Met de cryptografische DNSSEC-infrastructuur stevig op zijn plaats, heeft de beveiliging van mail-transport een grote vlucht genomen. DANE wordt steeds beter ondersteund in mail-software. En met name de overheid trekt hard aan de implementatie van DMARC, SPF en DKIM.
Tim Draegen, mede-bedenker van de DMARC-standaard, ontving onlangs een oorkonde van de Nederlandse overheid vanwege de opname van DMARC afgelopen voorjaar in de 'pas-toe-of-leg-uit'-lijst (ptolu). Dat betekent dat (semi-)overheidsorganisaties nu verplicht zijn deze standaard te implementeren bij de inkoop van nieuwe ICT-systemen en -diensten. Daarnaast is de ambitie, zoals die is vastgelegd in de laatste Streefbeeldafspraak, om DMARC eind 2019 op alle overheidsdomeinen in de strikte instelling te hebben staan, dat wil zeggen 'p=quarantine' of 'p=reject'.
De 2 bijbehorende standaarden SPF en DKIM waren al eerder via de ptolu-lijst verplicht gesteld. Ook voor SPF geldt nu dat deze eind volgend jaar in een strikte instelling — '~all' of '-all' — moet zijn geïmplementeerd.
DANE voor mail
Ondertussen werken de ontwikkelaars van mail-software verder aan de implementatie van DANE, een cryptografische verankering van het TLS-certificaat. Zo liet het bedrijf port25 onlangs weten DANE-validatie (voor uitgaande mail) te hebben geïmplementeerd in versie 5.0 van hun PowerMTA bulkmailer. Manvendra Bhangui, de lead developer van de IndiMail MTA, voegde DANE-validatie afgelopen voorjaar toe aan release 2.5.
Bij Forum Standaardisatie wordt op dit moment onderzocht of DANE-validatie voor uitgaande mail net als DANE "certificate pinning" voor binnenkomende mail in de ptolu-lijst moet worden opgenomen. Begin dit jaar werd DANE voor zowel mail als web door de Europese Commissie al erkend als officiële standaard voor gebruik in aanbestedingen.