icoon e-mail

Zorg voor betrouwbare email door drie open standaarden te gebruiken: SPF, DKIM en DMARC.

Phishing, het versturen van valse e-mails namens een organisatie, wordt steeds meer gebruikt in gerichte aanvallen. Dit soort phishingmails zijn dan voor gebruikers nauwelijks te herkennen, aldus het Cybersecuritybeeld Nederland 2015. Ook thuisgebruikers worden regelmatig geconfronteerd met phishingaanvallen om gevoelige informatie te achterhalen of computers te infecteren.

E-mailfraude berokkent schade

Onderzoek van KING/IBD wijst uit dat veel e-mailsystemen van overheden op de één of andere manier misbruikt worden. Naast de schade die organisaties en burgers kunnen ondervinden als hun gevoelige informatie gephisht wordt door criminelen, kunnen overheden ook imagoschade oplopen. De kans bestaat dat burgers dan ook de legitieme e-mail van overheidsinstanties niet meer vertrouwen.

U kunt e-mailfraude makkelijk voorkomen en bestrijden

Met drie vrij beschikbare en gemakkelijk te gebruiken e-mailbeveiligingsstandaarden kunt u veel voorkomen. Helaas worden ze  nog te weinig toegepast. De Nederlandse overheid kan en moet hierin het goede voorbeeld geven.

  1. SPF voorkomt dat iemand in naam van uw organisatie een e-mail kan sturen. SPF controleert de afzender van een e-mail op echtheid.
  2. DKIM voorkomt vervalsing van e-mails. Als iemand knoeit met de inhoud van een e-mail, detecteert DKIM dat.
  3. DMARC vertelt uw mailserver wat hij moet doen als hij een verdachte e-mail ontvangt. Ook zorgt DMARC ervoor dat een organisatie informatie krijgt over vervalste e-mail die in z’n naam verstuurd is.

Hoe bescherm ik de e-mail van mijn organisatie?

Op internet.nl kunt u heel eenvoudig  testen of uw e-mail beveiligd is met SPF, DKIM en DMARC. SPF en DKIM zijn gemakkelijk in te stellen door uw domeinnaambeheerder. Goede domeinnaambeheerders gebruiken deze standaarden al. Laat ook zo snel mogelijk DMARC inschakelen, zodat u waardevolle informatie verzamelt over pogingen om uw e-mailsystemen te misbruiken.

Pas de standaarden zowel voor inkomende als uitgaande e-mail toe. Ontvangers van uw e-mail zijn er dan zeker van dat uw berichten echt van uw organisatie komen.  En u beschermt de gebruikers in uw eigen organisatie tegen phishing en spam.

Voor nieuwe aanbestedingen is het uitvragen van SPF en DKIM verplicht volgens het besluit instructie rijksdienst inzake de aanschaf van ICT producten en diensten.

Meer informatie

Het Nationaal Cyber Security Centrum (NCSC) heeft een goede factsheet over het gebruik van deze standaarden.

 

Veelgestelde vragen over Internetbeveiligingsstandaarden

1. Wat is jullie relatie met het Platform Internetstandaarden?

Het Bureau Forum Standaardisatie is medeoprichter en lid van het Platform Internetstandaarden. Samen met het Platform Internetstandaarden maken wij ons sterk voor de adoptie van Internetstandaarden die fraude met e-mail en websites tegengaan. Het Platform Internetstandaarden heeft het zelf test tool internet.nl ontwikkeld.

2. Wanneer moeten wij DNSSEC toepassen?

Het is altijd aan te bevelen om uw DNS te beveiligen met DNSSEC. Dit voorkomt dat cybercriminelen uw webverkeer kunnen omleiden naar valse sites. Het biedt ook bescherming aan de SPF, DKIM en DANE records die in uw DNS staan.

3. Mijn Internet provider biedt geen DNSSEC aan. Wat nu?

Geef uw domeinen bij AZ in beheer. Hiermee krijgt u gegarandeerd DNSSEC ondersteuning, en profiteert u van de DNS diensten die AZ aanbiedt voor de overheid. Indien dit geen optie is, eis dan dat uw Internet provider DNSSEC toepast. Overweeg van Internet provider te veranderen als uw provider niet meewerkt.

4. Met onze website worden geen gevoelige gegevens uitgewisseld. Hoeven we dan geen TLS te gebruiken?

Het gebruik van TLS is altijd aan te raden. Zelfs als uw website alleen informatief is, geen formulieren heeft, en niet gebruikt wordt voor het uitwisselen van gevoelige gegevens. Op die manier kan de gebruiker erop rekenen dat hij of zij echt verbonden is met uw organisatie, en dat niemand kan knoeien met de verbinding.

5. Hoeveel kost het om TLS te installeren?

De aanschaf van een PKIOverheid certificaat is de belangrijkste kostenpost bij het toepassen van TLS. De standaard zelf kan u met open source software installeren, wat nagenoeg geen kosten met zich meebrengt.

6. Wij verzenden geen e-mail vanaf ons domein. Moeten wij dan SPF en DKIM toepassen?

Juist als u geen e-mail stuurt vanaf een domein heeft het zin een SPF voor dit domein te nemen in uw DNS. Dit voorkomt dat anderen in naam van uw domein valse e-mails kunnen sturen. Het opnemen van een SPF record kost nagenoeg geen moeite.

7. Moet ik SPF en DKIM toepassen voor uitgaande of inkomende mail, of beiden?

SPF en DKIM zijn het meest effectief als ze aan de verzendende en aan de ontvangende kant toegepast worden. Pas SPF altijd toe voor al uw domeinen. Zo voorkomt u dat anderen in uw naam valse e-mails kunnen sturen. Teken uw uitgaande mail altijd met DKIM. Zo zorgt u ervoor dat de ontvanger de echtheid van uw mail kan controleren. En controleer inkomende mails op zowel SPF als DKIM. Hiermee voorkomt u dat er phishing e-mails en spam binnenkomen bij uw organisatie.

8. Wij werken met een heleboel subdomeinen. Moeten we SPF toepassen voor alle subdomeinen? Ook domeinen waar vanaf we geen e-mail sturen?

Het is verstandig om SPF voor ieder (sub)domein in uw beheer toe te passen. Ook domeinen van waaruit geen e-mail verstuurd wordt. Zo voorkomt u dat derden spam en phishing e-mail in naam van één van uw subdomeinen stuurt. Want ook dat kan uw reputatie schaden.

9. Hoeveel kost het om SPF, DKIM en DMARC te installeren?

SPF, DMARC en DKIM vereisen een kleine aanpassing in het DNS record van uw organisatie. Dit is eenvoudig en brengt nagenoeg geen kosten met zich mee. Het analyseren van mailstromen met DMARC heeft meer voeten in de aarde, maar u kunt dit stapsgewijs invoeren. In ieder geval wegen de geringe kosten gegarandeerd op tegen de (materiële-, organisatie- en imago-) schade die u voorkomt als gevolg van e-mail fraude.

10. Waarom staat DMARC niet op de lijst verplichte standaarden?

DMARC is een veelbelovende standaard in de strijd tegen de e-mail fraude, samen met SPF en DKIM. DMARC wordt veel toegepast, maar had tot voor kort nog geen formele status als IETF standaard. We verwachten dat DMARC zal worden aangemeld voor de 'pas toe of leg uit' lijst van standaarden, en raden het gebruik van deze standaard sterk aan.

11. Waar kan ik hulp krijgen met SPF, DKIM, DMARC, TLS of DNSSEC?

Het Bureau Forum Standaardisatie kan u helpen deze Internetstandaarden toe te passen in uw organisatie. Wij brengen u ook in contact met overheidspartijen die deze standaarden al toepassen en u met goede raad terzijde kunnen staan. Verder heeft het NCSC heeft uitstekende fact sheets die u op weg helpen met deze standaarden.