Over de standaard

Beschrijving

Anti-phishing

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

Voorkomt misbruik van een domeinnaam.

Werking

DKIM is een beveiligingsstandaard die een e-mailbericht aan een domeinnaam koppelt met behulp van een digitale handtekening. Het stelt de ontvanger in staat om te bepalen welke domeinnaam (en daarmee welke achterliggende organisatie) verantwoordelijk is voor het zenden van de e-mail.

Waarvoor geldt de verplichting

Bij het investeren in e-mail servers en alle systemen die domeinnamen gebruiken.

Trefwoorden
Beveiliging
e-Mail
Website

Detailinformatie

Beheerorganisatie
IETF
Uitstekend beheer
Nee
Volledige naam
DomainKeys Identified Mail Signatures
Version
RFC 6376

Implementatie

Hulpmiddelen

DKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.

Community en Organisaties
  • DKIM.org
  • IETF
Toelichting
  • DNS, SMTP, MIME, SHA-2: In de DKIM-specificatie wordt verwezen naar  deze standaarden.
  • DNSSEC: Verificatie van de DKIM-handtekening vindt plaats via het publieke deel van de publiek-private sleutel-combinatie waarmee de handtekening gezet is. Deze publieke sleutel wordt in het DNS-record voor het domein geplaatst dat eigendom is van de organisatie die de DKIM-handtekening in een bericht plaatst. Met invoering van een veilig DNS, te weten DNSSEC, kan de betrouwbaarheid van DKIM als authenticatiemiddel toenemen.

 

Domein
Internet & Beveiliging

Adoptieadviezen

Adoptieadviezen

Bij de opname op de 'pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering

Toetsingsinformatie

Functioneel toepassingsgebied

DKIM moet worden toegepast op alle overheidsdomeinnamen waarvandaan wordt gemaild én op alle mailservers waarmee de overheid e-mail verstuurt en ontvangt.

Organisatorisch werkingsgebied

Overheden en instellingen uit de publieke sector.

Toelichting bij opname

Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: 

  1. Digivaardig & Digiveilig om burgers te informeren over het veilig gebruik van e-mail die afkomstig is van overheden  (bijv. m.b.t. het uitvragen van DigiD-gegevens). Status: Contact loopt. Nieuwsbericht wordt geplaatst/rondgestuurd.
  2. Het Nationaal Cyber Security Centrum (NCSC) om via Waarschuwingsdienst.nl melding te doen van relevante spam- en phishingactiviteiten die in naam van overheidsorganisaties worden uitgevoerd. Status: Contact loopt
  3. Het NCSC om een richtlijn (analoog aan en in aanvulling op de “ICT-Beveiligingsrichtlijnen voor webapplicaties”) over veilig en betrouwbaar e-mailverkeer op te stellen voor overheidsorganisaties. Laat  daarin ook de aanbeveling opnemen om, naast DKIM, additioneel SPF voor e-mailverzending in te zetten en beschouw de samenhang met andere standaarden. Laat hierin ook wijzen op het nut van DKIM verificatie door de overheid zelf, om phishing en spoofing gericht tegen overheidspartijen en ambtenaren zichtbaar te maken. Status: Contact loopt. Er is een voorsteltekst naar NCSC gestuurd. 
  4. Beheerders (o.a. ICTU, Logius) van domeinen met een hoog risico op phishing/spam activiteiten (bijv. DigiD, Overheid.nl, MijnOverheid.nl, etc.) om DKIM te gebruiken bij het uitsturen van e-mails. Status: Contact loopt. DigiD en MijnOverheid hebben DKIM op doorontwikkelagenda opgenomen.

Het College Standaardisatie beveelt aan om, naast DKIM, additioneel Sender Policy Framework (SPF) voor e-mailverzending in te zetten. SPF is vastgelegd in RFC 4408 van IETF.

 

 

Datum van aanmelding
02-11-2010
Datum van besluit
15-06-2012
Europese status (MSP)
Ja