E-mail beveiligingsstandaarden
E-mail is nog steeds de meest gebruikte vorm van communicatie tussen bedrijven, partners en klanten. Vaak is e-mail noodzakelijk voor het functioneren van bepaalde bedrijfsprocessen zoals de facturatie of het versturen van een orderbevestiging bij een bestelling. Het is dus van belang dat een ontvanger een e-mail daadwerkelijk ontvangt en er van uit kan gaan dat deze ook echt afkomstig is van jouw organisatie. Om dit te kunnen waarborgen maken we gebruik van beveiligingstandaarden voor e-mails.
Waarom zijn er e-mail beveiligingsstandaarden?
E-mail is een veel gebruikte vorm van communicatie waar veel organisaties afhankelijk van zijn. De meeste organisaties gebruiken een eigen e-maildomein zodat e-mailadressen herkenbaar en herleidbaar overkomen. E-mail is echter niet de meest veilige en betrouwbare vorm van communicatie. Zonder aanvullende inrichting binnen jouw e-mailomgeving, kun je tegen de volgende risico’s aanlopen:
- Het is vrij eenvoudig het e-maildomein van jouw organisatie te ‘spoofen’. Dit houdt in dat iemand e-mails kan versturen met een e-mailadres van jouw organisatie als afzender. Phishing-aanvallen hebben op deze manier een grotere kans van slagen omdat de ontvanger het e-mailadres van de afzender (ten onrechte) vertrouwt. Zowel medewerkers binnen je eigen organisatie als daarbuiten kunnen hier slachtoffer van worden;
- Het ontbreken of verkeerd toepassen van e-mail beveiliggingsstandaarden kan ervoor zorgen dat e-mails die jouw organisatie verstuurt, niet worden vertrouwd door de ontvangende e-mailomgeving. Afhankelijk van hoe streng de ontvangende mailserver is ingesteld, komen de e-mails mogelijk niet aan bij de ontvanger of worden ze aangeduid als ‘spam’;
- De communicatie tussen de verzendende mailserver en ontvangende mailserver gebeurt onversleuteld waardoor e-mailberichten inzichtelijk zijn of kunnen worden aangepast voordat deze de ontvanger bereiken.
E-mailbeveiliging
Als er gesproken wordt over e-mailbeveiliging wordt vaak aandacht besteed aan het beschermen tegen phishing, spam of malware aan de ontvangende kant. Dit is uiteraard belangrijk, maar e-mailbeveiliging gaat verder dan het hebben van een goed spamfilter en het trainen van medewerkers om “foute” e-mails te herkennen. De risico’s die hierboven beschreven worden hebben invloed op de beschikbaarheid, integriteit en vertrouwelijkheid van e-mails die jouw organisatie verzendt. Door maatregelen te nemen tegen deze risico’s, draag je ook bij aan het veiliger maken van e-mail aan de kant van de ontvanger.
E-mailbeveiliging aanvragen
Wat kan ik doen?
Wist je dat het mogelijk is om op afstand te controleren welke e-mail beveiligingsstandaarden er zijn ingericht? Dit is niet afhankelijk van de vraag of je de e-mailomgeving van jouw organisatie zelf beheert of dit hebt uitbesteed bij een IT-dienstverlener. Er zijn meerdere websites op internet te vinden die deze controle eenvoudig kunnen uitvoeren. Het enige wat je daarvoor moet doen is het maildomein van jouw organisatie in te voeren in een daarvoor bestemd invoerveld.
Op de website van internet.nl vind je de “e-mailtest”. Deze e-mailtest kijkt naar de meest belangrijke e-mailbeveiligingsstandaarden. Na het doorlopen van de test krijg je een rapport en een score die je een beeld geven hoe het er voor staat met jouw maildomein. Dit overzicht kan je helpen om zelf aanpassingen of toevoegingen te doen of om in gesprek te gaan met jouw IT-dienstverlener. Zo’n test kan uiteraard niet alles zien maar geeft je wel een goed vertrekpunt.
Hieronder zullen we een korte omschrijving geven van verschillende e-mailbeveiligingsstandaarden. Het is belangrijk om bewust te zijn van deze standaarden en te overwegen deze, eventueel samen met jouw IT-dienstverlener, in te richten.
E-mail authenticatie
De volgende 3 beveiligingsstandaarden worden gebruikt voor e-mail authenticatie. Dit maakt het mogelijk voor de ontvangende partij om te verifiëren of e-mail van een bepaald maildomein afkomstig is van iemand die daartoe bevoegd is. Dit helpt spoofing voorkomen en helpt ook bij de afweging of een e-mailbericht spam is.
- Sender Policy Framework (SPF)
Sender Policy Framework (SPF) is een standaard waarmee je kunt aangeven welke IP-adressen er namens het maildomein van jouw organisatie e-mailberichten mogen versturen (en welke niet). Deze informatie wordt opgeslagen in het zogenoemde “SPF-Record” van het maildomein. Dit record wordt via DNS uitgelezen door de ontvangende mailserver. IP-adressen die je hierin kwijt wilt, zijn adressen van servers die de e-mails van jou en jouw medewerkers uitsturen, maar ook de server die bijvoorbeeld de facturen of een bedrijfsnieuwsbrief uitstuurt. Het hebben van een SPF-Record verhoogt het vertrouwen bij de ontvangende mailserver in de afweging of jouw bericht spam is. - DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail (DKIM) zorgt er voor dat er een ‘vingerafdruk’ wordt toegevoegd aan een e-mail. De ontvangende mailserver gebruikt deze vingerafdruk om na te gaan of een e-mail afkomstig is van een vertrouwde mailserver en of er tijdens het transport van de e-mail iets veranderd is aan het bericht. De genoemde vingerafdruk is gebaseerd op een certificaat waarvan een ontvangende mailserver de publieke sleutel kan ophalen uit een DNS Record van het maildomein. Ook deze techniek helpt de ontvangende mailserver in de afweging of een bericht als spam wordt aangemerkt. - Domain-based Message Authentication, Reporting & Conformance (DMARC)
De beveiligingsstandaarden SPF en DKIM kunnen afzonderlijk van elkaar worden geconfigureerd en bieden op zichzelf al een verbetering op het gebied van de e-mail veiligheid. Domain-based Massage Authentication, Reporting & Conformance (DMARC) is ontwikkeld om door middel van een ‘policy’ een link te leggen tussen SPF en DKIM. Het geeft aan hoe een ontvangende mailserver dient om te gaan met de resultaten van deze 2 standaarden. Daarnaast kun je met de rapportage mogelijkheid van DMARC een beeld te krijgen of er misbruik wordt geconstateerd door een ontvangende mailserver. Mocht er zo’n rapportage zijn van mogelijk misbruik, dan kan dit ook liggen aan een foutieve configuratie van DKIM of SPF waardoor valide e-mails mogelijk niet aankomen. Ook een DMARC policy wordt opgeslagen in een DNS record van het maildomein.
Versleutelen (STARTTLS)
Het is belangrijk om te beseffen dat wanneer je een e-mail verstuurt, er geen garantie is dat het transport versleuteld is. Zonder versleuteling kan een e-mail naar bijvoorbeeld een klant inzichtelijk zijn voor anderen. Dit is in het geval van een nieuwsbrief waarschijnlijk geen groot probleem, maar de kans is natuurlijk ook aanwezig dat een e-mail gevoelige (persoons)gegevens bevat.
Bij dit beveiligingsprobleem hebben we te maken met het SMTP-protocol. Dit protocol wordt gebruikt om e-mails te verzenden en te ontvangen tussen de mailservers. De mogelijkheid om dit verkeer te versleutelen, gebeurt via STARTTLS. Dit staat bekend als “opportunistische versleuteling”; je kunt er gebruik van maken, maar het is niet noodzakelijk. Daarnaast zorgt een gebrek aan juiste inrichting van STARTTLS ervoor dat validatiemogelijkheden veelal ontbreken. Daardoor is het voor hackers relatief eenvoudig om een versleutelde verbinding tussen mailservers te voorkomen of een versleutelde verbinding met een verkeerde server op te laten zetten. Kortom, STARTTLS kent helaas tekortkomingen waarbij het belangrijk is om stil te staan bij een aantal punten:
- Afspraken
Ondanks dat er technische oplossingen zijn die de tekortkomingen van STARTTLS tot zekere hoogte kunnen omzeilen, zijn deze oplossingen nog niet veel in gebruik. Daarnaast dek je hiermee niet het volledige transport van e-mail af. Zelfs als je 100% zeker weet dat het verkeer tussen mailservers via STARTTLS verloopt met de juiste mailservers, is het e-mailbericht alsnog onversleuteld terug te vinden op de mailservers waar het bericht langs gaat. Omdat versleutelde transport dus lastig te garanderen is, helpt het om binnen je organisatie afspraken te maken wat je wel of niet verstuurt via e-mail. Denk hier bijvoorbeeld aan BSN-nummers of wachtwoorden. - DNS-based Authentication of Named Entities (DANE)
Voor hackers is het mogelijk om versleutelde verbinding te voorkomen of een versleutelde verbinding te laten opzetten met een andere (verkeerde) server. Door middel van DNS-based Authentication of Named Entities (DANE) kunnen deze problemen worden verholpen door in de DNS van het maildomein via een zo genaamd “TLSA Record” aan te geven welke servers er e-mails mogen ontvangen en dat dit versleuteld dient te gebeuren. Je bent bij deze techniek echter afhankelijk van de ontvangende partij die dit inricht voor zijn maildomein. - STARTLS forceren
De meeste mailservers hebben de mogelijkheid om STARTTLS te forceren. Het risico is echter dat daardoor mails niet aankomen wanneer STARTTLS niet ondersteund wordt door de ontvanger. In de praktijk wordt dit daarom vaak alleen ingericht tussen partijen die van elkaar weten dat STARTTLS mogelijk is.
Draag bij aan een veiliger e-mail klimaat
Door als organisatie aandacht te besteden aan het veilig inrichten van je e-mail omgeving aan zowel de verzendende als ontvangende kant, draag je automatisch bij aan een veiliger e-mail klimaat. Zie voor meer informatie ook de factsheets van het NCSC over STARTSSL en DANE en SPF, DKIM en DMARC.
DNSSEC
De genoemde e-mail beveiligingsstandaarden leunen veel op informatie die staat opgeslagen in de DNS. Deze informatie halen mailservers op om bijvoorbeeld binnen het SPF-record na te gaan of een mailtje van een vertrouwde server afkomstig is. Om ervoor te zorgen dat dit soort informatie binnen een DNS-verzoek niet kan worden gemanipuleerd, is het belangrijk dat de DNS Server die het e-maildomein van jouw organisatie bevat, DNSSEC ondersteunt. Op deze manier voorkom je dat de e-mail beveiligingsstandaarden alsnog omzeild kunnen worden. De e-mail test van internet.nl laat zien of DNSSEC in gebruik is.