Over de standaard

Beschrijving

Beveiligd mailverkeer

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.  Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten. 

STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding.  Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien. 

DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.

Werking

STARTTLS

E-mails worden door de e-mailservervan de verzendende partij verstuurd naar de e-mailserver van de ontvangende partij met de SMTP-standaard. Oorspronkelijk gebeurt dit zonder enige versleuteling of beveiliging, waardoor het onderscheppen, aanpassen of injecteren van e-mail verkeer relatief eenvoudig is. STARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen.  Hiervoor moeten zowel de verzendende e-mailserver als de ontvangende e-mailserver STARTTLS ondersteunen.

DANE

Wanneer STARTTLS door één van de servers niet wordt ondersteund of een versleutelde verbinding om een andere reden niet tot stand kan worden gebracht, valt STARTTLS terug op een niet-versleutelde verbinding. Dit voorkomt dat STARTTLS een negatieve invloed heeft op de aflevering van e-mails.  Maar het geeft actieve aanvallers de mogelijkheid om het gebruik van STARTTLS te blokkeren waardoor de verbinding niet versleuteld wordt en het berichtenverkeer kan worden onderschept.

De toepassing van STARTTLS in combinatie met DANE zorgt ervoor dat de verzendende e-mail client zekerheid heeft dat hij met de juiste ontvangende e-mail server verbonden is, en dat de verbinding met TLS beveiligd is.  DANE voorkomt aanvallen waarbij een aanvaller zich uitgeeft voor de ontvangende e-mail server en STARTTLS blokkeert om zo toegang tot de onversleutelde berichten te krijgen of berichten te vervalsen.

Trefwoorden
Beveiliging
e-Mail
Internet

Detailinformatie

Beheerorganisatie
IETF
Volledige naam
"SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
Version
RFC 3207 en RFC 7672
Waarvoor geldt de verplichting

Voor STARTTLS en DANE heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt. Tweemaal per jaar wordt gemeten hoe de overheid aan deze afspraak voldoet. Zie https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken voor details.

Implementatie

Toelichting

STARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen. DANE maakt het voor de eigenaar van een domein mogelijk om via een met DNSSEC beveiligd DNS-record extra informatie bovenop de offline certificaten aan te reiken. Hierdoor kan real-time een controle worden gedaan op de authenticiteit van de server en of de server-to-server-verbinding legitiem is en niet wordt gemanipuleerd. DANE is dan ook met name belangrijk tegen actieve aanvallers.

Domein
Internet & Beveiliging
Conformiteitstest

Met de mailtest op Internet.nl kan iedereen eenvoudig testen of een ontvangende mailserver STARTTLS en DANE ondersteunt.

Toetsingsinformatie

Functioneel toepassingsgebied

STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers.

Organisatorisch werkingsgebied

Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Toelichting bij opname

STARTTLS en DANE werden in 2016 op de pas-toe-of-leg-uit lijst geplaatst met verplichting voor ontvangende e-mail servers. Verplichting voor verzendende e-mail servers werd in 2016 prematuur geacht vanwege de nog weinig ontwikkelde marktondersteuning.

In 2018 heeft het Forum Standaardisatie de marktondersteuning voor STARTTLS en DANE voor verzendende e-mail servers nogmaals getoetst. Op advies van het Forum Standaardisatie heeft het OBDO het functioneel toepassingsgebied van STARTTLS en DANE op 29 november 2018 uitgebreid naar ontvangende en verzendende e-mail servers.

In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Deze baselines verplichten zodoende afgedwongen versleuteling van verbindingen zoals STARTTLS die in combinatie met DANE ondersteunt.

Tijdens de procedure was er een nieuwe concept-standaard (MTA-STS) gepubliceerd waarbij de grotere mail platformen betrokken zijn o.a. Gmail en Yahoo!). Deze standaard kan gezien worden als potentiële concurrent van DANE, maar is nog dermate prematuur dat het geen reden was om STARTTLS en DANE op de lijst op te nemen. Het onderzoek naar MTA-STS is op deze pagina bij de documentatie te vinden.

Datum van besluit
2016-09-19
Datum van aanmelding
2015-12-16

Adoptieadviezen

Adoptieadviezen

Het Forum en Nationaal Beraad gaf in 2016 ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:

  • Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
  • NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
  • Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
  • Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
  • VNG wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
  • Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
  • De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
  • Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
  • NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard MTA-STS in de gaten te houden en wanneer MTA-STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.

Bij de uitbreiding van het functioneel toepassingsgebied in 2018 werden de volgende aanvullende adviezen gedaan:

  • Het OBDO wordt opgeroepen de ondersteuning van STARTTLS in combinatie met DANE door leveranciers nader te laten onderzoeken en als vertegenwoordiger van de Nederlandse overheid de leveranciers om betere ondersteuning te vragen.
  • Het Forum Standaardisatie wordt opgeroepen om over een jaar de stand van zaken rond de alternatieve technologie MTA-STS te evalueren.
  • Het Forum Standaardisatie wordt opgeroepen om de infographic over e-mailbeveiligingsstandaarden uit te breiden om zodoende de relatie van STARTTLS en DANE met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven.
  • Organisaties die STARTTLS en DANE toepassen worden opgeroepen de standaarden te implementeren volgens de adviezen van het NCSC.
  • SIDN wordt opgeroepen om DANE voor mail onderdeel te maken van de incentiveregeling op basis van de Registrar Scorecard.
  • VNG-Realisatie wordt opgeroepen om de GEMMA Softwarecatalogus aan te passen als het OBDO instemt met uitbreiding van het functioneel uitbreidingsgebied van STARTLS en DANE met uitgaande e-mail-servers. Daarmee krijgen gemeenten beter inzicht in de toepassing van deze standaarden.

De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.