“Burgers moeten de e-mails van hun gemeente kunnen vertrouwen.”

De Registrar Scorecard

Begin 2015 lanceerden we de Registrar Scorecard, een programma dat .nl-registrars beloont voor hun bijdragen aan de kwaliteit van de .nl-zone. De Registrar Scorecard stimuleert registrars om verbeteringen door te voeren op 4 gebieden: actief gebruik, IPv6, correcte contactgegevens en veiligheid. Het programma is een groot succes. Honderden registrars nemen deel. Naast financiële incentives, vorig jaar ter waarde van € 1,3 mln., geven we hen met gerichte rapportages veel inzicht in hun portfolio. Dit jaar stimuleren we ook het gebruik van StartTLS, SPF, DKIM en DMARC om de adoptie van deze e-mailstandaarden een impuls te geven.

Een kwetsbaar protocol

De hoeveelheid e-mail die gekenmerkt kan worden als spam of phishing-mail is overweldigend. De meeste schattingen gaan uit van zo’n 90% van alle e-mails die verstuurd worden. Misbruik maken van e-mail is helaas erg eenvoudig. Marco Davids, technisch adviseur van SIDN: “E-mail gebruikt oude protocollen die makkelijk te hacken zijn. Iedereen die een beetje handig is met computers heeft binnen een uur door hoe je een mail moet versturen met andersmans mailadres.”

4 standaarden

De 4 standaarden StartTLS, SPF, DKIM en DMARC beveiligen ieder een kwetsbaar onderdeel van e-mail. Het is niet genoeg om slechts één van de standaarden te gebruiken. Pas als de 4 standaarden samen worden gebruikt, ben je goed beschermd tegen abuse.

StartTLS

Als je e-mail vergelijkt met het versturen van post, dan beschermt StartTLS de weg die een brief aflegt van brievenbus naar brievenbus. De standaard versleutelt het verkeer tussen mailservers. Dit maakt het voor criminelen stukken moeilijker om e-mails  te onderscheppen, aan te passen of met malware te injecteren.

SPF

SPF (Sender Policy Framework) voegt een lijst met vertrouwde IP-adressen toe aan het DNS. Mails die uit naam van een partij worden verstuurd mogen alleen van bepaalde IP-adressen afkomstig zijn: de mailservers die bij de afzender bekend zijn. Aan de hand van de lijst met IP-adressen kunnen ontvangers beslissen om e-mails die niet van een vertrouwd IP-adres komen, te weigeren of in een spambox te plaatsen. Zo worden veel spam- en phishingmails voorkomen. 

DKIM

DomainKeys Identified Mail (DKIM) voegt een unieke, digitale handtekening toe aan verschillende onderdelen van een e-mail. Met een public key kan de ontvanger die handtekening controleren. Als dat lukt, dan weet hij dat een e-mail onderweg niet is veranderd en van de juiste afzender komt. Grote mailproviders als Google of Microsoft geven domeinen die geen DKIM gebruiken een lagere waardering. Domeinen met een slechte reputatie kunnen op een zogenaamde spamlist terechtkomen.

DMARC

Met DKIM en SPF kunnen ontvangers beslissen of ze bepaalde e-mails wel of niet willen doorgeven. De verzendende partij heeft hier echter geen invloed op. Met DMARC kun je ook als verzender beleid maken om misbruik van je domeinnaam tegen te gaan. Zo kun je instellen dat e-mails zonder DKIM-handtekening niet ontvangen mogen worden, of dat ze in een spamfolder komen. Dit maakt DMARC ook heel nuttig voor domeinnamen die geen gebruikmaken van e-mail, zoals geparkeerde domeinnamen. Hiervoor kan worden ingesteld dat alle mails vanuit dit domein geweigerd worden. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de ‘buitenkant’ van een e-mail wordt genoemd, dezelfde is als de afzender die ín de e-mail wordt genoemd. Dit kun je vergelijken met het verzenden van een brief: DMARC controleert of de afzender op de envelop dezelfde is als de afzender op de brief. Dit gaat vervalsingen tegen en maakt het verzenden van phishing-mails moeilijker.

Gemeente Den Haag

De 4 standaarden staan op de pas-toe-of-leg-uit-lijst van het Forum Standaardisatie. De overheid heeft zich hieraan verbonden. Organisaties in de publieke sector moeten een heel goede reden hebben om ze niet te gebruiken. De gemeente Den Haag heeft onlangs de 4 e-mailstandaarden ingevoerd. De Haagse security architect Peter van Eijk: “We doen dit niet alleen om compliant zijn met de ‘pas-toe-of-leg-uit-verplichting, we willen er vooral een betrouwbare overheid zijn. Burgers moeten de e-mails van hun gemeente kunnen vertrouwen.”

De uitdaging: beleid maken

Het invoeren van de standaarden is technisch relatief eenvoudig. “Een vinkje zetten is genoeg,” vertelt Peter van Eijk. Een goed beleid maken voor het gebruik van DMARC heeft wat meer voeten in aarde. Elke actie heeft namelijk gevolgen. Peter van Eijk: “We willen alle verkeerde mail eruit filteren, maar het mag ook niet zo zijn dat belangrijke mailings aan burgers onterecht niet bezorgd worden.”

Een eigen dashboard

Op dit moment werkt Den Haag aan een beleid voor DMARC. Hierbij maken ze dankbaar gebruik van de rapportagefunctie van DMARC. Peter van Eijk: “Met behulp van die gegevens en een dashboard dat we in eigen huis hebben ontwikkeld, kunnen we queries maken waarmee we de impact van mogelijke acties in kaart brengen. Uiteindelijk moeten we met alle partijen die e-mails versturen voor de gemeente afspraken maken, onder meer omdat we hen dan kunnen aanmerken als te vertrouwen afzender. De rapportages van DMARC geven ons een goed idee hoeveel en welke partijen dat zijn. En ja, dat zijn er heel wat. De verantwoordelijke personen achterhalen, is misschien wel het meeste werk.”

Ambassadeur

De gemeente Den Haag is een echte ambassadeur geworden voor DMARC en de andere e-mailstandaarden. Zo kwam een afvaardiging van het Nationaal Cyber Security Centrum langs om meer te horen over het dashboard voor DMARC dat de gemeente gemaakt heeft. Andere partijen mogen deze software gebruiken en Den Haag deelt haar ervaringen met andere overheden.