd door gemeenten, uitvoerders, provincies en waterschappen. Zo is voor gemiddeld 19 procent van de provinciedomeinen DANE ingeschakeld. Bij de waterschappen is dit 24 procent. Het juist instellen van DMARC ligt bij de verschillende overheden tussen de 50 en 59 procent.
Volgens het Forum Standaardisatie is het belangrijk dat overheden die nog niet aan de standaarden voldoen met hun leveranciers overleggen om dit te realiseren. Wanneer de huidige leverancier onvoldoende meewerkt moet worden overwogen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden, aldus het advies van het Forum.
Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid. Elk halfjaar voert het een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd.
Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.
De techniek moet veel ouder zijn. Lees je ook nog eens dat exim servers niet bijgewerkt worden.
Ik lees dat het over doosjes gaat, de open protocollen zijn te kwetsbaar/lek vanuit ontwerp.
Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.
Overheden hebben speciale clausules waaraan een fabrikant aan moet voldoen. Wat er op neerkomt dan een kopie van de broncode wordt afgegeven (in opslag) welke mag worden gebruikt als er sprake is van een faillissement (zonder doorstart).
Financiële garanties zijn ook nog van toepassing.
Wat je noemt is allemaal redelijk goed afgedekt. De prijs voor dit geheel? Ja daar zou je een puntje hebben. Echter een overheid krijgt een flinke korting en behoorlijk goede ondersteuning. Liever zie ik ook opensource software, maar helaas maken applicaties ook onderdeel uit van het geheel. Daar laten veel ontwikkelaars nog wel een stuk liggen, wat niet hoeft overigens. Het proces van omkeer is langzaam, soms met een sprongetje.
Overheden hebben speciale clausules waaraan een fabrikant aan moet voldoen. Wat er op neerkomt dan een kopie van de broncode wordt afgegeven (in opslag) welke mag worden gebruikt als er sprake is van een faillissement (zonder doorstart).
Financiële garanties zijn ook nog van toepassing.
Het is helemaal niet nodig om je DNS bij Microsoft onder te brengen als je office 365 gebruikt.
Regel je je DNS ergens anders dan kan daar gewoon DNSSEC op zitten.
Dat DANE lastig is dat is meestal door het gebruik van letsencrypt certificaten, ook dat heeft niks met office 365 te maken.
Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.
Dat is met open source in de praktijk niet beter. Als een open-source project er mee kapt of een andere koers inslaat
dan wil dat nog niet zeggen dat je met de laatst gepubliceerde sources zelf verder kunt. Dan zul je zelf een project
organisatie moeten opzetten om de ontwikkeling van dat project voort te zetten, en als dat niet je business is (bijvoorbeeld
je bent een waterschap of gemeente, dan wil je helemaal niet de ontwikkeling van Firefox of LibreOffice oppakken en
afmaken) dan heb je nog altijd een probleem. Je bent dan afhankelijk van eventuele groots opgezette reddingsoperaties
de er voor dat soort projecten wellicht zouden kunnen komen, maar voor de gemiddelde open source component die
je ergens diep in je IT infrastructuur gebruikt ECHT NIET.
Het is helemaal niet nodig om je DNS bij Microsoft onder te brengen als je office 365 gebruikt.
Regel je je DNS ergens anders dan kan daar gewoon DNSSEC op zitten.
Dat DANE lastig is dat is meestal door het gebruik van letsencrypt certificaten, ook dat heeft niks met office 365 te maken.
Ik had liever gezien dat je je even had verdiept voordat je deze reactie gaf.
Het mx record van de klant wordt namelijk omgezet in. Domein.protection.outlook.com.
Dus ja, DNS issue maar van microsoft in dit geval.
* Verschillende NL hosters ondersteunen ook DANE (o.a. TransIP, BIT, Antagonist, Bhosted, Webreus en XS4ALL). Ook maildiensten als Protonmail en Soverin ondersteunen DANE. O.a. Postfix en Exim maar ook Cloudmark en Cisco ESA bieden ondersteuning voor DANE-validatie. Voor een /producten-/dienstenoverzicht zie: https://github.com/baknu/DANE-for-SMTP/wiki/3.-Software-and-service-support
* Microsoft heeft aangekondigd DANE op O365 Exchange Online te gaan ondersteunen (verzendend eind 2020 en ontvangend eind 2021): https://techcommunity.microsoft.com/t5/exchange-team-blog/support-of-dane-and-dnssec-in-office-365-exchange-online/ba-p/1275494 en https://www.forumstandaardisatie.nl/nieuws/positief-vooruitzicht-voor-vertrouwelijkheid-overheidsmail
* Voor een technische DANE howto zie: https://github.com/internetstandards/toolbox-wiki/blob/master/DANE-for-SMTP-how-to.md
* Voor achtergrond zie ook het artikel "Ask your email provider to secure your email connections with DANE" in KPN's European Cyber Security Perspectives 2020: https://www.overons.kpn/nl/nieuws/2020/kpn-publiceert-7e-editie-van-de-european-cyber-security-perspectives
Het is helemaal niet nodig om je DNS bij Microsoft onder te brengen als je office 365 gebruikt.
Regel je je DNS ergens anders dan kan daar gewoon DNSSEC op zitten.
Dat DANE lastig is dat is meestal door het gebruik van letsencrypt certificaten, ook dat heeft niks met office 365 te maken.
Op onze DNS staat de MX doorverwijzing naar domein-nl.mail.protection.outlook.com om de mailserver bereikbaar te krijgen. En omdat de DNS die outlook.com beheerd geen DNSSEC ondersteunt stopt daar de implementatie.
Maar ik leer graag dus als er andere mogelijkheden zijn .... komt u maar.
Op onze DNS staat de MX doorverwijzing naar domein-nl.mail.protection.outlook.com om de mailserver bereikbaar te krijgen. En omdat de DNS die outlook.com beheerd geen DNSSEC ondersteunt stopt daar de implementatie.
Maar ik leer graag dus als er andere mogelijkheden zijn .... komt u maar.
Microsoft heeft aangekondigd om eind 2020 voor uitgaande mail DNSSEC en DANE-records te gaan valideren. Per eind 2021 willen ze hun eigen MX-domeinen ondertekenen met DNSSEC en DANE-records toevoegen.
* https://techcommunity.microsoft.com/t5/exchange-team-blog/support-of-dane-and-dnssec-in-office-365-exchange-online/ba-p/1275494
* https://www.microsoft.com/nl-nl/microsoft-365/roadmap?filters=&searchterms=dnssec
Voor Google mail is het nu wel al mogelijk om DNSSEC-ondertekenende MX-servers in te stellen: https://twitter.com/thorsheim/status/1189203262215462914
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.