31-08-2018

Forum Standaardisatie reikt oorkonde uit voor opname DMARC op lijst open standaarden

Op 30 augustus ontving Tim Draegen, voorzitter van de DMARC Working Group van IETF (https://datatracker.ietf.org/wg/dmarc/charter/), een oorkonde voor de opname van DMARC op de “pas toe of leg uit”-lijst van het Forum Standaardisatie. DMARC is een belangrijke standaard die helpt om e-mailphishing tegen te gaan.

Op 24 mei 2018 heeft het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op advies van het Forum Standaardisatie besloten om DMARC op te nemen op de “pas toe of leg uit”-lijst. De opname is in lijn met de reeds geldende overheidsbrede streefbeeldafspraken voor DMARC. Mede door deze afspraken is de gemiddelde adoptiegraad van DMARC onder overheden in 2,5 jaar tijd toegenomen van 23% naar 65%.

DMARC verplicht voor Nederlandse overheid

Overheden zijn vanaf nu conform “pas toe of leg uit” verplicht om bij investeringen in e-mailsystemen of -diensten om DMARC te vragen. Bovendien zijn de overheidsbrede streefbeeldafspraken (https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken) van kracht dat alle overheden DMARC op al hun domeinnamen moeten toepassen, en aanvullend voor het einde van 2019 strikte DMARC-instellingen (d.w.z. p=quarantine of p=reject) moeten implementeren.

DMARC als standaard

De toetsing door het Forum Standaardisatie laat zien dat veel leveranciers DMARC ondersteunen en dat DMARC zowel binnen als buiten de overheid steeds meer gebruikt wordt. De standaard heeft grote waarde in de preventie van phishing. Ook is naar voren gekomen dat DMARC momenteel nog geen IETF-standaard is, mede vanwege issues met mailinglists. Gelet op de grote toegevoegde waarde en het brede, groeiende gebruik van DMARC, ziet het Forum Standaardisatie dit niet langer als struikelblok voor opname op de “pas toe of leg uit”-lijst. Bovendien spelen de issues niet of nauwelijks voor overheden. Het Forum Standaardisatie waardeert het werk van de IETF DMARC Working Group zeer en roept betrokkenen op om DMARC voortvarend naar het niveau van IETF-standaard te brengen.

Werking van DMARC

DMARC (https://www.forumstandaardisatie.nl/standaard/dmarc) is een open standaard die het mogelijk maakt om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Via DMARC kan een organisatie ook rapportages ontvangen waarin legitiem en niet-legitiem gebruik van haar domeinnaam zichtbaar is.

DMARC gebruikt DKIM (https://www.forumstandaardisatie.nl/standaard/dkim) en SPF (https://www.forumstandaardisatie.nl/standaard/spf) om de authenticiteit van een e-mail te verifiëren. SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein e-mail mag verzenden. DKIM koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. Wanneer deze verificatie niet mogelijk is wordt het DMARC-beleid in werking gezet.

Toetsing van standaarden

Standaarden die de toetsingsprocedure (https://www.forumstandaardisatie.nl/content/toetsen-van-standaarden) positief hebben doorlopen, legt het Forum Standaardisatie ter besluitvorming voor aan het OBDO. Tijdens de procedure wordt de standaard getoetst aan inhoudelijke criteria. Deze criteria borgen de doelstelling van de lijst van het Forum Standaardisatie: het bevorderen van de interoperabiliteit en leveranciersonafhankelijkheid. Zodra het OBDO de standaard bekrachtigt, komt deze op de “pas toe of leg uit”-lijst en wordt daarmee verplicht. Dit houdt in dat de standaarden dus door overheidsorganisaties uitgevraagd moeten worden bij de aanschaf van ICT-producten of ICT-diensten van € 50.000 of meer. Er zijn ook standaarden die in aanmerking komen voor de status “Aanbevolen” omdat ze gangbaar zijn of in opkomst en veelbelovend.

Kijk hier (https://www.forumstandaardisatie.nl/open-standaarden/lijst/verplicht) voor de overige open standaarden die zijn voorgelegd aan het Forum Standaardisatie en de toetsingsprocedure positief hebben doorlopen.