Veel overheidsdomeinen vatbaar voor e-mailspoofing

De helft van de overheidsdomeinen is niet goed beveiligd tegen e-mailspoofing. Hierdoor zal de derde overheidsbrede streefbeeldafspraak waarschijnlijk niet worden nagekomen. Dit blijkt uit een meting van het Forum Standaardisatie.

Het forum onderzocht 548 domeinnamen van de overheid. Voor de meting werd het toepassen van web- en mailbeveiligingsstandaarden op overheidsdomeinen onder de loep genomen.

Standaarden

Uit het onderzoek blijkt dat webstandaarden gemiddeld beter worden toegepast dan mailstandaarden (92 procent versus 77 procent). Het betreft het gebruik van standaarden zoals HTTPS en HSTS die voor een geëncrypte verbinding zorgen. Het gebruik van DNSSEC op mailservers neemt daarentegen af. De anti-spoofing e-mailstandaard DMARC is op 49 procent van de overheidsdomeinen voldoende strikt geconfigureerd. DMARC ondersteunt, in combinatie met e-mailstandaarden DKIM en SPF, het tegengaan van e-mailspoofing.

Tweede Kamer en de AIVD

“E-mailspoofing is dat een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen. Zo bleek het in 2017 mogelijk om namens Mark Rutte en de AIVD te mailen, en hebben de Tweede Kamer en de AIVD sindsdien hun e-mailbeveiliging op orde gebracht,” aldus het Forum. Het gebruik van DANE is met 45 procent onder de maat. Het DANE-protocol dwingt STARTTLS af. Dit is een uitbreiding voor SMTP die zorgt voor een beveiligde verbinding tussen de verzendende en ontvangende mailserver.

Klik hier voor de volledige rapportage Meting Informatieveiligheidstandaarden van Forum Standaardisatie.

Aanmelden voor onze nieuwsbrief