Over de standaard

Beschrijving

Beveiligd mailverkeer

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.  Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten. 

STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding.  Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien. 

DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.

Werking

STARTTLS

E-mails worden door de e-mailservervan de verzendende partij verstuurd naar de e-mailserver van de ontvangende partij met de SMTP-standaard. Oorspronkelijk gebeurt dit zonder enige versleuteling of beveiliging, waardoor het onderscheppen, aanpassen of injecteren van e-mail verkeer relatief eenvoudig is. STARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen.  Hiervoor moeten zowel de verzendende e-mailserver als de ontvangende e-mailserver STARTTLS ondersteunen.

DANE

Wanneer STARTTLS door één van de servers niet wordt ondersteund of een versleutelde verbinding om een andere reden niet tot stand kan worden gebracht, valt STARTTLS terug op een niet-versleutelde verbinding. Dit voorkomt dat STARTTLS een negatieve invloed heeft op de aflevering van e-mails.  Maar het geeft actieve aanvallers de mogelijkheid om het gebruik van STARTTLS te blokkeren waardoor de verbinding niet versleuteld wordt en het berichtenverkeer kan worden onderschept.

De toepassing van STARTTLS in combinatie met DANE zorgt ervoor dat de verzendende e-mail client zekerheid heeft dat hij met de juiste ontvangende e-mail server verbonden is, en dat de verbinding met TLS beveiligd is.  DANE voorkomt aanvallen waarbij een aanvaller zich uitgeeft voor de ontvangende e-mail server en STARTTLS blokkeert om zo toegang tot de onversleutelde berichten te krijgen of berichten te vervalsen.

Trefwoorden
Beveiliging
e-Mail
Internet

Implementatie

Toelichting

STARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen. DANE maakt het voor de eigenaar van een domein mogelijk om via een met DNSSEC beveiligd DNS-record extra informatie bovenop de offline certificaten aan te reiken. Hierdoor kan real-time een controle worden gedaan op de authenticiteit van de server en of de server-to-server-verbinding legitiem is en niet wordt gemanipuleerd. DANE is dan ook met name belangrijk tegen actieve aanvallers.

Domein
Internet & Beveiliging
Conformiteitstest

Met de mailtest op Internet.nl kan iedereen eenvoudig testen of een ontvangende mailserver STARTTLS en DANE ondersteunt.

Toetsingsinformatie

Functioneel toepassingsgebied

STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende e-mailservers.

Organisatorisch werkingsgebied

Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

Toelichting bij opname
  1. Nu richt het toepassingsgebied zich op inkomende mailservers. De implementatie van STARTTLS in combinatie met DANE is voor uitgaande mailservers ingewikkelder en vraagt meer inzet in tijd en middelen. Ook is er nog onvoldoende ervaring binnen de overheid met de implementatie van de standaarden voor uitgaande mail. Zondra er meer ervaring is opgedaan met implementatie van de standaard kan het toepassingsgebied worden uitgebreid met uitgaande mailstromen. Geadviseerd wordt om dit een jaar na opname van de standaarden te toetsen in samenspraak met de expertgroep.
  2. In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Deze baselines verplichten zodoende afgedwongen versleuteling van verbindingen zoals STARTTLS die in combinatie met DANE ondersteunt.
  3. Tijdens de procedure was er een nieuwe concept-standaard (SMTP STS) gepubliceerd, waarbij de de grotere mail platformen betrokken zijn (o.a. Gmail en Yahoo!). Deze standaard kan gezien worden als potentiële concurrent van DANE, maar is nog dermate prematuur dat het geen reden was om STARTTLS en DANE op de lijst op te nemen. Het onderzoek naar SMTP STS is hieronder bij de documentatie te vinden.

In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis werd het functioneel toepassingsgebied van deze standaard STARTTLS in combinatie met DANE aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.

 

Datum van besluit
19-09-2016
Datum van aanmelding
16-12-2015

Adoptieadviezen

Adoptieadviezen

Het Forum en Nationaal Beraad geeft ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:

  1. Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
  2. NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
  3. Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
  4. Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
  5. KING wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
  6. Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
  7. De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
  8. Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
  9. NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard SMTP STS in de gaten te houden en wanneer SMTP STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.