image

Juridische vraag: mag spamfilter mail-encryptie uitschakelen?

woensdag 4 november 2015, 12:24 door Arnoud Engelfriet, 9 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Sommige anti-spambedrijven bieden een service om alle uitgaande e-mail transparant te scannen op spam en virussen via een soort SMTP-netwerkproxy. Als onderdeel van dat proces schakelen ze de TLS-encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?

Antwoord: Er is geen wettelijke regel die expliciet zegt dat e-mail te allen tijde versleuteld moet worden getransporteerd. Je bent als bedrijf dus vrij om te kiezen of en welke beveiliging je hanteert.

Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens), die stelt dat persoonsgegevens te allen tijde "adequaat" moeten zijn beveiligd tegen misbruik en ongeautoriseerde toegang. Die norm bestaat al jaren, de aanscherping komt erop neer dat je in theorie acht ton boete kunt krijgen vanaf januari als je hem schendt.

Wat is nu "adequaat" bij e-mail? Helaas zijn daar geen harde regels voor. Het hangt er namelijk vanaf wat voor gegevens er in die e-mail staan. Gaat het alleen om afzender en ontvanger (relatief weinig gevoelig) of worden er in de bijlage medische dossiers verstuurd (nogal gevoelig)? Dat bepaalt voor een groot deel de vereiste beveiligingsmaatregelen om "adequaat" te mogen heten.

E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan. Dus de factor is dat wel het minimum, net zoals SSL op een bestelformulier van een webwinkel de facto vereist is. Als je dat weglaat, dan heb je dus wat uit te leggen.

De logica achter dit proces begrijp ik niet helemaal. Natuurlijk, je kunt geen mails scannen als ze door een beveiligde verbinding lopen, maar waarom zet je dan niet een beveiligde verbinding op naar de virusscannersite?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
04-11-2015, 13:17 door Anoniem
Sommige (buitenlandse) anti-spambedrijven bieden een service om alle uitgaande e-mail transparant te scannen op spam/virussen via een soort SMTP-netwerkproxy. Als onderdeel van dat proces schakelen ze de TLS-encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?

Dan gebruik je toch PGP, of een soortgelijke tool, om er nog een encryptie slag overheen te gooien ? Ik zie het probleem niet.
04-11-2015, 13:54 door Anoniem
mag spamfilter mail-encryptie uitschakelen?

Als eigenaar van een mailserver bepaal je of je al dan niet mail-encryptie gebruikt. Ook bepaal je zelf of je een spam filter gebruikt. Wat dat betreft heeft de wet bar weinig hiermee te maken, zolang het niet gaat over gegevens waarbij een wettelijke plicht geldt om die te versleutelen (i.e. medische dossiers ofzo).

Laat mij eens het wetsartikel zien waarin staat dat mail encrypted dient te zijn, en niet ontsleuteld mag worden ? ;-)
04-11-2015, 14:36 door Erik van Straten
4 november 2015, 12:24 door Arnoud Engelfriet:
[...]
Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens)
[...]
E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan.
[...]
Vraag 1 in dit kader is of "geen encryptie" wel zoveel onveiliger is dan de, momenteel bij SMTP gangbare, opportunistische encryptie AKA "Some Protection Most of the Time" (bron: https://tools.ietf.org/html/rfc7435).

Vraag 2 is of opportunistische encryptie, met publicaties als bovengenoemde bron maar ook https://blog.filippo.io/the-sad-state-of-smtp-encryption/, afhankelijk van de vertrouwelijkheid van de gemailde gegevens, volstaat in het kader van de nieuwe WBP.
04-11-2015, 15:20 door Anoniem
Als onderdeel van dat proces schakelen ze de TLS-encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet.
Besef dat je daarmee sowieso geen end-to-end-encryptie hebt. TLS is versleuteling van het transport tussen twee computers die rechtstreeks een TCP-verbinding hebben opgezet. Je kan een e-mail over een versleutelde verbinding aanleveren bij een SMTP-server, als die TLS ondersteunt, maar die server verwerkt zelf de plain-text-versie van de e-mail. Tussen afzender en geadresseerde wordt een e-mail gewoonlijk langs een hele reeks SMTP-servers gerouteerd (bekijk de volledige bron of de volledige headers van een ontvangen e-mail en zoek de regels dat met "Received: " beginnen, van onder naar boven documenteren die SMTP-servers waar de e-mail langs is gekomen). Er is geen enkele garantie dat al die doorgiften tussen al die SMTP-servers versleuteld zijn met TLS, dat ligt aan hoe de servers geconfigureerd zijn.

Is er in jouw situatie een reden om de verbinding met de eerste server in de keten riskanter te vinden dan wat daarna komt?

Als je end-to-end-encryptie nodig hebt moet je niet op TLS vertrouwen. Dan is PGP, wat de eerste reageerder al noemde, iets om je in te gaan verdiepen, of GPG, de opensource-implementatie van het OpenPGP-protocol.
05-11-2015, 06:40 door Anoniem
Waarom zou je TLS uitschakelen, dat is volstrekt zinloos en niet nodig voor mail scanners.
05-11-2015, 11:58 door Anoniem
" Sommige anti-spambedrijven bieden een service om alle uitgaande e-mail transparant te scannen op spam en virussen via een soort SMTP-netwerkproxy. Als onderdeel van dat proces schakelen ze de TLS-encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?"

Welk anti-spam bedrijf met transparante proxy doet dit volgens jou?

Enige wat ik mij kan voorstellen is dat als jij gebruikt maakt van een verouderd OS/mailserver welke geen voldoende ondersteuning heeft voor gebruik van de nieuwste Ciphers deze voor de verbinding terugschakelen naar een lagere of zelfs geen encryptie.

Wij accepteren alleen TLS1.1 en 1.2 met de Modern compatibility cipher suite
Persoonlijk vind ik de verbinding volledig rejecten beter.
05-11-2015, 12:47 door Anoniem
Een mailscanner termineert inderdaad de TLS verbinding om de mail te kunnen scannen. Een mailscanner kan vervolgens ook gewoon weer opnieuw een TLS verbinding opzetten. Kan je mailscanner dat niet dan is die aan vervanging toe.
05-11-2015, 17:53 door Anoniem
Sinds kort checkt https://Internet.nl in de mailtest ook op STARTTLS. Aanvullend wordt ook gekeken naar DNSSEC en DANE. DNSSEC en DANE kunnen de zogenaamde STRIPTLS-aanval voorkomen. Zie ook FAQ op https://internet.nl/faqs/tls/ O.a. XS4ALL, TransIP (met hun nieuwe MX mx.transip.email), mail.de en bund.de (Duitse centrale overheid) doen DNSSEC+DANE.
06-11-2015, 01:32 door Anoniem
Door Anoniem: Een mailscanner termineert inderdaad de TLS verbinding om de mail te kunnen scannen. Een mailscanner kan vervolgens ook gewoon weer opnieuw een TLS verbinding opzetten. Kan je mailscanner dat niet dan is die aan vervanging toe.


TLS wordt gebruikt voor encryptie van de SMTP transport. Scanners werken lokaal, dus het heeft niets te maken met TLS. Een scanner termineert geen TLS verbinding.

Wat je misschien bedoelt is dat het SMTP deel van een scanner TLS ontbeert. Dat is een kwestie van de juiste mail server gebruiken. Als dat niet kan is hij inderdaad aan vervanging toe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.