Uit een onderzoek van het tijdschrift Binnenlands Bestuur blijkt dat Nederlandse gemeentes hun e-mail slecht beveiligen. Slechts drie van de vijftig onderzochte gemeentes zou standaarden als dkim, dmarc en spf toepassen.
De enige gemeentes die op het gebied van e-mailbeveiliging aan deze standaarden zouden voldoen zijn Den Haag, 's-Hertogenbosch en Woerden. Daarmee zijn grote gemeentes als Utrecht, Amsterdam en Rotterdam onvoldoende beveiligd, aldus Binnenlands Bestuur. Tijdens het onderzoek werd ook gekeken naar de beveiliging door middel van tls, waaruit bleek dat maar dertien gemeentes gebruikmaken van starttls om een onbeveiligde verbinding via tls te laten verlopen. Dit gaat bij veertien gemeentes mis.
Dkim is een authenticatiemethode waarmee een ontvanger van een e-mail kan nagaan of een bericht van het domein van de verzender inderdaad daarvandaan verzonden mocht worden. Met spf kan daarnaast worden nagegaan welke servers binnen een domein berichten mogen verzenden. Dmarc bouwt voort op deze technieken en kan bijvoorbeeld ingezet worden om te verifiëren of de inhoud van een e-mail is veranderd na het verzenden daarvan.
Door deze standaarden niet te implementeren, kunnen kwaadwillenden bijvoorbeeld e-mails versturen namens de gemeente, zo stelt Binnenlands Bestuur. Dit kunnen zij inzetten om phishing- of spam-e-mails te verzenden. Zo konden de onderzoekers bijvoorbeeld een e-mail versturen en zich daarbij voordoen als de Rotterdamse burgemeester Ahmed Aboutaleb, zo schrijft de NOS.
Dmarc is een vrij nieuwe standaard uit 2012, die door steeds meer organisaties geïmplementeerd wordt. Zo kondigde de ABN Amro in 2014 aan de standaard te gaan gebruiken. Uit een eerder onderzoek bleek dat ongeveer twintig procent van de Nederlandse gemeentes slecht beveiligd is door sslv2 te ondersteunen. Daarmee zijn de desbetreffende gemeentes vatbaar voor een zogenaamde Drown-aanval.