Add to collection(s) Add to saved
  1. Engineering
  2. Webdesign

Veilig gebruik van e-mail – Aangetekend Mailen

advertisement 
Veilig gebruik van e-mail – Aangetekend Mailen Gemeenten
Tegenwoordig hoort men geregeld in het nieuws dat gebruik van ‘gewone’ e-mail niet meer veilig
genoeg is. De laatste berichten geven aan (juni 2016) dat bijna alle gemeenten op een niet veilige
manier mail verzenden die privacy gevoelige informatie bevat.
Het is niet duidelijk waar de mail vandaan komt, de envelop is niet te vertrouwen!
Wat kan men doen om de betrouwbaarheid en veiligheid te verbeteren?
Aangetekend Mailen gebruikt diverse technieken om te zorgen dat het duidelijk is wie de mail
verstuurd.
Dit gebeurd op de volgende manier:
1.
2.
3.
4.
Identificatie (wie)
Authenticatie (echt waar?)
Autorisatie (wat mag hij/zij)
Assessment (reputatie/accreditatie van autorisatie)
Sender Policy Framework (SPF)
Sender Policy Framework is een protocol dat als doel heeft spam te verminderen.
De vraag: "Is de verzender van een mailbericht gerechtigd om een bericht te verzenden namens de
afzender van het bericht, wordt hiermee beantwoord.
SPF vereist het gebruik van een DNS record. Hierin wordt aangegeven welke servers berichten mogen
sturen namens een domeinnaam.
SPF binnen Aangetekend Mailen:
Aangetekend Mailen maakt op een DNS host een DNS record. Hierbij een voorbeeld van een DNS
record:
v=spf1 mx -all
De definitie van dit SPF record geeft aan dat er vereist wordt dat er een MX-record bestaat. Alleen de
adressen die daarin staan mogen een mail versturen. De “-all” geeft aan dat iedereen die er niet in
staat dit niet mag.
Een van de controles die Aangetekend Mailen uitvoert is het controleren of de aangemaakte DNS
record gepubliceerd zijn op het internet. Dit kan met bijvoorbeeld mxtoolbox.com.
Hierbij een screenshot met uitleg van de SPF waarde:
Mail eXchange-record (MX-record)
Een MX-record bevat de naam van de computer die mailverkeer voor het betreffende domein
afhandelt. Een domein kan meerdere MX-records hebben met verschillende prioriteiten.
In dit voorbeeld zien we een MX-record met de gekoppelde IP-adressen:
Wat doet Aangetekend Mailen:
Aangetekend Mailen maakt op de DNS host een DNS MX-record aan.
*.klantnaam
MX
0
klantnaam
In dit voorbeeld gebruiken we prioriteit is 0 omdat er geen sprake is van meerdere mailservers.
Verder wordt een AAAA record aangemaakt met het ipv6 adres van de server.
Transport Layer Security (TLS)
TLS is een protocol dat gebruikt maakt van certificaten om de uitgewisselde gegevens te
authentiseren en privacy te garanderen.
SSL/TLS wordt door browsers wereldwijd gebruikt om HTTPS functionaliteit beschikbaar te stellen.
Elk certificaat bevat een publieke sleutel. De eigenaar van het certificaat bezit een privésleutel die
geassocieerd is met de publieke sleutel in het certificaat.
Aangetekend Mailen gebruikt het postfix programma waarin TLS paden gedefinieerd zijn. Er wordt
verwezen naar het path van het certificaat en de private key.
Een voorbeeld:
# TLS op de Daemon (inkomend)
smtpd_tls_cert_file=/etc/ssl/triopsys/STAR_<klantnaam>_<domeinnaam_extensie>.crt
smtpd_tls_key_file=/etc/ssl/triopsys/star_<klantnaam>_<domeinnaam_extensie>.key
# TLS op de cliënt (uitgaand)
smtp_tls_cert_file=/etc/ssl/triopsys/STAR_<klantnaam>_<domeinnaam_extensie>.crt
smtp_tls_key_file=/etc/ssl/triopsys/star_<klantnaam>_<domeinnaam_extensie>.key
Wat doet Aangetekend Mailen:
Aangetekend Mailen zorgt ervoor dat verkeer over https gaat en dat er gebruik wordt gemaakt van
certificaten, uitgebracht door Geautoriseerde Autoriteiten.
Tevens zorgen we ervoor dat de certificaten tijdig worden verlengd. Dit wordt actief gemonitord door
een Zabbix monitoring systeem.
Domain Keys Identified Mail (DKIM)
DKIM is een techniek waarbij een organisatie verantwoordelijkheid kan nemen voor een bericht dat
per e-mail wordt verzonden. DKIM zelf is geen technologie tegen spam, maar biedt een basis
voor authenticatie, waarmee bijvoorbeeld andere servers opgezet kunnen worden. Deze servers
kunnen op hun beurt dan gebruikt worden door anti-spamfilters.
DKIM voegt het veld "DKIM-Signature" toe aan de header van een e-mail. Dit veld bevat een digitale
handtekening van de inhoud van de e-mail. Deze handtekening wordt gemaakt door middel van
de SHA-256 hashfunctie
De ontvangende SMTP-server gebruikt de domeinnaam van de afzender, de string "_domainkey" en
een selector uit het veld DKIM-Signature om een DNS-aanvraag te doen.
Als antwoord op het DNS-verzoek ontvangt de mailserver de publieke sleutel van de afzender. De
publieke sleutel wordt gebruikt om de handtekening te controleren.
Wanneer de controle slaagt, betekent dit dat de e-mail daadwerkelijk afkomstig is van het
desbetreffende domein en niet aangepast is gedurende het transport.
DKIM zorgt er niet voor dat mails worden geblokkeerd maar een spamfilter beoordeelt de
gemarkeerde DKIM fail en op basis hiervan wordt de mail als verdacht beschouwd.
Voor de verduidelijking een proces overzicht van DKIM:
Wat doet Aangetekend Mailen:
Op de servers worden domain private keys aangemaakt, bijvoorbeeld:
xxx._domainkey.xxx.aangetekendmailen.nl xxx.aangetekendmailen.nl:xxx:<path>/dkimkey/xxx.private
Op de server wordt een public key aangemaakt. Deze public key wordt in een DNS TXT record
beschikbaar gesteld op het internet, hierbij een voorbeeld van een public key:
2016-4._domainkey.xxxTXT ("v=DKIM1;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA45ZRTvtPvyj+4NDoTqFb
DbPKUM/y6rWBGQzRDRwDjCunNjUjsOsi70vjhfm0FP6NK+/1k/em8TW5E52tSIxO gQd3mnT
cIv273SgX/gLbtdpdQwTHFzrP3fstQdPJW6P7NIUHz7oQIV5465b135pm
hd7G3c+HeHJbiTBE+VQwa/gDnR6ZyrDZjpWfuDH54K2UncOKt""2dkK5INBA6IXvO9
7aBSF7RKpXunScQKQ19uQHoqa
/Zicsy8olcPrPKaM+lKZJHA33g4TZkwm6nhcWds
LRQJfdT3/9LGG45fyWplhScLk/NRA4CmlrZD6BTWI9B0e8H/Msb9iqi789FBAxtw qQIDAQAB")
DMARC en DANE
Vooralsnog maakt Aangetekend Mailen nog geen gebruik van de laatste ontwikkelingen zoals DMARC
en DANE maar houden dit nauwlettend in de gaten.
Domain-based Message Authentication, Reporting & Conformance (DMARC):
Met een DMARC-record, kan in het DNS een soort beleid kenbaar worden gemaakt. Bijvoorbeeld (in
versimpelde vorm): “als de DKIM-handtekening niet klopt, of als SPF faalt, stop deze mail dan in de
spamfolder”.
Een voorbeeld van hoe dit eruit zou kunnen zien:
_dmarc.aangetekendmailen.nl.
IN TXT “v=DMARC1; p=quarantine”
Wat doet DMARC:
•
•
•
Advies aan ontvanger over hoe te handelen
Strikte policies en opvolging ervan beschermen je relaties en reputatie
Inzage in mailstromen door middel van feedback loops
Waarom gebruiken wij dit nog niet:
•
•
•
Geen zekerheid over opvolging advies
Weinig reporters
Wordt nog weinig gebruikt
DNS-based Authentication of Named Entities (DANE):
DANE is een uitbreiding van DNSSEC.Daarmee kunnen straks ook sleutels en certificaten voor
beveiligde websites in het DNS-systeem worden opgenomen. Dit protocol-in-ontwikkeling heeft
belangrijke voordelen van opzichte van het bestaande certificaten-systeem.
Wat is belangrijk om te weten over DANE:
•
•
•
•
Meer controle bij 'eindgebruiker'
Meer verantwoordelijkheid bij 'eindgebruiker'
DNSSEC is vereist
Interessante ontwikkelingen voor de komende jaren
Related documents
Inleiding Hoe u browser beschermen tegen POODLE?
Inleiding Hoe u browser beschermen tegen POODLE?
Dreen® Grandstone
Dreen® Grandstone
Ben jij die vrijwilliger die het leuk vindt om iemand iets te leren, denk
Ben jij die vrijwilliger die het leuk vindt om iemand iets te leren, denk
Samen omgaan met een chronische ziekte
Samen omgaan met een chronische ziekte
Beëindiging arbeidsovereenkomst met
Beëindiging arbeidsovereenkomst met
Top tien van fouten op websites
Top tien van fouten op websites
PowerPoint-presentatie
PowerPoint-presentatie
Harm Uitslag
Harm Uitslag
Bescherm domeinnamen tegen phishing - FERM
Bescherm domeinnamen tegen phishing - FERM
Hoofdstuk 5 stereotypes
Hoofdstuk 5 stereotypes
Geen diatitel
Geen diatitel
Nieuw record op het internet
Nieuw record op het internet
De opbrengsten van het landelijke reisproduct Altijd Korting worden
De opbrengsten van het landelijke reisproduct Altijd Korting worden
Download
advertisement