Overheid NL: Microsoft brengt DANE-beveiliging voor e-mail uit na aandringen NL

Microsoft brengt volledige DANE-ondersteuning voor in- en outbound-SMTP uit voor Exchange Online. Volgens de Nederlandse overheid brengt Microsoft de ondersteuning van de e-mailbeveiligingsstandaard uit na onderlinge gesprekken.

Het bedrijf ondersteunt al sinds begin 2022 outbound-SMTP DANE en sinds deze zomer wordt de beveiligingsstandaard voor inkomend e-mailverkeer getest. Intussen heeft Microsoft de Dnssec-functie voor alle gebruikers van Exchange Online uitgebracht.

DANE, ofwel DNS-based Authentication for Named Entities, is een beveiligingsstandaard voor e-mails op basis van SMTP waarbij een Transport Layer Security-verbinding gemaakt wordt. Via deze verbinding worden DNS-gegevens geverifieerd, wat volgens Microsoft man-in-the-middleaanvallen en andere DNS-spoofingtechnieken moeilijker moet maken.

De Nederlandse overheid is naar eigen zeggen al sinds 2019 in gesprek met Microsoft over de uitrol van DANE-ondersteuning voor Exchange Online. Specifiek beveiliging van inkomend verkeer zou al eerder uitgebracht moeten worden, maar dat gebeurde tot dusver om onbekende redenen niet. Microsoft zou verder van plan zijn geweest om DANE voor inkomend verkeer alleen voor premiumgebruikers beschikbaar te maken, maar dat plan is uiteindelijk geschrapt.

Het overheidsorgaan Forum Standaardisatie verplicht DANE voor de Nederlandse overheid al sinds 2016. Onder meer Cisco, Cloudflare, Fortimail, Mailbox.org, Open-Xchange, ProtonMail, Soverin en Startmail ondersteunen de standaard al langer.

Door Yannick Spinner

Redacteur

Feedback • 29-10-2024 20:42
80 • submitter: bwb-bfs

29-10-2024 • 20:42

80

Submitter: bwb-bfs

Lees meer

Helft van overheidsdomeinen voldoet niet aan wettelijke beveiligingsstandaarden
Helft van overheidsdomeinen voldoet niet aan wettelijke beveiligingsstandaarden Nieuws van 20 december 2024
DuckDNS werkt niet goed vanwege storing
DuckDNS werkt niet goed vanwege storing Nieuws van 5 december 2024
Omzet Microsoft stijgt door groei in cloudcomputing en AI
Omzet Microsoft stijgt door groei in cloudcomputing en AI Nieuws van 31 oktober 2024
Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand
Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand Nieuws van 31 oktober 2024
Exchange Online krijgt ondersteuning voor inbound-SMTP DANE en Dnssec
Exchange Online krijgt ondersteuning voor inbound-SMTP DANE en Dnssec Nieuws van 19 juli 2024
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen Nieuws van 18 juli 2024
Bedrijven en Nederlandse overheid starten 'coalitie voor veilig e-mailen'
Bedrijven en Nederlandse overheid starten 'coalitie voor veilig e-mailen' Nieuws van 2 februari 2017
Nationaal Beraad verplicht e-mailbeveiligingsstandaarden voor overheden
Nationaal Beraad verplicht e-mailbeveiligingsstandaarden voor overheden Nieuws van 30 september 2016
Gemeenten moeten eind 2017 tls en dnssec aan hebben staan op mailservers
Gemeenten moeten eind 2017 tls en dnssec aan hebben staan op mailservers Nieuws van 24 juni 2016
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Microsoft Dns dnssec E-mail Exchange 2010 Nederland Overheid Smtp

Reacties (80)

-Moderatie-faq
80
80
48
3
0
23
Wijzig sortering
bastv 30 oktober 2024 08:34
Voor wie hem wil activeren op zijn 365 omgeving
hierbij een goede handleiding:

https://www.alitajran.com...e-dnssec-exchange-online/
tweaker2010 29 oktober 2024 20:50
Ik haal niet helemaal uit het artikel waarom dit enkel op aandringen van Nederland zou zijn uitgebracht. Kan toch ook zo zijn dat andere landen hier ook om verzocht hebben?
Rhinosaur @tweaker201029 oktober 2024 21:23
De overheid heeft een brief naar Microsoft gestuurd. In andere landen zullen ook vergelijkbare acties hebben plaatsgevonden, maar die van Nederland zijn openbaar toegankelijk.

[Reactie gewijzigd door Rhinosaur op 29 oktober 2024 21:25]

MehHuntah @tweaker201029 oktober 2024 20:55
De ondersteuning van DANE door Microsoft is mede het resultaat van een briefwisseling en gesprekken die de Nederlandse overheid (SLM Rijk, ministerie van BZK en Forum Standaardisatie) sinds 2019 met Microsoft heeft gevoerd. In Europees verband heeft de Nederlandse overheid de afgelopen jaren samengewerkt met onder andere de Deense, Duitse, Letse, Tsjechische en Portugese overheden om de adoptie van e‑mailbeveiligingsstandaarden te bevorderen en leveranciers zoals Microsoft tot implementatie te bewegen
Dus ja, heus niet alleen Nederland dat is een beetje heel grote schoenen aantrekken.. er staat zelfs onder andere
The Zep Man
@tweaker201029 oktober 2024 21:13
De titel van het artikel klopt als je het letterlijk neemt:

"Overheid NL: Microsoft brengt DANE-beveiliging voor e-mail uit na aandringen NL"

Ongetwijfeld heeft Nederland erop aangedrongen voordat het werd geïmplementeerd. In tijd heeft Microsoft DANE-beveiliging dus na het aandringen uitgebracht. Het zou suggestief zijn als er "omdat" stond in plaats van "na". ;)

"Technically correct. The best kind of correct!"

[Reactie gewijzigd door The Zep Man op 30 oktober 2024 11:30]

vrow @The Zep Man30 oktober 2024 19:29
Ik denk zelf dat ze het voor de verkiezingen in de VS doen, om eerlijk te zijn.
freaky @tweaker201029 oktober 2024 23:19
Weet niet of andere landen er ook om gevraagd hebben. NL is wel groot voorstander van deze technieken. Cisco ESA's hebben verschillende bugs aangaande DANE en die zijn vooralsnog niet heel happig op het verhelpen er van.

Kwam er op neer dat alleen stukje Europa er om vraagt, rest v/d wereld boeit het niet zoveel, dus geen prio (staan al 2 jaar + open...).

Vandaag nog wat overheids gerelateerde van DANE vereisen lijsten kunnen halen omdat ze naar O365 verhuisd zijn. NL stelt het al jaren verplicht, maar delen van de overheid verkassen al jaren naar O365 waarbij de ondersteuning vervalt.
segil @freaky30 oktober 2024 07:23
Ik heb gewerkt voor een gemeente, waarbij dit ook ter sprake kwam toen men naar Exchange Online ging migreren. Uiteindelijk hebben we gekozen voor een smarthost ertussen te zetten die wel DANE doet. Daarmee was dat probleem opgelost. Dit was in 2020.

[Reactie gewijzigd door segil op 30 oktober 2024 07:25]

m.z @tweaker201030 oktober 2024 04:47
Omdat deze er jaren geledend verplicht is om hieraan te voldoen. Overheidsinstellingen worden zelfs gecontroleerd: Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen en hier: Meer dan duizend overheidswebsites nog altijd slecht beveiligd

Het is na jaren aandringen (eindelijk) eens uitgebracht. Inbound was al aantal maanden, misshien jaren al actief in Exchange, maar outbound bleef Microsoft maar verschuiven. In 2022 zou het al zijn uitgebracht, maar Microsoft bleef het steeds maanden verplaatsen. Tegelijkertijd zijn andere diensten die er al veel langer aan voldoen.

Dus, wordt er gebruik gemaakt van Office 365/Exchange, zou (en soms moet) er naar andere (tijdelijke) oplossing voldaan moeten worden, om net aan dat ene vinkje te voldoen.
darkfader 29 oktober 2024 22:10
Ik heb geen idee hoeveel meer processorkracht nodig is dat ze eigenlijk de feature als premium wilde aanbieden. Het zou goed zijn als extra veiligheidsfeatures als standaard worden aangeboden door wie dan ook.
jurroen @darkfader29 oktober 2024 23:10
Valt relatief mee, ze moeten een DNS query doen, certificaatchain ophalen en die vergelijken met de fingerprint.

De beheerder van de andere kant kan drie variabelen bepalen:
  • Usage: Naar welk certificaat moet er gekeken worden? Dit kan bijvoorbeeld ook de CA zijn. meesten zetten deze gelukkig op DANE-EE, optie 3. Dat is het domain issued certificate.
  • Selector: Naar wat moet er gekeken worden? Volledige certificaat of alleen de public key?
  • Matching-type: Waarop of waarmee moet er gematcht worden? Gen hash (maar volledig), SHA256 of SHA512 match?
Een redelijk veelgeziene keuze is 3-1-1 (match op domein cert, public key, SHA256 daarvan).

Microsoft doet natuurlijk mail op grote schaal. In het meest veilige scenario lopen ze iedere keer dit riedeltje af - wat wel voor wat overhead zorgt. Maar denk dat ze ook echt wel wat zullen cachen, wat met mail op die schaal de overhead serieus inperkt.

Kleine sidenote: DANE is vrij waardeloos zonder DNSSEC. Dus als je zelf DANE wilt uitrollen, zorg dan ook dat ne DNSSEC op orde hebt.

[Reactie gewijzigd door jurroen op 29 oktober 2024 23:21]

TheMak @jurroen30 oktober 2024 09:44
Je wel het certificate gelijk aanpassen met de DNS-record. L Toch? Door DNS-caching zal dit misgaan en storingmeldingen geven.
freaky @TheMak30 oktober 2024 11:12
Er zijn geen caching problemen als je het goed doet.

TLSA record met nieuwe cert er naast zetten, na TTL tijd van TLSA record cert vervangen, (testen ,) oude TLSA record verwijderen.
latka 29 oktober 2024 20:47
Dus de overheid kan 8 jaar lang onder een verplichting vandaan komen. Waarom wordt er dan geen migratie ingezet naar een alternatief? Van de genoemde opties is Soverin zelfs een Nederlands bedrijf, dus helemaal bij uitstek een geweldige optie om je mail naar toe te verhuizen.
Blokker_1999
@latka29 oktober 2024 20:51
Omdat je dan de integratie mist met de rest van het 365 platform en dan nog eens gaat moeten betalen voor een extra dienst terwijl die functionaliteit gewoon in je 365 licentie zit.
latka @Blokker_199929 oktober 2024 20:52
Niet dus: de security was niet in orde. Dan kun je niet zeggen dat de functionaliteit in je licentie zit.
Blokker_1999
@latka29 oktober 2024 20:57
Je stelt de vraag waarom er niet naar een alternatief gekeken wordt, niet naar wat het veiligste is. En security is een risico afweging. We weten niet welke afwegingen er gemaakt zijn om tot die conclusie te komen. Je zit met bijkomende kosten, andere veiligheidsrisicos, een migratietraject (mogelijks 2x als je later alsnog terug wenst naar Exchange wanneer het dan wel in orde is), ...
latka @Blokker_199929 oktober 2024 23:31
Correct dat ik dat vraag. Als de linkhelft van de overheid zegt dat het niet veilig is kan de rechterhelft wel de vingers in de oren doen en het 'risico accepteren' maar dat soort compliance helpt niemand verder. Ik zie een bijkomende voordeel om het anders te organiseren: we zijn te afhankelijk van enkele partijen en durven daar niet meer van af te wijken voor iets als e-mail wat inherent decentraal opgezet is. Dat toont, wat mij betreft, aan dat het voor e-mail al 8 jaar niet kan de overheid werkelijk helemaal vastgeroest zit in oplossingen. Maar ik ken de inhoudelijke overwegingen op dit specifieke dossier niet. Op andere wel vandaar dat ik er met gestrekt been in ga ;-)
Reutemeteut @latka30 oktober 2024 08:45
Zelfs al zouden ze overstappen dan zou het immens veel tijd en geld kosten om alles om te zetten en te trainen. Vooral bij de overheid. Daarna nog los uit de Office Suite sourcen bij andere partijen. Voor de overheid is dit bijna een onbegonnen klus. Ja we zijn afhankelijk, maar ik denk dat allemaal losse (office) programma's van verschillende aanbieders meer beveiligingsproblemen veroorzaakt dan een emailprotocol dat te laat geïmplementeerd wordt.
latka @Reutemeteut30 oktober 2024 09:05
De email had eenvoudig via een andere partij kunnen lopen om dan te eindigen in een outlook postbus. Sommige onderdelen van de overheid hebben dit geregeld. Ik denk dat dat bij elkaar voor al die onderdelen ook wel wat gekost heeft.
Scriptkid @latka29 oktober 2024 22:08
Je vergeet dat ms voor het alternatief koos en soort gelijk protocal al heel lang ondersteund.

MTA STS wat volledig support van alle grote partije heeft.
Pinkys Brain @Scriptkid30 oktober 2024 12:40
MTA STS is maar een halve oplossing, als de aanvaller slaagt in DNS poisoning dan zijn de veiligheidsaannames niet meer geldig.

Dan kan je recent wel een pleistertje op de wond plakken met DNS cookies. Maar je kan het ook gewoon goed doen.
Scriptkid @Pinkys Brain30 oktober 2024 17:44
Maar als je controle hebt over de client zijn DNS responses dan voeg DNS SEC toch ook niet veel meer toe immers ziet de client nooit dat het een dns sec is waar hij mee communiceert.

Daarnaast is DANE ook maar een halve oplossing want er zit geen enkele raportage functionaliteit in nog forceerd het de laatste versies van TLS. volgensmij alleen 1.0
Pinkys Brain @Scriptkid31 oktober 2024 08:52
Heb je gelijk in.

[Reactie gewijzigd door Pinkys Brain op 31 oktober 2024 09:01]

Jazco2nd @Blokker_199930 oktober 2024 01:37
De grap is dat bij de overheid vaak voor miljoenen wordt getekend, een integratie met 365 wordt verwacht (das toch inbegrepen ??) terwijl die nog door de klant zelf gebouwd moet worden.
JJ Le Funk @latka29 oktober 2024 20:53
vendor lock-in? omdat ze niet zonder Word, Excel en Powerpunt kunnen (vanwege gewenning gebruikers) is de combi met Outlook+Exchange en Onedrive+Sharepoint erg aanlokkelijk. Waarna Azure weer een logische vervolgstap wordt.
latka @JJ Le Funk29 oktober 2024 20:56
Ja, vandaar mijn post: microsoft kan slechte oplossingen leveren maar omdat onze overheid niet erg doortastend opereert komen ze er mee weg. Als ik een high-prio security requirement 8 jaar laat liggen sta ik zo op straat.... Nobody ever got fired for choosing microsoft is de afgelopen jaren duidelijk het mantra.
m_snel @latka29 oktober 2024 22:06
Ik las net over concurrentie die dit nog steeds niet heeft. Daar heb je dus verder ook vrij weinig aan.
FdG @latka29 oktober 2024 22:54
Daarmee doe je de aanname dat overheidsinstanties die Exchange online gebruiken niet voldoen aan de zelf opgelegde verplichting.
Ik kan je uit ervaring melden dat dit niet het geval is, maar veel organisaties gebruiken nu een aparte smarthost vóór de mail wordt afgeleverd bij protection.outlook.com.
Dat Microsoft het nu rechtstreeks kan aanbieden geeft de mogelijkheid afscheid te nemen, waarmee de oplossing beheerbaarder wordt en er kosten bespaart worden.
latka @FdG29 oktober 2024 23:27
Ik heb het net gevalideerd en iig. voor de gemeente hier is dit niet het geval. Koop (overheidsdienst) wel. Dus het is soms wel soms niet.
MainframeX @latka29 oktober 2024 20:51
Omdat we voor Microsoft graag een uitzondering maken.
Jazco2nd @MainframeX29 oktober 2024 21:25
Dit is wel écht een feit. NL overheid is gék op Microsoft. Stellen veel hogere eisen aan concurrentie.
AibohphobiA BoB @Jazco2nd29 oktober 2024 21:34
Bron van je 'feit'?
Jazco2nd @AibohphobiA BoB29 oktober 2024 21:42
20 jaar ervaring in procurement in de publieke sector, zowel centrale overheid als lokaal. Het is ook niet bepaald een geheim ofzo.
AibohphobiA BoB @Jazco2nd29 oktober 2024 23:17
Een strategische keuze is iets anders dan 'gek op Microsoft' zijn.
Je 20 jaar is behoorlijk anekdotisch en nog geen begin van een bewijs.
Jazco2nd @AibohphobiA BoB30 oktober 2024 01:35
Oh sorry meneer de rechter.
Nee, strategische keuzes zijn zeldzaam. Die term wordt wel vaak als excuus gebruikt zonder dat er enige vorm van strategie is gedocumenteerd.
AibohphobiA BoB @Jazco2nd30 oktober 2024 11:15
Alweer een aanname. Als je even verder zou zoeken kun je dit soort documentatie vinden.
https://www.rijksoverheid...rosoft-rijk-slm-microsoft
Je kunt het misschien niet eens zijn met de keuzes, maar dat wil niet zeggen dat er geen strategische keuzes gemaakt worden. Het afschilderen van de overheid alsof het een domme organisatie is, is gemakkelijk een populair, maar iets meer onderbouwing van uitspraken mag best.
Tenslotte hebben we al voldoende populisten die niet gehinderd worden door kennis van zaken.
Jazco2nd @AibohphobiA BoB30 oktober 2024 11:37
Aanname ?? Ik doe helemaal geen aannames. Zit gewoon aan de procurement tafel.
Je linkt naar de vendor management, SLM rijk. Die heb je ook voor de andere cloud partijen. Elk aparte sub orgs. En die houden absoluut niet dezelfde lijn voor elke cloud partij. Microsoft SLM rijk meet met een hele andere liniaal zeg maar. Al ben ik al blij als er überhaupt wordt gemeten.
AibohphobiA BoB @Jazco2nd30 oktober 2024 12:42
Ik kom tenminste nog met iets. Tot nu toe heb je weinig overtuigingskracht.
Op wat aannames en anekdotische onderbuikgevoelens na dan.
Jazco2nd @AibohphobiA BoB30 oktober 2024 17:59
Overtuigingskracht ? Man waar heb je het over? Ik was helemaal niet van plan je te overtuigen. Ik post gewoon een comment obv knetterharde feiten waar ik dagelijks mee wordt geconfronteerd, al jaaaaren.

Verder mag je van mij roepen en posten wat je wil. zo werkt het.
AibohphobiA BoB @Jazco2nd31 oktober 2024 10:15
Verder mag je van mij roepen en posten wat je wil. zo werkt het.
Natuurlijk, maar als je zomaar wat roept dat kun je ook verwachten dat er mensen zijn die het in twijfel trekken.
He klinkt namelijk meer als een gefrustreerde facilitair medewerker die wel eens wat hoort. Zonder enige onderbouwing roepen dat je tegen 'feiten' aanloopt, dat mag zeker. Maar ze zijn nogal onwaarschijnlijk en dan is een betere argumentatie misschien een goed idee.
StCreed @Jazco2nd31 oktober 2024 08:53
Het kan zijn. Maar voor de overheidsorganisaties waar ik zelf voor heb gewerkt als architect is het wel degelijk een strategische keuze, en moeten alternatieven goed worden beargumenteerd.
MainframeX @Jazco2nd29 oktober 2024 21:38
Het is soms echt stuitend als je ziet hoe vaak er met twee maten gemeten wordt als er Microsoft mee gemoeid is. Storingen bijvoorbeeld? Het kan er rustig een halve dag uit liggen, geen haan die er naar kraait als het bij Microsoft draait. Maar oh wee als het bij een andere partij staat; dan wordt er continue gebeld, overlegd en naderhand outage rapportages aangevraagd; wat gaat men er aan doen om het te voorkomen. Noem het maar op. Zodra het een Azure dienst betreft? We wachten op een oplossing van Microsoft en we hopen dat het de volgende keer niet nog een keer gebeurt.

Men is gewoon gewend dat je 0 service hoeft te verwachten bij de grote namen.
Scriptkid @MainframeX29 oktober 2024 22:11
Let op op bij MS hoeft je er niet naar tr vragen je krijgt het incident repot gewoon in je tenant inc transparency en improvements.

Nabellen en vragen zal als anteoordt opleveren staat al in je portal. Dus waarom zou je ?
jvr @latka30 oktober 2024 07:01
Ik werk voor een locale overheid en wij hebben onze mailverkeer moeten ombuigen via een Fortimail om hier als nog aan te voldoen. Lastige in deze was dat Microsoft steeds aangaf hier aan te gaan voldoen, maar het steeds uitstelde.

En natuurlijk er zijn alternatieven, maar ja dat zijn geen echte alternatieven. Zo lang Microsoft dicteert kan je als landje proberen er tegen in te gaan, maar dat ga je helaas verliezen.

Jaren geleden vond je veel Novell bij o.a. gemeente en ze hebben het lang volgehouden, maar uiteindelijk moesten ze wel over naar Microsoft.
Alfa1970 @latka30 oktober 2024 08:19
De overheid is de partij die de regels maakt.
Dus ja, de overheid kan doen wat ze willen, zij zijn de regels.
Daar stem je elke 4 jaar weer voor.
latka @Alfa197030 oktober 2024 09:03
Nou nee dus, zie bijv. Urgenda en de belastingdienst ellende van de laatste tijd. Ook de overheid dient zich aan de regels te houden. Daar hebbenw e de Trias politica voor met de rechter naast de politiek.
Alfa1970 @latka30 oktober 2024 21:27
De rechter kan alleen recht spreken over wetten die de overheid gemaakt heeft en die door de Koning zijn ondertekend.
De overheid kan echter wetten aanpassen naar behoeften.
Dus als een bepaalde wet de overheid niet aanstaat, dan passen ze die aan.
Daar is natuurlijk wel een procedure voor, maar ten beste kan een rechter de overheid slechts een "tijdelijke dwang" opleggen, totdat de wet is aangepast aan wat de overheid voor ogen heeft.
Dus ja, de overheid heeft zich aan de wetten te houden.
Maar ook ja, de overheid kan doen wat ze willen want ze kunnen alle bestaande wetten aanpassen middels de daarvoor beschikbare procedures.
latka @Alfa197030 oktober 2024 22:43
Als je met de overheid bedoelt: de regering, 2e kamer en 1e kamer dan ja. Maar je schrijft "de overheid" alsof het een soort oncontroleerbare machine is. Dus de overheid past niet zomaar een regel aan omdat de rechter in de weg zit. Daar zit een heel systeem van checks-en-balances in om te zorgen voor gedragen besluitvorming.
Alfa1970 @latka31 oktober 2024 16:55
Bedankt voor de correctie, ja ik bedoelde inderdaad de regering.
Dat het niet gebeurt betekend niet dat het niet kan, en er zijn inderdaad procedures aan verbonden om het te kunnen doen, dat zei ik eerder al.
Rembock @latka31 oktober 2024 11:38
Het Forum Standaardisatie is een adviescommissie, dat men al 8 jaar DANE verplicht stelt mag met een ‘pas toe of leg uit’ (aanschafverplichting), en sinds eind 2019 via een streefbeeldafspraak (verplichting met betrekking tot gebruik) beantwoord worden.
(bron: website Forum Standaardisatie)
Wat hiermee eigenlijk bedoeld wordt is dat van 2016 - 2019 er toegelicht kon worden waarom niet & na 2019 er aangegeven moet worden wat men gaat doen om dit te realiseren.

Een migratie naar een alternatief kan veelal niet omdat in de (niet-openbare) aanbesteding voor een (langdurig) contract gekozen is voor innovatie en doorontwikkeling tijdens de uitvoering van het contract.
(Bron: PIANOo)
Xantis 29 oktober 2024 21:58
Het zou leuk zijn als ze een dergelijk verzoek ook even droppen bij Google Workspace...
Remzi1993 @Xantis30 oktober 2024 05:09
Inderdaad, DNSSEC en DANE. Het is om te huilen dat Google zelf geen DNSSEC ondersteund.
jurroen @Xantis29 oktober 2024 23:19
Ik geloof dat Google (Workspace) hier al lang ondersteuning voor heeft. Zo ondersteunen ze ook al vrij lang MTA-STS en TLS-RPT.
Remzi1993 @jurroen30 oktober 2024 05:10
Nee, ze ondersteunen geen DNSSEC en DANE. Wel kan je zelf SPF, DKIM en DMARC instellen (wat ik ook gedaan heb op remzi.info en cavdar.nl).
wkobes @Remzi199330 oktober 2024 13:57
Google biedt wel (ongedocumenteerde) mailservers aan met DNSSEC (geen DANE helaas). Dat zijn mx[1-4].smtp.goog. Zie bijvoorbeeld: https://blog.rac.me.uk/20...oogle-apps-g-suite-email/
Xantis @wkobes30 oktober 2024 14:53
Dat heb ik inderdaad gelezen destijds. Ik heb dit echter niet geprobeerd omdat het nadeel wat in de laaste alinea van dit blogje staat wel een erg groot nadeel is (missende PTR records). Nog even los van het feit dat ik niet zo hou van het gebruiken van ongedocumenteerde configuraties in productieomgevingen.
Remzi1993 @wkobes30 oktober 2024 15:32
Mooi, maar het is vervelend dat het niet algemeen bekend is en dat je dus niet bij het instellen daarvan je die krijgt. Ik vind het heel vreemd allemaal.
Xantis @Remzi199330 oktober 2024 07:41
Bedankt voor de reactie, dit is inderdaad ook wat ik dacht en ingesteld heb.
Remzi1993 @Xantis30 oktober 2024 13:10
DNSSEC en DANE is speciaal voor DNS bedoeld en we kunnen daar niet bij van (MX records bij Google) Google domeinnamen. Daardoor moet Google dat implementeren.

Dit is dus beveiliging voor je domeinnaam (en dus ook de domeinnamen en mail servers waar mail wordt geserveerd en verstuurd).
Xantis @jurroen29 oktober 2024 23:38
Heb je hier bronnen / referenties voor. Ik heb namelijk erg lang gezocht om dit voor elkaar te krijgen voor een aantal domeinen.

Voor zover ik heb kunnen vinden is Inbound SMTP DANE with DNSSEC bij Google niet ondersteund
jurroen @Xantis30 oktober 2024 00:37
Nee helaas eigen ervaring. Met outbound en niet met inbound.
Remzi1993 @jurroen30 oktober 2024 05:13
Ik heb geen idee hoe je dit werkend hebt gekregen aangezien je niet bij Google dingen kan veranderen. Of je gebruikt andere MX records (ander SMTP domein of iets dergelijks)?

[Reactie gewijzigd door Remzi1993 op 30 oktober 2024 05:15]

kozue @Xantis30 oktober 2024 07:49
Of gewoon stoppen met Google gebruiken. Ik ben absoluut geen fan van Microsoft, maar liever MS nog dan Google. Bij Google weet je zeker dat al je gegevens door de datamining molen worden gehaald, bij MS heb je nog de hoop dat ze er wellicht wat beter mee omgaan.
hypernovisor 29 oktober 2024 20:52
Leuk feitje, in de aankondiging van Microsoft wordt als voorbeeld "hotmail.nl" gebruikt i.p.v. hotmail.com.
Aankondiging SMTP DANE

Misschien hier wel een knipoog aan :) .

[Reactie gewijzigd door hypernovisor op 29 oktober 2024 20:53]

StefanJanssen @hypernovisor29 oktober 2024 21:07
Hotmail.nl bestaat ook :) er is ongeveer een jaar geweest tussen hotmail.com en outlook.com dat hotmail.nl adressen uitgegeven werden.ik heb zelf een wegwerp email van hotmail.nl
JJ Le Funk @StefanJanssen29 oktober 2024 21:09
live.nl is ook een leuke, lekker kort.
HKLM_ 29 oktober 2024 21:02
Nu moet Microsoft DNSSEC nog even fixen voor Azure DNS en Microsoft 365 DNS en dan zijn we er eindelijk.
bluebug @HKLM_30 oktober 2024 00:47
Voor Power Pages staat het niet op de planning, heb ik recent te horen gekregen, want de engineers zijn er van overtuigd dat het een veilige oplossing is. Dat DNSSEC geen beveiliging op zich is en ze klanten dus afwimpelen met onzin, boeit ze helemaal niks.
yevgeny 29 oktober 2024 22:33
"Specifiek beveiliging van inkomend verkeer zou al eerder uitgebracht moeten worden, maar dat gebeurde tot dusver om onbekende redenen niet."

DANE maakt het veel moeilijker voor een derde partij om email verkeer te lezen.

Kan me voorstellen dat NSA gefluisterd heeft aan microsoft om DANE niet te implementeren.
panterarosso @yevgeny30 oktober 2024 07:37
Rare opmerking, doe hebben veel simpeler methodes om te onderscheppen
ervaringsdeskun 30 oktober 2024 09:22
Is deze techniek alleen van toepassing op mailservers ?

Of moet deze techniek ook door clients worden toegepast om te kunnen communiceren ?

Browsers zoals google chrome en mozilla firefox schijnen dan weer dit protocol DANE niet te ondersteunen volgens wikipedia:
Wikipedia: DNS-based Authentication of Named Entities (support sectie)

Hoe moet dan met de servers worden gecommuniceerd ?
Pinkys Brain @ervaringsdeskun30 oktober 2024 10:02
Het is alleen voor email servers onderling. Voor web is het minder van belang omdat de browsers simpelweg TLS (versies) afdwingen. Voor email wil men dat niet.

Het CA systeem heeft geen lookup om te bepalen of een server TLS af wil dwingen en welke versie. DNSSEC wel, en als je dat toch gebruikt kan je de CA ook wel achterwege laten.

[Reactie gewijzigd door Pinkys Brain op 30 oktober 2024 10:08]

cracking cloud 29 oktober 2024 22:30
Ik hoop dat ze hun spam filter ook eens gaan fixen. Bijna alle mail komt in spam, ook na herhaaldelijk aangeven dat het geen spam is. Misschien kan Nederland daar ook een brief voor sturen…

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq