Stijging van .nl-domeinen die veilig e-mailen ondersteunen
Het aantal .nl-domeinen dat standaarden voor veilig e-mailen ondersteunt is vorig jaar verder gestegen. Dat meldt de Stichting Internet Domeinregistratie Nederland (SIDN), de beheerder van .nl-domeinnamen. Zo steeg het aantal domeinnamen met StartTLS het afgelopen halfjaar van 3,2 naar 3,6 miljoen.
StartTLS versleutelt het verkeer tussen mailservers, wat het lastiger maakt voor aanvallers om het mailverkeer te onderscheppen of aan te passen. Het aantal domeinen dat DMARC ondersteunt groeide van 36.000 naar 470.000. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd.
DomainKeys Identified Mail (DKIM), dat het onderweg aanpassen van e-mails moet voorkomen, wordt inmiddels door meer dan 1 miljoen domeinen ondersteund. Een stijging van 732.000. Verder steeg het aantal domeinen dat SPF toepast van 2,2 miljoen naar 2,6 miljoen. SPF (Sender Policy Framework) moet voorkomen dat iemand in naam van een organisatie een e-mail kan versturen. Het doet dit door een lijst met vertrouwde ip-adressen aan het dns toe te voegen. E-mails die uit naam van de organisatie worden verstuurd mogen alleen van deze ip-adressen afkomstig zijn.
Naast het toepassen van e-mailstandaarden groeide het aantal met DNSSEC beveiligde domeinnamen naar 3,1 miljoen. Daarmee is ruim 53 procent van de .nl-zone voorzien van DNSSEC. Eind 2017 ging het nog om ruim 2,8 miljoen domeinen (ruim 49 procent). DNSSEC is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Het doet dit door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren.
Om de uitrol van deze standaarden onder registrars te bevorderen keert de SIDN een financiële beloning uit. Het doet dit via de Registrar Scorecard, een programma dat .nl-registrars beloont voor hun bijdragen aan de kwaliteit van de .nl-zone. De Registrar Scorecard moet registrars stimuleren om verbeteringen door te voeren op vier gebieden: actief gebruik, IPv6, correcte contactgegevens en veiligheid. Inmiddels doen honderden registrars aan het programma mee. Vorig jaar keerde de SIDN ruim 1,5 miljoen euro uit aan registrars die aan het programma deelnamen.
DANE is op dit moment het enige signaal dat we hebben om aan te geven dat de server SSL/TLS zou kunnen gebruiken.
website veilig is als er een slotje in beeld is. Dat nivo daar zou SIDN zich niet toe moeten verlagen.
Als DKIM of SPF op dit adres klopt dan is het voor DMARC voldoende.
De envelope-FROM (het adres aan de 'buitenkant') mag gerust afwijken.
DANE is op dit moment het enige signaal dat we hebben om aan te geven dat de server SSL/TLS zou kunnen gebruiken.
Je bedoelt een man-in-the-middle aanval? STARTTLS kan worden uitgeschakeld via MitM, door simpelweg deze functie niet aan te geven na een EHLO. Je hebt ook nog CA nodig om aan te geven welke CA voor de certifcaten mag zorgen en DNSSEC. Maar welke mail server controleert dat allemaal? Zulke servers moet je met een lampje zoeken, maar ook als een server het doet, wordt er na een controle een zinnig gevolg aan gegeven (weigeren voor DATA, of accepteren en ontvanger waarschuwen)?
Daarnaast moet je ook nog op de server instellen dat berichten zonder TLS niet worden aangenomen. Zwakke methoden moeten niet worden ondersteunt. Alleen TLS 1.2 en 1.3 zouden moeten worden toegestaan.
Verlagen? Je hebt last van een overwaardering van SIDN. SIDN is bezig om hun imago op te vijzelen. Er zijn andere partijen die daar veel actiever mee bezig zijn, zoals https://internet.nl. Die verdienen meer lof.
DANE is op dit moment het enige signaal dat we hebben om aan te geven dat de server SSL/TLS zou kunnen gebruiken.
Je bedoelt een man-in-the-middle aanval? STARTTLS kan worden uitgeschakeld via MitM, door simpelweg deze functie niet aan te geven na een EHLO.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
