Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren, om zo ‘afluisteren’ van e-mail te voorkomen. Slechts 50% van de overheidsorganisaties heeft DANE voor deze deadline geïmplementeerd. Het ontbreken van ondersteuning voor DANE in cloudproduct Office 365 bleek een knelpunt te zijn. Microsoft heeft op 6 april aangekondigd dat zij DANE eind 2021 volledig zullen ondersteunen in Office 365 Exchange Online.
In de aankondiging geeft Microsoft aan dat implementatie gefaseerd zal plaatsvinden. De eerste fase omvat ondersteuning voor e-mail verzonden vanuit Exchange Online. Deze zal eind 2020 zijn afgerond. De tweede fase omvat ondersteuning voor ontvangst van e-mail in Exchange Online. Die wordt voor het eind van 2021 afgerond.
Hoewel de aangekondigde ondersteuning nog even op zich laat wachten, biedt dit meer dan 100 overheidsorganisaties die al gebruik maken van Exchange Online een positief vooruitzicht op het voldoen aan de beveiligingseisen.
Microsoft wijst klanten erop dat zij in de tussentijd de optie hebben om eigen SMTP-gateways te gebruiken die wel DNSSEC en DANE ondersteunen. E-mailberichten kunnen eventueel tussen de gateways en Exchange Online worden uitgewisseld via connectoren. Een dergelijke relay gateway brengt complexiteit en kosten met zich mee. Om die redenen is inherente ondersteuning van de standaarden in Exchange Online cruciaal, ook in producten van andere leveranciers. Forum Standaardisatie adviseert overheidsorganisaties die willen overstappen op Exchange Online te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd.
Diverse leveranciers bieden op dit moment al ondersteuning voor DANE. Meer dan de helft van de overheidsorganisaties maakt gebruik van DANE mogelijk voor veilig e-mailverkeer. Zo passen bijvoorbeeld de gemeente Den Bosch, rijksdienstverlener SSC-ICT, de Tweede Kamer en de politie dit toe.
DANE voorkomt dat aanvallers mailverkeer kunnen ‘afluisteren’ of aanpassen. Het staat voor DNS-Based Authentication of Named Entities en is een verplichte standaard voor de overheid. De techniek bouwt voort op DNSSEC (standaard voor domeinnaambeveiliging) en geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende mailserver, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af. Dit voorkomt dat een aanvaller de opzet van een met STARTTLS beveiligde verbinding kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen.
Het correct toepassen van standaarden DNSSEC, DANE en STARTTLS is wat minimaal verwacht mag worden van overheidsmail. Deze standaarden zijn daarom ook onderdeel van de Baseline Informatiebeveiliging Overheid (BIO) via maatregel 13.2.3.1 (BBN1). BBN1 is het beveiligingsniveau waar alle overheidssystemen als minimum aan moeten voldoen.
Het borgen van veilig e-mailverkeer tussen overheidsorganisaties met burgers, bedrijven en medeoverheden is van belang voor de betrouwbaarheid van de (digitale) overheid. Vanwege de tweezijdigheid van deze informatie-uitwisseling liggen de risico's van kwetsbaarheden niet alleen bij de betreffende overheidsorganisaties, maar ook bij partijen waar zij digitaal mee communiceren. Overheidsorganisaties hebben een zorgplicht naar burgers, bedrijven en medeoverheden om de digitale veiligheid op orde te brengen.
Via Internet.nl kan je testen of het e-mailverkeer van jouw organisatie is beschermd tegen afluisteren en spionage. Deze tool toetst op de toepassing van encryptiestandaarden STARTTLS en DANE. Door een correcte toepassing van deze standaarden op een mailserver helpen zij afluisteren en spionage voorkomen.
Dit nieuwsbericht is ook te vinden in het dossier Informatiebeveiliging
