image

E-mail Tweede Kamer was kwetsbaar voor spoofing

dinsdag 24 oktober 2017, 09:57 door Redactie, 43 reacties

De e-mail van de Tweede Kamer was kwetsbaar voor spoofing, waardoor kwaadwillenden e-mails hadden kunnen versturen die van Tweede Kamerleden afkomstig leken. Dat meldt Follow The Money. De website wist tientallen e-mails via de mailserver van de Tweede Kamer te versturen die vervolgens bij Kamerleden werden afgeleverd. Het probleem was al bekend.

Zo stelde de PvdA vorig jaar Kamervragen over het feit dat gemeentelijke e-mailservers geen gebruik maakten van standaarden zoals dkim, dmarc en spf om spoofing, spam en phishing tegen te gaan. In het geval van de Tweede Kamer bleek dat spf niet stond ingesteld, wat inmiddels wel is ingeschakeld. "Er is gebleken dat het mogelijk is om e-mailberichten te versturen uit naam van Kamerleden. Deze vorm van misbruik heet spoofing: de accounts van de Tweede Kamer zijn niet gehackt. De Tweede Kamer neemt dit probleem zeer serieus en heeft met spoed maatregelen genomen om dergelijk misbruik te voorkomen. De kwetsbaarheid is inmiddels verholpen", aldus een reactie van de Tweede Kamer.

Het Sender Policy Framework (spf) voorkomt dat derden in naam van een organisatie e-mails kunnen versturen. Spf controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. Spf specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken, zo stelt het Forum Standaardisatie. Begin dit jaar lanceerden het Forum, de overheid en bedrijfsleven de coalitie voor veilig e-mailen.

De Veilige E-Mail Coalitie wil het gebruik van de standaarden nog verder versnellen door onderlinge kennisdeling en promotie. Het initiatief is tot stand gekomen onder regie van het ministerie van Economische Zaken en het Forum Standaardisatie. Daarnaast lanceerde het Platform Internetstandaarden in juli een nieuwe versie van Internet.nl, een website waarmee het mogelijk is om te kijken of websites en maildiensten aan standaarden zoals ipv6, dnssec, https, dmarc, dkim, spf, starttls en dane voldoen.

Reacties (43)
24-10-2017, 10:12 door Anoniem
alsmaar meer reden om een minister van technologie in te zetten. Het feit dat de politiek zo weinig geeft over het beveiligen van zijn eigen systemen is zeer zorgwekkend en laat mij weinig vertrouwen in de visie van het huidige kabinet.
24-10-2017, 10:29 door [Account Verwijderd]
Kijk, dít is nou iets waar je over kunt zeggen : PRUTSERS!

En iets met verdronken kalveren en putten.

Komt bij dat ze dus alleen SPF hebben opgelost, niet alle andere mogelijkheden als dkim, dmarc etc.
24-10-2017, 10:42 door Anoniem
Alleen de 2e kamer? Ik lees nooit iets over de 1e kamer...
24-10-2017, 10:47 door Anoniem
Ik heb geen idee wat voor banaan van een systeembeheerder ze daar hebben zitten als die al niet in staat is om zoiets simpels als een SPF record in te stellen.

Ik ga mee met post #1 om een minister oid van technologie in te gaan zetten (mits die uiteraard verstand van zaken heeft)
24-10-2017, 10:58 door Anoniem
Hoe zit dat als je een oud e-mail adres hebt (bijvoorbeeld 'hetnet'), en je verstuurt daarmee vanaf de webmail omgeving van kpn. Of je stuurt daarmee vanaf de smtp van kpn? Of vanaf de webmail/smtp van een heel andere provider?

Wat gebeurt er dan? Kan je dan geen mail meer verzenden? Of komt het niet meer aan?

Vooral met het oog op de vele overnamen in het verleden...
24-10-2017, 11:03 door Anoniem
Je zou toch verwachten dat bij dit soort mailservers gekeken wordt naar een optimale beveiliging. Onze politici lijken echter naief, en ongeinteresseerd. Een typisch voorbeeld daarvan was ook de reactie van minister Henk Kamp, op zijn gebruik van Gmail voor werkgerelateerde communicatie. Riskant, niet conform de policy, en een slecht voorbeeld voor zijn ambtenaren.
24-10-2017, 11:08 door Anoniem
Weet je wat erg is.
Waarvan wordt dit betaald?
24-10-2017, 11:12 door marcod - Bijgewerkt: 24-10-2017, 11:14
Graag alleen 'mopperen' als je eigen domeinnaam wel goed door te e-mail test komt op https://internet.nl/ ;-)
24-10-2017, 11:16 door Anoniem
Door Anoniem: alsmaar meer reden om een minister van technologie in te zetten. Het feit dat de politiek zo weinig geeft over het beveiligen van zijn eigen systemen is zeer zorgwekkend en laat mij weinig vertrouwen in de visie van het huidige kabinet.

De bestuurskant van de regering had dit al een tijdje voor elkaar. De wetgevende kant (parlement) nog niet. Deze twee machten zijn gescheiden in ons land. De ICT-systemen van beide blijkbaar ook.
24-10-2017, 11:17 door Power2All
https://www.security.nl/posting/536535/Plasterk%3A+Overheid+dit+jaar+digitaal+volwassener+geworden
God wat zijn het toch een prutsers.
24-10-2017, 11:17 door [Account Verwijderd]
Door Anoniem: Hoe zit dat als je een oud e-mail adres hebt (bijvoorbeeld 'hetnet'), en je verstuurt daarmee vanaf de webmail omgeving van kpn. Of je stuurt daarmee vanaf de smtp van kpn? Of vanaf de webmail/smtp van een heel andere provider?

Wat gebeurt er dan? Kan je dan geen mail meer verzenden? Of komt het niet meer aan?

Vooral met het oog op de vele overnamen in het verleden...

Bij de overnames zijn de SPF records ook bijgewerkt; ik heb nooit problemen gehad met hetnet/zonnet/kpn.
24-10-2017, 11:43 door User2048
Door marcod: Graag alleen 'mopperen' als je eigen domeinnaam wel goed door te e-mail test komt op https://internet.nl/ ;-)
Mee eens. Wat de overheid doet is voor iedereen zichtbaar en daarom kunnen we er met zijn allen lekker over mopperen. Ook omdat het om onze belastingcenten gaat. Maar zou het in het bedrijfsleven echt veel beter zijn? Hoe vaak lees je niet dat grote bedrijven gehackt worden omdat ze een X jaar oude patch niet geïnstalleerd hebben?
24-10-2017, 12:14 door Anoniem
En was er niet een Ransomware aanval op diezelfde Tweede Kamer begin dit jaar?
https://www.security.nl/posting/508808/Ransomware+infecteert+ict-systeem+Tweede+Kamer

Dus iemand die uit naam van een Kamerlid iets weet te versturen naar colega's met een Word-bestand. Dit wordt natuurlijk vertrouwd omdat het van een "bekende" komt, er wordt op geklikt, en hupla....daar is de infectie!
24-10-2017, 12:25 door Briolet
De website wist tientallen e-mails via de mailserver van de Tweede Kamer te versturen die vervolgens

Dat ze geen SPF hadden is kwalijk, maar hier hadden SPF, DKIM of DMARC ook niet geholpen. Als je dit via de mailserver van de Tweede Kamer verstuurt, blijft de afzender een legitieme bron omdat ook de gespoofde naam uit hetzelfde domein komt als de echte afzender.

In dit geval is òf de mailserver van de 2e kamer gekraakt, òf heeft een kamerlid toegestaan dat zijn mail account gebruikt werd voor deze spoofing actie. Ik verwacht dat laatste, maar dan kan dit incident nog een staartje krijgen voor dat kamerlid.
24-10-2017, 12:46 door SecGuru_OTX
Los van het feit dat ik van mening ben dat iedereen SPF, DKIM, en DMARC moet implementeren, valt of staat de effectiviteit van deze records met de inkomende receiver rules op de E-mail server.

Je kunt SPF, DKIM en DMARC configureren, maar als de ontvangende partij geen SPF, DKIM of DMARC check doet, heb je er weinig aan.

In dit specifieke geval van de tweede kamer kun je er ook voor kiezen om een receiver rule aan te maken waarbij mail uit naam van jou eigen domein, alleen vanaf jou eigen mailservers mag komen.
24-10-2017, 13:12 door Briolet
Door Anoniem: Alleen de 2e kamer? Ik lees nooit iets over de 1e kamer...
Die gebruiken overigens dezelfde mailserver: Alleen een andere domeinnaam

$ host eerstekamer.nl
eerstekamer.nl has address 92.52.91.253
eerstekamer.nl mail is handled by 25 mail2.parlement.nl.
eerstekamer.nl mail is handled by 25 mail1.parlement.nl.
eerstekamer.nl descriptive text "v=spf1 mx ~all"

$ host tweedekamer.nl
tweedekamer.nl has address 80.95.173.105
tweedekamer.nl mail is handled by 25 mail1.parlement.nl.
tweedekamer.nl mail is handled by 25 mail2.parlement.nl.
tweedekamer.nl descriptive text "v=spf1 mx -all"

Maar waarom zetten ze het spf record voor de eerste kamer op soft fail en voor de tweede kamer op hard fail. Kan het zijn dat er wel een SPF was, maar dat die op soft fail stond, zoals dat voor de eerste kamer? Want een soft fail laten eigenlijk alle mailservers gewoon door.
24-10-2017, 13:16 door Anoniem
Door Briolet:
De website wist tientallen e-mails via de mailserver van de Tweede Kamer te versturen die vervolgens

Dat ze geen SPF hadden is kwalijk, maar hier hadden SPF, DKIM of DMARC ook niet geholpen. Als je dit via de mailserver van de Tweede Kamer verstuurt, blijft de afzender een legitieme bron omdat ook de gespoofde naam uit hetzelfde domein komt als de echte afzender.

In dit geval is òf de mailserver van de 2e kamer gekraakt, òf heeft een kamerlid toegestaan dat zijn mail account gebruikt werd voor deze spoofing actie. Ik verwacht dat laatste, maar dan kan dit incident nog een staartje krijgen voor dat kamerlid.

Het is een beetje onduidelijk beschreven. De redactie bedoelde wellicht dat mail vanaf een mail server van derden met als afzenderadres een tweedekameradres kon worden verstuurd naar een ontvanger met een tweedekameradres.

Tweede Kamerlid Maarten Hijink van de SP laat Follow the Money weten de situatie onwenselijk te vinden: ‘Dit mag in een professionele organisatie niet gebeuren. Spoofen is vrij eenvoudig te voorkomen. Het systeem moet altijd controleren of een @tweedekamer-mail ook daadwerkelijk vanuit de server van de Tweede Kamer is verstuurd. Anders is het namelijk spam en mag het niet afgeleverd worden.’

In de technische werkelijkheid is het iets ingewikkelder.

Spoofen van eigen email adressen naar binnen is te voorkomen door het volgende te doen:
1. Scheidt inkomend en uitgaand verkeer van elkaar. Meestal kan dat door twee servers te gebruiken.
2. De inkomende en uitgaande mail servers mogen niet met elkaar communiceren.
3. De uitgaande mail server mag geen mail verwerken met een eigen domein als envelope ontvanger.
4. De inkomende mail server mag geen mail verwerken met een eigen domein als envelope sender.
5. De inkomende mail server mag geen mail verwerken met een From of Sender SMTP header waarin het eigen domein voorkomt.

DKIM/SPF en andere vormen van (gedeeltelijke) authenticatie zijn van belang als controlemechanismen voor ontvangers elders (derden).

Overigens: spoofen in het algemeen is niet te voorkomen. Iedereen kan spoofen, welke maatregel je ook neemt.
24-10-2017, 13:50 door Bitwiper - Bijgewerkt: 24-10-2017, 17:22
De issue beschreven in https://www.ftm.nl/artikelen/mailen-uit-naam-van-mark-rutte-geen-probleem is dat een derde kon telnetten (of netcat gebruiken o.i.d.) naar {begin aanvulling 17:22} poort 25 van {einde aanvulling 17:22} de mailserver van de tweede kamer en namens een willekeurig kamerlid of kabinetslid kon mailen naar willekeurige kamerleden (of kabinetsleden met een e-mail account @tweedekamer.nl).

Alleen SPF lost dit probleem niet op. Immers, SPF checkt envelope-from en dat mag afwijken van body-from of zelfs leeg zijn.

Pas als je, bij ontvangst, SPF afdwingt en combineert met DMARC (en DNS veilig is) kun je verhinderen dat derden (vanaf willekeurige IP-adressen) telnetten en zo mails verzenden namens gebruiker @tweedekamer.nl. Om te voorkomen dat je nepmails "van je eigen mensen" ontvangt, moet je natuurlijk ook SPF en DMARC records publiceren.

Echter als iemand mail stuurt namens M.Rutte@tweede_kamer.nl of idem @tweede.kamer.nl (domein bestaat, MX ook), is het maar helemaal de vraag of de ontvanger dat ziet. Hier helpt geen enkele techniek tegen (behalve alle domeinnamen die "lijken op" registreren, maar dat is al gauw onbegonnen werk). Reken je dus niet rijk met SPF, DMARC etc.
24-10-2017, 15:13 door Ron625
Door Anoniem:Dus iemand die uit naam van een Kamerlid iets weet te versturen naar colega's met een Word-bestand. Dit wordt natuurlijk vertrouwd omdat het van een "bekende" komt, er wordt op geklikt, en hupla....daar is de infectie!
Een Word bestand (DOC / DOCx) mag nooit een overheidsgebouw verlaten.
Overheden en gesubsidieerde instellingen zijn verplicht om te communiceren in OpenStandaarden.
24-10-2017, 15:38 door Joep Lunaar
Door Anoniem: En was er niet een Ransomware aanval op diezelfde Tweede Kamer begin dit jaar?
https://www.security.nl/posting/508808/Ransomware+infecteert+ict-systeem+Tweede+Kamer

Dus iemand die uit naam van een Kamerlid iets weet te versturen naar colega's met een Word-bestand. Dit wordt natuurlijk vertrouwd omdat het van een "bekende" komt, er wordt op geklikt, en hupla....daar is de infectie!

Goed voorbeeld van een mogelijke aanvalsvector en er zullen nog vele andere soortgelijke denkbaar zijn (leuke oefening, wie heeft zin? Ongetwijfeld hebben allerlei boeven die oefening wel al als waardevol ervaren). Hopelijk, hopelijk, volstaat een behoorlijke inrichting van de e-mailsystemen en aanverwante DNS.

Terzijde: het is zeker niet zo dat "de overheid" onbekwaam is, of dat er allemaal sukkels rondwandelen; de kwaliteit van veel mainstream programmatuur is vaak ook beneden de maat.
24-10-2017, 15:42 door Anoniem
Door Briolet:
De website wist tientallen e-mails via de mailserver van de Tweede Kamer te versturen die vervolgens

Dat ze geen SPF hadden is kwalijk, maar hier hadden SPF, DKIM of DMARC ook niet geholpen. Als je dit via de mailserver van de Tweede Kamer verstuurt, blijft de afzender een legitieme bron omdat ook de gespoofde naam uit hetzelfde domein komt als de echte afzender.

Je leest een journalistieke samenvatting wel erg letterlijk.

Als er letterlijk vanaf de valide uitgaande mailserver mails verstuurd zijn klopt je zorg.

Maar wanneer je van buiten , mail aanbiedt aan de inkomende mailserver (degene in het MX record) met "From: ene kamerlid" To: andere kamerlid" is dat wel iets wat spf et al kan ondervangen.

Wat mij betreft valt die test ook onder de losse interpretatie "mail via de tweedekamer mailserver versturen naar een kamerlid" .


In dit geval is òf de mailserver van de 2e kamer gekraakt, òf heeft een kamerlid toegestaan dat zijn mail account gebruikt werd voor deze spoofing actie. Ik verwacht dat laatste, maar dan kan dit incident nog een staartje krijgen voor dat kamerlid.

Nooit journalistieke samenvattingen lezen alsof het technische implementatie spec is.
24-10-2017, 16:03 door Anoniem
Gek genoeg hoeft een minister als hij begint, geen verstand van zaken te hebben; maar als hij klaar is dan is het heel logisch dat hij (of zij...) in hetzelfde vakgebied bij een commercieel bedrijf aan de slag gaat, want anders is het zonde van de kennis.

Als er nou toch een minister van Technologie (of ICT) zou komen ooit, dan graag eentje die al kennis van zaken heeft als hij begint. En dan verplicht een aantal kabinetten aanblijven om eventuele gemaakte rommel zelf op te ruimen.
24-10-2017, 16:06 door Anoniem
Door marcod: Graag alleen 'mopperen' als je eigen domeinnaam wel goed door te e-mail test komt op https://internet.nl/ ;-)

Klopt ook niet helemaal, mijn mailbox.org mail wordt aangemerkt als "Zonder STARTTLS" maar heeft dit wel degelijk.
24-10-2017, 16:24 door Anoniem
voor al die mensen hierboven die woorden zoals prutsers etc gebruiken, besef goed dat hier waarschijnlijk een std windows exchange admin met zijn MS certificaten achter zit. niet dat ik persoonlijk denk dat die de sharpest tools in the box zijn perse, maar dat soort type mensen zijn er bij de vleet ook in get bedrijfsleven. dat alleen al verklaard misschien wel waarom het overgrote deel niet eens spf opgezet heeft. even een greep:

ru.nl
utwente.nl
tue.nl
maastrichtuniversity.nl
leidenuniv.nl
24-10-2017, 17:06 door Anoniem
Door Ron625: Een Word bestand (DOC / DOCx) mag nooit een overheidsgebouw verlaten.
Overheden en gesubsidieerde instellingen zijn verplicht om te communiceren in OpenStandaarden.
Er is een verplichting voor organisaties in de publieke sector om bij inkoop van systemen en diensten vanaf €50000 te vragen naar open standaarden of anders om in jaarverslagen uit te leggen waarom ze dat niet doen.

https://www.forumstandaardisatie.nl/lijst-open-standaarden/in_lijst/verplicht-pas-toe-leg-uit

Dat gaat heel wat minder ver dan dat een Word-bestand nooit een overheidsgebouw zou mogen verlaten. Alle documenten die ik er tot nu toe erover heb gevonden hebben het over een geleidelijke invoering, waarbij open formaten sinds 2008 of 2009 ondersteund moeten worden maar ik heb nog nergens een begindatum op een verbod van andere formaten tegengekomen. Wel dat het gemonitord wordt en dat er jaarlijks gekeken wordt of het al zo ver is.

Heb jij een link naar een document van de Rijksoverheid waaruit blijkt dat het verbod op andere formaten al is ingegaan?
24-10-2017, 17:20 door Anoniem
Door Anoniem: Gek genoeg hoeft een minister als hij begint, geen verstand van zaken te hebben; maar als hij klaar is dan is het heel logisch dat hij (of zij...) in hetzelfde vakgebied bij een commercieel bedrijf aan de slag gaat, want anders is het zonde van de kennis.
Zelfde gaat op voor volksvertegenwoordigers die we zelf in de Tweede Kamer kiezen. En laat dat nou het onderwerp zijn: slechte beveiliging omdat de weerspiegeling van de Kamerleden een weerspiegeling van het volk is. Wel heel goed kunnen klagen en doen alsof we verstand hebben van de onderwerpen, maar inhoudelijk verantwoordelijkheid afleggen nul.

Jij denkt met een paar anderen dat er een minister van ICT met verstand van zaken de oplossing is omdat de Staten Generaal zelf geen verantwoordelijkheid nemen? Leer dan eerst de werking van het Staatkundig bestel en wie welke verantwoordelijkheid heeft en neem dan zelf verantwoordelijkheid voor waar je invloed op hebt. Maar hard roepen en wijzen naar anderen als oplossing doet anders de Tweede Kamerlid prima eer aan met de slechte it beveiliging waar we hier over mopperen.
24-10-2017, 17:28 door Anoniem
Door Anoniem: Alleen de 2e kamer? Ik lees nooit iets over de 1e kamer...
Die werken nog met papier en potlood ;-)
24-10-2017, 18:20 door Anoniem
Door Ron625:
Door Anoniem:Dus iemand die uit naam van een Kamerlid iets weet te versturen naar colega's met een Word-bestand. Dit wordt natuurlijk vertrouwd omdat het van een "bekende" komt, er wordt op geklikt, en hupla....daar is de infectie!
Een Word bestand (DOC / DOCx) mag nooit een overheidsgebouw verlaten.
Overheden en gesubsidieerde instellingen zijn verplicht om te communiceren in OpenStandaarden.

Fijn dat DOCX bestanden OpenXML zijn en dus een open standaard.

Als ze nou ook nog voor 'Strict OpenXML' hebben gekozen is het helemaal mooi.
24-10-2017, 19:31 door Anoniem
Even een scan gedaan door het hele websiteregister: https://paste2.org/wYJs8cE1

TL;DR: 250 van de 980 domeinen hebben (nog steeds) geen SPF...
24-10-2017, 22:51 door Anoniem
Belachelijk deze ophef. Denken die journalisten dat ze nieuws hebben omdat ze zelf een kunstje met mailspoofing weten uit te halen? Jaren maakt niemand zich er druk om, heeft geen journalist er aandacht voor om er nieuws van te maken en dan is het plotseling door een kunstje prime time nieuws. Als die journalisten werkelijk bezorgd zijn om security, waarom dan alleen verontwaardigd doen als je als journalist zelf iets weet uit te lokken?

Iemand al eens gekeken hoe kort ftm, RTL, nos, dagbladen en de domeinen van die journalisten aan de standaarden voldoen? I rest my case. Komkommertijd.
24-10-2017, 23:32 door Ron625
Door Anoniem:
Heb jij een link naar een document van de Rijksoverheid waaruit blijkt dat het verbod op andere formaten al is ingegaan?
Volgens https://www.forumstandaardisatie.nl/thema/open-standaarden is het gebruik van OpenStandaarden de norm.
Afwijken van een norm is op zich al vreemd.
Verder gebruiken bijna alle overheden Microsoft Office en dat ondersteunt sinds versie 2007 ook de ODF formaten, er zijn geen overheden die oudere pakketten gebruiken (ook 2007 is aan zijn einde).
Er is dus geen enkel excuus mogelijk, om een bijlage in een gesloten-standaard te versturen.
Overheden spreek ik daar op aan, evenals op het beschikbaar stellen van deze gesloten formaten als download, zonder een OpenStandaard alternatief aan te bieden.
De afgelopen 2 jaar heb ik meer dan honderd excuus berichten ontvangen, en maar één van een gemeente die het er niet mee eens was (die had ook nooit van Forumstandaardisatie gehoord, dat zegt genoeg).

Door Anoniem:Fijn dat DOCX bestanden OpenXML zijn en dus een open standaard.
Wel volgens de Amerikaanse standaard, maar niet volgens de EU regels.
Zie https://www.forumstandaardisatie.nl/thema/open-standaarden ,
https://nl.wikipedia.org/wiki/Open_standaard en
http://dwarsligger.org/5OpenStandaarden/index.php?url=Definitie.html.
25-10-2017, 00:40 door Briolet
Door Anoniem: Belachelijk deze ophef. Denken die journalisten dat ze nieuws hebben omdat ze zelf een kunstje met mailspoofing weten uit te halen?

De journalisten weten wel wat ze doen. Klik maar op een linkje naar hun site. Die is alleen voor leden toegankelijk. Kosten € 96.- per jaar. Deze ophef is vooral gemaakt om aandacht en daardoor nieuwe betalende lezers te krijgen.
25-10-2017, 09:29 door Anoniem
Door Ron625:
Door Anoniem:
Heb jij een link naar een document van de Rijksoverheid waaruit blijkt dat het verbod op andere formaten al is ingegaan?
Volgens https://www.forumstandaardisatie.nl/thema/open-standaarden is het gebruik van OpenStandaarden de norm.
Afwijken van een norm is op zich al vreemd.
Je verwijst naar dezelfde website waar ik naar verwees, al is het een andere pagina. Daar staat niet dat er geen DOC/DOCX-bestanden een overheidsgebouw mogen verlaten, zoals jij beweert. Wat er wel staat:
Voor alle organisaties binnen de publieke sector geldt een 'pas toe of leg uit'-verplichting. Dit betekent dat bij inkoop van ICT-systemen en –diensten boven € 50.000, organisaties verplicht zijn te vragen naar de relevante open standaarden met een 'pas toe of leg uit'-verplichting ('pas toe').
"Pas toe" slaat op inkopen boven €50000, en niet op hoe de aanschaf gebruikt wordt na de inkoop, en ook niet op inkopen onder die grens.

Ik vroeg je of je een link kan geven die je uitspraak onderbouwt dat DOC/DOCX een overheidsgebouw niet mag verlaten. Als ik dat probeer te vinden dan kom ik namelijk wel tegen dat het op termijn de bedoeling is dat die standaards ook worden toegepast, maar nergens dat het al zo ver is of zelfs maar wanneer het dan zo ver is. En jij schrijft erover alsof het inderdaad al zo ver is. Waar kan ik dat terugvinden op overheidswebsites?

Voor de duidelijkheid: ik vind ook dat het zou moeten, ik vind het schitterend dat je zo actief overheden erop aanspreekt en het is ook mooi dat de meerderheid van de reacties zo positief is. Maar als ik een overheid erop aanspreek (wat ik ook wel eens doe, al is dat lang niet zo vaak als jij), dan zou ik heel blij zijn met een document of webpagina waar in zoveel woorden staat dat ze gesloten formaten nu niet meer mogen verspreiden. Dat heb ik tot nu toe niet weten te vinden.
25-10-2017, 09:31 door Anoniem
Door Anoniem: Hoe zit dat als je een oud e-mail adres hebt (bijvoorbeeld 'hetnet'), en je verstuurt daarmee vanaf de webmail omgeving van kpn. Of je stuurt daarmee vanaf de smtp van kpn? Of vanaf de webmail/smtp van een heel andere provider?

Wat gebeurt er dan? Kan je dan geen mail meer verzenden? Of komt het niet meer aan?

Vooral met het oog op de vele overnamen in het verleden...

KPN zal voor haar merken echt wel een SPF/DMARC record opvoeren. Verzenden via je @kpn adres via $andere provider zal niet werken omdat het SPF record dat dan niet zal toestaan.
25-10-2017, 10:01 door Anoniem
Door Anoniem: Ik heb geen idee wat voor banaan van een systeembeheerder ze daar hebben zitten als die al niet in staat is om zoiets simpels als een SPF record in te stellen.

Ik ga mee met post #1 om een minister oid van technologie in te gaan zetten (mits die uiteraard verstand van zaken heeft)

Een SPF instellen met een no-fail is eenvoudig in te stellen. De rest natuurlijk ook, maar dan heb je wel wat extra mensen nodig op je helpdesk. Uit de tijd dat providers afdwongen dat hun klanten voor uitgaande mail hun mailservers gebruikten, zullen er nog veel mensen hun uitgaande mail, bij thuiswerken e.d., op die manier versturen. Dat komt dan niet meer aan.
Leg dat maar eens uit.

Goede implementatie van SPF (en DMARC en DKIM; en doe dan gelijk STARTTLS en DANE) vergt veel voorbereiding en onderzoek. Denk ook eens aan al die marketing afdelingen die externe partijen gebruiken voor het versturen van mailings. Ik heb een vraag langs zien komen van een dergelijke partij die vroeg om alle IP adressen van Amazon op te nemen. Ze gebruikten die cloud en konden dus niet voorspellen vanaf welk adres de mail zou komen.

Peter
25-10-2017, 10:23 door Briolet
Door Anoniem:
Door Anoniem: Hoe zit dat als je een oud e-mail adres hebt (bijvoorbeeld 'hetnet'), ...

KPN zal voor haar merken echt wel een SPF/DMARC record opvoeren. Verzenden via je @kpn adres via $andere provider zal niet werken omdat het SPF record dat dan niet zal toestaan.

Er is niets gevaarlijkers als aannames. Meten is weten.

$ host -t txt hetnet.nl
hetnet.nl descriptive text "v=spf1 include:spf.ews.kpnxchange.com ?all"

$ host -t txt spf.ews.kpnxchange.com
spf.ews.kpnxchange.com descriptive text "v=spf1 ip4:213.75.39.15/32 ……ip4:213.75.39.14/32 ?all"

hetnet gebruikt een "Neutral" regel (?all), wat inhoud dat er geen actie ondernomen moet worden.

Als je hetzelfde doet voor kpn.com, zul je zien dat daar ook alleen neutral gebruikt wordt. Op grond van het SPF record zal er dus geen mail geblokkeerd worden dat van verkeerde IP adressen verstuurd is. Zolang je geen "hard fail" instelt, zal er zelden geblokkeerd worden en helpt SPF niet tegen spoofing.
25-10-2017, 13:51 door Anoniem
Door Anoniem: Alleen de 2e kamer? Ik lees nooit iets over de 1e kamer...
Die gebruiken nog geen e-mail
25-10-2017, 16:01 door Ron625 - Bijgewerkt: 25-10-2017, 16:01
Door Anoniem:
Ik vroeg je of je een link kan geven die je uitspraak onderbouwt dat DOC/DOCX een overheidsgebouw niet mag verlaten.
Hier een stukje tekst:
Standaarden zijn afspraken vastgelegd in specificatiedocumenten.
Een koppelvlak (interface) of uitwisselingsformaat (bestand) van een ICT-systeem moet volledig conform het betreffende specificatiedocument zijn geïmplementeerd.
Alleen dan is vlekkeloze gegevensuitwisseling met andere systemen die de standaard ondersteunen mogelijk.
1. Het kabinet stelt open standaarden als norm.
2. Door open standaarden verbetert de digitale communicatie tussen overheden onderling en ook tussen overheid, bedrijven en burgers.
3. Daarnaast zorgen open standaarden ervoor dat keuzevrijheid is geborgd.
Open standaarden zijn namelijk niet software-specifiek.

Bron: https://www.logius.nl/standaarden

Volgens een jurist van Logius is het momenteel een verbod, zonder represaille mogelijkheid.
De PvdA heeft wel een motie ingediend, om een boete mogelijkheid in te stellen, deze is al door de 2e kamer en wacht nu op goedkeuring door de 1e kamer (Motie Oosenbrug 161011).

Link over verplichting: https://www.digitaleoverheid.nl/nieuws/meld-nu-ict-standaarden-aan-voor-verplicht-gebruik-door-overheden
Video met uitleg: https://www.digitaleoverheid.nl/nieuws/video-open-standaarden-wint-zilveren-cannes-corporate-award
25-10-2017, 16:49 door karma4
Door Ron625:
Open standaarden zijn namelijk niet software-specifiek.[/b]
Bron: https://www.logius.nl/standaarden

Volgens een jurist van Logius is het momenteel een verbod, zonder represaille mogelijkheid.
......
Prima dat je naar zoiets verwijst. Kijk eens beter hoe die sites en de onderlinge links er bij staan en je hebt op website beheer al een flink issue.

De security standaarden zoals bir-tnk en big hbb iso27k vind ik veel belangrijker dan je zelf verliezen in een enkel klein detail zoals een technisch oplskagformaat.

Kijk je naar de koppelvlakken dan kom je in de basisregistraties sommigen lopen al tientallen jaren en er is nog niets opgeleverd. Stuf is iets wat er naast speelt samen met de digikoppeling. Xbrl is weer iets in die hoek.

Logius is van bzk ofwel alles wat plasterk gezegd heeft kwam daar vandaan. Het verdwijnen van de blauwe envelop kwam als project ook uit deze hoek. Niet zonder neer altijd goed wat daar gebeurt.
26-10-2017, 13:58 door Anoniem
Door Ron625: Standaarden zijn afspraken vastgelegd in specificatiedocumenten.
Een koppelvlak (interface) of uitwisselingsformaat (bestand) van een ICT-systeem moet volledig conform het betreffende specificatiedocument zijn geïmplementeerd.
Alleen dan is vlekkeloze gegevensuitwisseling met andere systemen die de standaard ondersteunen mogelijk.
Het woord "moet" slaat hier op de volgende zin, die duidelijk maakt dat het om een voorwaarde gaat voor vlekkeloze gegevensuitwisseling.

Volgens een jurist van Logius is het momenteel een verbod, zonder represaille mogelijkheid.
De PvdA heeft wel een motie ingediend, om een boete mogelijkheid in te stellen, deze is al door de 2e kamer en wacht nu op goedkeuring door de 1e kamer (Motie Oosenbrug 161011).
Let op het woord aanbestedingen in die motie. Het gaat alweer over eisen die aan inkoop worden gesteld, niet over het toepassen van de standaarden als men het ingekochte vervolgens gebruikt. Ik vermoed dat die jurist het ook daarover had.

Om het gebruik van ICT-standaarden te bevorderen is het voor overheden verplicht om bij aanschaf van ICT-producten en diensten te kiezen voor open standaarden.
En alweer gaat het over de aanschaf.

Video met uitleg:
... aan het grote publiek van het nut van standaarden. Het zegt helemaal niets over de vraag die ik aan je stelde.

Ron, snap je het verschil tussen een verplichting om software in te kopen die open standaarden ondersteunt en een verplichting om die open standaarden ook daadwerkelijk te gebruiken? Dat is niet hetzelfde. MS Office ondersteunt ODF maar het default-opslagformaat is nog steeds OOXML. Een publieke instelling voldoet aan zijn 'pas toe of leg uit'-verplichting als het MS Office koopt en vervolgens alle documenten als OOXML bewaart.

Je zou zeggen dat het nogal wiedes is dat je de ondersteuning van open standaarden inkoopt om het ook te gebruiken, maar dat staat nergens, ik heb het althans nog niet gezien. En dat maakt uit, regelgeving moet expliciet zijn, niet impliciet. Ik ben bang dat we nog zoveel DOC/DOCX langs zien komen omdat niet geregeld is dat het na aanschaf ook gebruikt moet worden.

Ik hoop dat ik daar ongelijk in heb, maar zie zelf tot nu to alleen maar dit beeld bevestigd worden.
26-10-2017, 16:44 door Anoniem
Door karma4: De security standaarden zoals bir-tnk en big hbb iso27k vind ik veel belangrijker dan je zelf verliezen in een enkel klein detail zoals een technisch oplskagformaat.
Klein detail? Het is de kern van interoperabiliteit.

Interoperabiliteit strekt zich trouwens bij overheden niet alleen uit tot alle burgers en organisaties waarmee ze nu communiceren, het is ook de bedoeling dat men over bijvoorbeeld 400 jaar nog in staat is om onze tijd te bestuderen, zoals wij dat nog altijd met de gouden eeuw doen. Overheden hebben daarom een wettelijke verplichting om documenten te bewaren. Willen historici in het jaar 2500 onze digitale data kunnen ontcijferen dan moet men ook nog kunnen nagaan hoe je een zip-file uitpakt, welke bestanden erin staan, hoe xml werkt, welke specifieke tags voor in een formaat staan, welke waarden ze kunnen krijgen en wat dat betekent, er is kortom een beschrijving van een hele reeks standaarden nodig om dat veilig te stellen. En omdat die standaarden niet als bedrijfsgeheim met een onderneming ten onder moeten gaan moeten het ook voor het historische doel open standaarden zijn.

Heel wat mensen zullen weinig belang hechten aan dat historische argument. Maar als een premier de VOC-mentaliteit aanprijst of als er discussies over het slavernijverleden zijn dan kan hoe dingen honderden jaren geleden gedaan werden nog heel goed in de actualiteit doorwerken.
27-10-2017, 07:58 door karma4 - Bijgewerkt: 27-10-2017, 07:59
Door Anoniem:
Klein detail? Het is de kern van interoperabiliteit.
....
Heel wat mensen zullen weinig belang hechten aan dat historische argument. Maar als een premier de VOC-mentaliteit aanprijst of als er discussies over het slavernijverleden zijn dan kan hoe dingen honderden jaren geleden gedaan werden nog heel goed in de actualiteit doorwerken.
Zijn we het in de basis eens.
Nu de case en achtergronden. Docx is een gezipped xml bestand. De verschillen Oasis Ecma in de specificaties office lijken me marginaal te zijn. Ik kan ze zo niet vinden.
Beide Oasis en ecma zijn onafhankelijke organisaties, Apache eveneens als je er open office bij trekt. Dat laatste is software ik vind de specificatie veel belangrijker omdat je zoals je stelt dat later moet terug kunnen lezen.
Ik kom intussen zeer veel software tegen welke met de genkemde formaten geen moeite hebben.
Met pdf weet ik dat er iets van bekend gemaakt is. Toch mis ik daar de reverse interface te vaak. Verklaar dat eens.
27-10-2017, 09:42 door Anoniem
Door karma4:
Door Anoniem:
Klein detail? Het is de kern van interoperabiliteit.
Zijn we het in de basis eens.
Nu de case en achtergronden. Docx is een gezipped xml bestand. De verschillen Oasis Ecma in de specificaties office lijken me marginaal te zijn. Ik kan ze zo niet vinden.
Het is allebij xml in een zip-file, maar op het niveau van de precieze tags en de betekenis van die tags zijn het compleet verschillende formaten. Dat zijn geen marginale verschillen, ze vormen het grootste deel van de totale specificatie.
Beide Oasis en ecma zijn onafhankelijke organisaties, Apache eveneens als je er open office bij trekt. Dat laatste is software ik vind de specificatie veel belangrijker omdat je zoals je stelt dat later moet terug kunnen lezen.
Waarom noemde je wat je nu veel belangrijker noemt dan eerst een klein detail?
Ik kom intussen zeer veel software tegen welke met de genkemde formaten geen moeite hebben.
Met pdf weet ik dat er iets van bekend gemaakt is. Toch mis ik daar de reverse interface te vaak. Verklaar dat eens.
PDF is net als OOXML en ODF door ISO-standaarden beschreven. Ik heb geen idee wat je met de reverse interface bedoelt, een documentformaat heeft geen interface.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.