image

NCSC adviseert STARTTLS en DANE voor mailservers

donderdag 23 maart 2017, 15:40 door Redactie, 4 reacties

Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties die hun e-mailverkeer willen beschermen om STARTTLS en DANE in te schakelen. Volgens de overheidsinstantie zijn verbindingen tussen mailservers van oudsher zeer zwak beveiligd.

Zo verplicht het uit 1982 stammende smtp-protocol voor e-mailverkeer niet dat verbindingen tussen mailservers versleuteld moeten worden. Veel mailservers staan daarom nog altijd onversleutelde verbindingen toe. STARTTLS is een uitbreiding voor smtp die verbindingsbeveiliging toevoegt. Het NCSC waarschuwt dat STARTTLS alleen tegen passieve aanvallers beschermt.

"Een actieve aanvaller kan het gebruik van STARTTLS eenvoudig ongedaan maken. De aanvaller verandert het verkeer zó, dat de verzendende mailserver denkt dat de ontvangende mailserver geen STARTTLS ondersteunt. Andersom doet hij dat ook. Populair spreekt men dan van een STRIPTLS-aanval." Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Het NCSC adviseert organisaties dan ook om zowel STARTTLS als DANE uit te rollen. Om organisaties hierbij te helpen is er een nieuwe factsheet uitgegeven (pdf).

Het Nationaal Beraad heeft in september vorig jaar besloten om STARTTLS en DANE voor e-mailverkeer toe te voegen aan de pas-toe-of-leg-uit-lijst met open standaarden. Daarmee is het voor overheden verplicht om deze standaarden toe te passen bij het investeren in e-mailsystemen.

Reacties (4)
23-03-2017, 16:13 door Anoniem
Mooi. Per wanneer moet dat geregeld zijn?
24-03-2017, 10:23 door Anoniem
Geen verplichten maar een advies, voor overheid instanties is het wel verplicht zodra ze gaan investeren in een nieuw mail systeem.
24-03-2017, 10:44 door Anoniem
Door Anoniem: Mooi. Per wanneer moet dat geregeld zijn?
Niet want het is nml een advies
24-03-2017, 17:08 door Anoniem
"Het Nationaal Beraad heeft in september 2016 besloten om STARTTLS en DANE voor e-mailverkeer toe te voegen aan de pas-toe-of-leg-uit-lijst met open standaarden. Daarmee is voor overheden verplicht om deze standaarden toe te passen bij het investeren in e-mailsystemen."

Per welke datum moet het zijn ingevoerd (zonder excuus)?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.