Microsoft heeft aangekondigd de internetstandaarden DNSSEC (Domain Name System Security Extensions) en DANE for SMTP (DNS-based Authentication of Named Entities) te ondersteunen in Office 365 Exchange Online. Dit moet eind 2021 in kannen en kruiken zijn. Dat is een steun in de rug voor veel Nederlandse overheidsorganisaties die voor eind 2019 DANE hadden moeten implementeren maar daarin verzaakten.
Microsoft schrijft in een blog dat de ondersteuning van DNSSEC en DANE voor Exchange Online voor eind 2021 moet zijn geregeld. Daarmee wil het bedrijf de beveiliging van het e-mailverkeer voor klanten in een cloudomgeving verbeteren. De ondersteuning is specifiek gericht op smtp-verkeer tussen smtp-poorten, maar Microsoft levert tevens ondersteuning voor TLS reporting (TLS-RPT).
Het ict-concern laat weten dat de implementatie gefaseerd zal plaatsvinden. De eerste fase betreft de ondersteuning voor e-mail verzonden vanuit Exchange Online. Deze zal eind 2020 zijn afgerond. De tweede fase omvat ondersteuning voor ontvangst van e-mail in Exchange Online. Die wordt voor het eind van 2021 afgerond.
In Nederland is Forum voor Standaardisatie positief gestemd over deze aankondiging. Het gremium noemt het een belangrijke stap waardoor veel overheidsorganisaties dan wél kunnen voldoen aan de verplichte standaarden voor informatieveiligheid van hun e-mail. In juli vorig jaar diende het Strategisch Leveranciersmanagement Microsoft Rijk in samenwerking met Forum Standaardisatie een verzoek in bij Microsoft om ondersteuning te bieden voor DNSSEC en DANE bij het gebruik van Office 365-mailservers. In navolging hierop hebben diverse overheidsorganisaties, bedrijven en buitenlandse overheden Microsoft ook gevraagd om ondersteuning van DNSSEC en DANE.
Alle Nederlandse overheidsorganisaties hadden DANE en de encryptietool StartTLS voor eind 2019 moeten implementeren, om zo ‘afluisteren’ van e-mail te voorkomen. Slechts de helft van de overheidsorganisaties heeft DANE voor deze deadline geïmplementeerd, bleek uit recent onderzoek van genoemd forum. Het ontbreken van ondersteuning voor DANE in cloudproduct Office 365 bleek het voornaamste knelpunt te zijn. Die barrière wordt nu geslecht.
Extra kosten
Omdat de adoptie van de standaarden echter pas eind 2021 helemaal is geregeld, wijst Microsoft klanten erop dat zij in de tussentijd de optie hebben om eigen smtp-gateways te gebruiken die wel DNSSEC en DANE ondersteunen. E-mailberichten zijn eventueel tussen de gateways en Exchange Online uit te wisselen via connectoren.
Forum voor Standaardisatie meldt dat een dergelijke relay gateway complexiteit en kosten met zich mee brengt. Om die redenen is inherente ondersteuning van de standaarden in Exchange Online cruciaal, ook in producten van andere leveranciers. De instantie adviseert overheidsorganisaties die willen overstappen op Exchange Online daarom te wachten tot Microsoft de standaarden daadwerkelijk heeft geïmplementeerd.
Diverse leveranciers bieden op dit moment al ondersteuning voor DANE. Inmiddels maakt iets meer dan de helft van de overheidsorganisaties gebruik van DANE mogelijk voor veilig e-mailverkeer. Zo passen bijvoorbeeld de gemeente Den Bosch, rijksdienstverlener SSC-ICT, de Tweede Kamer en de politie dit toe.
Lange aanlooptijd
Het Nationaal Beraad Digitale Overheid besloot al op 19 september 2016 om de beide open standaarden DANE en StartTLS toe te voegen aan de lijst met verplichte standaarden volgens het ‘pas-toe-of-leg uit’-regime toe te voegen.
De combinatie StartTLS en DANE, die is gestandaardiseerd in IETF RFC 7672, zorgt voor solide versleuteling van mailverkeer. StartTLS maakt de versleutelde verbinding mogelijk. DANE zorgt er als ‘een aanvullend slot op de deur’ voor dat de versleuteling daadwerkelijk plaatsvindt. Door StartTLS en DANE is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren.
De overheid sprak in 2018 af om DANE te implementeren uiterlijk voor eind 2019. Uit een meting in maart 2020 onder 548 belangrijke overheidsdomeinen blijkt dat dit bij slechts 50 procent van de organisaties is gelukt.
DANE, de Baseline Informatiebeveiliging Overheid en Internet.nl
DANE voorkomt dat aanvallers mailverkeer kunnen ‘afluisteren’ of aanpassen. Het staat voor DNS-Based Authentication of Named Entities en is een verplichte standaard voor de overheid. De techniek bouwt voort op DNSSEC (standaard voor domeinnaambeveiliging) en geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende mailserver, waardoor hij het mailverkeer kan onderscheppen.
Daarnaast dwingt DANE het gebruik van een versleutelde verbinding af. Dit voorkomt dat een aanvaller de opzet van een met StartTLS beveiligde verbinding kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen.
Het correct toepassen van standaarden DNSSEC, DANE en StartTLS is wat minimaal verwacht mag worden van overheidsmail. Deze standaarden zijn daarom ook onderdeel van de Baseline Informatiebeveiliging Overheid (BIO) via maatregel 13.2.3.1 (BBN1). BBN1 is het beveiligingsniveau waar alle overheidssystemen als minimum aan moeten voldoen.
Overigens kan elke organisatie via Internet.nl testen of het e-mailverkeer beschermd is tegen afluisteren en spionage. Deze tool toetst op de toepassing van encryptiestandaarden STARTTLS en DANE. Door een correcte toepassing van deze standaarden op een mailserver helpen zij afluisteren en spionage te voorkomen.
