Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende e-mailservers.

Organisatorisch werkingsgebied

Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Aanvullende verplichtingen

Voor STARTTLS en DANE heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.

Europese status
Ja

Nut en werking

Typering

Beveiligde verbinding tussen mailservers

Nut

Mailverkeer tussen mailservers verloopt via SMTP. STARTTLS in combinatie met DANE gaan, in aanvulling op SMTP, afluisteren of manipuleren van dit mailverkeer door internetcriminelen tegen. 

Werking

STARTTLS maakt het mogelijk om SMTP-verkeer tussen mailservers over een met TLS versleutelde verbinding te laten lopen.

DANE, dat voortbouwt op DNSSEC, geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van TLS af. Dit voorkomt dat een aanvaller de opzet van STARTTLS kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen.

Detailinformatie

Volledige naam
SMTP Service Extension for Secure SMTP over Transport Layer Security (STARTTLS) en SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE)
Versie
RFC 3207 en RFC 7672
Beheerorganisatie
IETF

Toepassing

Community
Hulpmiddelen
Conformiteitstest

Toetsingsinformatie

Toelichting bij opname

Tijdens de procedure was er een nieuwe concept-standaard (SMTP MTA Strict Transport Security (MTA-STS)) gepubliceerd waarbij de grotere mail platformen betrokken zijn o.a. Gmail en Yahoo!). Deze standaard kan gezien worden als potentiële concurrent van DANE, maar is nog dermate prematuur dat het geen reden was om STARTTLS en DANE op de lijst op te nemen. Zie voor meer informatie het Aanvullend onderzoek SMTP STS

STARTTLS en DANE werden in 2016 op de 'pas toe of leg uit'-lijst geplaatst met verplichting voor ontvangende e-mail servers. Verplichting voor verzendende e-mail servers werd in 2016 prematuur geacht vanwege de nog weinig ontwikkelde marktondersteuning. In 2018 heeft het Forum Standaardisatie de marktondersteuning voor STARTTLS en DANE voor verzendende e-mail servers nogmaals getoetst. Op advies van het Forum Standaardisatie heeft het OBDO het functioneel toepassingsgebied van STARTTLS en DANE op 29 november 2018 uitgebreid naar ontvangende en verzendende e-mail servers.

In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Deze baselines verplichten zodoende afgedwongen versleuteling van verbindingen zoals STARTTLS die in combinatie met DANE ondersteunt.

Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.

Adoptieadviezen

Het Forum en Nationaal Beraad gaf in 2016 ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:

  1. Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
  2. NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
  3. Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
  4. Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
  5. VNG wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
  6. Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
  7. De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
  8. Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
  9. NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard MTA-STS in de gaten te houden en wanneer MTA-STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.

Bij de uitbreiding van het functioneel toepassingsgebied in 2018 werden de volgende aanvullende adviezen gedaan:

  1. Het OBDO wordt opgeroepen de ondersteuning van STARTTLS in combinatie met DANE door leveranciers nader te laten onderzoeken en als vertegenwoordiger van de Nederlandse overheid de leveranciers om betere ondersteuning te vragen.
  2. Het Forum Standaardisatie wordt opgeroepen om over een jaar de stand van zaken rond de alternatieve technologie MTA-STS te evalueren.
  3. Het Forum Standaardisatie wordt opgeroepen om de infographic over e-mailbeveiligingsstandaarden uit te breiden om zodoende de relatie van STARTTLS en DANE met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven.
  4. Organisaties die STARTTLS en DANE toepassen worden opgeroepen de standaarden te implementeren volgens de adviezen van het NCSC.
  5. SIDN wordt opgeroepen om DANE voor mail onderdeel te maken van de incentiveregeling op basis van de Registrar Scorecard.
  6. VNG-Realisatie wordt opgeroepen om de GEMMA Softwarecatalogus aan te passen als het OBDO instemt met uitbreiding van het functioneel uitbreidingsgebied van STARTLS en DANE met uitgaande e-mail-servers. Daarmee krijgen gemeenten beter inzicht in de toepassing van deze standaarden.

De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.

Uitstekend beheer
Nee
Datum van aanmelding
2015-12-16
Datum van besluit
2016-09-19