Uniforme Beveiligingsvoorschriften – Veilig en Betrouwbaar e-mailverkeer

Versie: UBV Veilig en Betrouwbaar e-mailverkeer v0.5
Status: Concept - februari 2021
Sector: PO VO MBO HO

Beschrijving

In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld, die bijdragen aan de afleverbetrouwbaarheid van e-mail en bescherming van domeinnamen tegen misbruik, zoals phishing. De beveiligingsstandaarden die hiervoor van belang zijn (SPF, DKIM en DMARC) en de juiste toepassing ervan, worden toegelicht. Dat geldt ook de toepassing van STARTTLS en DANE, die de communicatie tussen mailservers beveiligt. Beveiligingsstandaarden voor beveiliging van het e-mailbericht zelf, zoals versleuteling of ondertekening, vallen buiten scope en worden niet behandeld. Dat geldt ook voor de verdere afhandeling binnen de e-mailtoepassing zelf.

De genoemde beveiligingsstandaarden zijn onderdeel van de lijst open standaarden van Forum Standaardisatie, die door de Wet Digitale Overheid (WDO) verplicht worden gesteld. Deze lijst is als uitgangspunt genomen, maar ook andere relevante standaarden en/ of configuraties die bijdragen aan veilig en betrouwbaar e-mailverkeer worden behandeld.

Deze conceptversie (0.5) is bijgewerkt met de laatste opmerkingen die door de werkgroep zijn gemaakt. Deze versie is voorgelegd aan de architectuurraad, die de voorschriften bij hun achterban ter consultatie neerlegt. Op basis daarvan wordt de volgende conceptversie gemaakt.

Samenhang

Gebruikte standaarden in dit document staan op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie.

Voor de Uniforme Beveiligingsvoorschriften wordt waar mogelijk gebruikgemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen, aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van deze voorschriften, worden de factsheets ‘Bescherm domeinnaam tegen phishing’ en ‘Beveilig verbindingen van mailservers’ van NCSC gevolgd.

Meerwaarde

De afspraak ‘UBV Veilig en Betrouwbaar e-mailverkeer’ beoogt een aantal standaarden voor e-mailverkeer in samenhang te beschrijven zodat ze goed implementeerbaar zijn in het onderwijsdomein. Dit verhoogt de afleverbetrouwbaarheid van e-mail en vermindert de kans op misbruik van domeinnamen in de sector (zoals phishing). Verder verhoogt het het gebruik van beveiligde communicatie tussen mailservers, wat bijdraagt aan de integriteit en vertrouwelijkheid van het e-mailverkeer. Let wel, niet het e-mailbericht zelf. Daar zijn andere beveiligingsstandaarden voor nodig, zoals versleuteling en ondertekening.

De Wet Digitale Overheid (WDO) stelt genoemde beveiligingsstandaarden verplicht voor (semi-)publieke organisaties. De voorschriften in de ‘UBV Veilig en Betrouwbaar e-mailverkeer’ faciliteren een effectieve implementatie van deze standaarden in het onderwijsdomein.

Gebruik

Het betreft een conceptversie ter consultatie. Op basis hiervan kunnen voorschriften nog wijzigen.

De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijn ontworpen voor de onderwijssector.

Heeft u vragen of ideeën over de Uniforme Beveiligingsvoorschriften? Suggesties, aanvullende maatregelen of betere formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – Veilig en Betrouwbaar e-mailverkeer” in het onderwerp. Uw ervaringen helpen ons ook om vast te stellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.

Implementatie

De ‘UBV Veilig en Betrouwbaar e-mailverkeer’ voorschriften kunnen door alle partijen die e-mail uitwisselen in het onderwijsdomein zelfstandig worden geïmplementeerd. Invoeren van de op DMARC gebaseerde rapportage is daarbij een belangrijke eerste stap. Strengere filtering, waarmee het potentieel van de standaarden ten volle wordt benut, kan worden toegepast als de meeste partijen de voorschriften hebben toegepast.

Ontwikkelingen

Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme Beveiligingsvoorschriften en vanuit Edu-K.