Helft van overheidsdomeinen voldoet niet aan wettelijke beveiligingsstandaarden

De helft van de domeinnamen die de Nederlandse overheid gebruikt, voldoet nog niet aan nodige beveiligingsstandaarden, waarschuwt het Forum Standaardisatie. Zo zijn protocollen als DANE en RPKI nog niet overal geïmplementeerd. Ook moet de overheid beter zicht krijgen op domeinen.

Het Forum Standaardisatie waarschuwt in een rapportage dat de helft van de onderzochte overheidsdomeinen een of meerdere van zulke beveiligingsmaatregelen mist. De instantie onderzocht 12.198 domeinnamen die door de Nederlandse Rijksoverheid, maar ook door lagere overheden zoals provincies, gemeenten en waterschappen worden gebruikt. De helft daarvan voldoet volgens het Forum nog niet aan 'de afgesproken veiligheidsstandaarden'. Dat zijn afspraken om bepaalde standaarden en protocollen op domeinen toe te passen om die te beschermen tegen phishing- en person-in-the-middleaanvallen. De meting werd medio 2024 al uitgevoerd, maar het rapport wordt nu pas openbaar. In februari van dit jaar concludeerde het Forum ook al dat er veel beveiligingsstandaarden ontbraken bij overheidsdomeinen.

Daarmee overtreedt de overheid de wet, stelt het Forum Standaardisatie, specifiek de Wet digitale overheid die in juni 2023 van kracht ging. Die 'laat nog geen significante verandering in de adoptie van deze standaarden zien', zegt het Forum, specifiek de implementatie van standaarden als Https en HSTS. Het probleem begint al bij het feit dat er volgens het Forum weinig zicht is op welke domeinnamen er überhaupt worden gebruikt binnen de overheid. "Ondanks het toevoegen van vele domeinnamen, is er geen zicht op het totaalportfolio aan domeinnamen van de overheid; vooral de decentrale overheden zijn ondervertegenwoordigd in de meting." Dat wijt het Forum aan het feit dat overheden steeds meer met externe partijen zijn gaan werken en hun ict daaraan uitbesteden. Die ondersteunen de standaarden niet altijd.

Het Forum komt met verschillende adviezen aan overheden. Die moeten in de eerste plaats inventariseren waar er overal gebruik wordt gemaakt van Microsoft Exchange Online via Microsoft 365. Die omgevingen zouden met DANE en IPv6 moeten worden geconfigureerd. Ook zouden overheden op alle domeinen RPKI moeten implementeren. Het inventariseren van domeinen kan voor decentrale overheden door aansluiting bij het centrale Register Internetdomeinen Overheid. Dat geeft 'de overheid zelf zicht op het totaalportfolio waardoor beter op kwaliteit van de digitale dienstverlening kan worden gestuurd'.

Opvallend is ook dat het Forum aanraadt te stoppen met het opzetten van nieuwe domeinnamen. "Om de adoptieopgave behapbaar te maken en te houden, is actief beheer van het domeinnaamportfolio met als doel het beperken van het domeinnaamportfolio noodzakelijk. Stel een maximum aan nieuwe domeinnamen per jaar vast", schrijft het Forum. Dat kan door bijvoorbeeld websites samen te voegen en meer subdomeinen te gebruiken. Idealiter zouden overheden zelfs 'aan moeten sturen op krimp' van het aantal domeinnamen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-12-2024 07:45
49 • submitter: bwb-bfs

20-12-2024 • 07:45

49

Submitter: bwb-bfs

Lees meer

Microsoft verhoogt prijzen van losse on-premisesserversoftware met 10 procent
Microsoft verhoogt prijzen van losse on-premisesserversoftware met 10 procent Nieuws van 7 april 2025
Overheid stelt verplichte DigiD ID-Check drie jaar uit wegens weinig gebruik
Overheid stelt verplichte DigiD ID-Check drie jaar uit wegens weinig gebruik Nieuws van 19 maart 2025
Staatssecretaris: nieuwe clouddiensten voor ambtenaren slaan alleen metadata op
Staatssecretaris: nieuwe clouddiensten voor ambtenaren slaan alleen metadata op Nieuws van 13 maart 2025
Nederlandse gemeenten vast in Microsoft-lock-in zonder overstapopties
Nederlandse gemeenten vast in Microsoft-lock-in zonder overstapopties Nieuws van 13 februari 2025
Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads
Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads Nieuws van 17 januari 2025
Overheid NL: Microsoft brengt DANE-beveiliging voor e-mail uit na aandringen NL
Overheid NL: Microsoft brengt DANE-beveiliging voor e-mail uit na aandringen NL Nieuws van 29 oktober 2024
DigiCert trekt meer dan 80.000 certificaten in na DNS-validatiefout
DigiCert trekt meer dan 80.000 certificaten in na DNS-validatiefout Nieuws van 1 augustus 2024
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen Nieuws van 18 juli 2024
Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen
Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen Nieuws van 29 februari 2024
Nederlandse overheid neemt eigen Mastodon-instance in gebruik
Nederlandse overheid neemt eigen Mastodon-instance in gebruik Nieuws van 12 juli 2023
Meer producten en artikelen
Beveiliging en antivirus

Reacties (49)

-Moderatie-faq
49
48
20
2
0
26
Wijzig sortering
The Zep Man
20 december 2024 07:54
Ik heb wel eens dit voorstel gedaan. Met zoiets is alles beter centraal te beheren met een logische structuur. Voor populaire zaken kan dezelfde beheerder redirect domains aanmaken en onderhouden.

Er kwam toen veel commentaar op mogelijke phishing. Dat probleem bestaat nu ook, maar kan je als je alles meer centraliseert beter beheersen en bestrijden.

[Reactie gewijzigd door The Zep Man op 20 december 2024 07:59]

Marc H @The Zep Man20 december 2024 09:04
Kan veel makkelijker en herkenbaarder. De overheid moet gewoon een eigen TLD hebben. Bijvoorbeeld .overheid, zodat je belastingdienst.overheid of Amsterdam.overheid krijgt. Makkelijk te controleren, moeilijk te spoofen, want alleen overheden kunnen dan een domein aanvragen met controle op het voldoen aan de juiste standaarden.
zypthora @Marc H20 december 2024 09:18
Nederland heeft meer recht op TLD .overheid dan België? Er zijn weinig landen die geen taal delen met een ander land. Wie krijgt welk TLD dan?
Marc H @zypthora20 december 2024 09:27
Waarom rekening houden met andere landen? Nederland heeft als voordeel dat we een eigen taal spreken die vrijwel nergens anders gesproken wordt. Maak er eens gebruik van.

En België?
Alsof die .overheid al zou willen gebruiken. Want volgens mij breekt daar onder de Walen spontaan een burgeroorlog uit als ze dat alleen maar gaan voorstellen.
zypthora @Marc H20 december 2024 10:40
Waarom rekening houden met andere landen? Nederland heeft als voordeel dat we een eigen taal spreken die vrijwel nergens anders gesproken wordt.
Een land kan niet zomaar een TLD claimen. TLD's worden door onafhankelijke instanties gereguleerd. NL zal niet zomaar .overheid krijgen, gewoon omdat jullie Nederlands spreken
watercoolertje @zypthora20 december 2024 10:47
Een land kan niet zomaar een TLD claimen. TLD's worden door onafhankelijke instanties gereguleerd. NL zal niet zomaar .overheid krijgen, gewoon omdat jullie Nederlands spreken
Niet zomaar, maar we kunnen het wel aanvragen en kijken wat er van komt. En zolang Belgen het niet ook willen claimen is er helemaal geen reden voor ICANN om het Nederland niet te gunnen :)

Daarnaast kunnen we belgen er ook wel gebruik van laten maken hoor, je mag ipv in problemen ook in oplossingen denken...

[Reactie gewijzigd door watercoolertje op 20 december 2024 10:51]

Marc H @zypthora20 december 2024 10:50
Als TLDs zijn als .amsterdam en .Amazon, warom zou dat voor een organisatie als de Nederlandse overhheid niet kunnen?

lees dit eens door:

https://www.sidn.nl/domei...aak-van-je-merk-je-domein
svenk91 @Marc H20 december 2024 12:29
Dan heb je Suriname nog, en praten we over het Nederlandse kabinet of de Rijksministerraad die de aanvraag unaniem doet? Als het alleen het kabinet is dan zijn er namelijk nog eens drie landen die bezwaar mogen maken. Zuid Afrika kan ook nog zeggen dat overheid wel erg veel op owerheid lijkt.

Gov.nl is ook veel meer in lijn met hoe andere landen het doen en verwordt de facto een standaard. Dat helpt toch ook wel, zeker voor instanties als een rvo en ambassades. Nederland probeert al vaak zat het wiel opnieuw uit te vinden met IT zaken…
jake1996 @Marc H20 december 2024 09:26
Overheid krijgt .gov.nl
Heeft de Tweede Kamer besloten
to01 @jake199621 december 2024 08:08
Geweldig nieuws! Zal veel verwarring voorkomen.
Frame164 @Marc H20 december 2024 13:53
.overheid zal dan voor Nederland, Vlaanderen en Suriname moeten gelden. Niet heel duidelijk. En dan moeten we in Nederland ook nog "regear" hebben.....

Maar het lost het probleem niet op waar dit artikel over gaat.

[Reactie gewijzigd door Frame164 op 20 december 2024 13:53]

bzzzt @The Zep Man20 december 2024 09:45
Dit is eigenlijk helemaal geen ICT probleem: oorzaak is het al meer dan 20 jaar lopende beleid om de overheid te decentraliseren omdat de uitvoerenden het allemaal beter weten en dichterbij de burger staan dan Den Haag.
Als je honderden gemeentes de vrije hand is wildgroei in aanpakken en systemen de enige uitkomst die je kan verwachten.
WokBoy 20 december 2024 07:58
Een eigen registrar, onderbrengen bij Logius bijvoorbeeld, en dan verplicht daar domeinen afnemen? Ook niet perfect maar beter dan deze puinhoop…
Lubach had er trouwens ook een keer een item over, best grappig en waard om trrug te kijken.
Martinspire 20 december 2024 07:59
Minder domeinen zou inderdaad wel goed zijn. Er wordt echt voor elke scheet een nieuw domein gebruikt die dan ook weer beheerd moet worden en waar de burger toch een paar keer moet kijken of ze inderdaad met een overheidsorgaan te maken hebben, of een bedrijf wat wil overkomen als overheid maar dat toch niet is.

Ook voor fishing zou het een stuk prettiger zijn als je makkelijker de domeinen kunt herkennen.

[Reactie gewijzigd door Martinspire op 20 december 2024 07:59]

Jay-v 20 december 2024 08:05
Alleen heeft RPKI niets met domeinnanem te maken. Het wordt gebruikt voor het beveiligen van BGP routing.

Beste voorbeeld.l hiervan was de YouTube hijack in 2008 https://www.ripe.net/abou...-ripe-ncc-ris-case-study/
Vicje 20 december 2024 08:29
Dit is gewoon niet uit te roeien. Het probleem is dat projecten hun eigen budget hebben en daarmee zelf allerlei bureautjes kunnen inhuren om een website te laten maken. Je download de huisstijl specificaties en done. Zo wat elke projectgroep wil zijn eigen scheet de ruimte in krijgen. Mijn idee zou zijn om dit bij de inkoopafdelingen veel meer dicht te gaan timmeren. Dan nog ontkom je er niet helemaal aan, omdat opdrachten onder X bedrag buiten inkoop om gaan, maar alle beetjes helpen.
bonzz.netninja @Vicje20 december 2024 08:59
Waarom is dat 'het probleem'? Uiteindelijk gaat het denk ik eerder over duidelijkheid en snelle procedures. Een eigen marketingbureau/agency inschakelen is in feite gewoon een olifantenpaadje omdat de formele weg onbekend of onbemind is. Naar mijn idee heeft dat niks te maken met een eigen budget hebben.
Vicje @bonzz.netninja20 december 2024 12:48
De weg is het merendeel van dit soort aanbestedingen gewoon bekend, maar men voelt zich in de weg gezeten. "Want ik mag geen eigen website." Nee, en daar zit een duidelijke reden achter. Maar door eigenwijsheid gaat met dat olifantenpaadje bewandelen en men wordt er uiteindelijk nooit op aangesproken. Laat staan dat er iets de nek wordt omgedraaid.
ollie1965 @Vicje20 december 2024 10:14
Precies dit is het probleem bij veel overheden, het drempelbedrag voor aanbesteden, of een eigen (project)budget met daarin "verscholen" een communicatie/promotiedeel zorgt voor vele websites die niet alleen niet voldoen aan beveiligingsmaatregelen maar ook "eigen" huisstijl, niet AVG proof, IT governance enz enz.
Vervolgens wordt het domein niet (goed) opgeruimd aan het einde van het doel.

Bij een scan (follow the money methode) ooit wel eens 190 domeinen gevonden bij een relatief kleine organisatie bij 4 registrars waarvan er maar 1 de gekozen registrar was van de organisatie. Je snapt hem al wel die domeinen waren in beeld de rest dus niet.

Voorstel voor beleid is dan ook alle kosten die ook maar enig sinds lijken op IT moeten gefiatteerd worden door IT. Dus niet alleen inkoop maar ook grootboek en project budgetten bij de rechtmatigheidscontrole.
Highlands @ollie196520 december 2024 10:43
Ach dus BizDevOps uit het raam en terug naar IT in the Middle?

Dit is zo 1999 …….
Paul @Highlands20 december 2024 12:10
Als BizDevOps er een zooitje van maakt maar IT het wel geregeld krijgt: Volmondig JA.

BizDevOps is ook 1999 bezig, want aan security wordt zo te zien niet gedaan.
Highlands @Paul22 december 2024 16:14
IT heeft meestal niets met de inhoud of keuzes maken qua kosten/ baten. Leg de verantwoording vooral bij degenen die het betalen, niet bij een club die geen idee heeft wat de business nodig heeft.
ollie1965 @Highlands20 december 2024 11:16
Kan zijn, maar als dat soort dingen ook door BizDevOps worden ontwikkelt dan houden zij zich niet aan de verplichtingen en vereisten (waaronder verordeningen en wetgeving) die horen bij een overheidsorganisatie.
Die BizDevOps zouden er dan voor zorgen dat we hier weer moord en brand schreeuwen dat de overheid zich niet met IT moet bezig houden "want dat kunnen ze niet".

Het gaat me niet om wie of wat met welk bedacht framework dan ook het gaat uitvoeren, het gaat mij erom dat keer op keer blijkt dat personen zich zonder controle mechanisme zich niet aan verordeningen, wetgeving en richtlijnen houden. Prima als je dat privé "no issue" vindt, maar een overheid moet betrouwbaar zijn, daarvoor hebben we deze immers ingesteld.
Highlands @ollie196522 december 2024 16:11
Ok dus het gaat om inrichten van de juiste bewaking en verantwoordelijkheid. Kortom met een werkende governance (appowner die eruit vliegt bij niet Compliance), tooling (CNAPP) en cultuur (security by design/ LCM). Iets met BisDevSecOps.

[Reactie gewijzigd door Highlands op 22 december 2024 16:11]

CAPSLOCK2000
@ollie196520 december 2024 12:33
Precies dit is het probleem bij veel overheden, het drempelbedrag voor aanbesteden, of een eigen (project)budget met daarin "verscholen" een communicatie/promotiedeel zorgt voor vele websites die niet alleen niet voldoen aan beveiligingsmaatregelen maar ook "eigen" huisstijl, niet AVG proof, IT governance enz enz.
Vervolgens wordt het domein niet (goed) opgeruimd aan het einde van het doel.
Was het maar alleen bij de overheid zo, ik zie het ook in andere sectoren. Het heeft volgens mij niks met overheid of aanbestedingen te maken maar vooral met dat het een (te) complex onderwerp is voor de meeste mensen en goede IT altijd verschrikkelijk duur is. De mensen weten gewoon niet wat de eisen zijn, daar heb je een heel team voor nodig. (techniek, beveiliging, grafisch ontwerp, user interface, vertaling, toegankelijkheid, privacy, etc, etc). Bij een aanbesteding zal je op al die punten eisen moeten stellen, maar ja, dat weten de meeste mensen niet, daar huren ze nu net zo'n bedrijf voor in. (Waarmee nog niet gezegd is dat het bedrijf het wél weet).

Ik denk dus dat we de verantwoordelijkheid neer moeten gaan leggen bij de leverancier. Als klant moet je er van uit kunnen gaan dat een project aan alle wettellijke eisen voldoet. Je zou denken dat het vanzelfsprekend is, maar helaas, in praktijk krijg je wat je vraagt en niet meer.

Wat ook bij iedereen duidelijk moet worden is dat moderne websites altijd onderhoud nodig hebben. Je kan niet meer zoals in de jaren een één keer schrijven en er nooit meer naar om kijken. Onderhoud hoort er bij en dat is meer dan ééns per jaar de security patches installeren. Al is het maar omdat er af en toe wettelijke eisen bij komen. Onderhoud kost een aanzienlijk deel van het budget, dat kan geen sluitpost zijn en zeker niet iets dat je pas gaat kopen als je website stuk is.

Waar de overheid nog kan helpen is bij het makkelijk vindbaar maken van alle relevante regels want het zijn er heel erg veel. (Ook dat is groter dan IT). Het lastige is natuurlijk dat ieder bedrijf en ieder project uniek is en er niet één overzichtelijke set regels is voor alle websites. Het Forum Standaardisatie helpt daar wel bij maar is vooral op technische aspecten gericht.
Voorstel voor beleid is dan ook alle kosten die ook maar enig sinds lijken op IT moeten gefiatteerd worden door IT. Dus niet alleen inkoop maar ook grootboek en project budgetten bij de rechtmatigheidscontrole.
Het klinkt goed maar is imho onuitvoerbaar. Alles in onze samenleving heeft tegenwoordig een IT-component. Iedereen zit achter een computer te werken, maakt documenten, bezoekt websites, stuurt mail, etc. Zo ongeveer ieder apparaat heeft tegenwoordig een chip, een antenne, een app en/of een cloud-backend. IT moet dan iedere aankoop goed gaan keuren en bij ieder detail van ieder project betrokken worden, anderen zien niet eens dat er IT is. En geen enkele IT'er is een specialist op alle gebieden dus met een beetje pech zitten er drie IT'ers bij ieder project. Dat schaalt niet. Van koffiezetters tot e-bikes tot slagbomen tot e-readers tot fotolijstjes tot koptelefoons, en ieder project heeft tegenwoordig een website, document-repository, groupchat, en weet ik veel wat nog meer. Je moet eigenlijk iedere aanschaf door IT laten controleren. Om het maar niet te hebben over digitale diensten en websites. Mensen gebruiken dagelijks talloze verschillende websites, vaak maar voor een paar minuten per keer. IT kan niet iedere website van te voren beoordelen. Zeker niet omdat de website al weer veranderd kan zijn tegen de tijd dat IT klaar is.

In een samenleving waarin iedereen IT gebruikt zal iedereen wat IT kennis moeten opdoen, al is het maar net genoeg om te weten dat er hulp nodig is. Daar zijn we echter nog niet.

Mijn tussenoplossing is dus om veel verantwoordelijkheid bij de leveranciers neer te leggen. Die zijn in ieder geval bekend met de producten die ze verkopen. Die verantwoordelijkheid moet duidelijk genoeg zijn dat je als klant niet ieder punt hoeft te benoemen in je aanbesteding en je bij overtredingen geen eindeloze rechtszaken hoeft te voeren met een leverancier die zich achter een contract verschuilt.
Dat gaat wel een flinke cent kosten, de meeste producten en websites hebben nog wel wat te verbeteren en we hebben het lange tijd veel te goedkoop gedaan. Ik vrees dat aardig wat projecten geschrapt zullen moeten worden omdat de IT-kosten te hoog worden.
Rataplan_ @Vicje20 december 2024 10:16
Waarom verwachten ze dat dan wėl (bij wet zelfs) van grote bedrijven die ook eigen budgetten hebben binnen afdelingen? Dat moet geen reden zijn om het allemaal maar so-so aan te pakken. Eisen zijn eisen, ook bij de overheid / grote instellingen
[edit]
never mind, die wet is niet voor bedrijven. Maar mijn punt blijft staan; eigen budgetten / vriendjespolitiek / wat dan ook kan nooit een reden zijn om niet aan de eisen te voldoen imho.

[Reactie gewijzigd door Rataplan_ op 20 december 2024 10:19]

johnnijm @Vicje20 december 2024 14:23
Daar gaat het inderdaad al jaren mis. Een nieuw project, nieuw budget, onbekend met inkoopregels en ICT-standaarden, en hupsakee: wéér een website in de lucht die niet voldoet aan de afgesproken standaarden. Het is dweilen met de kraan open.
Hoog tijd dat Forum Standaardisatie de bevoegdheid krijgt om na een eerste waarschuwing keihard te handhaven. Je voldoet als organisatie namelijk niet aan de wet wanneer je website een loopje neemt met de standaarden.
Wat ik zelf graag zou zien:
- een TLD voor de gehele overheid;
- een lijst met leveranciers die voldoen aan de standaarden waar je dient in te kopen;
- volledige standaardisatie van <gemeentenaam>.nl in plaats van de huidige wildgroei;
En ja, daarmee worden overheidssites saaier, maar wél goedkoper, eenvormiger en beter te beheren.
Astie @Johnny D20 december 2024 09:05
Een website van de overheid gaat via aanbestedingsprocedures. Vriendjespolitiek van vroeger is er niet meer bij
drdelta @Astie20 december 2024 09:15
Uit ervaring kan ik vertellen dat de manier waarop een aanbesteding geschreven wordt veel ruimte biedt om specifieke leveranciers of specifieke producten bij voorbaat er het beste uit kunnen laten komen.
ZwolschBalletje @Astie20 december 2024 09:18
Een website van de overheid gaat via aanbestedingsprocedures. Vriendjespolitiek van vroeger is er niet meer bij
Dat weet ik niet zo zeker in dit geval: er zijn (gelukkig) drempelbedragen. Als je als rijksambtenaar een Kerstborrel geeft en daarvoor een zak nootjes wilt kopen, dan hoef je dat niet aan te besteden maar mag je gewoon de best passende, makkelijk beschikbare nootjes uit het schap pakken en afrekenen.

Idem met (project-)websites: als de overheid zelf het project runt en alleen de projectwebsite extern wil hosten/laten bouwen, dan mag dat rechtstreeks gegund worden aan een geschikte partij zolang die opdracht onder de €143.000 blijft.

Of dat dan gelijk tot vriendjespolitiek leidt, zou ik niet direct zo willen stellen. Maar dat je met dit soort kleine opdrachten snel een nieuwe website kunt krijgen die onder de radar blijft van de centrale organisatie, en die ook na de projectmijlpaal vergeten wordt (dus geen beheer of opdoeken wanneer niet meer relevant) dat lijkt me een terechte zorg van het Forum.
scsirob @Astie20 december 2024 15:03
De theorie: Als je aan de voorkant van een aanbesteding meegeholpen hebt dan mag je niet meedoen.
De praktijk: Als je aan de voorkant niet meegeholpen hebt, dan win de de aanbesteding niet.
Vicje @Johnny D20 december 2024 08:53
Nee, dat bedoel ik daar helemaal niet mee en ik ben het ook verre van met je eens. Waar is dat op gebaseerd?

Wat er wel gebeurd is dat als men eenmaal een bureau heeft waar men lekker mee werkt en wat de organisatie goed kent, de voorkeur naar dat bureau uitgaat. Dat kan ik mij voorstellen, zeker wanneer er opdrachten liggen waarbij het belangrijk is dat het bureau op de hoogte moet zijn van hoe het in de organisatie werkt.
Johnny D @Vicje21 december 2024 10:04
Je kunt het wel niet bedoelen , maar dat wil niet zeggen dat het niet gebeurt , ik spreek uit ervaring dat ze niet voor de beste oplossing gaan
Triblade_8472 20 december 2024 09:33
Dat iets IPv6 moet zijn slaat totaal nergens op. Er zijn amper providers die die aanbieden. Laat dat eerst maar op orde komen.

DANE is nog best lastig, het idee en aanzetten is een simpele kwestie. Maar begrijpen wat je doet is een stuk lastiger. Commando's worden gewoon nergens uitgelegd. Hoe moet ik een geïnformeerde beslissing maken dan?
  • Enable-DnssecForVerifiedDomain, wat doet dit?
  • Als ik een nieuw MX-record krijg, en ik zet die later als 1e, heeft dat gevolgen voor bestaande inkomende mailstromen?
  • Enable-SmtpDaneInbound, wat doet deze? En kan ik dit niet doen in een mx test periode?
Nergens antwoorden te vinden. En de MS docs zijn niet erg behulpzaam. (Enable-SmtpDaneInbound, dat zet DANE op smtp inbound aan. Nee... Echt?)
LanTao @Triblade_847220 december 2024 09:57
Dat iets IPv6 moet zijn slaat totaal nergens op. Er zijn amper providers die die aanbieden. Laat dat eerst maar op orde komen.
Van de grote providers loopt alleen Odido achter.

Wat DANE betreft, de documentatie en commando's die je aanhaalt lijken iets van Microsoft te zijn. De regel gaat niet over een bepaalde implementatie.
Triblade_8472 @LanTao20 december 2024 10:59
Natuurijk haal ik Microsoft commando's aan. Ten eerst zijn dat mijn eigen vragen en ten tweede. Weten we dat heel veel overheden M365 gebruiken, waar dit over gaat.
bzzzt @Triblade_847220 december 2024 09:57
Dat iets IPv6 moet zijn slaat totaal nergens op. Er zijn amper providers die die aanbieden. Laat dat eerst maar op orde komen.
Alle KPN vaste en mobiele verbindingen supporten IPv6 mits je geen antieke router hebt.
DANE is nog best lastig, het idee en aanzetten is een simpele kwestie. Maar begrijpen wat je doet is een stuk lastiger. Commando's worden gewoon nergens uitgelegd. Hoe moet ik een geïnformeerde beslissing maken dan?
Je moet ook niet beginnen met commando's als je geïnformeerde beslissingen wil nemen.
Er zijn stapels sites te vinden met uitleg over de werking van Dane, beginnend met de specificatie RFCs tot tutorials. En als Microsoft het moeilijker dan nodig maakt is dat misschien een goede reden om eens een support request in te schieten?
Triblade_8472 @bzzzt20 december 2024 11:03
En toch zal alles IPv6 moeten ondersteunen wil ipv4 eruit kunnen.

En dan nog moeten burgers in het buitenland ook services kunnen gebruiken en daarmee zal je de voorzienbare tijd ipv4 moeten ondersteunen.

En ik snap dane wel, ik heb ook de rfc (inleidingen) doorgenomen. Maar mijn vraag was vrij specifiek op de commando's. Wie weet weet iemand hier het wel?
bzzzt @Triblade_847220 december 2024 11:33
En toch zal alles IPv6 moeten ondersteunen wil ipv4 eruit kunnen.
En dan nog moeten burgers in het buitenland ook services kunnen gebruiken en daarmee zal je de voorzienbare tijd ipv4 moeten ondersteunen.
Ondersteunen van IPv6 hoeft niet te betekenen dat IPv4 er gelijk uit moet. De 'winst' zit meer bij clients die niet achter een carrier-grade NAT hoeven te werken maar dat betekent dus wel dat tenminste de service endpoints het ook moeten implementeren. Je kan prima een netwerk/cluster opbouwen met interne IPv4 nummering en je websites en applicaties via een IPv6 gateway ontsluiten.
CAPSLOCK2000
@Triblade_847220 december 2024 12:41
En toch zal alles IPv6 moeten ondersteunen wil ipv4 eruit kunnen.

En dan nog moeten burgers in het buitenland ook services kunnen gebruiken en daarmee zal je de voorzienbare tijd ipv4 moeten ondersteunen.
Het doel is om IPv6 mogelijk te maken. Het uitschakelen van IPv4 staat daar een beetje los van.
En ik snap dane wel, ik heb ook de rfc (inleidingen) doorgenomen. Maar mijn vraag was vrij specifiek op de commando's. Wie weet weet iemand hier het wel?
Die vragen kun je beter op het forum stellen. Zoals je zelf al aangeeft is het begrijpen van het achterliggende systeem belangrijker dan de exacte commando's.
PageFault 20 december 2024 07:56
Over DANE lees ik dat browsers als Chrome en Firefox dat niet supporten, dus volgens mij valt die requirement dan wel mee? Of moeten we per vandaag die browsers mijden?
SleutelMan @PageFault20 december 2024 08:30
DANE heeft in deze meer te maken met email dan met browsers. In theorie zou het ook kunnen helpen met het controleren van de verbinding met een website maar zoals je zelf aangeeft is er geen support daarvoor.

Voor email is die support een stuk breder, overigens ook na o.a. druk van het Forum Standaardisatie
CAPSLOCK2000
@PageFault20 december 2024 13:14
Er zijn wel plug-ins om die functionaliteit toe te voegen.

DANE is minder belangrijk voor website omdat we het probleem daar anders hebben opgelost, oa met HSTS en LetsEncrypt. DANE is vooral groot in de wereld van e-mail. Voor websites is DANE ook een mooie oplossing maar daar is de noodzaak wat gewoon wat minder.
Sebazzz 20 december 2024 09:42
Het Forum komt met verschillende adviezen aan overheden. Die moeten in de eerste plaats inventariseren waar er overal gebruik wordt gemaakt van Microsoft Exchange Online via Office 365. Die omgevingen zouden met DANE en IPv6 moeten worden geconfigureerd.
Dat is een leuk verhaal, maar DANE en IPv6 voor Office 365 heeft Microsoft jarenlang voor zich uit geschoven. Pas vorig jaar zijn ze dit mondjesmaat via een expliciete opt-in (waarvoor je de Microsoft support moet benaderen) IPv6 gaan inschakelen en DANE werd nog helemaal niet ondersteund. Ik weet niet hoe het er nu voor staat, maar Microsoft kennende zal de situatie niet erg veranderd zijn.

Nog even los van het feit dat IPv6 een drempel is die de overheid zelf heeft ingesteld, maar wel onder beveiligingsstandaarden schaart - terwijl het daar niet direct mee te maken heeft. Wat voor de overheid telt en bij praktisch alle tenderuitvragen vereist wordt een 100% score op internet.nl. Daar valt dus RPKI, IPv6, DANE, etc onder.
wvoet @Sebazzz20 december 2024 11:42
https://techcommunity.mic...-online-mail-flow/3939694

DANE wordt inmiddels wel ondersteund voor inbound smtp.
CAPSLOCK2000
@Sebazzz20 december 2024 12:55
Dat is een leuk verhaal, maar DANE en IPv6 voor Office 365 heeft Microsoft jarenlang voor zich uit geschoven.
Dat is een lastige realiteit waar we moeilijk om heen kunnen. In praktijk zijn we enorm afhankelijk van een handvol leveranciers waar we maar weinig invloed op hebben. Dat zelfs de overheid er eigenlijk geen beweging in krijgt geeft aan hoeveel marktmacht die bedrijven hebben. Heel wat kleinere bedrijven zouden hun linkerarm geven voor zo'n overheidscontract maar worden niet eens overwogen.

De enige manier om daar mee om te gaan is de leverancier (MS) direct verantwoordelijk te stellen en wettelijk te verplichten om aan deze standaarden te voldoen. Nu ligt die verantwoordelijkheid bij de klanten, dienstverleners en tussenleveranciers maar die hebben ook geen enkele invloed. Je kan ze boetes geven zoveel je wil maar ze kunnen MS nog steeds niet dwingen. Je kan zeggen dat ze dan niet bij MS mogen inkopen maar dat zal een hoop organisaties volledig verlammen als we niet eerst de vendor lock-in van MS breken.

Eigenlijk vind ik het maar niks, ik vind het een heel goed principe dat klant en leverancier onderling de eisen opstellen en de verantwoordelijkheid verdelen. Vrije markt, marktwerking, verbetering onder druk van concurrentie, dat soort principes. Maar ja, zonder vrije markt werkt dat allemaal niet. We kunnen echter niet alle technische problemen parkeren tot dat is opgelost.
Nog even los van het feit dat IPv6 een drempel is die de overheid zelf heeft ingesteld, maar wel onder beveiligingsstandaarden schaart - terwijl het daar niet direct mee te maken heeft.
Volgens mij klopt dat niet helemaal maar is dat slordigheidje dat er in geslopen bij het schrijven van het artikel. De rapport heeft het over "beveiligingsstandaarden én ipv6" en dat is een deel van alle standaarden waar de overheid aan moet voldoen.

Overigens heeft IPv6 indirect wel degelijke beveiligingsaspecten. IPv6 begint breed beschikbaar te worden en wordt automatisch gebruikt als het er is. Je kan het niet meer helemaal negeren, je zal iets moeten, zelfs als dat niet meer is dan controleren dat het uit staat en je firewall het blokkeert. Dat raad ik overigens af, maar je zal iets moeten doen.

[Reactie gewijzigd door CAPSLOCK2000 op 20 december 2024 13:05]

Frame164 20 december 2024 13:55
Hoeveel bedrijven voldoen niet aan wettelijke beveiligingsstandaarden? Als het om falend ICT-beleid gaat zien we vooral dingen die niet goed gaan bij de overheid, maar dat komt vooral omdat daar goed gecontroleerd wordt en dat de overheidsorganisaties veel meer moeten rapporteren over wat ze doen.
metgch 21 december 2024 23:51
Volgens mij heeft de overheid niet eens meer een beeld van alle websites die ze hebben...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq