STARTTLS en DANE
 ID: STARTTLS en DANE Publicatiedatum: 2016/09/19 Versie: RFC 3207 en RFC 7672 Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: FS:STARTTLS en DANE Status actualiteit: Actueel [1] |
Beveiligd mailverkeer
STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.
Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.
STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.
DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.
Volledige namen:
"SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE), STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.
Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.
STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.
DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.
Met de mailtest op Internet.nl kan iedereen eenvoudig testen of een ontvangende mailserver STARTTLS en DANE ondersteunt.
E-mails worden door de e-mailservervan de verzendende partij verstuurd naar de e-mailserver van de ontvangende partij met de SMTP-standaard. Oorspronkelijk gebeurt dit zonder enige versleuteling of beveiliging, waardoor het onderscheppen, aanpassen of injecteren van e-mail verkeer relatief eenvoudig is. STARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen. Hiervoor moeten zowel de verzendende e-mailserver als de ontvangende e-mailserver STARTTLS ondersteunen.
Wanneer STARTTLS door één van de servers niet wordt ondersteund of een versleutelde verbinding om een andere reden niet tot stand kan worden gebracht, valt STARTTLS terug op een niet-versleutelde verbinding. Dit voorkomt dat STARTTLS een negatieve invloed heeft op de aflevering van e-mails. Maar het geeft actieve aanvallers de mogelijkheid om het gebruik van STARTTLS te blokkeren waardoor de verbinding niet versleuteld wordt en het berichtenverkeer kan worden onderschept.
De toepassing van STARTTLS in combinatie met DANE zorgt ervoor dat de verzendende e-mail client zekerheid heeft dat hij met de juiste ontvangende e-mail server verbonden is, en dat de verbinding met TLS beveiligd is. DANE voorkomt aanvallen waarbij een aanvaller zich uitgeeft voor de ontvangende e-mail server en STARTTLS blokkeert om zo toegang tot de onversleutelde berichten te krijgen of berichten te vervalsen.
- Nut: STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.
Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.
STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.
DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende e-mailservers.
- Organisatorisch werkingsgebied: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Meer informatie
- https://tools.ietf.org/html/rfc3207, https://tools.ietf.org/html/rfc7672specificatiedocument STARTTLES
- Beheerorganisatie: IETF
Gerelateerd
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg Uit
Toepassing in voorzieningen en bouwstenen
| Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
|---|---|---|---|---|---|
| BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BAG (Basisregistratie Adressen en Gebouwen) | STARTTLS is geïmplementeerd (zie: https://internet.nl/domain/www.kadaster.nl/). Eerdere planningen voor implementatie van DANE per Q1 2018 en later Q1 2019 zijn niet gehaald. De verhuizing van het mail domein is vertraagd, waarbij opgemerkt moet worden dat de bestemming, in dit geval Microsoft, geen planning heeft voor de implementatie van DANE. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRT (Basisregistratie Topografie) | STARTTLS is geïmplementeerd (zie: https://internet.nl/domain/www.kadaster.nl/). Eerdere planningen voor implementatie van DANE per Q1 2018 en later Q1 2019 zijn niet gehaald. De verhuizing van het mail domein is vertraagd, waarbij opgemerkt moet worden dat de bestemming, in dit geval Microsoft, geen planning heeft voor de implementatie van DANE. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRV (Basisregistratie Voertuigen) | De BRV voldoet aan STARTTLS, DANE, DKIM en SPF | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DigiD | De mailservers van DigiD passen STARTTLS/DANE toe (zie: https://internet.nl/mail/digid.nl/). Vanwege ondersteuning van oudere e-mailservers is een risicoafweging gemaakt om de TLS-versies 1.0 en 1.1 te blijven aanbieden. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Digilevering | Digilevering draait op het Logius Managed Services platform.
Vanuit de clouddienst is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Digimelding | Digimelding draait op het Logius Managed Services platform. Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| EHerkenning Idensys Stelsel Elektronische Toegangsdiensten | STARTTLS is geïmplementeerd voor eherkenning.nl en idensys.nl. DANE voor SMTP is voor de maildomeinen geïmplementeerd bij de centrale e-mailvoorziening, die Logius als dienst afneemt van het Shared Service Centrum van het Rijk (SSC-ICT). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| HR (Basisregistratie Handelsregister) | De voorziening past STARTTLS toe, DANE nog niet (zie: https://internet.nl/mail/kvk.nl/). Volgens planning van Microsoft wordt STARTTLS/DANE eind 2021 ondersteund. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| MijnOverheid | Deze standaard wordt toegepast. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Ondernemersplein | Aan STARTTLS wordt voldaan, maar aan DANE wordt nog niet voldaan. De KvK vindt de relevantie van DANE voor mail laag: er zijn geen mailservers die DANE geïmplementeerd hebben. | voldoet niet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijksoverheid.nl e-mail | Verzendende mailservers die STARTTLS ondersteunen, kunnen met ontvangende mailserver(s) een beveiligde verbinding opzetten. Rijksoverheid.nl voldoet aan DANE (zie: https://internet.nl/mail/rijksoverheid.nl/). Deze wordt door SSC-ICT beheerd in samenwerking met AZ. Technisch gezien is SSC-ICT het aanspreekpunt. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Standard Business Reporting (SBR) | Aan STARTTLS en DANE wordt nog niet voldaan. Dit stond gepland voor Q1 2019 en nieuwe planning volgt in Q4 2019. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Website RDW.nl | Deze zullen uiterlijk Q3 2020 geconfigureerd zijn overeenkomstig de overheidsstandaarden (zie: https://internet.nl/mail/rdw.nl/). | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DWR (Digitale Werkomgeving Rijksdienst) | STARTTLS en DANE zijn geïmplementeerd. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| ODC-Noord | STARTTLS/DANE is voor de mailomgeving rijkscloud.nl onvoldoende veilig geïmplementeerd (niet conform de NCSC richtlijnen). De mailomgeving van DUO, waarop odc-noord.nl en sso-noord.nl worden gehost, is STARTTLS ingericht, maar DANE niet. https://internet.nl/mail/odc-noord.nl/247561/#; https://internet.nl/mail/rijkscloud.nl/247562/#control-panel-16; https://internet.nl/mail/sso-noord.nl/247564/#control-panel-9 | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Overheid.nl | Overheid.nl voldoet hieraan (zie: https://internet.nl/mail/overheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| P-Direkt | STARTTLS en DANE zijn van toepassing. STARTTLS is wel geïmplementeerd op de Rijks Mail Relay, DANE niet. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| PDOK | STARTTLS en DANE zijn geïmplementeerd (zie: https://internet.nl/mail/pdok.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijkspas | Rijkspas neemt email dienstverlening af van SSC-ICT, en vanuit deze leverancier is aangegeven dat nog niet alle randvoorwaarden in plaats zijn voor deze standaard.
Eén van deze randvoorwaarden is DNSSEC, waarvan de implementatie afhankelijk is van de verhuizing naar het nieuwe data center. Na deze implementatie zal SSC-ICT opnieuw de mogelijkheden van STARTTLS en DANE analyseren. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| TenderNed | STARTTLS en DANE worden ondersteund. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Toelichting: Bouwstenen en gebruikte standaarden
- ↑ Afgeleid van Status bij Forum Standaardisatie: (Verplicht (pas toe leg uit))
