Kwaadwillenden kunnen namens 34 procent van de belangrijkste e-maildomeinen van de overheid fake-mails verzenden. Oorzaak is de tekortschietende e-mailbeveiliging van deze domeinen. Dat blijkt uit het halfjaarlijks onderzoek van het Forum Standaardisatie.
Alle overheden moesten voor het eind van 2019 in ieder geval SPF en DMARC correct hebben ingesteld. Met DMARC kunnen beheerders van e-maildomeinen instellen wat een mailserver moet doen wanneer deze een verdachte e-mail ontvangt.
DMARC-configuratie
“Het gevolg van een onvoldoende strikte DMARC-configuratie is dat phishingmails namens de achterblijvende overheidsorganisaties (inclusief die van bewindspersonen) daardoor nog steeds bij burgers en bedrijven aan kunnen komen”, stelt het Forum Standaardisatie.
DANE
Een andere standaard die eveneens geïmplementeerd had moeten zijn, is DANE. Dit protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Afgelopen september was dit slechts bij 53 procent van de onderzochte overheidsdomeinen ingesteld. “Het achterblijven van DANE blijft zorgwekkend, omdat dit overheidsmail die niet voldoet onnodig kwetsbaar maakt voor afluisteren”, aldus het Forum Standaardisatie.
STARTTLS
Ook blijkt dat veel overheidsinstanties achterlopen met het instellen van STARTTLS overeenkomstig de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Net zoals bij HTTPS kan er bij deze methode gebruik worden gemaakt van uiteenlopende versies van het TLS-protocol en meerdere encryptiestandaarden.
NCSC
Het is daarbij van belang om de juiste combinaties te gebruiken. De gebruikte instellingen dienen bovendien regelmatig gecontroleerd te worden of ze nog veilig zijn. Uit het onderzoek van het Forum Standaardisatie blijkt echter dat slechts 42 procent van de onderzochte domeinen voldoet aan de aanbevelingen van het NCSC hierover.
Klik hier voor de meest recente meting van het Forum Standaardisatie.