Content
Microsoft heeft deze week aangekondigd volledige ondersteuning te bieden voor de e‑mailbeveiligingsstandaard DANE op Exchange Online. De stap is mede het resultaat van een briefwisseling en gesprekken die de Nederlandse overheid hierover sinds 2019 met Microsoft voert. Microsoft volgt met deze stap andere leveranciers die al langere tijd DANE ondersteunen zoals Cisco, Cloudflare, Fortimail, Mailbox.org, Open-Xchange, ProtonMail, Soverin en Startmail.
Wat betekent dit voor mijn organisatie?
Vanaf begin 2022 biedt Microsoft ondersteuning van DANE voor uitgaande mail. Voor uitgaande e‑mail gaat dit automatisch zonder aanpassingen aan de configuratie. Sinds deze week biedt Microsoft ook ondersteuning voor DANE bij inkomende e‑mail. Als uw organisatie gebruikmaakt van Exchange Online, roept Forum Standaardisatie u op om DANE ook voor inkomende e‑mail te activeren volgens de instructies van Microsoft. Dit zorgt ervoor dat de mailuitwisseling van uw organisatie veiliger wordt en dat uw organisatie voldoet aan de geldende verplichting om DANE te gebruiken.
Briefwisseling en gesprekken
De ondersteuning van DANE door Microsoft is mede het resultaat van een briefwisseling en gesprekken die de Nederlandse overheid (SLM Rijk, ministerie van BZK en Forum Standaardisatie) sinds 2019 met Microsoft heeft gevoerd. In Europees verband heeft de Nederlandse overheid de afgelopen jaren samengewerkt met onder andere de Deense, Duitse, Letse, Tsjechische en Portugese overheden om de adoptie van e‑mailbeveiligingsstandaarden te bevorderen en leveranciers zoals Microsoft tot implementatie te bewegen.
Voor inkomende e‑mail bood Microsoft tot voor kort nog geen ondersteuning voor DANE, ondanks een eerdere aankondiging dat dit eind 2021 gereed zou zijn. De ontbrekende ondersteuning was zichtbaar in de Metingen Informatieveiligheidstandaarden en werd ook benoemd door de staatssecretaris van BZK in de Verzamelbrief Digitalisering d.d. 22 december 2023 aan de Tweede Kamer. In januari en mei 2023 drong de Nederlandse overheid er bij Microsoft opnieuw op aan om DANE voor inkomende e‑mail te ondersteunen. Naar aanleiding van deze brieven kwam Microsoft met een concrete planning voor implementatie.
Laatste zorgpunten
Begin 2024 organiseerde Microsoft een Private Preview van DANE voor inkomende e‑mail, waaraan vanuit de Nederlandse overheid DICTU en de gemeente 's-Hertogenbosch deelnamen. In de daaropvolgende brief benoemde de Nederlandse overheid twee zorgpunten: 1) het ontbreken van een webinterface voor beheerders om DANE voor inkomende e‑mail te activeren, en 2) het voornemen van Microsoft om DANE voor inkomende e‑mail alleen beschikbaar te maken voor premium-gebruikers. Microsoft heeft inmiddels haar positie ten aanzien van het tweede punt gewijzigd en aangekondigd dat DANE voor alle gebruikers van Exchange Online beschikbaar komt. Het eerste punt staat vooralsnog open; DANE voor inkomende e‑mail kan nu alleen geconfigureerd worden via Powershell.
Waarom DANE?
De open standaard DANE beveiligt e‑mailverkeer tussen mailservers tegen afluisteren door kwaadwillende derden. Een zeer ernstig incident bij de Tsjechische overheid in 2020, waarbij de mail werd onderschept via een man-in-the-middle-aanval (in aanloop naar het voorzitterschap van de Raad van de Europese Unie), laat zien dat dergelijke incidenten daadwerkelijk plaatsvinden. Het is waarschijnlijk dat dit soort incidenten vermoedelijk vaker voorkomen, maar niet altijd worden ontdekt of openbaar worden gemaakt. DANE kan, in combinatie met de standaard DNSSEC, ervoor zorgen dat e‑mail uitsluitend via een beveiligde verbinding wordt verzonden.
DANE verplicht voor Nederlandse overheid
DANE is een open standaard die via Forum Standaardisatie verplicht is gesteld voor de Nederlandse overheid. Deze verplichting geldt sinds september 2016 via ‘pas toe of leg uit’ (aanschafverplichting), en sinds eind 2019 via een streefbeeldafspraak (verplichting met betrekking tot gebruik). Sindsdien zijn verschillende leveranciers, mede door de inspanningen van Forum Standaardisatie, in actie gekomen en hebben DANE geïmplementeerd (o.a. Cisco, Cloudflare, Fortimail, Mailbox.org, Open-Xchange, ProtonMail, Soverin, en Startmail). De Metingen Informatieveiligheidstandaarden laten zien dat het gebruik van DANE door de overheid de laatste jaren is gegroeid tot 48% in begin 2024. Door Microsofts ondersteuning van DANE voor inkomende e‑mail zal dit percentage naar verwachting de komende periode aanzienlijk toenemen.
Leveranciersonafhankelijkheid
Forum Standaardisatie constateerde eerder in de Metingen Informatieveiligheidstandaarden dat een groot en sterk groeiend aantal overheidsorganisaties gebruikmaakt van Microsoft Exchange Online (34% begin 2023). Vanuit het oogpunt van leveranciersonafhankelijkheid is dat een zorgelijke ontwikkeling. Forum Standaardisatie zal de situatie blijven monitoren en roept overheidsorganisaties op om bij investeringen ook andere e‑mailoplossingen een serieuze kans te bieden. Daarnaast zal Forum Standaardisatie aandacht blijven vragen voor deze ontwikkeling in haar advisering aan het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) en aan haar opdrachtgevers (ministeries van BZK en EZ).
Vragen en ervaringen
Gebruikt uw organisatie Exchange Online en activeert u DANE voor inkomende e‑mail? Dan horen wij graag meer over uw ervaringen. Uw organisatie kan met behulp van Internet.nl testen of DANE op uw e‑maildomein goed is ingesteld. Indien uw organisatie vragen heeft over DANE, dan kunt u contact opnemen met het Forum Standaardisatie.