image

Microsoft belooft e-mail Nederlandse overheid volgend jaar beter te beveiligen

maandag 25 december 2023, 08:16 door Redactie, 32 reacties

Microsoft heeft na gesprekken met de ministeries van Economische Zaken en Justitie en Veiligheid belooft om e-mail van de Nederlandse overheid die via Exchange Online loopt volgend jaar beter te beveiligen. Het techbedrijf zal dan namelijk de implementatie van de beveiligingsstandaarden DNSSEC en DANE voltooien. Iets waar al jaren over wordt gesproken.

DANE geeft zekerheid over de identiteit van de ontvangende mailserver. Zo wordt voorkomen dat een aanvaller zich als ontvangende mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding (STARTTLS) af. Alle overheidsorganisaties hadden STARTTLS en DANE voor eind 2019 moeten implementeren. Slechts vijftig procent van de overheidsorganisaties had DANE echter voor deze deadline geïmplementeerd.

Naast DANE moet Exchange Online ook DNSSEC gaan ondersteunen. DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. Dit moet DNS-spoofing voorkomen. DNSSEC moet volgens de richtlijnen op alle overheidsdomeinnamen worden toegepast.

Microsoft opnieuw opgeroepen

Er wordt zoals gezegd al jaren gesproken over het inschakelen van DNSSEC en DANE in Exchange Online. "Naast de beveiliging voor publiek toegankelijke websites en webapplicaties is het ook van belang om mailverkeer te beveiligen", laat demissionair staatssecretaris Van Huffelen van Digitalisering aan de Tweede Kamer weten. "In mei dit jaar heeft het Ministerie van Justitie en Veiligheid in samenwerking met mijn ministerie daarom het bedrijf Microsoft aangeschreven én nogmaals opgeroepen DNSSEC/DANE in Exchange Online te implementeren om het mailverkeer van de overheid beter te beveiligen."

Van Huffelen merkt op dat de overheid afhankelijk is van Microsoft om DNSSEC en DANE correct toe te passen in Exchange Online zodat de overheidsmail goed beveiligd is (pdf). "In juli ben ik samen met de Minister van Justitie en Veiligheid in gesprek gegaan met Microsoft en in september vond een vervolggesprek plaats. Microsoft heeft nu toegezegd de implementatie in 2024 te voltooien. Dat zullen wij blijven bewaken."

Reacties (32)
25-12-2023, 08:29 door Anoniem
Van Huffelen merkt op dat de overheid afhankelijk is van Microsoft om DNSSEC en DANE correct toe te passen in Exchange Online zodat de overheidsmail goed beveiligd is
Mooi geregeld, die vendor lock-in. Je zou geen gesprek met microsoft aan moeten gaan, maar met je IT afdeling om het zo snel mogelijk uit te faseren...
25-12-2023, 09:20 door Ron625
Door Anoniem:Mooi geregeld, die vendor lock-in.
Mijn vraag was, hoe ze dit willen bereiken zonder een verdor-lock-in, maar je was mij voor :-)
Blijkbaar vinden de overheden, dat op iedere PC een Microsoft brouwsel thuis hoort.
25-12-2023, 09:35 door Anoniem
Waarom hebben ze dan die implementatie zelf niet in orde, als in 2019 de helft van Dane nog niet klaar is? Daar heeft Microsoft niets mee te doen.
25-12-2023, 10:00 door Anoniem
Laat dit over aan eigen specialisten of Nederlandse bedrijven. Dat is veiliger dan het aan een buitenlandse partij over te laten.
25-12-2023, 10:21 door Anoniem
Door Anoniem: Laat dit over aan eigen specialisten of Nederlandse bedrijven. Dat is veiliger dan het aan een buitenlandse partij over te laten.

Blijkbaar lukt het de “ specialisten” en/ of Nederlandse bedrijven niet.
Want het had toch voor eind 2019 moeten gebeuren?
25-12-2023, 10:32 door Anoniem
Door Anoniem:
Van Huffelen merkt op dat de overheid afhankelijk is van Microsoft om DNSSEC en DANE correct toe te passen in Exchange Online zodat de overheidsmail goed beveiligd is
Mooi geregeld, die vendor lock-in. Je zou geen gesprek met microsoft aan moeten gaan, maar met je IT afdeling om het zo snel mogelijk uit te faseren...

yes! uitfaseren en weer terug naar IMAP en SMTP!
25-12-2023, 11:22 door Anoniem
Ik blijf zelf wel sceptisch dat Microsoft na 4 jaar loze beloftes nu wel over de brug komt. Ik verwacht zelfs dat ze eerder met IPv6-by-default komen, dan met DNSSEC/DANE.

Het blijft daarnaast opvallend dat de Rijksoverheid liever afwacht, dan maatregelen neemt om de risico's in de tussentijd te mitigeren. Bijvoorbeeld door een eigen e-mailserver in te stellen die wel DNSSEC/DANE ondersteund. Ik vraag mij toch altijd af hoe de CISO's van de diverse organisaties dit verantwoorden.
25-12-2023, 11:48 door Anoniem
Door Anoniem: Laat dit over aan eigen specialisten of Nederlandse bedrijven. Dat is veiliger dan het aan een buitenlandse partij over te laten.
Anders missen ze de verwen reisjes naar Seattle en en de gratis lunches op schiphol rijk.
Natuurlijk moet ook de geheimen dienst kunnen meekijken via de nsa key.
25-12-2023, 11:50 door Anoniem
Komt geen zak van terecht van dat pas toe of leg uit beleid. Daar gaan weer miljarden over de oceaan.
25-12-2023, 11:53 door Anoniem
Hele overheod over op proton mail!
25-12-2023, 13:39 door Anoniem
Door Ron625:
Door Anoniem:Mooi geregeld, die vendor lock-in.
Mijn vraag was, hoe ze dit willen bereiken zonder een verdor-lock-in, maar je was mij voor :-)
Blijkbaar vinden de overheden, dat op iedere PC een Microsoft brouwsel thuis hoort.
Misvatting. DANE en DNSSEC hebben NIETS met Microsoft te maken. Ook de andere reaguurder die reaguurde met 'terug naar IMAP en SMTP' heeft niet gesnapt wat DANE en DNSSEC doen.

De implementatie bij Microsoft is niet aanwezig (het is een serverside iets, niet clientside, die checkt alleen maar). Dat valt Microsoft aan te rekenen. Er zijn meer grote partijen die het nog niet (volledig) geimplementeerd hebben. Sterker nog, een van de sterren hier op het forum beklaagt zich over DKIM/DMARC (ook onderdeel van dit gebeuren), dat het niet goed is. Ook die kijkt met een te beperkte blik.
25-12-2023, 15:30 door Anoniem
Door Anoniem:
Door Anoniem: Laat dit over aan eigen specialisten of Nederlandse bedrijven. Dat is veiliger dan het aan een buitenlandse partij over te laten.

Blijkbaar lukt het de “ specialisten” en/ of Nederlandse bedrijven niet.
Want het had toch voor eind 2019 moeten gebeuren?
Geldt precies zo ook voor Microsoft en blijkbaar lukt het de specialisten en/of Nederlandse bedrijven wel want 50% van de overheidsorganisaties hebben DANE wel voor elkaar en dat is echt niet via die Microsoft oplossing waar nu van beloofd wordt het volgend jaar werkend te maken.
25-12-2023, 20:06 door Anoniem
Waarom gebruikt de Rijksoverheid uberhaupt Exchange Online en niet een on-prem mail oplossing?
Staan nu dus alle mails van de Rijksoverheid in de cloud en dus bij een Amerikaans bedrijf?
Misschien moet Van Huffelen zich daar eens druk om maken.
25-12-2023, 20:54 door linuxpro
Anno 2023, nou ja, bijna 2024 standaard securityzaken niet ondersteunen. Geeft maar aan waar de prio's liggen bij onze Microsoftvriendjes. Nu maar hopen dat ze 't niet verneuken zoals bijv. bij XML om daar MS-XML van te maken waardoor 't niet meer open was en niet meer werkte. Eigenlijk zou ik zeggen, houden zo want MS-DANE en MS-DNSSEC zal wel weer nergens compatible mee zijn behalve met MS zelf.
25-12-2023, 21:35 door Anoniem
Wat een achterlijke reacties hier allemaal. Wanneer er weer eens een beveiligingslek in Microsoft Exchange geconstateerd wordt wat handmatig gepatcht moet worden schreeuwen ze moord en brand dat daar het waardeloze software is. In Exchange online wordt dit voor de beheerders gedaan waardoor de software sneller veiliger wordt. Daarnaast wordt Exchange Online voor Nederland in Europese data centers gehost. Check anders even de mailheaders.

Microsoft roept inderdaad al 4 jaar dag ze DANE en DNSSEC gaan regelen. Dat ze dit keer op keer niet doen, is rond uit schandalig te noemen voor zo'n internationale speler.

Neemt niet weg dat er genoeg methodes zijn om wel te zorgen dat je voldoet aan de pas toe of leg uit lijst. Maar dit kost geldt en daar wringt vaak de schoen. Afweging, belasting geld aan spenderen of de leverancier op aanspreken.

Overigens de overheid één van de weinige branches die zelf regels opstelt en waar de helft zich al aan houdt. De mensen die hier het hardste roepen, zouden der eigen eens moeten afvragen hoe veilig hun gegevens zijn wanneer ze weer eens wat bestellen in de eerste de beste goedkope webshop (in China). En dan nog eens bedenken hoe kansloos al die "hardwerkende" ambtenaren zijn.
26-12-2023, 06:56 door Anoniem
Ongelooflijk, dat de overheid afhankelijk is van Microsoft.
Driekwart van het bedrijfsleven en volgens mij ook alle universiteiten en hogescholen zijn dat inmiddels. Alles (je complete digitale archief) opslaan in MS Teams is de huidige trend... Zo 'handig'. Ben ik nou gek of is dit normaal?
26-12-2023, 09:08 door Anoniem
Door Anoniem: Ik blijf zelf wel sceptisch dat Microsoft na 4 jaar loze beloftes nu wel over de brug komt.

Het is als de gemiddelde nieuw jaar voornemen: we beloven iets, of nemenons iets voor, en uiteindelijk na een paar maanden vallen we weer terug in ons oude gedrag.
Al MS al 4 jaar loze beloften doet, waarom zou het nu dan anders zijn?

De definitie van waanzin is steeds hetzelfde (proberen te) doen en andere resultaten verwachten.

Amerikanen beloven makkelijk iets, maar welke garanties of (financiele) sancties zijn er in die belofte ingebouwd, als het hun (MS) in de loop van 2024 weer niet lukt?
En hoe wordt dat dan gemeten?
Hoe concreet is de belofte?
26-12-2023, 10:03 door Anoniem
Door Anoniem: Ongelooflijk, dat de overheid afhankelijk is van Microsoft.
Driekwart van het bedrijfsleven en volgens mij ook alle universiteiten en hogescholen zijn dat inmiddels. Alles (je complete digitale archief) opslaan in MS Teams is de huidige trend... Zo 'handig'. Ben ik nou gek of is dit normaal?
De overheid zou naar mijn mening sowieso geen zaken met ms moeten doen.
- Overheid wil open standaarden en ms is ongeveer de koning van de gesloten standaarden en bijbehorende vendor lock-in
- Ze werken open standaarden zelfs actief tegen (zie het office formaten debacle)
- Je gaat in zee met een bedrijf wat zich meerdere keren zo misdragen heeft dat het veroordeeld is
- Het is een amerikaans bedrijf, dus zelfs als ze alles in NL of EU opslaan moeten ze onder de cloud act nog steeds meewerken met de diensten daar
En aan zo'n bedrijf besteden we miljoenen (of zijn het miljarden?) euro's per jaar aan belastinggeld?
26-12-2023, 13:36 door Anoniem
Waarom worden 'best policies" vaak als "overbodige kostenpost" gezien
en daarom niet of te laat geimplementeerd?

Dat is geen kwestie van MS, dat is een kwestie van de CEO etc., die anders hebben beslist.

We zijn "zunig" en dus moet de eindgebruiker op de blaren zitten.

Doe eens een HINT scannetje of kijk eens naar de resultaten van Rexc security Analyzer
of bij https://en.internet.nl/

Verdict: (Uitslag)
Your website domain does not contain a TLSA record for DANE.

Technical details:
Web server IP address DANE TLSA record existent

#laufer
26-12-2023, 16:11 door Anoniem
Hoe wenselijk is het dat bepaalde inlichtingendiensten de emails van de nederlandse overheid kunnen inzien?
26-12-2023, 21:49 door Anoniem
Debiel toch dat de overheid email outsourced.
26-12-2023, 23:43 door Joep Lunaar
Door Anoniem: Waarom hebben ze dan die implementatie zelf niet in orde, als in 2019 de helft van Dane nog niet klaar is? Daar heeft Microsoft niets mee te doen.
DANE vereist DNSSEC en dat wordt pas vrij recent (begin 2022 ?) door MS Exchange gebruikt. Staat mij bovendien bij dat de overheid had bedongen dat DANE/DNSSEC per 2019 zou zijn geïmplementeerd.
27-12-2023, 09:16 door Bitje-scheef
Wat een achterlijke reacties hier allemaal. Wanneer er weer eens een beveiligingslek in Microsoft Exchange geconstateerd wordt wat handmatig gepatcht moet worden schreeuwen ze moord en brand dat daar het waardeloze software is. In Exchange online wordt dit voor de beheerders gedaan waardoor de software sneller veiliger wordt. Daarnaast wordt Exchange Online voor Nederland in Europese data centers gehost. Check anders even de mailheaders.

Microsoft roept inderdaad al 4 jaar dag ze DANE en DNSSEC gaan regelen. Dat ze dit keer op keer niet doen, is rond uit schandalig te noemen voor zo'n internationale speler.

Helemaal mee eens. Moord en brand trouwens ook. Exchange - on premise is gammel.
27-12-2023, 10:29 door Anoniem
Door Anoniem:
Door Anoniem:
Van Huffelen merkt op dat de overheid afhankelijk is van Microsoft om DNSSEC en DANE correct toe te passen in Exchange Online zodat de overheidsmail goed beveiligd is
Mooi geregeld, die vendor lock-in. Je zou geen gesprek met microsoft aan moeten gaan, maar met je IT afdeling om het zo snel mogelijk uit te faseren...

yes! uitfaseren en weer terug naar IMAP en SMTP!

tja want IMAP en SMTP waren de oorzaak van al die spam issues immers... /s

sinds men hier aan de uni ook an die MS O365 cloud exchange zitten heb ik MEER spam tegenwoordig dan voorheen toen het on prem exchange was.

vooruitgang zeggen ze me /s
27-12-2023, 11:16 door Anoniem
Door Anoniem: Waarom worden 'best policies" vaak als "overbodige kostenpost" gezien
en daarom niet of te laat geimplementeerd?

Dat is geen kwestie van MS, dat is een kwestie van de CEO etc., die anders hebben beslist.

We zijn "zunig" en dus moet de eindgebruiker op de blaren zitten.

Doe eens een HINT scannetje of kijk eens naar de resultaten van Rexc security Analyzer
of bij https://en.internet.nl/

Verdict: (Uitslag)
Your website domain does not contain a TLSA record for DANE.

Technical details:
Web server IP address DANE TLSA record existent

#laufer
Dat is geen kwestie van MS, dat is een kwestie van de CEO etc., die anders hebben beslist.

Helaas is dit een kwestie van beide maar deels ook van de gekozen Internet Provider.

Doe maar eens een test op een e-maildomein op http://https.internet.nl waarvan je weet dat het is ondergebracht bij Microsoft, onderstaand het resultaat.

Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6)
Gezakt : Niet alle domeinnamen ondertekend (DNSSEC)
Gezakt : Niet alle echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF)
Gezakt : Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE)
Geslaagd : Geautoriseerde route-aankondiging (RPKI)


En hieronder een e-maildomein in eigen beheer on premise en aangesloten bij de juiste Internet Provider

Bereikbaar via modern internetadres (IPv6)
Geslaagd : Alle domeinnamen ondertekend (DNSSEC)
Geslaagd : Echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF)
Geslaagd : Mailserver-verbinding voldoende beveiligd (STARTTLS en DANE)
Geslaagd : Geautoriseerde route-aankondiging (RPKI)
27-12-2023, 11:26 door Anoniem
Door Anoniem: Ongelooflijk, dat de overheid afhankelijk is van Microsoft.
Driekwart van het bedrijfsleven en volgens mij ook alle universiteiten en hogescholen zijn dat inmiddels. Alles (je complete digitale archief) opslaan in MS Teams is de huidige trend... Zo 'handig'. Ben ik nou gek of is dit normaal?
Je bent niet gek en het is niet normaal. Nederland is nu eenmaal een US schoothondje. We gooien liever miljarden over de plas dan investeren in lokale initiatieven.
27-12-2023, 11:30 door Anoniem
Door Anoniem:
Door Anoniem: Ongelooflijk, dat de overheid afhankelijk is van Microsoft.
Driekwart van het bedrijfsleven en volgens mij ook alle universiteiten en hogescholen zijn dat inmiddels. Alles (je complete digitale archief) opslaan in MS Teams is de huidige trend... Zo 'handig'. Ben ik nou gek of is dit normaal?
De overheid zou naar mijn mening sowieso geen zaken met ms moeten doen.
- Overheid wil open standaarden en ms is ongeveer de koning van de gesloten standaarden en bijbehorende vendor lock-in
- Ze werken open standaarden zelfs actief tegen (zie het office formaten debacle)
- Je gaat in zee met een bedrijf wat zich meerdere keren zo misdragen heeft dat het veroordeeld is
- Het is een amerikaans bedrijf, dus zelfs als ze alles in NL of EU opslaan moeten ze onder de cloud act nog steeds meewerken met de diensten daar
En aan zo'n bedrijf besteden we miljoenen (of zijn het miljarden?) euro's per jaar aan belastinggeld?
Een schatting is dat het inmiddels al 16 miljard is. Het ongelooflijke is dat de overheid dit niet eens registreert. De overheid weet niet wat het aan Microsoft licenties uitgeeft!
27-12-2023, 11:31 door Anoniem
Door Anoniem: Hoe wenselijk is het dat bepaalde inlichtingendiensten de emails van de nederlandse overheid kunnen inzien?
Heel wenselijk vandaar Microsoft.
28-12-2023, 10:39 door Boudivv
Het is hopeloos. Al decennia. En het wordt pas beter als het onderwijs verbeterd.
Vooral de geesteswetenschappen ofwel niet harde bètawetenschappen leveren alleen babbel papegaaien af. Bestuurskunde blijkt bijvoorbeeld een waardeloze opleiding. En geschiedkundige en communicatiekundige komen op posities in de overheid terecht waar ze zich alleen kunnen handhaven door zich te laten souffleren door zogenaamde externe deskundige (Microsoft, Oracle, enz.)
De overheid is ziek omdat het onderwijs ziek is. En de genezing gaat nog decennia duren.
28-12-2023, 22:29 door Anoniem
Door Boudivv: Het is hopeloos. Al decennia. En het wordt pas beter als het onderwijs verbeterd.
Vooral de geesteswetenschappen ofwel niet harde bètawetenschappen leveren alleen babbel papegaaien af. Bestuurskunde blijkt bijvoorbeeld een waardeloze opleiding. En geschiedkundige en communicatiekundige komen op posities in de overheid terecht waar ze zich alleen kunnen handhaven door zich te laten souffleren door zogenaamde externe deskundige (Microsoft, Oracle, enz.)
De overheid is ziek omdat het onderwijs ziek is. En de genezing gaat nog decennia duren.
Het is andersom: het onderwijs is ziek omdat de overheid/ staat ziek is.
Het is immers de staat zelf die "babbel papegaaien" op bepaalde posities zet.
30-12-2023, 22:44 door Anoniem
Microsoft en beloften, een slechte combinatie!
Bij het installeren van XP kreeg je een popup "nu nog veiliger!"
Het is alleen maar slechter geworden maar de overheid heeft het nog niet in de gaten door de vele religieuze babbel papagaaien die alleen maar nepnieuws verspreiden.
Het ligt namelijk nooit aan die waardeloze software van ze maar aan de beheerders en gebruikers.
21-01-2024, 22:45 door Anoniem
Als dat niet secure genoeg was, dan waren de lastenboeken van de nederlandse overheid niet goed genoeg. En dan moet de politiek verantwoordelijk daarvoor opkrassen, dat klinkt streng, maar dat zou het in feite moeten zijn. In België gebeurt er dan ook niks - en bij de buren evenmin...
In België en vooral Brussel is het zo erg - dat een staatsbedrijf dat een schuldenberg maakt door een foutgelopen fakturatieproject - niet eens onder curratele gezet wordt. Die topmanagers daarvan verdienen meer dan de premier - en die mogen van de superrotte PS gewoon blijven zitten. In de 'gewone' pers - lees je daar gewoon niks over - nu onze pers is gesubsidiëerd en dat zien we - men durft niks te schrijven! Ondertussen is de schuldenberg bij dat bedrijf opgelopen tot > 1 mjrd€, en daar zijn nog ergere zaken over te vertellen - gewoon omdat zowel het topmanagement als de verantwoordelijken van het project geweigerd hebben te luisteren naar hen die kennis hadden van het oude systeem. Er zijn waarschuwingen genoeg geweest.
Wat in het artikel te lezen staat - zou in feite dezelfde gevolgen of draagkracht kunnen krijgen, als het niet nog erger kan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.