Op donderdag 6 juli kwam de Veilige E-mail Coalitie bijeen in rijkskantoor De Knoop in Utrecht. Het ministerie van Economische Zaken en Klimaat, het CBS, Forum Standaardisatie, Open-Xchange en eco – Association of the Internet Industry verzorgden presentaties. Aan de hand hiervan werd stilgestaan bij Universal Acceptance, de toepassing van internetstandaarden, de implementatie van DANE en richtlijnen voor veilig e-mailtransport en e-mailauthenticatie. Ook is voorgesteld om de intentieverklaring uit 2017 te vernieuwen en opnieuw te ondertekenen. Gerben Klein Baltink zat de bijeenkomst met ongeveer 35 deelnemers voor. Een overzicht van alle presentaties kunt u vinden onderaan dit verslag.
Universal Acceptance
Universal Acceptance (UA) is het vermogen van applicaties en infrastructuur om geïnternationaliseerde domeinnamen (IDN), geïnternationaliseerde e-mailadressen (EAI) en top-level domeinnamen (TLD) van verschillende lengtes en typen op de juiste manier te ondersteunen. UA zorgt hiermee voor een inclusiever internet. Dit is belangrijk, want wereldwijd hebben nog altijd 2,7 miljard mensen geen toegang tot het internet.
28 maart 2023 stond in het teken van de eerste UA Day, een initiatief van de Universal Acceptance Steering Group (UASG) en ICANN. Het Platform Internetstandaarden heeft deze dag aangegrepen om met enkele stakeholders stil te staan bij het nut, de noodzaak, de mogelijkheden en de moeilijkheden van UA. Gerben Klein Baltink en Alisa Heaver (ministerie van Economische Zaken en Klimaat) gaven een terugkoppeling.
Uit de enquête die voorafgaand aan de bijeenkomst onder de betrokkenen is gehouden, bleek UA niet bij iedereen in de aandacht te staan. De deelnemers aan de bijeenkomst herkenden wel de problematiek. In Nederland komt in persoonsnamen en plaatsnamen regelmatig een trema of apostrof voor. Ook kennen we relatief nieuwe en lange TLDs, zoals .amsterdam. Die worden niet altijd geaccepteerd. Voordat het zover is, is er nog veel werk aan de winkel.
In landen met een niet-Latijns schrift is de behoefte aan UA nog groter. India is niet voor niets koploper op het gebied van UA.
Wilt u weten of uw e-mailserver ondersteuning biedt voor de ontvangst van geïnternationaliseerde e-mailadressen, doe dan de test van de UASG.
Toepassing van internetstandaarden door bedrijven
Het CBS doet sinds 2020 onderzoek naar de toepassing van internetstandaarden voor websites van bedrijven. Dit doet zij in opdracht van het ministerie van Economische Zaken en Klimaat en met behulp van de Internet.nl API. Dit jaar is voor het eerst ook de toepassing voor e-mail onderzocht. Eelco van Vliet van het CBS was aanwezig om de resultaten te presenteren. De powerpoint kunt u via deze link bekijken.
Voor het onderzoek maakt het CBS gebruik van websites die zijn verkregen uit de CBS-enquête ‘ICT-gebruik bij bedrijven’. De websites zijn verkregen via een representatieve steekproef, waardoor per bedrijfsgrootteklasse en bedrijfstak kan worden bepaald hoe goed de internetstandaarden worden toegepast. De steekproef bevat rond de 15 duizend domeinnamen.
Zowel voor de websitetest als voor de e-mailtest geldt dat de totaalscores niet veel verschillen tussen bedrijfsgrootteklassen en bedrijfstakken. In de onderliggende categorieën zijn wel duidelijke verschillen tussen kleine en grote bedrijven te meten.
Kleine bedrijven scoren relatief goed op de categorieën Modern adres (IPv6), Domeinnaamhandtekening (DNSSEC) en Beveiligd e-mailtransport (STARTTLS en DANE). Grote bedrijven scoren relatief goed op de categorieën Beveiligde websiteverbinding (HTTPS), Beveiligingsopties (HTTP security headers en security.txt) en Protectie tegen e-mailphishing (DMARC, DKIM en SPF).
De gemiddelde eindscore van de websitetest van alle bedrijven met een website met 2 of meer werknemers is in twee en een half jaar tijd met bijna 8 procent toegenomen van 60,3 procent in oktober 2020 naar 65,1 procent in april 2023.
In december 2023 wordt het onderzoek weer uitgevoerd.
Toepassing van internetstandaarden door de Veilige E-mail Coalitie
Forum Standaardisatie heeft onderzocht hoe de Veilige E-mail Coalitie scoort op de e-mailtest. Hiervoor is gebruikgemaakt van de hoofddomeinen van de betrokken organisaties. Benjamin Broersma presenteerde de resultaten. Via deze link kunt u de powerpoint bekijken.
Met een totaalscore van 74,8 procent, scoort de Veilige E-mail Coalitie beter dan de bedrijven in het CBS-onderzoek, maar minder goed dan de overheid. Zeker op het gebied van IPv6, DNSSEC en DANE is verbetering mogelijk. Voor gebruikers van Microsoft Exchange Online is verbetering op het gebied van IPv6 relatief makkelijk: zij kunnen aan Microsoft een service request sturen (opt-in) om IPv6 te activeren.
Ook voor anderen geldt: Laten de testresultaten van jouw organisatie tekortkomingen zien? Meld dit dan bij de leverancier die ervoor moet zorgen dat de moderne internetstandaarden op de juiste manier ingesteld staan.
Implementatie van DANE
Na de pauze, deelde Sidsel Jensen van Open-Xchange haar ervaringen met de implementatie van DANE. Zij deed dit op afstand, vanuit Denemarken. De powerpoint presentatie kunt u hier bekijken.
Sidsel werkte eerder bij one.com en was betrokken bij de implementatie van DANE door one.com in 2018. Door deze implementatie verdubbelde het aantal actieve DANE-domeinen ruim en kwam het aantal boven de 1 miljoen.
DANE is voor haar werking afhankelijk van DNSSEC. In 2018 had in Denemarken ongeveer 2% tot 17% van de geregistreerde domeinnamen DNSSEC. Vandaag is dit ongeveer 64%. Denemarken heeft hiermee Nederland (59,32%), Noorwegen (61%) en Zweden (61,44%) ingehaald.
De implementatie van DANE door one.com laat zien dat het mogelijk is om DANE op grote schaal uit te rollen. De lessen die hiervan zijn geleerd, zijn ook toepasbaar voor anderen.
Sidsel werkt nu bij Open-Xchange, waar zij betrokken was bij de implementatie van DANE voor Mijndomein in 2022. Open-Xchange heeft toen ook inkomende IPv6-ondersteuning uitgerold, zodat Mijndomein een 100% score konden halen in de Internet.nl e-mailtest. Deze implementaties verliepen zonder problemen.
Nu, in 2023, zijn er ongeveer 3,88 miljoen domeinen met DANE. Nederlandse hosters hebben hier een relatief groot aandeel in. Zij bezetten 5 plaatsen in de top 10 van hosters van domeinen met DANE. Op de eerste plaats staat one.com, waar DANE-verkeer is verdubbeld in 5 jaar.
In Denemarken gelden sinds juni dit jaar nieuwe technische eisen voor overheden. Eén van deze eisen is dat DANE moet worden gebruikt voor alle inkomende mailgateways. De eisen zijn niet afdwingbaar, maar misschien dat de Deense overheid Internet.nl kan gaan gebruiken om de voortgang te meten.
Verder heeft Microsoft aangekondigd dat zij in juni 2024 start met de uitrol van DNSSEC/DANE-ondersteuning voor de ontvangst van e-mail in Exchange Online, wat voor velen een groot verschil gaat maken.
Richtlijnen voor veilig e-mailtransport en e-mailauthenticatie
Patrick Koetter, auteur van de technische richtlijnen “Secure Email Transport” (TR-03108) en “Email Authentication” (TR-03182) van het Duitse Federale Bureau voor Informatiebeveiliging (BSI), was aanwezig voor een toelichting op beide richtlijnen. De powerpoint kunt u via deze link bekijken.
Het BSI publiceert technische richtlijnen om bepaalde ICT-beveiligingsstandaarden te verspreiden. De richtlijnen zijn niet bindend, het zijn best practices.
TR-03108 definieert eisen voor e-mailserviceproviders met betrekking tot een veilig transport van e-mail. De eerste versie van deze richtlijn is verschenen in 2016. Belangrijke onderwerpen zijn Opportunistic TLS, PFS, Secure Certificates en DANE.
In 2023 is TR-03108 geüpdatet. De geüpdate versie bevat correcties en concretiseringen. Nieuwe onderwerpen zijn DNSSEC-resolver (verplicht), MTA-STS (optioneel) en TLS-RPT (verplicht).
TR-03182 is een nieuwe richtlijn, die eisen definieert met betrekking tot e-mailauthenticatie. Belangrijke onderwerpen zijn SPF, DKIM, DMARC en rapportage. Volgens planning, zal de richtlijn in augustus 2023 verschijnen.
Intentieverklaring
De Veilige E-mail Coalitie is een gezamenlijk initiatief van bedrijfsleven en overheid tot brede invoering van standaarden tegen phishing (DMARC, DKIM en SPF) en standaarden tegen afluisteren van e-mail (STARTTLS en DANE).
De coalitie is van start gegaan in 2017, met de ondertekening van een intentieverklaring. Hier is een korte video van, die de deelnemers bij de start van de bijeenkomst nog eens hebben teruggekeken.
Aan het einde van de bijeenkomst is voorgesteld om de intentieverklaring te vernieuwen en opnieuw te ondertekenen, ook door deelnemers die later zijn aangesloten. Onderdeel van het voorstel is om afspraken te maken om de standaarden versneld te implementeren, de voortgang periodiek te meten en de meetresultaten te publiceren (eerst alleen binnen de coalitie en later ook publiek).
Door de deelnemers is positief gereageerd op het voorstel, waar we op een later moment nog op terug zullen komen.
En verder…
Het Internet Governance Forum (IGF) is een internationaal multistakeholderplatform, dat elk jaar bij elkaar komt om beleidskwesties met betrekking tot het internet te bespreken. NL IGF is de Nederlandse equivalent van het internationale IGF. Het IGF vindt dit jaar plaats van 8 tot en met 12 oktober in Kyoto, Japan. In aanloop hiernaartoe, wordt op dinsdag 12 september het jaarlijkse NL IGF Evenement gehouden. Alisa Heaver, lid van de Multistakeholder Advisory Group (MAG) van het IGF, maakte van de gelegenheid gebruik om de deelnemers hiervoor uit te nodigen.
Tijdens het NL IGF Evenement gaan we in gesprek over de toekomst van het internet en hoe wij daar vanuit Nederland richting aan willen geven. Eén van de sessies op het evenement zal gaan over standaarden en infrastructuur. Meer informatie over het NL IGF Evenement vindt u in de uitnodiging. Aanmelden kan hier.
Van 21 tot en met 26 oktober wordt in Hamburg, Duitsland, de 78e ICANN-bijeenkomst gehouden. Dit biedt een goede gelegenheid om ter plaatse bij te dragen aan de verdere ontwikkeling van het internet. Registreren is al mogelijk.
Bijlage
Presentatie Open-Xchange – DANE deployments past and present
Presentatie Forum Standaardisatie – Meting Veilige E-mail Coalitie
Presentatie IBS – Secure Email Transport and E-Mail Authentication
Presentatie CBS – Toepassing van internetstandaarden voor websites van bedrijven
Presentatie Veilige E-mail Coalitie
Uitnodiging NL IGF 12 september