Mails van Nederlandse politie krijgen blauw verificatievinkje in Gmail

Mails van de Nederlandse politie krijgen in bepaalde mailclients, waaronder Gmail, een blauw verificatievinkje. Dit is mogelijk door het ondersteunen van de open mailstandaard BIMI. De politie is voor zover bekend een van de eerste overheidsinstellingen die BIMI ondersteunen.

De Nederlandse politie ondersteunt BIMI sinds 15 mei, zegt de instelling tegen SIDN. Dankzij Brand Indicators for Message Identification kunnen bedrijven en organisaties aan mailontvangers laten zien dat zij de daadwerkelijke verstuurder zijn. Het gebruik van BIMI gaat daardoor in theorie phishing en spoofing tegen. Naast een blauw vinkje zien gebruikers het logo van de politie.

BIMI-vinkjes worden alleen getoond als de versturende partij e-mails authenticeert met Domain-based Message Authentication, Reporting and Conformance, ofwel Dmarc. De mails moeten ook geauthenticeerd zijn met SPF of DKIM, kort voor Sender Policy Framework en Domain Keys Identified Mail. Daarnaast moet het te gebruiken beeldmerk auteursrechtelijk geregistreerd zijn.

"Op dit moment zijn wij bij mijn weten naast de Belastingdienst de enige overheidsorganisatie die BIMI al geïmplementeerd heeft", zegt Peter Gelhard, deliverymanager IP en domain office van de Nederlandse politie, tegen SIDN. Gelhard zegt dat de politie BIMI heeft geïmplementeerd omdat 'het van maatschappelijk belang is dat de communicatie met de politie veilig, integer en zichtbaar is'. Naast Gmail ondersteunt onder meer Yahoo-mail BIMI, maar Microsoft Outlook niet.

Gmail-verificatievinkjes — Een blauw verificatievinkje bij een mail van Google

Reacties (73)

DhrRob 12 juni 2024 13:45

Redelijk jammer dat BIMI zo ontzettend duur is, kost je zo'n $1500 per jaar. Niet erg toegankelijk voor MKB op die manier, terwijl de meerwaarde gigantisch is.

zenlord @DhrRob • 12 juni 2024 13:52

Hoe kom je aan dat bedrag? Een Benelux merk kost je net geen 400 EUR voor 10 jaar. Een Europees merk zit rond de 1300 EUR voor 10 jaar (tenminste tot voor enkele jaren )

mrdemc @zenlord • 12 juni 2024 14:02

Voor de benelux zie ik hier zelfs dat het goedkoper is:
https://www.boip.int/en/entrepreneurs/trademarks/fees

en als MKB kun je een SME-voucher aanvragen als ik het goed heb begrepen voor een 75% korting:
https://www.boip.int/en/sme-voucher

Is your company an SME? If so, take advantage of the European "SMEvoucher” subsidy scheme.
The SMEvoucher allows you to recuperate 75% of your Benelux trademark or design application fee.

Het lastige is alleen dat je voor BIMI ondersteuning bij bijv. Google een zogenoemd VMC certificaat nodig hebt, en dat is hetgeen wat het meest kostbaar is in dit proces:
https://support.google.com/a/answer/10911320?hl=nl

Dien uw svg-bestand in om een VMC van een CA te krijgen. Een VMC wordt geleverd met een PEM-bestand (Privacy Enhanced Mail) (en andere bijbehorende bestanden) dat u naar uw webserver uploadt. Uw svg-bestand (logo) is ingesloten in het PEM-bestand. Gmail en andere e-mailclients ondersteunen BIMI alleen met PEM-bestanden. Met een PEM-bestand zorgt u voor extra beveiliging voor uw logo, omdat het is geverifieerd door de CA.

En daarin heb je niet veel keuze qua partijen (in ieder geval DigiCerten Entrust) met kosten rond de 124 dollar per maand per domein bij DigiCert of 1.299 dollar per jaar per domein bij Entrust.

Voor puur een logotje en een vinkje in de mailbox van een ander partijen als Entrust/DigiCert sponsoren en daarbij zo'n 1500 dollar in totaal per jaar per domein aan extra kosten te hebben; is een duur logootje en een vrij bijzondere keuze m.i. gezien de afkeer van Google m.b.t. de EV-certificaten een aantal jaar geleden....

Voor BIMI zelf is dat trouwens niet eens nodig, er zijn blijkbaar 'twee groepen':
https://bimigroup.org/ver...ertificates-vmc-and-bimi/

[Reactie gewijzigd door mrdemc op 22 juli 2024 14:30]

Maurits van Baerle @mrdemc • 12 juni 2024 14:23

Ik vermoed dat het uitgeven van zo'n VMC nog best een operatie is en daarom vrij duur.

Als ik morgen een bedrijfje zou kunnen opzetten in Panama, een naam en logo zou kunnen kiezen dat verdacht veel lijkt op dat van de Nederlandse Belastingdienst (weten ze in Panama veel), en dan er een VMC voor aanvraag dan heb ik die extra kosten er zo uit omdat de Click Through Rate op mijn scam emails veel hoger is.

Er zal dus iets van een wereldwijde database moeten zijn om dat soort dingen te voorkomen.

markg85 @Maurits van Baerle • 12 juni 2024 15:42

Denk dat het "dure" stapje ervoor zit, niet in de VMC zelf.
Quote (van hier):

Uw merklogo registreren als handelsmerk
Logo's die met BIMI worden gebruikt, moeten een handelsmerk hebben van een bureau voor intellectueel eigendom dat wordt erkend door uitgevers van het Verified Mark Certificate (VMC). U moet laten verifiëren dat uw merklogo een handelsmerk is. Als dat niet het geval is, raden we u aan samen te werken met uw juridische team of een advocaat om ervoor te zorgen dat uw logo wordt geregistreerd als handelsmerk. Het handelsmerkproces kan 6 maanden tot meer dan een jaar duren.

De BIMI-standaard wordt uitgebreid met logo's zonder handelsmerk.

De VMC is een certificaat. Denk aan een https certificaat voor sites alleen dan voor 1 enkel bestandje. En dit moet dan van Google van een CA (Certificate Authority) komen. En zo krijg je opgeblazen prijzen. Bij DigiCert kost dat $124 per maand per domein. Dat voor iets wat een volledig automatisch process is (of kan zijn) is bijzonder goed verdient.

mphilipp @Maurits van Baerle • 12 juni 2024 14:57

Er zal dus iets van een wereldwijde database moeten zijn om dat soort dingen te voorkomen.

Iets met AI

Martinspire @mrdemc • 12 juni 2024 14:38

Het is duur, maar ik zou zeggen dat het voor deze instanties wel meerwaarde biedt. Een random mailtje hoeft dat niet te hebben, maar bij deze vind ik het wel prettig.

Daarnaast zullen de hoge kosten ook wel scammers afweren die met domeinen kunnen werken die lijken op die van politie of belastingdienst. Want je moet aardig wat scammen, wil je dat geld eruit halen.

Overigens zou ik dan liever zien dat overheid.nl of mijnoverheid.nl dat dan instelt en dat alle mail daar overheen gaat, als de wens is dat het goedkoper moet en meer overheidsinstellingen kunnen aansluiten. Maar eerder moet hier gewoon de prijs van de markt omlaag voor gaan. Wat op den duur ook vast wel gebeurd als de manier van verzenden het gewenste gevolg ervaart.

[Reactie gewijzigd door Martinspire op 22 juli 2024 14:30]

P1nGu1n

@zenlord • 12 juni 2024 13:54

Hoe kom je aan dat bedrag?

https://www.digicert.com/tls-ssl/verified-mark-certificates - $1488/jaar
https://store.entrust.com/default/vmc.html - $1299/jaar
(Digicert en Entrust zijn momenteel de enige aanbieders van VMCs)

De kosten voor de merkregistratie komen hier nog bovenop. Die $1300-1500 zijn alleen de kosten voor het Verified Mark certificaat zelf.

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 14:30]

eXtink

@DhrRob • 12 juni 2024 13:54

Waarom is de meer waarde (voor MKB) gigantisch? Ik begrijp dat dit heel goed kan helpen bij grote partijen (die vaak bij phishing worden geïmiteerd), echter vraag ik het me af of het helpt dat mijn lokale notaris (of welk ander MKB) een vinkje heeft.

DhrRob @eXtink • 12 juni 2024 14:21

De meerwaarde zit niet alleen in de verificatie, maar ook dat kleine stukje extra branding in iemands Inbox. Lekker eenvoudig te herkennen.

Sowieso hoop ik dat geen enkel bedrijf gevoelige gegevens gaat mailen, maar het is wel fijn dat een bedrijf wat met gevoelige gegevens omgaan (en dat zijn ook genoeg kleine bedrijven) eenvoudig te verifiëren is. BIMI maakt dat mogelijk.

zenlord @DhrRob • 12 juni 2024 14:33

Toch even vermelden dat BIMI zelf niets verificeert. Als de ontvangende email client de DKIM/DMARC checkt en die is succesvol, dan wordt de BIMI SVG weergegeven. Recent nog getest en het verslag kan je hier lezen: https://16years.secvuln.info/

Dus BIMI voegt geen extra beveiliging toe, daar waar SPF, DKIM en DMARC elkaar wél aanvullen (en zelfs niets hoeven te kosten).

M66B @zenlord • 12 juni 2024 14:57

Dat klopt niet, want het BIMI VMC-certificaat wordt ook gecontroleerd.
Dus er is wel degelijk een extra beveiligingslaag.

https://www.ietf.org/arch...lidation-of-verified-mark

[Reactie gewijzigd door M66B op 22 juli 2024 14:30]

zenlord @M66B • 12 juni 2024 15:01

Dat is correct (als je al zo'n VMC gebruikt in jouw BIMI implementatie, want het is niet verplicht), maar je ziet het probleem verkeerd.
De BIMI record mag nog volledig in orde zijn, en gewaarborgd door een VMC - als je een 'badkey' als DKIM gebruikt, dan kunnen aanvallers emails versturen die ogenschijnlijk perfect in orde zijn, en dan zal de BIMI ook worden weergegeven (en dus nog meer authoriteit geven aan een vervalste email).

M66B @zenlord • 12 juni 2024 15:03

Dat klopt niet, want BIMI vereist DMARC, en DMARC vereist of SPF of DKIM.

zenlord @M66B • 12 juni 2024 15:06

Je baseert je op een standaard, en die moet nog steeds in realiteit worden geimplementeerd. De link die ik hierboven heb gepost krijgt voldoende aandacht in security-middens om er mij geloof aan te doen hechten.

M66B @zenlord • 12 juni 2024 15:15

Zo kun je TLS ook als onveilig bestempelen, want is dat wel goed geïmplementeerd in de realiteit?

Ik zie graag een goed argument waarom BIMI niet een extra veiligheidslaag zou bieden.

Edit: Je haalt ook een artikel aan uit 2008, waarmee je kunt zeggen dat TLS onveilig is en dat vind ik nogal kort door de bocht.

[Reactie gewijzigd door M66B op 22 juli 2024 14:30]

zenlord @M66B • 12 juni 2024 18:41

Ik zie graag een goed argument waarom BIMI niet een extra veiligheidslaag zou bieden.

Ik kan net het omgekeerde van jou vragen

. Ik begrijp wel dat je stelt dat je bij het aanvragen/invoeren van BIMI op jouw server een bijkomende verificatieprocedure moet doorlopen, maar die voegt 0 beveiliging toe als het onderliggende mechanisme in de praktijk faalt: als een hacker uit jouw 'slechte' DKIM key de private key kan afleiden (wat in het artikel wordt aangetoond), dan kan die hacker emails versturen die door de ontvanger worden gezien als 'DMARC/DKIM compliant', maar nu dankzij BIMI ook nog eens als 'geverifieerd'. BIMI voert zelf geen enkele check uit en vertrouwt volledig op DMARC/DKIM.

Edit: Je haalt ook een artikel aan uit 2008, waarmee je kunt zeggen dat TLS onveilig is en dat vind ik nogal kort door de bocht.

1. Het artikel is van vorige maand
2. het artikel heeft slechts marginaal te maken met TLS (een bug in OpenSSL en hoe die 16 jaar na datum nog steeds problemen veroorzaakt)
Misschien toch maar eens *goed* lezen?

M66B @zenlord • 12 juni 2024 22:46

Het punt is dat het artikel een bug uit 2008 aanhaalt, dat ook zegt dat er vooral bij een bedrijf (Cakemail) een probleem is. Je kunt er sensatie in zoeken en dit transponeren naar alle servers, maar dat is gewoon niet correct.

Het heeft overigens alles met de bug uit 2008 in OpenSSL te maken, want de oude, nooit geroteerde sleutels voor DKIM zijn in feite zwak, want ze zijn 16 jaar geleden gemaakt door deze OpenSSL versie.

M.a.w. voor het probleem dat je benoemd, zijn er specifieke, bijzondere omstandigheden nodig. Het is dus geen algemeen probleem en daarmee kun je dus ook niet zeggen dat BIMI niets waard is.

Er zijn vast ook nog wel servers te vinden die een OpenSSL versie uit 2008 gebruiken. Dat is dan hetzelfde, maar dat maakt niet alle servers onveilig.

Bedrijven zoals Google en Microsoft gebruiken goede sleutels voor DKIM, dus de bulk van het mailverkeer wordt sowieso fatsoenlijk ondertekend.

[Reactie gewijzigd door M66B op 22 juli 2024 14:30]

zenlord @M66B • 13 juni 2024 06:50

Het punt is dat het artikel een bug uit 2008 aanhaalt, dat ook zegt dat er vooral bij een bedrijf (Cakemail) een probleem is. Je kunt er sensatie in zoeken en dit transponeren naar alle servers, maar dat is gewoon niet correct.

Toch maar eens opnieuw lezen, en goed deze keer.
"How many keys were vulnerable?

By scanning the Tranco Top 1 Million list, I collected 355,055 TXT records with a valid RSA key. Ed25519 keys were only found in negligible numbers (to be precise, two). DKIM does not support other key types.

Of the records with RSA keys, 855 were vulnerable to CVE-2008-0166 - around 0.24 %."

Dus 0.24% van de onderzochte domeinen, en er zijn er maar 1 miljoen onderzocht.

Bedrijven zoals Google en Microsoft gebruiken goede sleutels voor DKIM, dus de bulk van het mailverkeer wordt sowieso fatsoenlijk ondertekend.

OK, nu ben ik zeker dat je niets met IT security te maken hebt. Binnen IT security is er geen plaats voor stellingen als 'het meeste is veilig' of 'sensatiezucht'... Van zodra er een geloofwaardige bedreiging is, is het alle hens aan dek om door de eigen mogelijke fouten te kammen. In mijn geval kan ik zeggen dat ik de automatische DKIM key rotation nog steeds niet heb geïmplementeerd, maar dat ik wel telkens een nieuwe key genereer bij opzetten van een nieuwe server, en dat heb ik dus al meermaals gedaan sinds 2008.

M66B @zenlord • 13 juni 2024 12:13

0.24% is niet nul, maar ook geen 100%. BIMI is dus oké voor 99,76% van de keys, dus zeggen dat DKIM / BIMI niet oké is wat mij betreft sensatiezucht. Zo wordt alles slecht en dat is gewoon niet het geval.

zenlord @M66B • 13 juni 2024 16:17

Je mist het punt en legt woorden in de mond van iemand anders. Het punt is dat BIMI niets bijbrengt bovenop SPF, DKIM en DMARC.

kaas-schaaf @zenlord • 12 juni 2024 15:11

Ben net door die BIMI (draft!) spec heen gegaan en dat is een behoorlijke draak. Heel veel blaat wat neer komt op "DMARC/DKIM good, BIMI good" en geen (bidirectionele) validatie. Zoals de auteur al aangeeft klinkt dit als een nieuwe melkkoe nadat EV niet langer voor de domeinvinkjes gebruikt word in browsers. [aluhoedje] En laat nu net de BIMI werkgroep opgericht zijn direct nadat dit gebeurde. [/aluhoedje]

kodak

Politie
Nederland

@DhrRob • 12 juni 2024 16:38

een kleine stukje extra branding toont nu juist niet bepaald een gigantische meerwaarde aan. Zeker niet als je als ondernemer het gevraagde bedrag dan te duur gaat vinden. Daarbij is dat juist ook geen meerwaarde voor beveiliging. Eerder het proberen in te spelen alsof de extra marketing net zo belangrijk is bij deze oplossing, wat nu juist niet het doel is.

Het nieuws stelt niet voor niets dat het in theorie phishing en spoofing tegen moet gaan. Als ondernemer wil je daarvoor genoeg zekerheid, wat niet bewezen is. Gebruikers vatten merktekens niet zomaar op als betrouwbaar of onbetrouwbaar omdat bedrijven geld betalen of omdat die tekens ergens wel of niet staan. Terwijl een bedrijf die investering net zo goed kan doen door zelf heel duidelijk en consisitent te zijn niet zomaar mails te laten gebruiken alsof daar op te vertrouwen is.

timmiej93 @eXtink • 12 juni 2024 14:32

Vooral omdat je van MKB partijen vaak wel weet of je er recent contact mee hebt gehad. Bol, Amazon, of supermarkten waar je regelmatig wat van koopt kijk je niet van op als je daar een mail van krijgt. Als je uit het niets van Tuincentrum Janssen een mail krijgt weet je wel of je daar recent wat gekocht hebt of niet, of je daar normaal een nieuwsbrief van krijg, en of de mail dus betrouwbaar is of niet. Voeg daar aan toe dat het voor phising vaak inderdaad niet rendabel is om een klein bedrijf te imiteren.

Dat betekent natuurlijk niet dat het niet gebeurt, de kans is alleen kleiner. Daarbij is het bij MKB vaak kinderlijk eenvoudig om even de telefoon te pakken en te vragen of de mail inderdaad van hen komt, vaak hang je dan nog geen 5 minuten aan de lijn, in tegenstelling tot de grote jongens waar je na een half uur nog steeds geen zekerheid hebt.

En, voor wie het nog moet horen: NOOIT op een link klikken die belooft je naar je bestellingen o.i.d. te leiden, en NOOIT een telefoonnummer bellen dat aangeleverd wordt in een mail. Altijd gewoon zelf even naar de webpagina van het bedrijf gaan en daar naar de bestellingen pagina of het telefoonnummer opzoeken. In bijna alle gevallen zullen de links en telefoonnummers echt wel kloppen, maar het is gewoon een goede gewoonte om informatie uit mails (of brieven/briefjes/personen aan de deur) niet te vertrouwen. Vertrouwen is goed, onafhankelijke en grondige controle is (veel) beter.

Ghandi @DhrRob • 12 juni 2024 14:04

Misschien lees ik verkeerd, maar volgens mij heb je alleen nodig:
SPF, DMARC, DKIM en een DNS record voor een verwijzing naar een logo

Bij googlen kwam ik hier op terecht
https://spotler.nl/blog/w...ail-en-hoe-gebruik-je-het

Wat ik verder lees is, dat je mailserver wel een beetje volume/goede reputatie moet hebben. En een logo mag geen tekst bevatten.

Binnenkort maar eens uitproberen. Was dat een paar jaar geleden ook al van plan, maar dit heeft een beetje lage prioriteit.

[Reactie gewijzigd door Ghandi op 22 juli 2024 14:30]

elmuerte @Ghandi • 12 juni 2024 14:14

Daarnaast vereisen sommige ontvangers een zogeheten Verified Mark Certificate (VMC) voor het BIMI-logo. Het VMC is een digitaal bewijs dat het logo waar het BIMI record naar verwijst ook daadwerkelijk bij de verzender hoort.

Die VMC kost dus blijkbaar rond de $1500 per jaar.

wvell @Ghandi • 12 juni 2024 14:16

https://support.google.com/a/answer/10911320?hl=en (voor gmail heb je iig een vmc nodig

)

Morres Haegenz @DhrRob • 12 juni 2024 15:25

Dat is maar tijdelijk. Het duurt niet lang, dan wordt dat blauwe vinkje ook gespoofd.

Guru Evi @DhrRob • 12 juni 2024 13:58

Het kost niets, je kunt het zelf implementeren, spoofen en het heeft geen nut. Het is hetzelfde verhaal als EV certificaten, nadat TLS certificaten gratis werden met oa LetsEncrypt proberen we je toch een TLS certificaat te verkopen, echter is er technisch niets speciaal aan een EV, gewoon een veld in je cert dus iedereen die een phish beter wilde laten zien kon een krijgen.

GertMenkel

Google
Nederland

@DhrRob • 12 juni 2024 17:38

De prijs is het hele punt, helaas. Het principe erachter is niet verkeerd, maar de uitvoering schiet tekort.

Alleen al het feit dat iedere mailserver zelf bepaalt welke certificaten hij erkent ondermijnt het hele principe hierachter.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 14:30]

MJ85 @DhrRob • 12 juni 2024 19:20

Dat nog even terzijde, waarom moet er een blauw vinkje komen bij mails komende vanaf x@politie.nl.. ik zie er echt de meerwaarde niet van in.

CAPSLOCK2000

Nederland
Google Gmail
E-mail
Politie
Google
Officesoftware en suites

12 juni 2024 14:59

Ik ben niet echt enthousiast over BIMI. Het is duur, niet voor iedereen toegankelijk en het is eenvoudig te neppen. Als gebruiker moet je op zoek naar een plaatje dat je op het oog moet beoordelen, maar normale mensen kunnen het verschil niet zien met een spam mail die zelf een plaatje laat zien.

Verder heeft BIMI hetzelfde probleem als typosquatting van domeinnamen. Je kan kan eindeloos veel variaties op een plaatje maken die voor het menselijk oog niet te onderscheiden zijn. Dat probleem moet voorkomen worden door niet iedereen BIMI mag aanvragen maar je gecontroleerd moet worden.
Daarmee is de standaard direct onbereikbaar voor een groot deel van de wereld.

Een van de eisen van BIMI is dat je een eigen logo hebt dat geregistreerd is als handelsmerk. Dat is dus alleen geschikt voor bedrijven. De hele standaard zit sowieso vol taal en eisen die er op neer ko men dat je een bedrijf moet zijn. Volgens mij is het onmogelijk als particulier BIMI toe te voegen aan je mail.

Toen ik er een paar jaar geleden naar keek was je in praktijk afhankelijk van MS en of Google en werkte het alleen voor hun klanten onderling. Inmiddels lijken er in ieder geval wat VMA's bij te zijn gekomen maar het blijft een zeer select (en duur) clubje.

Misschien dat een LetsEncrypt-achtig project er iets van kan maken. Op dit moment zie ik BIMI vooral als makkelijk geld verdienen over de rug van domme bedrijven die denken dat ze een anti-spam-oplossing kopen.

De goede kant van BIMI is dat je DMARC moet implementeren, dat zou iedereen moeten doen.
In de meeste bedrijven geeft niemand buiten de IT-afdeling daar om, maar als je met BIMI een plaatje in je mail kan krijgen, dán is er opeens aandacht en is de discussie alleen nog maar welk plaatje.

Keypunchie

Nederland
Politie

@CAPSLOCK2000 • 12 juni 2024 15:49

DMARC implementeren is alleen niet per se triviaal.

Dat wil zeggen, als systeembeheerder een keertje de DMARC op orde brengen voor je reguliere bedrijfscorrespondentie, dat gaat wel lukken als klein projectje. Alleen zul je dan al snel heel sippe gezichten bij Marketing&Communicatie gaan zien, omdat al hun massa-mailings die ze via third party mailers laten lopen een stuk minder respons gaan krijgen.*

Daar zijn ook weer oplossingen voor, maar die vereisen allemaal technische inspanning en expertise, dus dan is "laat maar" voor midden- en kleinbedrijf meestal een veel makkelijkere optie.

*Overigens niet alleen MarCom, er zijn nog veel meer, ook technische scenario's, waar een legitieme mail met jou als afzender via een thirdparty mailserver wordt verstuurd. Dat heb je nou eenmaal met allerhande SaaS oplossingen.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 14:30]

CAPSLOCK2000

Nederland
Google Gmail
E-mail
Politie
Google
Officesoftware en suites

@Keypunchie • 12 juni 2024 16:00

DMARC implementeren is alleen niet per se triviaal.

Dat wil zeggen, als systeembeheerder een keertje de DMARC op orde brengen voor je reguliere bedrijfscorrespondentie, dat gaat wel lukken als klein projectje. Alleen zul je dan al snel heel sippe gezichten bij Marketing&Communicatie gaan zien, omdat al hun massa-mailings die ze via third party mailers laten lopen een stuk minder respons gaan krijgen.

Daar zijn ook weer oplossingen voor, maar die vereisen allemaal technische inspanning en expertise, dus dan is "laat maar" voor midden- en kleinbedrijf meestal een veel makkelijkere optie.

Ik heb het voor een forse organisatie gedaan met honderden domeinen. Dat heeft inderdaad jaren geduurd om overal de benodigde medewerking te krijgen. Het klopt ook dat je goede relaties met M&C moet onderhouden. Wat dat betreft heeft BIMI het voordeel dat M&C ook wat lekkers terug krijgt: het bedrijfslogo komt in de mals en dat vinden ze daar heel spannend.

We zijn wel hard de kant op aan het gaan dat DMARC niet langer optioneel is. Als je wil dat je mail aankomt bij Google & Microsoft dan kun je maar beter mee doen. Dat is ook hoe ik het heb verkocht bij de M&C types: een dmarc-mail heeft een veel grotere kans om langs de spamfilters te komen.

Om het goed te doen moet je ruim van te voren al je mailstromen vinden en beschrijven. Een goede manier om dat te doen is DMARC in "0%"-mode draaien in combinatie met het ingebouwde feedback mechanisem. Dan heb je wel een registratie maar geef je aan dat je er nog niks mee doet maar wel de feedback wil. Andere mailservers gaan je dan overzichtjes sturen van wat voor mails ze van je hebben gezien. Een partij als Gmail is zo groot dat die je eigenlijk een compleet overzicht van alle mailstromen onder jouw domein sturen als je het wat tijd geeft.
Als je het eenmaal op orde hebt dan ga je van 0% naar 1%, als dat goed gaat verhoog je het steeds verder tot je op 100% zit. Dat proces kost makkelijk meer dan een jaar.

Keypunchie

Nederland
Politie

@CAPSLOCK2000 • 12 juni 2024 16:12

We zijn wel hard de kant op aan het gaan dat DMARC niet langer optioneel is. Als je wil dat je mail aankomt bij Google & Microsoft dan kun je maar beter mee doen. Dat is ook hoe ik het heb verkocht bij de M&C types: een dmarc-mail heeft een veel grotere kans om langs de spamfilters te komen.

Denk dat dit de kern is. De pijn van niet DMARC hebben zal groter moeten zijn dan de kopzorgen/beheerlast van wel DMARC hebben.

Mijn stelling: anno 2024 is voor het grootste gedeelte van de Nederlandse bedrijven dit punt nog niet bereikt.

Voor mijn eigen domein heb ik het werkende gekregen, maar dat is een ProtonMail account.
Voor bedrijfje: we hebben een SPF record, DKIM gaat me op deze schaal boven de pet en we hebben het budget/mankracht/urgentie er niet voor om dit uit te zoeken. Dan valt DMARC ook af. (Nou ja, we zouden een null-policy kunnen zetten, maar vervolgens gaat voorlopig niemand wat met die resultaten doen).

GertMenkel

Google
Nederland

@Keypunchie • 12 juni 2024 17:44

De meeste bedrijven hebben hun mail bij Microsoft of Google staan en sturen nieuwsbriefspam via een van de drie grote mailboeren. DMARC is helemaal niet zo'n uitdaging in die situatie.

Techbedrijven die allemaal moeilijke dingen met mail gaan doen (zelfgemaakte automatische monitoring en weet ik veel wat) lopen er wellicht tegenaan, maar ik denk dat het gros van de bedrijven hier niet zoveel last van heeft.

Voor alle kleine bedrijven die gewoon een @gmail.com hebben is het helemaal makkelijk, daar wordt dit voor ze geregeld. Dat zijn vooral de allerkleinsten met misschien twee of drie man, maar daarvan zijn er een hele hoop!

CAPSLOCK2000

Nederland
Google Gmail
E-mail
Politie
Google
Officesoftware en suites

@Keypunchie • 12 juni 2024 19:21

Voor bedrijfje: we hebben een SPF record, DKIM gaat me op deze schaal boven de pet en we hebben het budget/mankracht/urgentie er niet voor om dit uit te zoeken. Dan valt DMARC ook af.

Nee hoor, voor DMARC is één van de twee genoeg. Het werkt beter als je ook DKIM hebt, maar alleen in situaties waarin SPF toch niet werkt. Je verliest er niks mee.

(Nou ja, we zouden een null-policy kunnen zetten, maar vervolgens gaat voorlopig niemand wat met die resultaten doen).

Met het oog op een toekomstige implementatie zou je eigenlijk een jaar aan logs willen bijhouden, maar realistisch gezien is dat in een klein bedrijf ook te veel gevraagd als er geen concreet plan voor zo'n implementatie is.

Snow_King

12 juni 2024 13:52

Ik vind BIMI een prima idee, maar het zal echt vallen of staan met de implementatie in clients.

Apple Mail (macOS en iPhone), Microsoft Outlook (Windows, macOS & Web) en Mozilla Thunderbird. Dit zijn toch wel de meest gebruikte mailclients.

Bux666 @Snow_King • 12 juni 2024 16:11

Voor Mozilla Thunderbird staat er al 4 jaar een request open om BIMI te implementeren. Tot op heden zonder opvolging...

cariolive23 12 juni 2024 14:05

Laat de overheid een eigen top level domain gebruiken, zoals .gov hier in de USA.

Oid @cariolive23 • 12 juni 2024 14:37

politie heeft .politie als TLD, dus mogelijk gaan ze ooit blabla@mail.politie gebruiken

martijnsch

@cariolive23 • 12 juni 2024 23:43

Dat lijkt eraan te komen.
Ministerraad stemt in met gebruik .gov.nl als domein voor overheidswebsites

cariolive23 @martijnsch • 13 juni 2024 00:03

Warempel! En er zijn zelfs al een aantal domeinen actief, allemaal Engelstalig...

Politie zit er uiteraard niet bij, dat zou te gemakkelijk zijn. Maar na een 30 jaar wachten, kan de samenleving nog wel een paar jaar wachten. Toch blij dat men eindelijk iets gaat doen.

Quentin 12 juni 2024 14:44

Moet je hiervoor iets aanzetten? Ik zie in mijn gmail de mails van google.com niet met blauw vinkje verschijnen zoals hierboven op het plaatje staat.

paella @Quentin • 12 juni 2024 15:00

Google.com heeft ook geen bimi, dus dat kan kloppen.

F_J_K Forummoderator 12 juni 2024 14:43

Risico: spearphishing wordt wat makkelijker als je een logo met groen vinkje neemt voor bij wijze van spreken poltie.app, of logo dat met een scheef oog op de politie lijkt. (Is wel wat duur, dus niet voor klein grut).

Ook: Microsoft ondersteunt BIMI niet. Dat maakt het voor B2B al een stuk minder relevant.

daft_dutch @F_J_K • 12 juni 2024 17:28

Her logo moet geregisteerd zijn. En mag niet op andere logos lijken. Koud kunstje met computers tegenwoordig lijkt me

Polderviking

12 juni 2024 16:30

We blijven er maar lagen overheen smeren, dat gekke e-mail.
Volgens mij moet e-mail gewoon eens helemaal opnieuw uitgevonden worden voor de wereld waar we in leven.

[Reactie gewijzigd door Polderviking op 22 juli 2024 14:30]

FrostyPeet 12 juni 2024 17:36

Als ik een e-mail verstuur met s/mime certificaat ondertekening krijgt de ontvanger in bepaalde e-mail programma's een verified icoontje te zien. Dan weet de ontvanger dat het volledige e-mail adres klopt, de afzender is wie hij zegt te zijn en dat de inhoud ongewijzigd is.

Dat soort certificaten kun je bijvoorbeeld bij Actalis kopen.

The Zep Man

Politie
Nederland
E-mail
Google

12 juni 2024 13:48

Als ik nu gewoon bij MijnOverheid ingelogd met DigiD mijn PGP publieke sleutel kan uploaden en de overheid een vertrouwde keyserver beschikbaar stelt (en ook S/MIME implementeert, als ze toch al bezig zijn), dan werkt veilige communicatie op een gestandaardiseerde manier ook met mijn mailserver (en die van anderen) i.p.v. enkel die van een commerciële partij.

[edit]
Hieronder reacties van tweakers die niet het woord "enkel" begrijpen. Ik denk dat het belangrijk is om altijd een decentraal alternatief te hebben, in plaats van harde afhankelijkheid van commerciële partijen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:30]

DhrRob @The Zep Man • 12 juni 2024 13:51

Voor de 10 personen in Nederland die dat gaan instellen. Dezelfde 10 personen die toch al weten hoe ze kunnen verifiëren wie de 'echte' verzender is. BIMI versleuteld niets.

Kan mij daarnaast ook nog eens voorstellen dat van die 10 personen, het bij de helft fout gaat

undutchable020 @The Zep Man • 12 juni 2024 13:51

Dat klinkt zo simpel. Wat raar dat ze het nog niet hebben geimplementeerd. Zodra ze het implementeren zal ik mijn vader van 70 vragen direct het te doen. /s

Neocortex-re @The Zep Man • 12 juni 2024 14:22

Of... als ipv de berichtenbox iedere burger een mailaccount zou krijgen bij Logius waar alleen publieke diensten mail naartoe kunnen verzenden, dan ben je er al.

scoobs @The Zep Man • 12 juni 2024 13:51

Dat is een technisch zeer goede oplossing. Voor de laatste 99% is dit blauwe vinkje echter ook wel werkbaar.

[Reactie gewijzigd door scoobs op 22 juli 2024 14:30]

dez11de @The Zep Man • 12 juni 2024 13:53

Dit werkt ook een gestandaardiseerde manier, is gewoon een samenraapsel van DMARC, SVG, DNS.

Hatseflats @The Zep Man • 12 juni 2024 14:35

Goed idee, kunnen we dan ook gelijk een derde kamer instellen om daar bindende referenda online te houden over belangrijke zaken, waarbij de 1ste en de tweede kamer hier niet van af mogen wijken? Of als er geschillen zijn in de tweede kamer?

Het kiesstelsel is zo jaren 1800. Of kunnen we alleen moderniseren in het voordeel van de overheid?

[Reactie gewijzigd door Hatseflats op 22 juli 2024 14:30]

CAPSLOCK2000

Nederland
Google Gmail
E-mail
Politie
Google
Officesoftware en suites

@The Zep Man • 12 juni 2024 15:05

Als ik nu gewoon bij MijnOverheid ingelogd met DigiD mijn PGP publieke sleutel kan uploaden en de overheid een vertrouwde keyserver beschikbaar stelt (en ook S/MIME implementeert, als ze toch al bezig zijn), dan werkt veilige communicatie op een gestandaardiseerde manier ook met mijn mailserver (en die van anderen) i.p.v. enkel die van een commerciële partij.

Je overschat nogal wat BIMI doet.

BIMI versleutelt je mail niet, het is meer een digitale handtekening die de identiteit van de afzender bevestigd. Technisch gezien is BIMI overigens wel een open standaard. In praktijk ben je echter afhankelijk van commerciele bedrijven, net zoals SSL-certificaten waren voor LetsEncrypt. De techniek is open, maar om met de rest van de wereld samen te werken moet bepaalde derde partijen vertrouwen en die partijen willen geld voor hun diensten.

Dennisb1 12 juni 2024 13:48

DKIM, DMARC, SPF...

vickypollard @Dennisb1 • 12 juni 2024 13:51

... zijn vereisten voor BIMI.

Dennisb1 @vickypollard • 12 juni 2024 13:53

...maakt BIMI overbodig.

jimmy_dg @Dennisb1 • 12 juni 2024 14:00

Leg eens uit dan

kodak

Politie
Nederland

@jimmy_dg • 12 juni 2024 18:04

Het doel van BIMI is dat de gebruiker een zekerheid krijgt die feitelijk al uit DKIM, DMARC, SPF zijn op te maken. Dat BIMI een leuk eigen geldig vinkje voor regelt als je maar genoeg geld betaald heeft niet zomaar toegevoegde waarde. De beveiliging gaat immers niet om het eigen vinkje maar om de betekenis dat je wel of geen bevestiging krijgt op een manier die je kan vertrouwen. Het vervelende is zelfs dat het voorkomt dat er geen eenduidig kenmerk is. Iedereen die aan branding doet maakt eigen kenmerken om het om de eigen branding te laten gaan. Dat is leuk als je vertrouwen in je beeldmerk wil proberen te vergroten, maar is op zich geen toevoeging op de betekenis die eenduidig uit bevestiging van DKIM, DMARC, SPF valt op te maken.

CAPSLOCK2000

Nederland
Google Gmail
E-mail
Politie
Google
Officesoftware en suites

@kodak • 12 juni 2024 20:06

Het doel van BIMI is dat de gebruiker een zekerheid krijgt die feitelijk al uit DKIM, DMARC, SPF zijn op te maken.

Ik zie een klein beetje toegevoegd waarde, namelijk als voor de gebruiker begrijpelijke informatie over DMARC. Op het ogenblik is die informatie niet makkelijk zichtbaar in de grote mailclients zonder in de headers te duiken of plugins te gebruiken. Een voor gewone gebruiker begrjipelijke manier om dat te zien heeft enige waarde, net als "slotje" uit de tijd dat https nog geen gemeengoed was. Ik vrees wel dat het net zo onbetrouwbaar als dat slotje zal zijn, alle beetjes helpen mensen kijken er gewoon niet (genoeg) naar om er op te kunnen vertrouwen.

Dat BIMI een leuk eigen geldig vinkje voor regelt als je maar genoeg geld betaald heeft niet zomaar toegevoegde waarde. De beveiliging gaat immers niet om het eigen vinkje maar om de betekenis dat je wel of geen bevestiging krijgt op een manier die je kan vertrouwen. Het vervelende is zelfs dat het voorkomt dat er geen eenduidig kenmerk is. Iedereen die aan branding doet maakt eigen kenmerken om het om de eigen branding te laten gaan. Dat is leuk als je vertrouwen in je beeldmerk wil proberen te vergroten, maar is op zich geen toevoeging op de betekenis die eenduidig uit bevestiging van DKIM, DMARC, SPF valt op te maken.

Dat blauwe vinkje is binnen de applicatie hopelijk wel consistent. Dat de eigenaar van het domein zelf ook een plaatje mag toevoegen lijkt me inderdaad rijp voor misbruik. De "oplossing", dat je een trademark moet hebben en je laten controleren door een tussenpartij, maakt de oplossing alleen toegankelijk voor grotere organisaties. In praktijk zullen Google, MS en Apple samen voor 90% van de wereld bepalen wie er vertrouwt wordt. Al is dat natuurlijk al lang zo op een hoop andere vlakken.

Dat alles gezegd hebbend ben ik toch blij dat de politie zoveel mogelijk doet om veilig en betrouwbaar te zijn, liever wat te veel zinloze dingen doen dan te weinig doen.

Hatseflats @Dennisb1 • 12 juni 2024 14:36

Haha, ja, @Dennisb1, leg dat eens uit.

Ik ga eerst zonder onderbouwing wat roepen en als ik er niet meer uit kom dan zeg ik dat jij jezelf nader moet verklaren.

Het heeft een beetje weg van de omgekeerde wereld.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 14:30]

GertMenkel

Google
Nederland

@Dennisb1 • 12 juni 2024 17:53

Nee, helaas niet. DKIM verifieert dat de afzender eigenaar is van marktplaats.tk, SPF verifieert dat de mailserver door marktplaats.tk is toegestaan, DMARC rapporteert afleverfouten en geeft voorkeur aan over wat er moet gebeuren mocht er een mail afgekeurd worden, maar geen van allen verifieert dat de mail daadwerkelijk door Marktplaats verstuurd is.

BIMI laat je een stel dure consultants betalen om aan te kloppen en een stempel te ontvangen dat je bedrijf echt bestaat. Dan nog is het aan de mailservers om je certificaat te accepteren, overigens, dus zelfs als een scammer 1500 euro ophoest en een bedrijf met bijna dezelfde naam opzet, kun je BIMI niet direct faken.

De nadelen zijn natuurlijk overduidelijk (je betaalt 1500 euro voor een consultant die wat simpele verificatie doet en je dure certificaat doet het nog steeds niet meteen) maar DKIM en dergelijke lost dit probleem niet op.

Ik snap zelf niet dat men niet gewoon S/MIME-certificaten hiervoor pakte, want daar doet men ook al verificatie voor als het goed is. Als die niet voldoen, moet je je afvragen waar die certificaatboeren nou hun S/MIME-geld voor vragen.

Hatseflats @GertMenkel • 12 juni 2024 18:13

Het nieuwe verdienmodel.

En BIMI bedrijven doen de verificatie altijd goed. Wat als BIMI Tadjikistan verifieert dat marktplaats.tk als bedrijf bestaat?

Hier komt de infantilisering weer om de hoek kijken. marktplaats.tk? Hmmm... lijkt mij niet marktplaats.nl.

Da's niet heel lastig te verifieren.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (73)

Sorteer op:

Weergave: