image

Nieuwe versie Internet.nl test domeinen op mailspoofing

woensdag 18 juli 2018, 10:27 door Redactie, 9 reacties

Het Platform Internetstandaarden heeft een nieuwe versie van Internet.nl gelanceerd, een website waarmee het mogelijk is om te kijken of websites en maildiensten aan standaarden, zoals ipv6, dnssec, https, dmarc, dkim, spf, starttls en dane voldoen.

De nieuwe versie laat gebruikers controleren of hun domein zo is ingesteld dat mailspoofing actief wordt tegengegaan en of hun mailserver gedegen transportversleuteling aanbiedt. E-mailspoofing is tegen te gaan met echtheidskenmerken gebaseerd op de standaarden dmarc, dkim en spf. Daarbij is het van belang om een voldoende strikte instelling te kiezen. Internet.nl testte hier al op maar vanaf nu tellen de resultaten mee in de score.

Om het onderscheppen van e-mail tegen te gaan kunnen beheerders van verschillende standaarden gebruikmaken. De standaard starttls voorkomt dat passieve aanvallers e-mails onderweg kunnen lezen. Aanvullend beschermt dane tegen actieve aanvallers, die door manipulatie van het mailverkeer de starttls-encryptie kunnen verwijderen. Internet.nl controleerde al op deze standaarden. De nieuwe versie van Internet.nl checkt uitgebreider conform de factsheet "Beveilig verbindingen van mailservers" van het Nationaal Cyber Security Centrum. Bovendien wegen de testresultaten nu mee in de score.

Reacties (9)
18-07-2018, 11:32 door Anoniem
Helaas kun je met de internet.nl test niet specifiek een webserver testen. Ze vragen alleen een domeinnaam en
niet een volledige URL. En als je webserver een redirect teruggeeft dan "volgen" ze die en gaan in feite de server testen
waar de redirect heen wijst in plaats van degene die je wilt testen.
Dat maakt het een beetje lastig (= onmogelijk) om wat complexere omgevingen te testen waarin meerdere servers
actief zijn voor verschillende deelfuncties.
18-07-2018, 16:52 door SecGuru_OTX
“een website waarmee het mogelijk is om te kijken of websites en maildiensten aan standaarden voldoen”

Naar mijn weten is DANE nog geen standaard, de RFC is nog steeds in Draft.

Verder een hele goede site, erg goed voor de bewustwording en uiteraard heel handig om mee te testen, jammer van het hoge puntenaantal voor IPv6, IPv6 heeft niets te maken met de andere items die worden getest.
18-07-2018, 17:25 door Anoniem
Door SecGuru_OTX: Naar mijn weten is DANE nog geen standaard, de RFC is nog steeds in Draft.

DANE voor SMTP (RFC7672) is geen Draft maar PROPOSED STANDARD: https://tools.ietf.org/html/rfc7672

Voor toelichting op standaardisatieproces IETF zie: https://en.m.wikipedia.org/wiki/Internet_Standard#Proposed_Standard

Verder interessant:
- DANE-users mailinglist: https://mail.sys4.de/mailman/listinfo/dane-users
- Factsheet "Beveilig verbindingen van mailservers" van NCSC: https://www.ncsc.nl/actueel/factsheets/factsheet-beveilig-verbindingen-van-mailservers.html
18-07-2018, 17:40 door marcod
Door SecGuru_OTX:Naar mijn weten is DANE nog geen standaard, de RFC is nog steeds in Draft.

RFC6698 (DANE voor web) en RFC7671 (DANE voor mail) zijn beiden 'Proposed Standards'. Oorspronkelijk (RFC2026) waren het daarmee nog geen internet standaarden, maar met RFC7127 is de definitie veranderd en mag je Proposed Standaards (er zijn er heel wat van, zie https://www.rfc-editor.org/standards) eigenlijk wel beschouwen als volwaardige, te implementeren, standaarden.
18-07-2018, 18:15 door SecGuru_OTX
Door marcod:
Door SecGuru_OTX:Naar mijn weten is DANE nog geen standaard, de RFC is nog steeds in Draft.

RFC6698 (DANE voor web) en RFC7671 (DANE voor mail) zijn beiden 'Proposed Standards'. Oorspronkelijk (RFC2026) waren het daarmee nog geen internet standaarden, maar met RFC7127 is de definitie veranderd en mag je Proposed Standaards (er zijn er heel wat van, zie https://www.rfc-editor.org/standards) eigenlijk wel beschouwen als volwaardige, te implementeren, standaarden.

Thanks! Dat wist ik nog niet.
18-07-2018, 20:21 door SecGuru_OTX
Helaas ondersteunen nog niet alle mailservers DANE.

Een beetje hetzelfde probleem als met DMARC, iedreen kan netjes DMARC beleid in DNS publiceren, maar als de ontvangende server er niets mee doet heb je er nog steeds niets aan:-(
18-07-2018, 22:24 door Anoniem
Hieruit valt wel op te maken, dat Nederland nog lang niet klaar is voor IPv6 uitrol, net als het koperdraad glasvezel verhaal.

Verder verhelderend voor iedereen die op de hoogte wil zijn van de veiligheidstoestand op Interwebs van vandaag.
18-07-2018, 22:42 door Anoniem
Door SecGuru_OTX: Helaas ondersteunen nog niet alle mailservers DANE.

Voor overzicht van mailservers die uitgaand DANE-verificatie doen zie: https://mail.sys4.de/pipermail/dane-users/2018-July/000464.html.
En zie hier een tool voor het testen van uitgaande DANE-verificatie: https://havedane.net/.
19-07-2018, 11:35 door Anoniem
Waarom geen hall of shame? Hier wel getoond: https://securityheaders.com/
Ik vind de checks hier duidelijker en wat uitgebreider: https://www.htbridge.com/

Geef ook de laatste laagste score aan. En nog belangrijker geef aanbevelingen, zoals hier:
https://observatory.mozilla.org/

Hoe het veiliger kan is belangrijker als hoe onveilig het is. Geen incompetentie meer tolereren.
Mensen zonder relevante kennis weg uit het beslissingen-circuit a.u.b. De nitwit van de bok.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.