Op donderdag 6 juli kwam de Veilige E-mail Coalitie (VEC) bijeen in rijkskantoor De Knoop in Utrecht. Het ministerie van Economische Zaken en Klimaat (EZK), het CBS, Forum Standaardisatie, Open-Xchange en eco – Association of the Internet Industry verzorgden presentaties over de volgende onderwerpen: de implementatie van DANE, Universal Acceptance, de toepassing van internetstandaarden, en richtlijnen voor veilig e-mailtransport en e-mailauthenticatie.
De volledige terugblik van de bijeenkomst inclusief de bijbehorende presentaties kunt u in dit verslag teruglezen.
Intentieverklaring
De Veilige E-mail Coalitie is een gezamenlijk initiatief van bedrijfsleven en overheid tot brede invoering van standaarden tegen phishing (DMARC, DKIM en SPF) en standaarden tegen afluisteren van e-mail (STARTTLS en DANE).
Tijdens de bijeenkomst is voorgesteld om de intentieverklaring uit 2017, die de start gaf VEC, te vernieuwen en opnieuw te ondertekenen. Onderdeel van het voorstel is om afspraken te maken om de standaarden versneld te implementeren, de voortgang periodiek te meten en de meetresultaten te publiceren
Implementatie van DANE
Sidsel Jensen (Open-Xchange) presenteerde over de implementatie van DANE, kort voor DNS-based Authentication of Named Entities. Een generiek protocol voor het veilig publiceren van publieke sleutels en certificaten. STARTTLS/DANE gaat het afluisteren van mailverkeer tegen. Daarmee beveiligt DANE de vertrouwelijkheid van de berichtenuitwisseling (bron: SIDN).
In Denemarken gelden sinds juni 2023 nieuwe technische eisen voor overheden. Eén van deze eisen is dat DANE moet worden gebruikt voor alle inkomende mailgateways. Momenteel zijn er ongeveer 3,88 miljoen domeinen met DANE. Nederlandse hosters hebben hier een relatief groot aandeel in. Zij bezetten 5 plaatsen in de top 10.
Verder heeft Microsoft aangekondigd dat zij in juni 2024 start met de uitrol van DNSSEC/DANE-ondersteuning voor de ontvangst van e-mail in Exchange Online, wat voor velen een groot verschil gaat maken.
Universal Acceptance
Wereldwijd hebben 2,7 miljard mensen nog steeds geen toegang tot het internet. Universal Acceptance (UA) is een basisvereiste voor een inclusiever internet. Om dit te bereiken focust UA op het vermogen van applicaties en infrastructuur om geïnternationaliseerde domeinnamen (IDN), geïnternationaliseerde e-mailadressen (EAI) en top-level domeinnamen (TLD) van verschillende lengtes en typen op de juiste manier te ondersteunen.
Toepassing van internetstandaarden door bedrijven
Het CBS doet sinds 2020 onderzoek naar de toepassing van internetstandaarden voor websites van bedrijven in opdracht van ministerie EZK met behulp van de Internet.nl API. Eelco van Vliet (CBS) presenteerde tijdens de VEC bijeenkomst de resultaten. De gemiddelde eindscore van de websitetest van alle bedrijven met een website met 2 of meer werknemers is in twee en een half jaar tijd van 60,3 procent in oktober 2020 gestegen naar 65,1 procent in april 2023.
Toepassing van internetstandaarden door de Veilige E-mail Coalitie
Forum Standaardisatie onderzocht hoe de Veilige E-mail Coalitie scoort op de e-mailtest. Hiervoor is gebruikgemaakt van de hoofddomeinen van de betrokken organisaties. Uit de resultaten blijkt dat met een totaalscore van 74,8 procent, de VEC beter scoort dan de bedrijven in het CBS-onderzoek, maar minder goed dan de overheid.
Richtlijnen voor veilig e-mailtransport en e-mailauthenticatie
Patrick Koetter, auteur van de technische richtlijnen “Secure Email Transport” (TR-03108) en “Email Authentication” (TR-03182) van het Duitse Federale Bureau voor Informatiebeveiliging (BSI), was aanwezig voor een toelichting op beide richtlijnen. De richtlijnen zijn niet bindend, het zijn best practices.
Digitaal Veilig
Veiligheid van onze samenleving vraagt meer dan politie op straat en dijken om het water buiten te houden. De Nederlandse maatschappij en economie zijn inmiddels volledig afhankelijk geworden van digitale middelen. Aanvallen op di... + Meer over Digitaal Veilig