Nederlandse adoptie e-mailauthenticatie onvoldoende

Naar aanleiding van het nieuws dat ABN Amro phishing wil voorkomen door het inzetten van DMARC, vroegen we onze lezers naar de adoptie van e-mailauthenticatie in Nederland. In totaal reageerden 28 lezers op de poll, waarvan 71% aangeeft de adoptie van e-mailauthenticatie in Nederland niet op peil is. 8% is van mening dat dit wel op peil is. Daarnaast vraagt 21% van de stemmers zich af wat DMARC is.

poll_dmarc

“De adoptie in Nederland kan absoluut beter,” vertelt Bart Knubben, adviseur bij Forum Standaardisatie dat de toepassing van open standaarden binnen de Nederlandse overheid bevordert. Hij verwijst daarbij naar de Phishing Score Card. “Er zijn ook regelmatig incidenten met phishingmails waarbij domeinnamen van banken, overheden of andere partijen worden ‘gespoofd’ om ontvangers te misleiden. DMARC/DKIM/SPF zijn open standaarden voor e-mailauthenticatie die helpen om dit soort misleiding te voorkomen. Bovendien zorgt de ondertekening voor meer betrouwbare aflevering. Berichten zullen minder snel in de spamfolder terechtkomen. Van een paar overheden met belangrijke mailstromen, zoals van rijksoverheid.nl, weet ik dat ze werken aan de implementatie. Maar veel andere overheden moeten nog in beweging komen.”

marcodavids_sidnOok volgens Marco Davids, technisch adviseur bij SIDN, is de adoptie nog ver beneden peil. “Grote providers van maildiensten, zoals Google, Microsoft en Yahoo controleren al sinds jaar en dag op DKIM en/of DMARC, maar met uitzondering van XS4all en Nederhost veel landelijke ISP’s nog helemaal niet,” geeft hij aan. “Ook zijn nog maar heel weinig domeinnamen beschermd met DKIM en DMARC records. En dat terwijl het toch een heel effectieve manier is om spam en phish-mails te voorkomen.”

Zowel Davids als Knubben vinden het een goede zaak dat organisaties als ING en ABN Amro DMARC inzetten. “Uit ervaring van ING/XS4all blijkt dat de inzet van DKIM/DMARC effectief is,” vertelt Knubben. Davids vindt dat deze bedrijven aanvullend ook hun domeinnamen moeten beveiligen met DNSSEC. “Want pas dan zijn ze helemaal goed bezig. Met DKIM publiceer je immers sleutelmateriaal in het DNS, waarmee je als ontvanger mails op echtheid kunt controleren. Het moet niet zo zijn dat die DKIM-records nog kwetsbaar zijn voor een Kaminsky-aanval.”

bartknubbenOm de bekendheid van SPF/DKIM/DMARC te vergroten is vorig jaar door Forum Standaardisatie, ISOC.nl en ECP een masterclass DKIM georganiseerd. ISP Today deed een videointerview met één van de sprekers. “Het zou goed zijn als deze standaarden een ‘no-brainer’ worden,” laat Knubben weten. “Dat lijkt nu nog niet het geval. De adoptie (pdf) is internationaal groter dan de adoptie in Nederland.”

Het valt Davids dan ook tegen hoe de Nederlandse internetsector tegenwoordig innoveert. “Ooit liepen we in Nederland ver voor op internetgebied. Tegenwoordig dreigen we te worden ingehaald. Neem als voorbeeld IPv6. Links en rechts zijn er landen met een betere IPv6-adoptie, terwijl ze daar toch ook ongetwijfeld investeringen zullen moeten verantwoorden in hun business cases. Aan de DNSSEC-signing kant heeft SIDN vorig jaar fors geïnvesteerd om zoveel mogelijk .nl-domeinnamen gesigneerd te krijgen. Met veel succes. Maar aan de validatiekant, daar waar ISP’s het aan moeten zetten op hun resolvers, is er opvallend weinig beweging. Daar waar een club als Google het gewoon heeft aangezet op zijn Google Public DNS, hebben ISP’s steeds ‘andere prioriteiten’. En voor DKIM/DMARC lijkt de situatie al niet veel anders.”

Davids laat weten dat met een aantal organisaties wordt gedacht aan een een gemeenschappelijk initiatief waarmee de Nederlandse internetsector wordt gestimuleerd om nieuwe technologieën zoals DKIM, DNSSEC en/of IPv6 sneller te laten omarmen. “Zo kunnen we onze mondiale toppositie op internetgebied behouden en kunnen we een voorbeeld zijn en blijven voor de hele wereld. Dat is niet alleen leuk, maar ook economisch van groot belang.”

“Beveiliging van het e-mailkanaal is vaak een ondergeschoven kindje,” vertelt Knubben. “Het zou evenveel aandacht moeten hebben als de beveiliging van een website (https). De standaarden (DMARC/DKIM/SPF) zorgen weliswaar niet voor vertrouwelijkheid, maar dragen wel bij aan authenticiteit en integriteit van e-mail.”

“Maak of hou het onderdeel van je business om bij te blijven over dit soort nieuwe internettechnologieën,” zegt Davids. “Het is immers je core-business en het internet heeft nou eenmaal af en toe zo’n opknapbeurt nodig. Stilstand is – ook hier achteruitgang.”


Achtergrondinformatie:

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.