Over de standaard

Beschrijving

Anti-phishing

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

Voorkomt misbruik van een domeinnaam.

Werking

DKIM is een beveiligingsstandaard die een e-mailbericht aan een domeinnaam koppelt met behulp van een digitale handtekening. Het stelt de ontvanger in staat om te bepalen welke domeinnaam (en daarmee welke achterliggende organisatie) verantwoordelijk is voor het zenden van de e-mail.

Trefwoorden
Beveiliging
e-Mail
Website

Detailinformatie

Beheerorganisatie
IETF
Volledige naam
DomainKeys Identified Mail Signatures
Version
RFC 6376
Waarvoor geldt de verplichting

Bij het investeren in e-mail servers en alle systemen die domeinnamen gebruiken.

Voor DKIM heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt. Tweemaal per jaar wordt gemeten hoe de overheid aan deze afspraak voldoet. Zie https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken voor details.

 

Implementatie

Toelichting
  • DNS, SMTP, MIME, SHA-2: In de DKIM-specificatie wordt verwezen naar  deze standaarden.
  • DNSSEC: Verificatie van de DKIM-handtekening vindt plaats via het publieke deel van de publiek-private sleutel-combinatie waarmee de handtekening gezet is. Deze publieke sleutel wordt in het DNS-record voor het domein geplaatst dat eigendom is van de organisatie die de DKIM-handtekening in een bericht plaatst. Met invoering van een veilig DNS, te weten DNSSEC, kan de betrouwbaarheid van DKIM als authenticatiemiddel toeneme
Domein
Internet & Beveiliging
Hulpmiddelen

DKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.

Community en Organisaties
  • DKIM.org
  • IETF

Toetsingsinformatie

Functioneel toepassingsgebied

DKIM moet worden toegepast op alle overheidsdomeinnamen waarvandaan wordt gemaild én op alle mailservers waarmee de overheid e-mail verstuurt en ontvangt.
Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

Organisatorisch werkingsgebied

Overheden en instellingen uit de publieke sector.

Toelichting bij opname

Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: 

  1. Digivaardig & Digiveilig om burgers te informeren over het veilig gebruik van e-mail die afkomstig is van overheden  (bijv. m.b.t. het uitvragen van DigiD-gegevens). Status: Contact loopt. Nieuwsbericht wordt geplaatst/rondgestuurd.
  2. Het Nationaal Cyber Security Centrum (NCSC) om via Waarschuwingsdienst.nl melding te doen van relevante spam- en phishingactiviteiten die in naam van overheidsorganisaties worden uitgevoerd. Status: Contact loopt
  3. Het NCSC om een richtlijn (analoog aan en in aanvulling op de “ICT-Beveiligingsrichtlijnen voor webapplicaties”) over veilig en betrouwbaar e-mailverkeer op te stellen voor overheidsorganisaties. Laat  daarin ook de aanbeveling opnemen om, naast DKIM, additioneel SPF voor e-mailverzending in te zetten en beschouw de samenhang met andere standaarden. Laat hierin ook wijzen op het nut van DKIM verificatie door de overheid zelf, om phishing en spoofing gericht tegen overheidspartijen en ambtenaren zichtbaar te maken. Status: Contact loopt. Er is een voorsteltekst naar NCSC gestuurd. 
  4. Beheerders (o.a. ICTU, Logius) van domeinen met een hoog risico op phishing/spam activiteiten (bijv. DigiD, Overheid.nl, MijnOverheid.nl, etc.) om DKIM te gebruiken bij het uitsturen van e-mails. Status: Contact loopt. DigiD en MijnOverheid hebben DKIM op doorontwikkelagenda opgenomen.

Het College Standaardisatie beveelt aan om, naast DKIM, additioneel Sender Policy Framework (SPF) voor e-mailverzending in te zetten. SPF is vastgelegd in RFC 4408 van IETF.

In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard DKIM aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 24 mei 2018. Een toelichting treft u in dit document

 

Datum van besluit
2012-06-15
Datum van aanmelding
2010-11-02
Europese status (MSP)
Ja

Adoptieadviezen

Adoptieadviezen

Bij de opname op de 'pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering.