Beschrijving
In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. Deze dragen bij aan de afleverbetrouwbaarheid van e-mail en bescherming van domeinnamen tegen misbruik, zoals bijvoorbeeld phishing. De beveiligingsstandaarden die hiervoor van belang zijn (SPF, DKIM en DMARC) en de juiste toepassing ervan, worden toegelicht. Dat geldt ook de toepassing van STARTTLS & DANE, die de communicatie tussen mailservers beveiligt. Beveiligingsstandaarden voor beveiliging van het e-mailbericht zelf, zoals versleuteling of ondertekening, vallen buiten scope en worden niet behandeld. Dat geldt ook voor de verdere afhandeling binnen de e-mailtoepassing zelf.
De genoemde beveiligingsstandaarden zijn onderdeel van de lijst met verplichte standaarden van Forum Standaardisatie, die door de Wet Digitale Overheid (WDO) verplicht worden gesteld. Deze lijst is als uitgangspunt genomen, maar ook andere relevante standaarden en of configuraties die bijdragen aan een veilig en betrouwbaar e-mailverkeer worden behandeld.
Deze uniforme beveiligingsvoorschriften gelden voor onderwijsinstellingen en andere organisaties die e-mail verzorgen en/of beheren voor het onderwijs. Dat geldt voor de hele onderwijssector (PO, VO, MBO en HO).
Deze versie (1.0) is goedgekeurd door de Standaardisatie en tevens redactioneel bijgewerkt op basis van het advies Bureau Edustandaard. Onder ‘Implementatie’ van deze pagina zijn tevens verwijzingen opgenomen naar de toelichting van Microsoft en Google over de ondersteuning en gebruik van DANE.
Samenhang
Gebruikte standaarden in dit document staan op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie.
Voor de Uniforme Beveiligingsvoorschriften wordt waar mogelijk gebruikgemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen, aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van deze voorschriften, worden de factsheets ‘Bescherm domeinnaam tegen phishing’ en ‘Beveilig verbindingen van mailservers’ van NCSC gevolgd.
Meerwaarde
De afspraak ‘UBV – Veilig en Betrouwbaar e-mailverkeer’ beoogt een aantal standaarden voor e-mailverkeer in samenhang te beschrijven zodat ze goed implementeerbaar zijn in het onderwijsdomein. Dit verhoogt de afleverbetrouwbaarheid van e-mail en vermindert de kans op misbruik van domeinnamen in de sector (zoals phishing). Verder verhoogt het het gebruik van beveiligde communicatie tussen mailservers, wat bijdraagt aan de integriteit en vertrouwelijkheid van het e-mailverkeer. Let wel, niet het e-mailbericht zelf. Daar zijn andere beveiligingsstandaarden voor nodig, zoals versleuteling en ondertekening. Deze worden niet behandeld in de ‘UBV – Veilig en Betrouwbaar e-mailverkeer’.
De Wet Digitale Overheid (WDO) stelt genoemde beveiligingsstandaarden verplicht voor (semi-)publieke organisaties. De voorschriften in ‘UBV Veilig en Betrouwbaar e-mailverkeer’ faciliteren een effectieve implementatie van deze standaarden in het onderwijsdomein.
Gebruik
Het betreft een versie die goedgekeurd is door de Standaardisatieraad. Op basis hiervan zijn de voorschriften van defintief.
De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.
Heeft u vragen of ideeën over de Uniforme Beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – Veilig en Betrouwbaar e-mailverkeer” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.
Implementatie
De ‘UBV – Veilig en Betrouwbaar e-mailverkeer’ voorschriften kunnen door alle partijen die e-mail uitwisselen in het onderwijsdomein zelfstandig worden geïmplementeerd. Hier is een stappenplan voor bijgevoegd (zie Hoofdstuk 5. in de documentatie). Invoeren van de op DMARC gebaseerde rapportage is daarbij een belangrijke eerste stap. Strengere filtering, waarmee het potentieel van de standaarden ten volle wordt benut, kan worden toegepast als de meeste partijen de voorschriften hebben toegepast.
Als de e-mailomgeving is uitbesteed, dan is men voor de implementatie van DANE afhankelijk van de leverancier in combinatie met DNSSEC. De status van de meest gebruikte e-mailplatformen wordt door de leveranciers zelf toegelicht.
- Microsoft heeft hier in 2020 de blog ‘Support of DANE and DNSSEC in Office 365 Exchange Online’ voor geplaatst. In de Microsoft Roadmap staan twee updates voor ‘Support for DNSSEC/DANE for SMTP to Exchange Online’.
- Google geeft geen toelichting over DANE, wel over ‘Vereisen dat e-mails via een beveiligde verbinding worden gestuurd’ en over ‘Verbeterde e-mailbeveiliging met MTA-STS en TLS-rapportage’.
Ontwikkelingen
Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die zijn vertegenwoordigd in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard Werkgroep Uniforme Beveiligingsvoorschriften en vanuit Edu-K.
Documentatie
Normatieve documenten
Alle documentatie en specificaties die verplicht zijn bij het implementeren van een afspraak.
Versies
Bijeenkomsten
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.