Hét informatieplatform over cloudoplossing en -bedrijven

Contact

NCSC adviseert STARTTLS en DANE voor mailservers

NCSC adviseert STARTTLS en DANE voor mailservers
23 March 2017 18:11 uur

Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties die hun e-mailverkeer willen beschermen om STARTTLS en DANE in te schakelen. Volgens de overheidsinstantie zijn verbindingen tussen mailservers van oudsher zeer zwak beveiligd.

Zo verplicht het uit 1982 stammende smtp-protocol voor e-mailverkeer niet dat verbindingen tussen mailservers versleuteld moeten worden. Veel mailservers staan daarom nog altijd onversleutelde verbindingen toe. STARTTLS is een uitbreiding voor smtp die verbindingsbeveiliging toevoegt. Het NCSC waarschuwt dat STARTTLS alleen tegen passieve aanvallers beschermt.

“Een actieve aanvaller kan het gebruik van STARTTLS eenvoudig ongedaan maken. De aanvaller verandert het verkeer zó, dat de verzendende mailserver denkt dat de ontvangende mailserver geen STARTTLS ondersteunt. Andersom doet hij dat ook. Populair spreekt men dan van een STRIPTLS-aanval.” Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Het NCSC adviseert organisaties dan ook om zowel STARTTLS als DANE uit te rollen. Om organisaties hierbij te helpen is er een nieuwe factsheet uitgegeven (pdf).

Het Nationaal Beraad heeft in september vorig jaar besloten om STARTTLS en DANE voor e-mailverkeer toe te voegen aan de pas-toe-of-leg-uit-lijst met open standaarden. Daarmee is het voor overheden verplicht om deze standaarden toe te passen bij het investeren in e-mailsystemen. Bron: security.nl 23-3-17

  • ISPConnect
  • Nederland ICT