FS:DMARC

Uit NORA Online
Ga naar: navigatie, zoeken
Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/DMARC
Over de standaard
Beschrijving Anti-phishing
Lijst status Verplicht (pas toe leg uit)
Uitleg
Nut DMARC is een standaard voor het veiliger maken van e-mail verkeer door het tegengaan van spam en phisingmail door misbruik van domeinnamen bij e-mail te voorkomen.
Werking Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl
Waarvoor geldt de verplichting Bij investeringen in ICT-systemen voor uitgaande en inkomende e-mail en in domeinnaamsystemen (DNS)
TrefwoordenBeveiliging, e-Mail, Website
Detailinformatie
BeheerorganisatieIETF
Uitstekend beheer
Specificatiedocumenthttps://datatracker.ietf.org/doc/rfc7489/
Volledige naamDomain-based Message Authentication, Reporting, and Conformance
VersionRFC 7489
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest Conformiteit kan getoetst worden via www.internet.nl en www.phishingscorecard.com
DomeinInternet & Beveiliging
Relatie met andere standaarden
  • DKIM
  • DNSSEC
  • SPF
  • ToelichtingDMARC maakt gebruik van SPF en DKIM. SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein e-mail mag verzenden. DKIM koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. DMARC gebruikt DKIM en SPF om de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een e-mail te verifiëren. Wanneer deze verificatie niet mogelijk is wordt het DMARC-beleid in werking gezet. Verder kent de standaard een nauwe relatie met DNSSEC een standaard voor het beveiligen van domeinnamen.
    Toetsingsinformatie
    Hulpmiddelen
    Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.
     
    Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. Overheden en instellingen uit de publieke sector
    Toelichting bij opname Bij het toetsen van de standaard was deze nog niet volledig in beheer genomen bij IETF. De standaard zelf is stabiel en de beheerprocedures zijn geheel afgestemd op IETF. Besloten is dat om DMARC op te nemen op de ‘pas toe of leg uit’-lijst onder voorwaarde dat DMARC minimaal een proposed standard is en wordt beheerd door IETF.
    In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van deze standaard DMARC aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 24 mei 2018. Een toelichting treft u in dit document.
    Datum van aanmelding30-10-2014
    Datum van besluit18-05-2015
    Europese status (MSP)
    Documentatiehttps://www.forumstandaardisatie.nl/sites/bfs/files/Aanmelding_DMARC.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Intakeadvies%20DMARC.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies_DMARC_1.0.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Reacties%20uit%20openbare%20consultatie%20DMARC%20en%20SPF.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Forumadvies%20DMARC%20en%20SPF.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_1.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018.pdf
    Forum-Adviezen
    Advies aan beheerder
    AdoptieadviezenOm adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:

    Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
    Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
    Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
    Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
    Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.

    De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
    Leveranciers