image

Helft e-mail overheden kwetsbaar voor spoofing en afluisteren

maandag 15 juni 2020, 16:17 door Redactie, 19 reacties

Een aanzienlijk deel van de Nederlandse overheden heeft de e-mailbeveiliging nog altijd niet goed op orde en heeft daarmee de derde streefbeeldafspraak die eind 2019 afliep niet gehaald. E-mail van ongeveer de helft van de 548 onderzochte overheidsdomeinen is kwetsbaar voor spoofing en/of afluisteren.

Dat blijkt uit een meting van het Forum Standaardisatie. Binnen de overheid zijn afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moesten vorig jaar in ieder geval STARTTLS en DANE voor encryptie van mailverkeer en SPF en DMARC juist hebben ingesteld.

Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. DMARC helpt, in combinatie met e-mailstandaarden DKIM en SPF, om e-mailspoofing te voorkomen. Daarbij is het belangrijk dat het DMARC-beleid goed is ingesteld, zodat de ontvanger weet wat er met verdachte e-mail moet gebeuren.

Ondanks de afspraken blijkt dat slechts bij de helft van de onderzochte overheidsdomeinen DMARC en DANE voor e-mail worden toegepast. "Dat betekent bijvoorbeeld dat mails van fraudeurs die afzenderadressen van de overheid misbruiken nog steeds bij burgers en bedrijven aankomen. Op die plekken waar DMARC nog steeds niet streng is afgesteld, kunnen bijvoorbeeld ook de mailadressen van bewindspersonen en bestuurders worden misbruikt", aldus het Forum Standaardisatie, dat de cijfers zorgelijk noemt.

Gemiddeld genomen scoort de Rijksoverheid het best als het gaat om de adoptie van e-mailstandaarden, gevolgd door gemeenten, uitvoerders, provincies en waterschappen. Zo is voor gemiddeld 19 procent van de provinciedomeinen DANE ingeschakeld. Bij de waterschappen is dit 24 procent. Het juist instellen van DMARC ligt bij de verschillende overheden tussen de 50 en 59 procent.

Volgens het Forum Standaardisatie is het belangrijk dat overheden die nog niet aan de standaarden voldoen met hun leveranciers overleggen om dit te realiseren. Wanneer de huidige leverancier onvoldoende meewerkt moet worden overwogen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden, aldus het advies van het Forum.

Het Forum Standaardisatie bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap. Het stimuleert het gebruik van open standaarden voor digitale gegevensuitwisseling in de publieke sector. Het Forum onderhoudt ook de lijst met verplichte open standaarden voor de publieke sector en monitort de adoptie en naleving van het open standaardenbeleid. Elk halfjaar voert het een meting uit hoe overheidsorganisaties de standaarden hebben geïmplementeerd.

Image

Reacties (19)
15-06-2020, 16:30 door Anoniem
Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
15-06-2020, 16:38 door Anoniem
Wat een buzzword-circus. En wat van PGP/GPG-email?
15-06-2020, 18:12 door Anoniem
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
Dat is maar deels waar en Microsoft komt dit jaar nog met ondersteuning. DKIM/SPF kunnen nu al geimplementeerd worden en lossen al een groot deel op. Beveiliging van DNS en verbinding zelf is nodig maar het checken van de afzender is het belangrijkste hier en dat kan ook op O365. Ik zie geen enkele reden om dat niet binnen een paar weken bij iedereen te activeren.
15-06-2020, 21:34 door [Account Verwijderd]
Door Anoniem:Dat is maar deels waar en Microsoft komt dit jaar nog met ondersteuning.
Volledige ondersteuning voor DANE in O365 is er pas eind volgend jaar.
16-06-2020, 06:14 door The FOSS - Bijgewerkt: 16-06-2020, 06:23
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.

Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.
16-06-2020, 07:49 door karma4 - Bijgewerkt: 16-06-2020, 08:01
Door The FOSS: Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.
Het gaat nu echt fout doordat er bij de overheid teveel roeptoeters rondlopen dat OSS alles oplost en dat men het gratis en voor niets zonder kennis van zaken gedaan krijgt. Vervolgens lopen en de kosten uit de hand en is de kwaliteit bedroevend.

Door iatomory:
Door Anoniem:Dat is maar deels waar en Microsoft komt dit jaar nog met ondersteuning.
Volledige ondersteuning voor DANE in O365 is er pas eind volgend jaar.
O365 is nog niet zo oud. Waarom zijn veel overheden daar naar toe overgegaan en waarom was dnssec dane voorheen niet ingevoerd. https://www.noraonline.nl/wiki/STARTTLS_en_DANE publicatie datum 2016.
De techniek moet veel ouder zijn. Lees je ook nog eens dat exim servers niet bijgewerkt worden.
Ik lees dat het over doosjes gaat, de open protocollen zijn te kwetsbaar/lek vanuit ontwerp.
16-06-2020, 08:33 door Bitje-scheef
Door The FOSS:
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.

Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.

Overheden hebben speciale clausules waaraan een fabrikant aan moet voldoen. Wat er op neerkomt dan een kopie van de broncode wordt afgegeven (in opslag) welke mag worden gebruikt als er sprake is van een faillissement (zonder doorstart).
Financiële garanties zijn ook nog van toepassing.

Wat je noemt is allemaal redelijk goed afgedekt. De prijs voor dit geheel? Ja daar zou je een puntje hebben. Echter een overheid krijgt een flinke korting en behoorlijk goede ondersteuning. Liever zie ik ook opensource software, maar helaas maken applicaties ook onderdeel uit van het geheel. Daar laten veel ontwikkelaars nog wel een stuk liggen, wat niet hoeft overigens. Het proces van omkeer is langzaam, soms met een sprongetje.
16-06-2020, 08:35 door Anoniem
Dit zijn normale zaken. Waarom zouden ze dat moeten kunnen als deze dienst van de IT afdeling is. Iemand van de overheid weet niet hoe een email encrypted kan worden verzonden. Zodra er dan toch eens een encrypted mail is verzonden, dan krijgt de it de schuld dat de email niet meer geopend kan worden omdat de private key verloren is gegaan.
16-06-2020, 09:03 door Anoniem
Door Bitje-scheef:
Overheden hebben speciale clausules waaraan een fabrikant aan moet voldoen. Wat er op neerkomt dan een kopie van de broncode wordt afgegeven (in opslag) welke mag worden gebruikt als er sprake is van een faillissement (zonder doorstart).
Financiële garanties zijn ook nog van toepassing.
Ter aanvulling: voor mensen die niet bekend zijn met dit soort constructies, de naam hiervoor is escrow.
16-06-2020, 10:24 door Anoniem
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
Dat is onzin! De support voor deze features zit niet in office 365 maar in je DNS server.
Het is helemaal niet nodig om je DNS bij Microsoft onder te brengen als je office 365 gebruikt.
Regel je je DNS ergens anders dan kan daar gewoon DNSSEC op zitten.
Dat DANE lastig is dat is meestal door het gebruik van letsencrypt certificaten, ook dat heeft niks met office 365 te maken.
16-06-2020, 10:30 door Anoniem
Door The FOSS:
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.

Het zou verboden moeten zijn voor overheden om gesloten software te gebruiken. Want een overheid mag niet (nooit) afhankelijk zijn van closed source software voor haar functioneren. Je weet ook nooit precies wat erin zit, wie mee kijkt met je gebruik ervan en als de fabrikant failliet gaat of een andere koers inslaat dan ben je ook de klos.

Dat is met open source in de praktijk niet beter. Als een open-source project er mee kapt of een andere koers inslaat
dan wil dat nog niet zeggen dat je met de laatst gepubliceerde sources zelf verder kunt. Dan zul je zelf een project
organisatie moeten opzetten om de ontwikkeling van dat project voort te zetten, en als dat niet je business is (bijvoorbeeld
je bent een waterschap of gemeente, dan wil je helemaal niet de ontwikkeling van Firefox of LibreOffice oppakken en
afmaken) dan heb je nog altijd een probleem. Je bent dan afhankelijk van eventuele groots opgezette reddingsoperaties
de er voor dat soort projecten wellicht zouden kunnen komen, maar voor de gemiddelde open source component die
je ergens diep in je IT infrastructuur gebruikt ECHT NIET.
16-06-2020, 11:18 door Anoniem
Door Anoniem:
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
Dat is onzin! De support voor deze features zit niet in office 365 maar in je DNS server.
Het is helemaal niet nodig om je DNS bij Microsoft onder te brengen als je office 365 gebruikt.
Regel je je DNS ergens anders dan kan daar gewoon DNSSEC op zitten.
Dat DANE lastig is dat is meestal door het gebruik van letsencrypt certificaten, ook dat heeft niks met office 365 te maken.

Ik had liever gezien dat je je even had verdiept voordat je deze reactie gaf.
Het mx record van de klant wordt namelijk omgezet in. Domein.protection.outlook.com.
Dus ja, DNS issue maar van microsoft in dit geval.
16-06-2020, 11:56 door Anoniem
Hoeveel van jullie hebben DANE?
16-06-2020, 12:59 door Anoniem
* Wereldwijd heeft een groeiend aantal van nu bijna 2 miljoen domeinnamen gepubliceerde DANE-records: http://stats.dnssec-tools.org/#graphs

* Verschillende NL hosters ondersteunen ook DANE (o.a. TransIP, BIT, Antagonist, Bhosted, Webreus en XS4ALL). Ook maildiensten als Protonmail en Soverin ondersteunen DANE. O.a. Postfix en Exim maar ook Cloudmark en Cisco ESA bieden ondersteuning voor DANE-validatie. Voor een /producten-/dienstenoverzicht zie: https://github.com/baknu/DANE-for-SMTP/wiki/3.-Software-and-service-support

* Microsoft heeft aangekondigd DANE op O365 Exchange Online te gaan ondersteunen (verzendend eind 2020 en ontvangend eind 2021): https://techcommunity.microsoft.com/t5/exchange-team-blog/support-of-dane-and-dnssec-in-office-365-exchange-online/ba-p/1275494 en https://www.forumstandaardisatie.nl/nieuws/positief-vooruitzicht-voor-vertrouwelijkheid-overheidsmail

* Voor een technische DANE howto zie: https://github.com/internetstandards/toolbox-wiki/blob/master/DANE-for-SMTP-how-to.md

* Voor achtergrond zie ook het artikel "Ask your email provider to secure your email connections with DANE" in KPN's European Cyber Security Perspectives 2020: https://www.overons.kpn/nl/nieuws/2020/kpn-publiceert-7e-editie-van-de-european-cyber-security-perspectives
16-06-2020, 13:14 door Anoniem
Door Anoniem:
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
Dat is onzin! De support voor deze features zit niet in office 365 maar in je DNS server.
Het is helemaal niet nodig om je DNS bij Microsoft onder te brengen als je office 365 gebruikt.
Regel je je DNS ergens anders dan kan daar gewoon DNSSEC op zitten.
Dat DANE lastig is dat is meestal door het gebruik van letsencrypt certificaten, ook dat heeft niks met office 365 te maken.
Hier een blije gebruiker van de Exchange Online (=Office 365) omgeving van Microsoft. Wat een beheer gemak t.o.v. vroeger.En die webmail van ze, beter als de desktop cliënt (maar dat is een zijsprongetje).

Op onze DNS staat de MX doorverwijzing naar domein-nl.mail.protection.outlook.com om de mailserver bereikbaar te krijgen. En omdat de DNS die outlook.com beheerd geen DNSSEC ondersteunt stopt daar de implementatie.
Maar ik leer graag dus als er andere mogelijkheden zijn .... komt u maar.
16-06-2020, 13:53 door Anoniem

Op onze DNS staat de MX doorverwijzing naar domein-nl.mail.protection.outlook.com om de mailserver bereikbaar te krijgen. En omdat de DNS die outlook.com beheerd geen DNSSEC ondersteunt stopt daar de implementatie.
Maar ik leer graag dus als er andere mogelijkheden zijn .... komt u maar.

Microsoft heeft aangekondigd om eind 2020 voor uitgaande mail DNSSEC en DANE-records te gaan valideren. Per eind 2021 willen ze hun eigen MX-domeinen ondertekenen met DNSSEC en DANE-records toevoegen.

* https://techcommunity.microsoft.com/t5/exchange-team-blog/support-of-dane-and-dnssec-in-office-365-exchange-online/ba-p/1275494
* https://www.microsoft.com/nl-nl/microsoft-365/roadmap?filters=&searchterms=dnssec

Voor Google mail is het nu wel al mogelijk om DNSSEC-ondertekenende MX-servers in te stellen: https://twitter.com/thorsheim/status/1189203262215462914
22-06-2020, 12:27 door Anoniem
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
Is niet waar, veel overheidspartijen mogen geen buitenlandse clouddiensten gebruiken
22-06-2020, 12:29 door Anoniem
Door Anoniem: Wat een buzzword-circus. En wat van PGP/GPG-email?
Is niet schaalbaar op grote schaal, daarbij gebruiken rijksoverheden intern eigen crypto grafische technieken om bestanden en/of berichten te versleutelen.
24-06-2020, 09:18 door Anoniem
Door Anoniem:
Door Anoniem: Veel overheidsinstellingen gebruiken office 365, laat deze nu net geen dnssec en dane ondersteunen op mx niveau.
Is niet waar, veel overheidspartijen mogen geen buitenlandse clouddiensten gebruiken
Rijksoverheid niet, maar de lagere overheden maken op grote schaal gebruik van Office 365. Gemak dient de mens ofzo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.