Alle Nederlandse overheden moeten eind 2019 een strikt beleid voor DMARC en SPF voeren

Onlangs is er in Nederland door het Forum Standaardisatie een nieuwe doelovereenkomst goedgekeurd! Alle Nederlandse overheden moeten eind 2019 een strikt beleid voor DMARC en SPF voeren. Op 18 april 2018 stemde het OBDO op advies van het Forum Standaardisatie met deze nieuwe doelovereenkomst in.

De nieuwe benoeming volgt op een eerder succesvol overheidsakkoord en bevat verschillende doelen waaraan digitale autoriteiten in Nederland moeten voldoen om de beveiliging van het communicatiekanaal te verbeteren. De doelen beschermen ook het e-mail kanaal van de overheid. Een belangrijk onderdeel van deze doelen is voor het einde van 2019 de uitrol van DMARC voor alle overheidsdomeinen. Overheden worden opgeroepen om toe te werken naar een p=reject DMARC-beleid waar het resultaat van het beleidstype p=quarantaine ook voldoet.

Naast de toepassing van DMARC worden ook andere technieken zoals HTTPS + HSTS en STARTTLS + DANE aanbevolen. Een combinatie van deze technieken voegt extra beveiliging aan alle digitale communicatie toe. De open standaarden staan ook op de ‘pas toe of leg uit-lijst‘ die overheden verplicht om bij de aanschaf van nieuwe ICT-systemen voor deze standaarden te kiezen. Het Forum Standaardisatie blijft meten in hoeverre de overheden met de implementatie van de maatregelen zijn en zal dit aan de OBDO rapporteren.

Domain Message Authentication Reporting & Conformance (DMARC) is een e-mail validering systeem dat spam en phishing e-mails bestrijdt. Door DMARC te gebruiken, kan een domeineigenaar een DMARC-record publiceren, waarna ze inzicht en controle krijgen over wie namens hun domein e-mail verzendt. Met DMARC kunnen organisaties voorkomen dat anderen namens het e-maildomein van de organisatie e-mails verzenden.

De vorige doelovereenkomst, die eind 2017 afliep, heeft al geleid tot een aanzienlijke toename van de toepassing van online beveiligingsmethoden. Het was echter noodzakelijk om een nieuwe afspraak te maken, die voldoet aan de huidige normen met een belangrijke focus op DMARC.

Het National Cyber ​​Security Centrum (NCSC) heeft geadviseerd om met behulp van SPF, DKIM en DMARC phishing te voorkomen.

Overzicht van doelafspraken normen voor informatiebeveiliging:

  • Tegen het einde van 2017: DNSSEC, TLS en DMARC + DKIM + SPF
  • Tegen het einde van 2018: HTTPS + HSTS in overeenstemming met de NCSC-richtlijnen
  • Tegen het einde van 2019: STARTTLS + DANE en strikte instellingen voor DMARC (p = reject or quarantaine) en SPF (~ all or -all)

 
DMARC Analyzer helpt overheden bij de implementatie van DMARC en kan advies geven over de benodigde e-mail authenticatie vereisten. Neem contact met ons op voor meer informatie.