Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties

Nederlandse gemeenten moeten eind 2017 tls en dnssec hebben geïmplementeerd op hun mailservers. Dat schrijft minister van Binnenlandse Zaken Ronald Plasterk naar aanleiding van Kamervragen over slecht beveiligde e-mail van gemeenten.

Gemeenten moeten nu al bij activering van een nieuwe mailserver de beveiligingsmaatregelen ingebouwd hebben volgens de brief van de minister. Standaarden zoals tls en dnssec staan op de zogenaamde 'pas-toe-of-leg-uit'-lijst. Alles wat op deze lijst staat, is verplicht bij aanschaf, aankoop, aanbesteding of ontwikkeling van een nieuwe dienst.

Uit onderzoek van het tijdschrift Binnenlands Bestuur bleek begin juni dat Nederlandse gemeenten hun e-mail slecht beveiligen. Toen bleek dat slechts drie van de vijftig onderzochte gemeenten standaarden toepassen, zoals dkim en spf. Alleen Den Haag, 's-Hertogenbosch en Woerden voldeden aan de standaarden.

Met dmarc kan nagegaan worden of een bericht inderdaad van het betreffende domein verzonden mocht worden. Spf kijkt of de servers van het domein wel berichten mochten verzenden. Met dkim kan gecheckt worden of inhoud van een e-mail tussentijds is gewijzigd. De eerstgenoemde beveiligingsmethode staat nog niet op de pas-toe-of-leg-uit-lijst, maar is wel kandidaat om opgenomen te worden. Dit geldt ook voor starttls in combinatie met dane. Mogelijk worden deze nog dit jaar op de lijst gezet.

Zonder de standaarden is het bijvoorbeeld mogelijk voor kwaadwillenden om zich voor te doen als een gemeente omdat ze e-mail namens een gemeente kunnen versturen.

In de brief deelt de minister de mening van het bericht uit Binnenlands Bestuur, namelijk dat 'Gemeentelijke e-mail gênant slecht beveiligd is', niet. Dit omdat de 'volgorde van implementatie van maatregelen is gebaseerd op een lokale risicoafweging waar het college van B&W voor verantwoordelijk is'.

Moderatie-faq Wijzig weergave

Reacties (82)

Op de volgende link kun je controleren hoe de gemeentes er voor staan m.b.t. het invoeren van deze standaarden... Bijna geen gemeente scoort overal groen...

[Reactie gewijzigd door Squirtle op 24 juni 2016 11:27]

Ik ben Belg, maar de vraag zal bij ons ook wel van toepassing zijn:

Waarom is de termijn voor deze implementaties altijd zo lang? 1.5 jaar lijkt me veel om een standaard te implementeren op een mailserver.

Is dit dan zo moeilijk, of zijn de kosten zo hoog?
Waarom is de termijn voor deze implementaties altijd zo lang? 1.5 jaar lijkt me veel om een standaard te implementeren op een mailserver.
Gebrek aan kennis, geld en interesse. Buiten de IT-afdeling snapt niemand waar het over gaat en willen ze het ook niet weten. Het is erg moeilijk om een bussiness case te maken voor beveiliging. Je hebt er namelijk nooit rechtstreeks voordeel van, het gaat altijd om het voorkomen van problemen. Zolang de gebruikers geen problemen ervaren zien ze ook geen noodzaak om te investeren.

Bij een gemeentelijke IT-afdeling heb je ook nog eens het probleem dat je altijd twee bazen hebt. Je hebt de hierarchie van medewerkers en bazen die je in iedere organisatie hebt maar daarnaast heb je ook nog de politieke tak. Die tak kan op ieder moment over de rest heen gaan en van de ene op de andere dag de prioriteiten verschuiven. Reken er maar op dat als de iPad van een raadslid niet werkt dat alles aan de kant gezet moet worden tot het ding werkt.

Daarbij heeft beveiliging nog een fundamenteel probleem: het gaat altijd over het verbieden of onmogelijk maken van communicatie, zeker in dit geval. Met beveiliging zal een deel van de mail geweigerd worden die zonder de beveiliging door was gegaan. Waarschijnlijk wordt er regelmatig ook legitieme mail tegen gehouden. De gebruiker ervaart dat als het probleem van de organisatie mét beveiliging, thuis op het onbeveiligde netwerk werkt het immers wel. De eindgebruiker merkt niks van de mail die terecht is tegen gehouden en ziet alleen die mail die onterecht is gestopt of doorgelaten.

DNSSEC en TLS goed doen is best lastig als je niet vertrouwt bent met die technieken. In de meeste organisaties zijn er wel een paar medewerkers die het snappen, maar als de rest het steeds verkeerd doet heb je daar niet veel aan.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juni 2016 10:57]

Gemeentes mogen tot een zekere hoogte zelf het beleid bepalen,
en daar maken oa raadsleden goed ge(mis)bruik van. Zo kunnen opdrachten worden gegund aan lokale ondernemers, en op zich is dat niet erg, maar is het systeem dan weer verder wel conform advies VNG. En dan hebben we het niet eens over lokalere initiatieven zoals IPad en bring your own device.

Ipv een redelijk uniform landelijk gebruik, zie je dat het verschillende eilandjes zijn met landelijke trekjes. Het besef ontbreekt bij veel mensen dat een persoonlijk apparaat totaal niet persoonlijk is, maar van de werkgever/overheid,
Het besef is ook niet genoeg aanwezig dat er belangrijke informatie op kan staan dat kan worden gekopieerd zonder direct medeweten, terwijl er bij papier nog veel moeite moest worden gedaan.


Hoe hard het ook klinkt,
de landelijke overheid moet het ICT langzaam naar zich toetrekken en de verschillen langzaam uitbannen.

Belangrijkste mededeling,
je krijgt de middelen tot je beschikking en het is staatseigendom en gaarne ook zodanig behandelen.
En er gaat gruwelijk veel verkeerd, maar er gaat ik veel goed. Belastingdienst laat zien hoe het ongeveer wel kan, kunnen andere organisaties weer van leren.
Gemeentes mogen tot een zekere hoogte zelf het beleid bepalen,
en daar maken oa raadsleden goed ge(mis)bruik van. Zo kunnen opdrachten worden gegund aan lokale ondernemers, en op zich is dat niet erg, maar is het systeem dan weer verder wel conform advies VNG


Dat veel mensen denken dat het gunnen van opdrachten ok is, is wel degelijk een probleem. Dit leidt er vaak toe dat er te veel betaald wordt en is niets ander dan 'vriendjespolitiek'.
onzin verhaal. Gemeenten zijn ook verplicht zich te houden aan de regels met betrekking tot Europese aanbestedingen. Dus een beetje investering betekent al snel dat er een aanbesteding uitgeschreven moet worden.
Daarnaast zijn er genoeg lokale krantjes en nieuwsgierige mensen die op basis van WOB de investeringen van hun bestuurders na kunnen kijken, dus de zogenaamde "vriendjespolitiek" komt snel genoeg naar voren...
Bij nagenoeg iedere investering zijn er wel voor- en tegenstanders (mensen die het schilderen van de school onzin vinden, terwijl de buurt het onderhand beu is om tegen de afbladderende verf aan te moeten kijken), dus reken er maar op dat er nogal wat ge-WOB-bed wordt! :)

[Reactie gewijzigd door Pietervs op 24 juni 2016 12:51]

Aanbestedingen worden vaak geschreven met specifieke eisen zodat er flink gesnoeid kan worden in mogelijk aanbieders.. Ik heb het vaker meegemaakt. Gooi het maar gewoon op milieu: Locale dienstverlener krijgt voorkeur zodat woon/werk verkeer minder milieu impact heeft <- letterlijk in een aanbesteding gezien...Daarnaast is het hele overheids orgaan één grote vriendjes politiek: jij mag maar welk voordeel haal ik er uit? Lobbyen op het hoogste niveau is de normaalste zaak van de wereld.

We doen wel allemaal of "we" allemaal zo goed en braaf zijn maar het is naar mijn mening gewoon criminele bende die overheid...Eentje die ook nog eens een stoelendans doet iedere zoveel tijd. "Ga jij naar die stoel? Dan ga ik naar die van jouw"

Ontopic: Laatst nog een mailserver vervangen bij een semi-overheid. TLS mocht niet aan vanwege "onvoorziene impact op de huidige omgeving". Ik ga er niet tegenin: hop, van de checklist.

Dan denk ik een keer: "Misschien moet ik ze toch maar eens informeren over de voordelen..." waarna je een keer om je heen kijkt en de vermoeide ambtenaren ziet. Moe van de reorganisatie, moe van het nooit voor elkaar krijgen van veranderen, moe van de zoveelste omzwaaiing van beleid, moe van het feit dat je mening nooit serieus genomen wordt of nooit aankomt bij de juiste mensen.. En dan klik ik maar lekker verder...
[offtopic]
Zo gemakkelijk om iets af te doen als criminele bende... Jammer, want het ondergraaft je hele argument.
Want ja, er is vaak een stoelendans bij de diverse overheden. Maar laten we wel wezen: had je echt de illusie dat de ons-kent-ons-mentaliteit niet voorkomt in het bedrijfsleven? De stoelendans vindt daar even goed plaats hoor, want daar zitten ook de mensen die elkaar kennen van het "old boys network".
Wat betreft de aanbestedingen: vind je het raar dat er voorwaarden worden gesteld? Natuurlijk gaan een aantal daarin te ver (eis dat een router MPLS moet ondersteunen => Cisco-proprietay waarmee de concurrentie alvast afvalt), maar wil je echt dat de lokale PC-boer mee gaat bieden op het vervangings- en onderhoudscontract voor 1.000 werkplekken terwijl je weet dat hij maar 2 werknemers heeft? Met andere woorden: een aantal eisen zijn ook bedoeld om de onzin-biedingen buiten de deur te houden.

Om in te gaan op je on-topic: je klikt maar lekker verder want je wil je argumenten niet verdedigen. Typisch geval van jammer. Want juist de ambtenaren die moe zijn van het dingen niet voor elkaar krijgen zullen vaak aan jouw kant staan: zij hebben die zelfde ideeen ook al gehad, maar niet voor elkaar gekregen en zien zich nu gesteund door een externe... die het te druk heeft met verder klikken omdat hij de ballen niet meer heeft om wat in te brengen. Jammer.
Had je echt de illusie dat de ons-kent-ons-mentaliteit niet voorkomt in het bedrijfsleven?
Mijn reactie was vanaf men iPad dus dan wil je het kort houden :). Nee, die illusie heb ik echt niet maar dat is het bedrijfsleven. Die mogen hun zaak regelen zoals ze willen zonder dat ik daar moeite mee heb. Maar de overheid is er voor ons! Ze worden betaald door ons! En ze gooien er met de pet naar zonder dat ze verantwoordelijk kunnen worden gehouden -> stoelendans... It grinds my gears om maar zo te zeggen... Dit soort corruptie zou niet geaccepteerd moeten worden.

Maar wil je echt dat de lokale PC-boer mee gaat bieden op het vervangings- en onderhoudscontract voor 1.000 werkplekken terwijl je weet dat hij maar 2 werknemers heeft?
Nee, natuurlijk niet. Maar deze lokale pc-boer heeft ook nooit de kans om te groeien op deze manier terwijl er prima zaken zouden kunnen zijn die hij wel capabel af zou kunnen handelen. Hij wordt totaal uitgesloten van de 'overheidsmarkt'. Hij kan niet profiteren van iets waar hij zelf net zo hard aan meebetaald als de rest. Dat vindt ik persoonlijk oneerlijk (ik werk niet voor kleine PC boer mocht dat je volgende argument zijn :) maar daar ben ik ook ooit begonnen). De aanbestedingen zijn vaak voor volledige exclusieve rechten van dienstverlening. Ook ZZP-ers worden geforceerd via vage tussenpartijen te gaan werken die smakelijk een uurpercentage meesnoepen zonder iets te doen. Laat het net een 'vriend' zijn van die ene raadslid. Ha, das toevallig?

Zij hebben die zelfde ideeën ook al gehad, maar niet voor elkaar gekregen en zien zich nu gesteund door een externe... die het te druk heeft met verder klikken omdat hij de ballen niet meer heeft om wat in te brengen. Jammer.
Ik zit al lang in dit vak en heb de mensen met de beste bedoelingen zien proberen. Ik kan me zelf ook zeker 3 pogingen herinneren daar wat aan te doen. De laatste keer was een discussie over een nieuwe mailserver. De quota's moesten eraf van de raad. Me: Dat kan prima maar volgens mijn berekeningen zitten jullie dan binnen 6 maanden zonder opslag ruimte.. Daarnaast moet je bezig met een of andere archivering oplossing.. IT beheerder: Dat is niet onze verantwoordelijkheid.. Me: Tuurlijk wel, alles valt dan om.. IT beheerder: Ik leg het je nog één keer uit: Dat is niet onze verantwoordelijkheid... Me: Prima, maar ik vermeld het wel in mijn opleverrapport.

Ik ben benieuwd in welke la dat opleverrapport tegenwoordig ligt...

Even voor de duidelijkheid: Niet iedere overheids instantie werkt op deze manier. Ik heb er echt wel een aantal gezien die hun werk zeer goed doen. Echter zijn al een aantal van deze mensen door de geforceerde samenvoegingen van gemeenten aan het veranderen... Ik neem ambtenaren ook niets kwalijk. Je wordt geforceerd je aan te passen aan het draaiende systeem. Je kunt weinig tot niets doen om het systeem aan te passen...
Nee, dat zou niet mijn volgende argument geweest zijn, want te gemakkelijk :)
Natuurlijk gun ik de kleine PC boer zijn business en groei, maar ik weet ook dat die kleine PC leverancier domweg niet kan leveren wat nodig is. Nu ben je gedwongen om een aanbesteding uit te schrijven, dan wil je toch niet je kostbare tijd verdoen aan het doorlezen van tien biedingen van partijen waar je bij voorbaat al van weet dat ze volstrekt kansloos zijn omdat ze te klein zijn?

Verder vind ik het verhaal over "vriendje van" te gemakkelijk. Ik loop lang genoeg mee in gemeenteland om te kunnen zeggen dat ik dat op IT gebied nog niet tegengekomen ben. Wil niet zeggen dat het niet gebeurt, maar laten we alsjeblieft niet doen alsof dat dat de standaard is!

Maar dat "het systeem" zijn fouten heeft ben ik volledig met je eens. En van binnenuit zaken veranderen... Het is nagenoeg onmogelijk.
De diverse samenvoegingen hebben wel degelijk tot gevolg dat er een strakkere, professionelere sfeer komt binnen gemeenteland, met bijbehorende voordelen. Tegelijkertijd zie je dat de burgers daar steeds vaker en harder de dupe van worden. De vele rechtszaken die het afgelopen half jaar gevoerd zijn over de thuishulpen zijn daar maar 1 (schrijnend) voorbeeld van. Ik hou mijn hart vast voor wat er nog meer gaat komen.
Wat dan...dacht je dat er in NL minder corruptie is dan buurlanden?
Als er iets bij de overheid niet zomaar kan binnen de EU, is het zomaar opdrachten gunnen. Er zijn hele strenge regels voor Europese Aanbestedingen en bij "leveringen", waar hard- en software onder vallen gelden die regels al vanaf ca. ¤ 2000K.
En daar zit je echt al heel snel aan, zeker door allerlei aanvullende regels, waardoor je niet zomaar allemaal kleine klussen of inkopen kan doen onder de aanbestedingsnorm, maar zal je vaak zaken bij elkaar op moeten tellen en kom je toch boven de norm.

Overigens gaat het ook niet over staatseigendom, maar over gemeenteeigendom, maar dat is weer een heel ander verhaal...
je hebt zogenaamde flits bonnen tot 20 duizend dacht ik.. waarmee je snel iemand of iets kan inhuren. zo kom je onder de aanbestedingen uit..

Zo kan je dus een iter inhuren snel voor een korte opdracht van een week of twee weken zolang ze onder het bedrag van de flits bon zitten.. met wat hak en snij werk kan je zelfs dan een tweede flits bon opzetten.. heb je dus 40 duizend tot je beschikking om als nog iets voor elkaar te krijgen..

[Reactie gewijzigd door To_Tall op 24 juni 2016 15:53]

In België is het alleszinds als volgt:
- onder ¤8.500 is te kopen op offerte (zonder meer)
- tussen ¤8.500 en ¤85.000: niet-openbaar aanbesteden met bevraging van minstens 2 of 3 (hangt er vanaf) partijen
- tussen ¤85.000 en ¤265.000: openbaar aanbesteden op Belgisch niveau (bestek wordt openbaar gepubliceerd waar iedereen er aan kan of het kan opvragen)
- boven ¤265.000: openbaar aanbesteden op Europees niveau

Op ¤35.000 zit er ook nog een grens die een aantal regeltjes versoepelt als je er onder blijft, maar da's minder van belang.

Natuurlijk zijn dat enkel de regels en zal je in de praktijk zien dat er soms nogal soepel of creatief omgegaan wordt met die regels om allerhande redenen...
Het centraliseren van ICT diensten voor de overheid geeft zeker geen garantie op betere diensten of beter beheerbare omgevingen met als voorbeeld de centralisatie van het GBA. Ongeveer de belangrijkste gemeentelijke taak
https://www.computable.nl...-een-oud-ict-debacle.html

Na jarenlange ervaring bij de gemeente is het voor mij het meest duidelijk dat de bedrijven die als enige kunnen bieden op de europese aanbestedingen zoals Cap, zijn de bedrijven die je nooit aan je ICT omgeving wil laten omdat dit uren schuivers zijn.
Het gaat ze niet om de resultaten maar hoeveel consultents ze kunnen wegzetten tegen absurde tarieven.

Samen met een zeer wankel beleid vanuit de gemeentes heb je een serieus probleem dat niet zomaar op een manier op te lossen valt.
Klopt. Maar welke organisatie wil dit soort commodity zaken zelf organiseren?

Zoveel gemeenten, zoveel IT organisaties die voor veel dingen allemaal hetzelfde doen ....en weinig tot geen die het goed doen.
mooiste zou zijn.. 1 overheid.. waarbij wel iedere gemeente zijn eigen domain heeft. dus iemand van Amsterdam kan niet even makkelijk in de data van Rotterdam komen. maar wel 1 netwerk. waarbij mail, shares, SharePoint enz centraal staan.

En elke gemeente kan zijn eigen IT behouden eigen servers kan laten uitrollen met eigen applicaties. maar generieke zaken zoals mail, netwerk beveiliging enz gecentraliseerd is.

zo kan dus een groepje van 5 messeging specialisten de mail omgeving van de volledige overheid beheren.. we hebben totaal 1 miljoen ambtenaren. waarom zou een bedrijf als shell dit wel kunnen en onze overheid niet?
Dat is dan ook precies waarom dit van bovenaf opgelegd moet worden. Een paar goede IT security mensen aan de top die een fatsoenlijk IT beleid samenstellen, en de gemeentes hoeven dan alleen maar uit te voeren.

Ook het gebrek aan IT kennis bij gemeenten is eigenlijk prima op te lossen. Voeg bij elke vacature de eis toe dat de meneer of mevrouw die solliciteert wel degelijk basis kennis heeft van operationele veiligheid in een kantoor omgeving. Dan krijg je na verloop van tijd wel een ambtenaren apparaat dat niet bestaat uit digibeten.
Ook het gebrek aan IT kennis bij gemeenten is eigenlijk prima op te lossen. Voeg bij elke vacature de eis toe dat de meneer of mevrouw die solliciteert wel degelijk basis kennis heeft van operationele veiligheid in een kantoor omgeving. Dan krijg je na verloop van tijd wel een ambtenaren apparaat dat niet bestaat uit digibeten.
Dan moet je wel voldoende aanbod hebben van goed personeel. De overheid betaalt niet zo veel en het is dus erg moeilijk om goede IT'ers te vinden om er te komen werken. Vaak worden er daarom maar tijdelijk krachten en consultants van buiten af ingehuurd. Daarbij heb je in praktijk weinig te kiezen wie ze sturen.
(Daarmee wil ik niks afdoen aan de mensen die het wel goed doen, ik ken er genoeg, maar de nood is nu eenmaal hoog.)

Er is ook nog het praktische bezwaar dat het heel moeilijk is om vast te stellen of iemand verstand heeft van security. Iedereen zegt van wel maar als je even om je heen kijkt weet je dat het niet klopt. Ik ben het op zich met je eens dat ze moeten vragen om IT'ers met verstand van beveiliging maar volgens mij is dat nu al onderdeel van het standaardpakket dat iedere IT'er in huis moeten hebben.
Buiten de IT-afdeling snapt niemand waar het over gaat en willen ze het ook niet weten. Het is erg moeilijk om een bussiness case te maken voor beveiliging. Je hebt er namelijk nooit rechtstreeks voordeel van, het gaat altijd om het voorkomen van problemen. Zolang de gebruikers geen problemen ervaren zien ze ook geen noodzaak om te investeren.

...

... Reken er maar op dat als de iPad van een raadslid niet werkt dat alles aan de kant gezet moet worden tot het ding werkt.
Exact dit. En buiten gemeentes en overheden geldt dat ook voor heel veel bedrijven. (Alleszins hetgene waar ik voor werk)

Vervang raadslid door directielid en het plaatje klopt helemaal.
Een exchange beheerder of een ad beheerder welke niet bekend zijn met deze twee basis technieken horen deze niet te niet te beheren.

Er wordt moeilijk over gedaan maar overschakelen naar TLS is vrij simpel. En dnssec kan je gewoon door je dienstverlener laten doen. Kan me namelijk niet voorstellen dat gemeenten zelf hun externe dns hosten.

Adviseurs welke iets anders zeggen en trajecten van maanden aanbevelen zijn alleen maar op zakkenvullen uit.
Neen stroperigheid van organisaties en de onwil om iets te veranderen. Gemakzucht. Bureaucratie. Moeilijk moeilijk roepen.
Geen onwil/gemakzucht
stroperigheid ok

men wil wel, maar is gebonden aan regelgeving/budgetten die te kort schieten, hier en daar kennisgebrek.
Deze opties zijn nou niet zo lastig in te stellen dat het een gigantisch budget vereist.
Dus denk dat dit vooral het puntje kennisgebrek is.
Misschien wel, ging me meer om de eeuwige gemakzucht en onwil opmerking
Ook bij gemeentes werken ICT-ers die "wel willen".
En ja, er zullen ook ICT-ers bij zitten die niet willen

Overigens denk ik dat er her en der verouderde servers staan die eerst een upgrade moeten hebben, dus daar zal budgettair tch iets voor geregeld moeten worden.
en ik ben niet zo van de exhange, maar als je tls en dnssec aanzet, moet dat niet al dan niet uitgebreid getest worden om te kijken of andere apps en/of netwerk hier last van hebben?
Vergeet niet dat het meer moeite kost dan bij wijze van spreken drie vinkjes zetten, paar keer op install & next klikken, en klaar is kees. Het vervelende is vaak dat veel andere systemen met bijvoorbeeld je mail server samenhangen. Daar zit dan altijd weer iets bij wat dan weer niet in lts kan praten, of tijdens het testen valt er een willekeurig anders proces om. Daarom worden migratie trajecten altijd zorgvuldig voorbereid, gepland en getest om die ellende te voorkomen.

Dat geld ook voor het bedrijfsleven. Wat het bij gemeentes vaak nog ingewikkelder maakt is de enorme hoeveelheid aan applicaties die men gebruikt (kan ook niet anders). Ik heb een tijdje bij een gemeente gewerkt waar ik meen rond de 180 applicaties werden gebruikt. Dat moet allemaal blijven werken! Kun je je voorstellen wat voor ellende dat geeft als je van Windows server 2003 en Windows XP naar Windows server 2012 met Windows 7, en dan alles ook nog onder Citrix wilt migreren :P
Exact, en dan weet ik niet eens hoe het met BYOD zit bij de gemeentes. Als er veel medewerkers rondlopen die uit 'gemak' alle mail via de SMTP server van hun gmail account versturen (ik noem maar iets), dan gaat dat na DKIM niet meer werken.
Bij ons werd bij het meenemen van eigen apparatuur direct en streng opgetreden :P Van bovenhands was de mogelijkheid daarvoor wel een wens, maar gellukig konden we een verbod onder het mom van beveiligingsmaatregel er wel voor elkaar krijgen. 8-)
Vergeet niet dat het meer moeite kost dan bij wijze van spreken drie vinkjes zetten, paar keer op install & next klikken, en klaar is kees. Het vervelende is vaak dat veel andere systemen met bijvoorbeeld je mail server samenhangen. Daar zit dan altijd weer iets bij wat dan weer niet in lts kan praten, of tijdens het testen valt er een willekeurig anders proces om. Daarom worden migratie trajecten altijd zorgvuldig voorbereid, gepland en getest om die ellende te voorkomen.
Maak het niet moeilijker dan het is. Maak een tweede connnector met TLS op je edge waar mail naar binnen komt. Zet TLS naar buiten aan en klaar.

Intern zet je TLS optioneel aan en je logt gewoon een maand of 2. Nieuwe connector maken voor niet TLS interne systeemen en de default op TLS zetten.

4 uurtjes werk.
Bureaucratie.
Dat is het. Pure bureaucratie.
Waarom kan de Vereniging van Gemeenten niet alle ICT voor alle gemeenten doen ipv dat ieder gemeente het wiel opnieuw moet uitvinden?

Of tenminste blauwdrukken van procedures en standaardisaties van software pakketten waardoor alle gemeenten hetzelfde in huis hebben alleen dat de partij die het moet onderhouden een lokale ICT bedrijf in de regio kan zijn ipv een grootgutter die enkel voor de grote zak met aanbestedingsgeld gaat.
Die blauwdrukken bestaan ook. Voor gemeenten is er een referentiearchitectuur beschikbaar genaamd GEMMA. Zie: https://www.kinggemeenten.nl/secties/gemma/gemma
Omdat je heel veel lokale politici hebt die claimen dat data van de gemeente niet in een centraal systeem buiten de gemeente mogen komen te staan ivm privacy. Als je ze dan uitlegt dat je dit prima kan regelen en als voorbeeld aangeeft dat je voor een van de grootste bedrijven van Nederland een omgeving hebt gebouwd waarin elke business line en zelfs onderdelen van de business lines hun eigen volledig afgezonderde omgevingen draaien dan verklaren ze je voor gek en dat het niet zo werkt voor gemeentes... *de idioten*

Het zou zo fijn zijn als we een heleboel IT zaken voor gemeenten zouden standaardiseren en centraliseren want het kan echt beter! Neem bijvoorbeeld de burgerzaken processen... bijvoorbeeld een paspoort aanvraag zou overal toch gewoon echt hetzelfde ingericht kunnen zijn qua proces maar de wil ontbreekt simpelweg. Zo jammer.
Omdat je heel veel lokale politici hebt die claimen dat data van de gemeente niet in een centraal systeem buiten de gemeente mogen komen te staan ivm privacy. Als je ze dan uitlegt dat je dit prima kan regelen en als voorbeeld aangeeft dat je voor een van de grootste bedrijven van Nederland een omgeving hebt gebouwd waarin elke business line en zelfs onderdelen van de business lines hun eigen volledig afgezonderde omgevingen draaien dan verklaren ze je voor gek en dat het niet zo werkt voor gemeentes... *de idioten*
Het kan wel, maar je moet het wel goed regelen. Gemeentes hebben wat maar verplichtingen dan een bedrijf. Voor veel bedrijven is veiligheid vooral een kwestie van aansprakelijkheid en verantwoordelijkheid. Als ze een contract hebben waarmee hun verantwoordelijkheid is afgedekt dan is het goed.

Als je echt zeker wil weten dat het veilig is dan wil je je data zo dicht mogelijk bij je houden en er zo weinig mogelijk anderen bij betrekken. Ik heb al te veel plekken gezien waar de veiligheid een puinhoop is ondanks dat de organisatie groot genoeg is om beter te weten en beter te kunnen. Ik vertrouw niemand meer op z'n woord. Kom maar met een overtuigend audit-rapport van een auditor die ik vertrouw of laat me zelf een penetration test doen. Dat kost een lieve cent en dan is zelf doen misschien wel de betere keuze.
Geld. We hebben momenteel een nationale regering die erg gelooft in decentralisatie en een kleine rol voor de overheid. Onze regering probeert gemeentes zo veel mogelijk zelf te laten doen zodat de nationale regering er geen geld aan uit hoeft te geven. Kijk bijvoorbeeld naar wat er in de zorg gebeurt. De nationale regering heeft dat probleem "opgelost" door het af te schuiven naar de gemeentes. Die zijn nu ook allemaal het zorg-wiel opnieuw aan het uitvinden.
Wat ik mis in dit bericht is dat het gaat om mail die gezonden wordt aan medewerkers van een gemeente en dat de beveiliging plaats vind op de mailservers van de gemeenten. De mail die een burger lijkt te krijgen van de gemeente (echt of spoof) wordt er niet mee beveiligd.
Exact! Ik zie een hoop paniek maar waar het gevaar écht op de loer ligt is de mail naar de burger. Hoe ga je dat beveiligen? SPF zie ik het nut van in, maar de overige standaarden moeten de ontvangende mailservers (van publieke providers dus) dan toch ook aan voldoen?
Klopt, de ontvangende mail-servers moeten het ook ondersteunen. Echter is de praktijk dat de grote partijen het allang ondersteunen.
"Echter is de praktijk dat de grote partijen het allang ondersteunen."

Waar blijkt dat uit?
Persoonlijke ervaring als hoster.
Grote partijen zoals gmail ondersteunen deze features allang. Het zijn juist de kleinere partijen (en sommige luie ISP's) die het niet ondersteunen.

Onze eigen servers staan allemaal geconfigureerd als SPF en "prefer encryption"

[Reactie gewijzigd door hackerhater op 24 juni 2016 16:12]

Het feit dat grote providers zoals gmail en outlook die dit al jaren ondersteunen ;)
Op mijn eigen server gaat al het verkeer ook TLS naar buiten en naar binnen en mis geen enkele mail en nog nooit een mail niet afgeleverd (behalve bij gemeenten overigens).
Dat is inderdaad het geval, maar dat blijft natuurlijk altijd zo. Als burger dien je zelf ook te kiezen voor een partij die deze vormen van beveiliging ondersteund. Hoe veel een gemeente, of welke andere partij dan ook, doet aan beveiliging is irrelevant als de ontvangende partij niet mee wilt/kan werken. Daarom is het verstandig om zelf het beste voorbeeld te geven in dergelijke situaties.
Natuurlijk heb je gelijk. Maar je kan als overheid niet achter lopen, tenminste je wil niet die uistraling hebben. En zeker niet als het om relatief simpele beveiligingen gaat die vaak al standaard in software "ingebakken" zit.... :)
Door middel van SPF wordt wel gecontroleerd of de verzendende mailserver mag versturen namens het domein waarvan de e-mail afkomstig is. Als dit juist geïmplementeerd wordt is het ook voor de e-mail naar burger een controleslag die je kan gebruiken.

Hetzelfde geldt voor DKIM ook dit heeft invloed op de uitgaande e-mails van de gemeente. Als een gemeente met een correcte DKIM implementatie een e-mail verstuurt aan een burger met een e-mailserver die dit ook ondersteund heeft dus ook DKIM nut voor de burger.

[Reactie gewijzigd door JelkeBart op 24 juni 2016 10:50]

Burgers hebben geen eigen emailserver.
Voor burgers kan de herkomst van hun gemeente-email alleen worden gecontroleerd door hun eigen pop/imap-providers en die hebben geen enkele verplichting om mee te doen.
Burgers gebruiken mail van Ziggo, KPN, Gmail, Outlook, etc.. Die servers controleren al grotendeels op DKIM en SPF. Oftewel: de burger heeft geen eigen mailserver, maar maken al lang onbewust gebruik van die extra controlemiddelen.

Disclaimer: overigens weet ik niet zeker of Ziggo en KPN dit ook al toepassen op hun inkomende servers. Ik mag hopen van wel, maar ik maak zelf geen gebruik van hun POP accounts.
Als ik kijk naar het gebruik van mailservers die deze authenticatie standaarden ondersteunen zie ik dat ruim 60% van alle consumenten mailboxen vaak ondergebracht is bij de Googles en Microsofts van deze wereld. Zij passen het al toe, dus dekking (lees bescherming) heb je al.

Nederland
Bij Ziggo en KPN zijn ze bezig met de implementatie van deze technieken dus kun je theoretisch naar een 80-90% dekking.

België
De Proximus groep (Belgacom, Skynet) past deze technieken inkomend ook al toe.

Vraag is wel of je gebruik wil blijven maken van een partij die zijn inkomende mail infrastructuur qua filtering niet op orde heeft.
Wat ik mis in dit bericht is dat het gaat om mail die gezonden wordt aan medewerkers van een gemeente en dat de beveiliging plaats vind op de mailservers van de gemeenten. De mail die een burger lijkt te krijgen van de gemeente (echt of spoof) wordt er niet mee beveiligd.
Dat zou heel mooi zijn maar imho is dat probleem nog te moeilijk om nu op te lossen. Er is geen universeel geaccepteerde standaard voor e-mail-encryptie die bruikbaar is voor het grote publiek. De bekendste systemen zijn SMIME en PGP. Voor de meeste mensen zijn die echter onbruikbaar. PGP heeft het probleem dat je keys op een betrouwbare manier moet uitwisselen en daar hebben we nog geen goede oplossing voor. Iedereen langs het gemeentehuis sturen voor een keysigningparty gaat niet. Het "web of trust" maakt het probleem iets beter te hanteren maar dat is weer te ingewikkeld. De meeste mensen kunnen het niet controleren.
SMIME heeft min of meer hetzelfde probleem. De meeste mail-clients kunnen wel laten zien of een mail beveiligd is met SMIME maar daarmee weet je nog niet of dat certificaat ook echt bij die organisatie hoort. Voor de meesten is dat ook niet te controleren.

Om versleutelde e-mail te ontvangen zal de gemeente de public keys van haar burgers moeten hebben. De meeste burgers hebben niet eens een key, dat gaat dus niet werken. Wat dat betreft ben ik jaloers op landen als Belgïe of Estland waar iedereen een SSL-certificaat op z'n id-kaart heeft en de apparatuur en infrastructuur om er gebruik van te maken, die hebben een kans om hun e-mail wel goed te beveiligen.
Ik lees niets over spf, dkim en dmarc?? Of wordt dat pas eind 2021 ingevoerd |:(

Pak dan meteen de hele boel aan ipv weer achter de feiten lopen de hele tijd. En dan ook nog eind 2017 aanhouden. Tis misschien een uurtje werk in totaal (nou vooruit, ambtenaar style een halve dag). Die roept juist vooruit schuiven op en alles last minute te doen met eventuele gevolgen van dien.
Ik lees niets over spf, dkim en dmarc?? Of wordt dat pas eind 2021 ingevoerd |:(

Pak dan meteen de hele boel aan ipv weer achter de feiten lopen de hele tijd. En dan ook nog eind 2017 aanhouden. Tis misschien een uurtje werk in totaal (nou vooruit, ambtenaar style een halve dag). Die roept juist vooruit schuiven op en alles last minute te doen met eventuele gevolgen van dien.
Deze standaarden hebben past echt zin als je ook DNSSEC doet. Ik vind het dus begrijpelijk dat ze eerst iedereen dwingen om DNSSEC te implementeren voor dat je protocollen eist die DNSSEC nodig hebben.
Overigens zijn spf/dkim/dmarc niet altijd even eenvoudig. Ten eerste gaat het er van uit dat je controle hebt over alle uitgaande mailservers en op veel plekken is dat gewoon niet zo. Misschien moet je daar wel naar toe maar als dat nog niet zo is kan het lastig zijn om er grip op te krijgen. Daarbij zijn er situaties waar nog steeds geen goede technische oplossing voor is zoals mailinglijsten en andere remailers.
Dat is onjuist. Zelfs met de huidige DNS is het zinvol om SPF, DKIM en DMARC te gebruiken. Standaard kan elke idioot op aarde gaan spoofen en phishen naar iedereen elders op aarde. Met SPF en DKIM moet je al DNS gaan breken ergens, dat kan niet iedereen, en je kan enkel het domein dat je gebroken hebt phishen. Je reduceert de attacking surface immens.

Verder zou een veilige DNS beter zijn, maar jammer genoeg is DNSSEC geen goed antwoord omdat er erg veel problemen overblijven (slecht design), omdat DNSSEC zwakke cryptografie heeft (en die is niet update-baar), en het is duur om te implementeren.

Vandaar ook dat ik jank als een klein hondje bij het lezen dat men overheden wil verplichten om DNSSEC te laten gebruiken. De markpenetratie van SPF (hoog) en DKIM (redelijk) omdat het eenvoudig op te zetten is, met name SPF, en de effectiviteit is hoog. De markpenetatrie van DNSSEC is 0,0. Bijna niemand gebruikt dit. Een efficiënte overheid zou dit dus ook niet doen.

Meer detail over de problemen van DNSSEC kan je hier vinden:
http://sockpuppet.org/blog/2015/01/15/against-dnssec/
Helemaal mee eens, veel van de e-mail authenticatie standaarden worden maar op de lange baan geschoven omdat er eerst DNSSEC moet zijn. Echter de eenvoud van implementatie van SPF, DKIM en DMARC lis veel eenvoudiger en vereist vaak geen extra investeringen, dit omdat het vaak al aanwezig is in de appliances/apparatuur die men gebruikt.

Op dit moment is in de Gmail interface als zichtbaar als er geen enkele vorm van authenticatie toegepast wordt. Zie ook: https://gmail.googleblog....er-for-you-posted-by.html

De commerciële partijen hebben ook baat bij de implementatie van deze authenticatie technieken. Helaas heb ik nog geen cijfers mogen ontvangen van Google met betrekking tot de kostenbesparing op de filter infrastructuur als gevolg van bijv. DMARC.

Als het gaat om adoptie van deze email authenticatie standaarden, bekijk dan even de slides van het onderzoeksrapport: "Neither Snow Nor Rain Nor MITM . . .
An Empirical Analysis of Email Delivery Security"
https://www.ietf.org/proc.../slides-95-irtfopen-1.pdf
http://conferences2.sigcomm.org/imc/2015/papers/p27.pdf
Mag ik je erop wijzen dat bijna de helft van alle 5,6 miljoen domeinnamen gewoon voorzien is van DNSSEC?

Zie de teller op https://sidn.nl/

En bijvoorbeeld resolvers als die van Google (de fameuze '8.8.8.8') en veel anderen controleren hier ook gewoon al sinds jaar en dag op. Jouw ISP misschien nog niet, dat is waarschijnlijk diezelfde suffe ISP die ook maar blijft falen met het uitrollen van IPv6...

DNSSEC is haast een commodity geworden en hoeft dus ook helemaal niet meer duur te zijn om te implementeren.

Verder kloppen je argumenten ook niet helemaal. DNSSEC kent prima cryptografie, die ook nog eens update-baar is.

Het enige is; DNSSEC voegt een extra laag toe in de complexiteit en dus een extra punt waar fouten kunnen worden gemaakt. In de praktijk valt dat bij .nl-domeinnamen trouwens erg mee.
Dat is onjuist. Zelfs met de huidige DNS is het zinvol om SPF, DKIM en DMARC te gebruiken. Standaard kan elke idioot op aarde gaan spoofen en phishen naar iedereen elders op aarde. Met SPF en DKIM moet je al DNS gaan breken ergens, dat kan niet iedereen, en je kan enkel het domein dat je gebroken hebt phishen. Je reduceert de attacking surface immens.
Ok, je hebt gelijk, het helpt inderdaad in de meeste gevallen ook zonder DNSSEC. Zelfs als het niet perfect is dan is het beter dan niks, maar echt vertrouwen kun je er dus ook niet op.
Verder zou een veilige DNS beter zijn, maar jammer genoeg is DNSSEC geen goed antwoord omdat er erg veel problemen overblijven (slecht design), omdat DNSSEC zwakke cryptografie heeft (en die is niet update-baar), en het is duur om te implementeren.
Dat klopt niet. De cryptografie is wel updatebaar, er zijn op dit moment een dozijn algoritmes waar je uit kan kiezen. Niet alle servers ondersteunen alle algoritmes maar dat is niet anders dan bij andere software.
De markpenetatrie van DNSSEC is 0,0. Bijna niemand gebruikt dit.
Dat klopt niet. Kijk even op https://stats.sidnlabs.nl/#/dnssec en dan praten we verder.

- 44% van de .nl domeinen is beveiligd met DNSSEC
- 29% van de dns-queries gebruikt DNSSEC
- De grootste DNS-resolver ter wereld, Google, heeft het aan staan voor iedereen die 8.8.8.8 als dns-server gebruikt.
- Van de TLDs is 88% beveiligd met DNSSEC.
Meer detail over de problemen van DNSSEC kan je hier vinden:
http://sockpuppet.org/blog/2015/01/15/against-dnssec/
Dat verhaal weer. Deze persoon stelt voor om maar niks te doen en te bidden dat het goed gaat. DNSSEC is niet zonder problemen, maar met je hoofd in het zand steken is ook niet de juiste oplossing. Hij schrijft heel mooi dat de aanname altijd is geweest dat DNS niet veilig is maar dat klopt niet. Juist protocollen als SPF en DKIM gaan er van uit dat DNS wel veilig is. Je kan niet allebei hebben, kiezen of delen.
Dan moet je beter lezen, alle 3 de genoemde kreten staan in het artikel.
Ook deze 3 technieken staan als 'pas-toe-of-leg-uit' in de lijst.
Een uitgaande server en geen SPF lijkt mij overigens sowieso een probleem. Zelf doe ik SPF checking voor inkomende mail, met gevolg dat sommige mail in de quarantine blijft hangen. Maar SPF is zo standaard met mail dat ik zou verwachtten dat het gebruikt zal worden. Nix simpeler dan een TXT record in DNS.
Onwerkelijk dat ze hier anderhalf jaar voor krijgen...
Onwerkelijk dat ze hier anderhalf jaar voor krijgen...
Ze hebben al een paar jaar de tijd gehad. Daar hebben de meesten niks mee gedaan. Er is altijd gezegd dat het deze kant op zou gaan. Wie nu nog niks heeft gedaan gaat dat waarschijnlijk ook niet meer doen. Daarom is het hoog tijd om de druk wat op te voeren.

DNSSEC implementeren kan lastig zijn voor een e-mail-beheerder omdat DNSSEC nu eenmaal op DNS-niveau werkt, misschien heeft de e-mail-beheerder daar geen controle over. TLS is echter een ander verhaal. Dat moet iedere competente beheerder kunnen regelen tegen zeer bescheiden kosten. Als je nog meer dan een jaar de tijd hebt dan mag dat geen probleem zijn. Als het wel een probleem is dan is het hoog tijd om in je IT-afdeling te investeren want dan schiet je echt te kort. Waarschijnlijk zit het dan op veel meer punten ook fout.
Anderhalf jaar de tijd krijgen vind ik niet bepaald de druk opvoeren. Een half jaar tot max. een jaar lijkt me ruim voldoende.
Na 15 jaar maakt zes maanden meer of minder weinig meer uit. Bij de grote instanties die ik ken is het niet ongebruikelijk dat een dergelijke verandering meer dan een jaar duurt. Technisch gezien valt het misschien nog wel mee maar dat is vaak maar een klein deel van het verhaal.

Denk er ook aan dat sommige gemeentes hun e-mail uitbesteden. Als er nieuwe eisen komen dan zal de partner die moeten implementeren. Dan moet daar wel ruimte voor zijn binnen het contract. Als zo'n partner niet mee wil werken dan zal je moeten wachten tot je contract afloopt en je naar een andere leverancier kan overstappen. Dan zal er waarschijnlijk een aanbesteding moeten worden uitgeschreven en dan ben je al snel een jaar verder.
In de brief deelt de minister de mening van het bericht uit Binnenlands Bestuur, namelijk dat 'Gemeentelijke e-mail gênant slecht beveiligd is', niet. Dit omdat de 'volgorde van implementatie van maatregelen is gebaseerd op een lokale risicoafweging waar het college van B&W voor verantwoordelijk is'.
Volgens mij komt dit meer door budget (tekort) en/of kennis (tekort).
En in dit soort gevallen, vraag je je af, waarom er niet een centraal ICT afdeling of kennisdeling is, waardoor elke overheidsinstantie hier hetzelfde voor lage kosten kan afnemen.
Centraal ICT afdeling voor een compleet land? Lijkt mij een uiterst slecht plan als we even kijken naar hoe andere zaken die centraal geregeld zijn werken. Centrale politie > fail, CAK -> fail, SVB -> fail.

Dus nee. een Centrale ICT lijkt mij geen goed plan. Wat je wel kan doen is een set landelijk regels opstellen waar men zich aan moet houden en daar dan ook op controleren.

[Reactie gewijzigd door Webgnome op 24 juni 2016 11:01]

Kennisdeling.... noem SPee ook.
Standaarden zoals tls en dnssec staan op de zogenaamde 'pas-toe-of-leg-uit'-lijst. Alles wat op deze lijst staat, is verplicht bij aanschaf, aankoop, aanbesteding of ontwikkeling van een nieuwe dienst.
Dat geldt voor _alle_ open standaarden. Echter wordt er nog zonder uitleg allerlei proprietary formaten geimplementeerd en in stand gehouden.
Nu met deze regel (al in gebruik sinds 2001 vanwege motie Vendrik) schermen komt wel heel erg slap over.
Plasterk zou pas een vent zijn als hij dan meteen de andere open standaarden verplicht stelt voor eind 2017.
Dat geldt voor _alle_ open standaarden. Echter wordt er nog zonder uitleg allerlei proprietary formaten geimplementeerd en in stand gehouden.
Nu met deze regel (al in gebruik sinds 2001 vanwege motie Vendrik) schermen komt wel heel erg slap over.
Plasterk zou pas een vent zijn als hij dan meteen de andere open standaarden verplicht stelt voor eind 2017.
De Pas-toe-of-leg-uit-lijst is een tijdelijke oplossing om de overheid alvast de goede kant op te sturen. Zie het maar als een aankondiging van welke technieken in de toekomst waarschijnlijk verplicht gaan worden. Nu is het punt gekomen dat je er niet meer mee weg komt om (een deel van) die lijst te negeren. De tijd van uitzonderingen is voorbij, nu mag je niet meer uitleggen waarom je niet mee kan doen je moet het gewoon doen.
Tegelijkertijd worden er nieuwe technieken (zoals dmarc en dane) aan de lijst toegevoegd. Waarschijnlijk worden die over een jaar of 10 ook verplicht. Hopelijk hebben de gemeentelijke inkopers de boodschap nu begrepen en gaan ze er beter op letten bij de aanschaf van nieuwe producten.
Als het goed is weet je redelijk goed waar je allemaal e-mail vandaan stuurt namens 'jouw' domein. Een SPF-record is inclusief inventarisatie dan volgens mij niet meer dan een week werk. Komt nog eens bij dat een optie hebt om eventuele niet opgenomen servers niet meteen blokkeert, zodat je jezelf wat meer ruimte geeft. Anderhalf jaar.. Echt ongelofelijk.
Voordat men met SPF aan de slag gaat zou ik eens eerst starten met het publiceren van een DMARC p=none policy, dan zie je direct welke servers proberen uit naam van je domein te versturen. Leg je dit tegen je SPF record aan, dan wordt de inventaris hiervan een stuk makkelijker. (kleine tip :) )

Over alle gemeentes heen gezien zijn er relatief veel dezelfde externe leveranciers. Pak je het dus op vanaf de leverancier dan kun je bepaalde standaarden relatief snel in place krijgen.

Uit betrouwbare bron zijn er diverse gemeentes hard bezig :9
Eind 2017: dit is een oude-technologie tijdslijn voor het huidige beveilings kat-en-muis-spel.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True