16 okt 2019

Veilige e-mail? Daar moet je wel wat voor doen!

Author:

Ondanks de terugkerende voorspellingen over het verdwijnen van e-mail is het toch nog steeds het belangrijkste (zakelijke) communicatiemedium. De eerste e-mail werd verzonden 1971 en het onderliggende SMTP protocol is nooit bedoeld geweest voor de huidige wijze van gebruik. Tegenwoordig is men zich gelukkig steeds meer bewust van de kwetsbaarheid van e-mail (e-mail is vergelijkbaar met een ansichtkaart) en daarom zijn er allerlei technische initiatieven om e-mail beter te beveiligen.

Als persoonsgegevens per e-mail worden verstuurd vereist de AVG passende maatregelen om te zorgen voor beveiliging van de persoonsgegevens, zonder “passende maatregelen” verder te specificeren.

Bij het beveiligen van e-mailverkeer komt meer kijken dan je wellicht denkt. Met de volgende drie stappen kom je heel eind.

De eerste stap begint bij de communicatie tussen servers. Door gebruik te maken van Transport Layer Security (TLS) worden berichten over het internet versleuteld verzonden. Om precies te zijn: het transport is beveiligd, niet het bericht.

Maar let op. Dat is niet altijd waar. In veel configuraties wordt namelijk gebruik gemaakt van het zogenaamde opportunistic TLS. Dat betekent dat als de server aan de andere kant geen TLS ondersteunt, het bericht onversleuteld wordt verzonden. Dit valt niet onder passende maatregelen. Het nemen van extra maatregel is noodzakelijk.

Het gebruik van RMail biedt extra mogelijkheden om de inhoud van een e-mail te beschermen. RMail zal in bovenstaande situatie het hele bericht versleutelen (d.m.v. een wachtwoord) en het geheel als een versleutelde PDF versturen. De ontvanger heeft het wachtwoord nodig om het bericht te kunnen lezen

De tweede stap moet voorkomen dat een ander namens jouw domein e-mail verstuurd (spoofen). Door gebruik te maken van het Sender Policy Framework (SPF) los je dit op. Zorg dat je alle ip-adressen registreert die gerechtigd zijn namens het domein te mailen.

Maar dan ben je er nog niet. Het is nog steeds niet mogelijk om te checken of e-mails onderweg niet zijn aangepast. Daarvoor kun je gebruik maken van Domain Keys Indentified Mail (DKIM).

Bij DKIM ondertekent de verzendende server een e-mail met een sleutel. Het gaat dan om de body en een aantal belangrijke headers, zoals From, To, het onderwerp en de datum. Deze “handtekening” wordt als een extra header toegevoegd, zodat ontvangende mailservers dit kunnen verifiëren.

Het publieke deel van de sleutel wordt in de DNS-zone van het verzendende domein gepubliceerd. Zo kan de ontvangende partij met deze publieke sleutel en de ondertekening in het bericht verifiëren of het bericht ongeschonden is aangekomen.

Een domein kan meerdere sleutels bevatten. Dit is handig als er meerdere verzenders zijn, zoals wanneer je bijvoorbeeld gebruik maakt van RMail services, als uitbreiding op de gewone e-mail. Zorg er wel voor dat alle verzenders geregistreerd zijn.

Toepassing van de combinatie TLS, SPF en DKIM kunnen worden gezien als onderdeel van passende maatregelen in het kader van de AVG.

Zie https://www.rpost.nl/wp-content/uploads/2017/09/RMail-Whitelist-Information.pdf om te zien wat je moet doen om SPF en DKIM te gebruiken in combinatie met RMail.

Share: