Na vijf jaar heeft Microsoft eindelijk voldaan aan het verzoek van de Nederlandse overheid om volledige ondersteuning te bieden aan de mail-beveiligingsstandaard Dane op Exchange Online. Diverse brieven en gesprekken waren er voor nodig om Microsoft ervan te overtuigen deze standaard ook voor inkomende mail toe te passen; automatisch en zonder aanpassingen aan de configuratie. Uitgaande mail wordt al sinds 2022 op deze manier beveiligd.
Forum Standaardisatie maakt bekend dat Microsoft voor de druk van de Nederlandse overheid is gezwicht om het e-mailverkeer veiliger te maken. Strategisch Leveranciersmanagement Microsoft Rijk (SLM Rijk), het ministerie van BZK en Forum Standaardisatie hebben zich hiervoor sterk gemaakt. Ook in Europees verband is campagne gevoerd om de adoptie van beveilingstandaarden voor e-mail te bevorderen. Onder meer Duitsland, Denemarken, Letland, Tsjechië en Portugal hebben Microsoft tot implementatie proberen te bewegen.
Concurrenten als Cisco, Cloudflare, Fortimail, Mailbox.org, Open-Xchange, ProtonMail, Soverin en Startmail ondersteunen Dane al langere tijd volledig. Microsoft daarentegen deed jarenlang moeilijk. De marktleider zei Dane eind 2021 volledig te ondersteunen, maar dat gebeurde niet. In januari en mei 2023 voerde de Nederlandse overheid de druk op.
Preview
Begin dit jaar gaf Microsoft een ‘private preview’ van Dane. Dictu en de gemeente Den Bosch deden daaraan mee. Maar zij constateerden dat er geen web-interface voor beheerders was om de standaard te activeren. Ook wilde Microsoft Dane alleen beschikbaar maken voor premium-gebruikers, aldus Forum Standaardisatie. Inmiddels is besloten Dane voor alle gebruikers van Exchange Online beschikbaar te stellen. De web-interface ontbreekt echter nog steeds. De standaard kan voor inkomende mail uitsluitend via Powershell worden geconfigureerd.
Overigens vindt Forum Standaardisatie het vanuit oogpunt van leveranciersonafhankelijkheid zorgelijk dat zoveel overheden Exchange Online gebruiken. Deze adviescommissie die het gebruik van open standaarden binnen de overheid bevordert, roept overheidsinstellingen op om ook andere mailoplossingen een serieuze kans te bieden.
Cybersec Netherlands
Op de vakbeurs Cybersec Netherlands is vanzelfsprekend volop aandacht voor het veiliger maken van bedrijven en instellingen. De beurs wordt georganiseerd op 6 en 7 november in Jaarbeurs Utrecht. Meld je hier voor het programma-overzicht en een gratis toegangskaart.
Een impressie? Bekijk hier de video-opnames van Cybersec Netherlands 2023.
Ik snap wel waarom Microsoft daar weinig zin in had. Het is een lippendienst. Het heeft geen enkele zin met smarhosts voor miljoenen mensen en het gaat natuurlijk gebruikt worden als lekker-makkelijk alternatief voor end-to-end-security. Of gaat Microsoft dan per domein een aparte (virtuele?) smarthost aanbieden? Maar zelfs dan zit je nog steeds met eventuele ‘inside job’-betrokkenheid binnen organisaties (wat bij malicieuze activiteiten bij meer dan 80% het geval is). Bovendien gaat het bij overheid vaak om organisaties van tienduizenden mensen). Er zijn bij zeker bij Exchange slimmere manieren om zonder veel moeite extra veiligheid in te bouwen.