STARTTLS en DANE voor uitgaande mail verplicht voor overheidsorganisaties

De validatie van DANE voor uitgaande mail-berichten is eind 2018 toegevoegd aan de 'pas-toe-of-leg-uit'-lijst (ptolu) van het Forum Standaardisatie. Dat betekent dat (semi-)overheidsorganisaties nu min-of-meer verplicht zijn deze standaard te implementeren.Het drietal TLS/STARTTLS/DANE zorgt voor een veilige — dat wil zeggen cryptografisch beschermde — verbinding voor het transport van mail-berichten. Daarbij wordt voortgebouwd op de bestaande DNSSEC-infrastructuur. DNSSEC zelf stond al veel langer op de ptolu-lijst.

Vastpinnen TLS-certificaat

Veel SMTP-servers (MX gateways) bieden al de mogelijkheid tot het gebruik van TLS, dezelfde beveiliging als gebruikt bij HTTPS voor het web. Afleverende mail-systemen kunnen dan het STARTTLS-commando gebruiken om hun TCP-verbinding op te waarderen naar TLS. Omdat clients dit niet verplicht zijn en een man-in-the-middle de STARTTLS capability van een server makkelijk kan verstoppen voor de client (in een zogenaamde downgrade-aanval) is STARTTLS op zichzelf nog geen complete oplossing.

Door het TLS-certificaat van de mail service (op TCP-poort 25) vast te leggen (middels een hash) in een DNSSEC-beveiligd TLSA record weet een client zeker dat de betreffende server TLS ondersteunt.

Ondersteuning DANE-validatie

Inmiddels kan veel van de MTA software zo geconfigureerd worden dat deze DANE-validatie doet alvorens mail af te leveren bij een MX gateway. Om er een paar te noemen:

Sterk in opkomst

STARTTLS en DANE voor inkomende mail werden al in 2015 op de ptolu-lijst geplaatst. Omdat de ondersteuning voor uitgaande mail destijds nog beperkt was, is de verplichting voor DANE-validatie toen niet ingevoerd.

Op dit moment zien we dat het gebruik van DANE voor mail sterk in opkomst is [1, 2]. Volgens de TLSA-statistieken van SIDN Labs is de cryptografische verankering van het TLS-certificaat op de MX gateways in de .nl-zone het afgelopen half jaar grofweg verdubbeld. De implementatie van DANE door One.com, dat een ook een aanzienlijk aantal .nl-domeinen beheert, heeft daaraan een belangrijke bijdrage geleverd. TransIP configureerde al langer DANE voor de door hen beheerde domeinen.

Ondertussen heeft de registry voor het Zweedse .se-landendomein een financiële incentiveregeling opgezet voor DANE. Ook voor ons zou DANE op termijn zeker een kandidaat voor een dergelijke regeling kunnen zijn. Eerdere ervaringen met DNSSEC (ondertekening) hebben geleerd dat dit bijzonder goed werkt. In sectie 7 van onze eerdere IPv6-inventarisatie kun je lezen wat SIDN op dit moment aan incentive-regelingen voor de registrars heeft ingesteld.

SIDNLabs-TLSAstats-dec2018

Reacties

  • woensdag 20 februari 2019

    SIDN Labs

    .nl niet getroffen door wereldwijde kapingscampagne

    Thumb-skull-form-of-binary-code-on-computer-screen

    We gaan onze DNS-bewakingsvoorzieningen verder uitbreiden

    Lees meer
  • donderdag 21 maart 2019

    Over SIDN

    Lancering .nl-suggestietool op KvK Startersdag

    vind+jouw+ideale+nl-thumbnail

    Met meer dan 5 miljoen mogelijkheden is dit dé tool om een nieuwe domeinnaam voor je onderneming te vinden

    Lees meer
  • maandag 25 juni 2018

    Over SIDN

    Transparantie in de muziekindustrie dankzij blockchain-technologie

    Thumb-singer

    IBT Music maakt het verschil dankzij steun van SIDN fonds

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.