image

Exchange Online maakt inbound SMTP DANE met DNSSEC beschikbaar

dinsdag 29 oktober 2024, 09:36 door Redactie, 11 reacties
Laatst bijgewerkt: 29-10-2024, 16:31

Exchange Online heeft inbound SMTP DANE met DNSSEC voor klanten beschikbaar gemaakt, wat onder andere moet helpen bij het beveiligen van overheidscommunicatie. De komende maanden komt de feature ook beschikbaar voor eindgebruikers die via de Outlook- of Hotmail-domeinen mailen. Volgend jaar mei verplicht Microsoft het gebruik per-tenant/per-remote domein, zo heeft het techbedrijf aangekondigd.

DANE staat voor DNS-based Authentication of Named Entities en is een protocol dat zekerheid kan geven over de identiteit van mailservers. Zo wordt voorkomen dat een aanvaller zich als een bepaalde mailserver kan uitgeven, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af.

DNSSEC is een extensie van het Domain Name System (DNS). Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie, waardoor DNS-informatie is te valideren. "Deze twee standaarden werken samen om spoofing, het kapen en onderscheppen van e-mail te voorkomen", aldus Microsoft. Outbound SMTP DANE met DNSSEC werd in 2022 gelanceerd.

Volgens Microsoft biedt SMTP DANE met DNSSEC allerlei voordelen, zoals het voorkomen van downgrade-aanvallen, het lastiger maken van man-in-the-middle-aanvallen, integriteit en vertrouwelijkheid en compliance. Het techbedrijf stelt dat SMTP DANE met DNSSEC voor Exchange Online een grote impact op het e-mail securitylandschap zal hebben.

Overheidscommunicatie

Afgelopen juni stelde het Forum Standaardisatie dat veel domeinen voor overheidscommunicatie geen gebruikmaken van beveiligingsstandaarden voor e-mail. "Slechts vier van de tien e-maildomeinnamen voldoen aan deze afgesproken standaarden. Zonder gebruik van deze 'veilige e-mailtransport' standaarden kan e-mail worden afgeluisterd via een man-in-the-middle-aanval", zo liet het Forum weten bij de recente cijfers over het toepassen van internetveiligheidstandaarden door de overheid.

In 2020 werd e-mail van de Tsjechische overheid via een man-in-the-middle-aanval afgeluisterd, wat laat zien dat dergelijke aanvallen echt kunnen plaatsvinden, aldus het forum. "Voor een aanzienlijk deel is de achterblijvende toepassing te verklaren doordat grote cloudproviders het DANE protocol nog niet toepassen. Het gaat met name om Microsoft dat inmiddels door meer dan dertig procent van de overheden wordt gebruikt. Vanuit de overheid wordt al een aantal jaar bij Microsoft aangedrongen op implementatie", merkt de standaardisatieorganisatie op.

Reactie Forum Standaardisatie

"Begin 2024 organiseerde Microsoft een Private Preview van DANE voor inkomende e-mail, waaraan vanuit de Nederlandse overheid DICTU en de gemeente 's-Hertogenbosch deelnamen. In de daaropvolgende brief benoemde de Nederlandse overheid twee zorgpunten: 1) het ontbreken van een webinterface voor beheerders om DANE voor inkomende e-mail te activeren, en 2) het voornemen van Microsoft om DANE voor inkomende e-mail alleen beschikbaar te maken voor premium-gebruikers. Microsoft heeft inmiddels haar positie ten aanzien van het tweede punt gewijzigd en aangekondigd dat DANE voor alle gebruikers van Exchange Online beschikbaar komt. Het eerste punt staat vooralsnog open; DANE voor inkomende e-mail kan nu alleen geconfigureerd worden via Powershell", zo laat Forum Standaardisatie in een reactie op het nieuws weten.

DANE is een open standaard die via Forum Standaardisatie verplicht is gesteld voor de Nederlandse overheid. Deze verplichting geldt sinds september 2016 via 'pas toe of leg uit' (aanschafverplichting), en sinds eind 2019 via een streefbeeldafspraak (verplichting met betrekking tot gebruik). Sindsdien zijn verschillende leveranciers, mede door Forum Standaardisatie, in actie gekomen en hebben DANE geïmplementeerd. Overheidsgebruik van DANE bedraagt inmiddels 48 procent. "Door Microsofts ondersteuning van DANE voor inkomende e-mail zal dit percentage naar verwachting de komende periode aanzienlijk toenemen", aldus Forum Standaardisatie.

Image

Reacties (11)
29-10-2024, 10:58 door Anoniem
Ik heb hier gemengde gevoelens over, aan de ene kant is het goed (en zou het eens tijd worden) dat MS dit soort basale cyber hygiëne maatregelen neemt, maar nu valt er ook een belangrijk argument weg om niet alle e-mail bij MS in de cloud te zetten.

Al score ze nu nog belabberd: https://internet.nl/mail/outlook.com/1368324/

Ook onbegrijpelijk dat overheden e-mail aanbestedingen doen en niet een 100% score op de test van internet.nl als knockout criterium hebben. Overheden zijn immer verplicht om zich aan deze standaarden te houden.
29-10-2024, 12:05 door bart_hGn4mQe
Door Anoniem:
Ook onbegrijpelijk dat overheden e-mail aanbestedingen doen en niet een 100% score op de test van internet.nl als knockout criterium hebben. Overheden zijn immer verplicht om zich aan deze standaarden te houden.
Voor veel aanbestedingen zijn niet alle criteria op internet.nl relevant. Als een overheidsinstantie z'n eigen mailserver kan gebruiken in combinatie met een SaaS dienst dan is het niet zo'n probleem als de SaaS dienst op de mail issues geen 100% score haalt.
29-10-2024, 14:11 door Anoniem
mooi, effe een scan doen op welke domeinen nu niet ondersteunen en straks wel, weet je meteen welke high profile targets zijn... thanks microsoft.
29-10-2024, 16:14 door Anoniem
Al score ze nu nog belabberd: https://internet.nl/mail/outlook.com/1368324/
Het betreft vooralsnog enkel domeinen die gebruik maken van SMTP servers die eindigen op [a-z]-v1.mx.microsoft. Dit komt omdat enkel deze domeinen met DNSSEC beveiligd zijn.

Zie tevens de berichtgeving https://www.forumstandaardisatie.nl/nieuws/microsoft-beveiligt-e-mail-met-dane-op-verzoek-van-nederlandse-overheid
29-10-2024, 16:56 door Anoniem
Het ontbreken van een GUI om dit te activeren zou nooit als voorwaarde mogen gelden. Elke beheerder die afhankelijk is van een GUI voor dit soort zaken moet je per direct ontslaan. Dit hoor je gewoon vanuit code te beheren, met ditto documentatie. GUI-warriors zijn echt een probleem aan het worden, gezien ze weinig kaas hebben gegeten van automatisering en daarmee de organisatie zwaar te kort doen.
29-10-2024, 17:06 door Anoniem
Door Anoniem: Ik heb hier gemengde gevoelens over, aan de ene kant is het goed (en zou het eens tijd worden) dat MS dit soort basale cyber hygiëne maatregelen neemt, maar nu valt er ook een belangrijk argument weg om niet alle e-mail bij MS in de cloud te zetten.
Dat gebeurd helaas toch wel, daar zorgt de marketingafdeling wel voor.
29-10-2024, 18:42 door Anoniem
Door Anoniem: Het ontbreken van een GUI om dit te activeren zou nooit als voorwaarde mogen gelden. Elke beheerder die afhankelijk is van een GUI voor dit soort zaken moet je per direct ontslaan. Dit hoor je gewoon vanuit code te beheren, met ditto documentatie. GUI-warriors zijn echt een probleem aan het worden, gezien ze weinig kaas hebben gegeten van automatisering en daarmee de organisatie zwaar te kort doen.

Stel je niet aan. Het is een boolean die je één keer instelt. Alsof je hier een pipeline voor nodig hebt.
29-10-2024, 19:22 door Anoniem
Door Anoniem:
Het betreft vooralsnog enkel domeinen die gebruik maken van SMTP servers die eindigen op [a-z]-v1.mx.microsoft. Dit komt omdat enkel deze domeinen met DNSSEC beveiligd zijn.
Ja Microsoft hobbelt maar erg langzaam op onderwerpen zoals DNSSEC en IPv6...
Het kan wel maar je moet er wel om bedelen.
Host je je domein bij een willekeurige Nederlandse DNS hoster dan heb je bijna altijd DNSSEC.
Gisteren, 09:36 door Bitje-scheef
Door Anoniem: Het ontbreken van een GUI om dit te activeren zou nooit als voorwaarde mogen gelden. Elke beheerder die afhankelijk is van een GUI voor dit soort zaken moet je per direct ontslaan. Dit hoor je gewoon vanuit code te beheren, met ditto documentatie. GUI-warriors zijn echt een probleem aan het worden, gezien ze weinig kaas hebben gegeten van automatisering en daarmee de organisatie zwaar te kort doen.

Hoe vaak er al geen behoorlijke documentatie is voor het werken met CLI voor producten. Dus die stelling is lekker om te plempen maar gaat niet helemaal op.
Gisteren, 10:45 door Anoniem
Door Anoniem:
Door Anoniem: Het ontbreken van een GUI om dit te activeren zou nooit als voorwaarde mogen gelden. Elke beheerder die afhankelijk is van een GUI voor dit soort zaken moet je per direct ontslaan. Dit hoor je gewoon vanuit code te beheren, met ditto documentatie. GUI-warriors zijn echt een probleem aan het worden, gezien ze weinig kaas hebben gegeten van automatisering en daarmee de organisatie zwaar te kort doen.

Stel je niet aan. Het is een boolean die je één keer instelt. Alsof je hier een pipeline voor nodig hebt.

Hij is nog van de generatie "het moet moeilijk zijn". Je kent dat wel, je moet een of ander extra package installeren,
een file in /etc editen met vi, een key genereren met een los tooltje wat default een te korte key maakt dus je moet
er wel aan denken allerlei opties mee te geven, en die key file ergens neerzetten en user en mode aanpassen,
en een "ps" en "kill -HUP pid" doen. Anders is het niet stoer.
Dat het in een ander produkt gewoon een vinkje is dat is minderwaardig natuurlijk.

Kijk ik ben er zondermeer voor als dingen beheerd kunnen worden vanuit een commandline, omdat dat vaak handiger
is als je bijvoorbeeld een setting op 500 plekken moet aanpassen. Maar dat betekent niet dat er geen GUI mag zijn.
Gisteren, 16:05 door Anoniem
Ik heb deze kwestie dichtbij meegemaakt en de reactie van het Forum is zo grappig.
Ze hebben zelfs hun persbericht zo benoemd alsof zij iets te maken hebben gehad met de invoering van DANE...

Het is typisch een marketing bericht waar de realiteit kwijtgeraakt is...
De invoering van DANE heeft totaal niets met onze overheid te maken. Die stelde deze eis maar Microsoft negeerde dat volledig (lees de openbare brieven op Forum) tot ze het bericht kregen dat Microsoft ‘een ander perspectief zal delen dan eerder besproken’. Die ambtenaren stonden met de mond vol tanden, het was zo enorm grappig...
Ze gingen er vol hoop in en zouden het varkentje wel even wassen....

Ondertussen ging vrijwel iedere lagere overheid instelling over op M365 en negeerde het Forum. Het is zo'n bizarre realiteit om aan te zien. De overheid zegt dat je dit moet doen maar zelf doen ze er helemaal niets mee.

De meeste ambtenaren waarmee ik aan tafel zit hebben ook totaal geen idee wat DANE of zelfs DMARC is. Het is enorm triest gesteld daar. Ook met de CISO's, alleen maar checklijsten en niemand controleert of het werkelijk zo ingeregeld is.

Het lijkt wel een beetje op het verhaal van de belastingdienst. Grote verhalen en claims voor bedrijven maar intern bij de belastingdienst voldoen ze niet eens aan basale zaken van de AVG....

Anyway, fijn dat Microsoft DANE nu volledig ondersteund maar laat de overheid zich a.u.b.stil houden tot ze hun eigen broek op kunnen houden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.