[ARCHIEF] Veilig versturen van een email

[Beheerder]

Veilig versturen van een email
Vraag: Voor het veilig versturen van email heb je een aantal dingen nodig: 1. veilige internetverbinding 2. Veilig apparaat 3. Veilig domein (www.mentor.nl met ik@mentor.nl) 4. Veilige verzending door je mailprogramma (5. Veilige ontvanger (met veilige verbinding, apparaat, domein en mailprogramma) Op de eerste 4 dingen heb je invloed. Het heeft geen zin om \’veilig\’ te mailen vanaf een laptop waar virussen opzitten. Jouw bericht is dan al afgeluisterd voordat je het überhaupt verstuurd hebt. En de rest van de data op je laptop ook. En je weet nooit op welke laptop jouw bericht aankomt. Ook daar kan het mis gaan.  Het veilig versturen van email betreft ook de bijgesloten bestanden. Ze zijn samen verpakt (en desgewenst encrypt) en staan niet los van elkaar.  Dit alles wordt puur en alleen bepaald door hoe jij verbindt naar de mailserver, gebruik maken van TLS zorgt voor encryptie en zorgt ervoor dat de \’Man In The Middle – attack\’ zinloos is. Data is onleesbaar.  Om heel eerlijk te zijn, biedt de oplossing zoals hierboven aangedragen een schijnveiligheid (sorry!). Ze zeggen: Wat bij ons gebeurt is veilig!  En dat zal ook vast. Maar ze hebben geen invloed op jouw laptop en die van de ontvanger.  Wat dan wel? 1. Heb een schone werklaptop, met betrouwbare virusscanner waar je geen spelletjessites, sociale media of andere \’vage\’ sites op bezoekt en waar geen anders dan strikt noodzakelijke software op geïnstalleerd is (geen \’gratis\’ dingen van internet erop, gratis bestaat niet.). Leen \’m niet uit aan je kinderen :). 2. Zorg dat je “DMARC-compliance” bent. Dat is de huidige standaard op emailbeveiliging. Met DMARC voorkom je dat anderen namens jou kunnen mailen (spam) en je berichten zijn ondertekend (signed) door alle betrokken mailservers tot aan aflevering. 3. Denk na waar je berichten heen stuurt. Grote zorginstellingen hebben vaak DMARC-compliance. Maar kleine aanbieders? En waar komt jouw mail terecht? Is het ontvangende apparaat veilig?  Hoe kan ik mijn email beveiligen? 1. Neem contact op met je hosting aanbieder (daar waar je domein draait) om een keypair t.b.v. DKIM aan te maken *. 2. Laat je hosting aanbieder op hun mailserver voor jouw domein de private key installeren en vraag ze om DKIM aan te zetten. Al je berichten zijn dan van verzender tot ontvanger gecontroleerd en “signed”.  Wat heb je dan geregeld? 1. De mailserver die jij gebruikt om te verzenden heeft een IP-adres wat geregistreerd moet zijn op jouw domein, dit noemt men een SPF-record (deze mailserver/maill hoort bij mijn domein). 2. De mailserver waar jij gebruik van maakt moet een private key hebben en je domein een public key, dit noemt men DKIM (het signen: ik ben ok, domein is ok, versturen maar!) 3. Punt 1 en 2 samen goed in orde? Gefeliciteerd, je bent dan “DMARC-compliance” wat op dit moment de hoogst mogelijke beveiliging op email is.  SPF (verzendende mailserver van domein ok + DKIM (mail ok = DMARC (yeeha!)  Het meest centrale in dit verhaal is de schone laptop en het verbinden naar de mailserver.  SPF, DKIM en DMARC zijn gratis. Dit zijn puur instellingen die aan of uit kunnen staan.  SIDN (Stichting Internet Domein Registratie Nederland) legt het hier goed uit: https://www.sidn.nl/a/veilig-internet/waar-dkim-en-dmarc-kunnen-helpen-in-geval-van-phishing * Het kan zo zijn dat jouw domein is geregistreerd bij bedrijf A en gehost wordt door bedrijf B. In het geval dat je de domeinregistratie niet bij dezelfde aanbieder hebt zal je deze een deel van je verkregen keys moeten sturen (je krijgt na het aanmaken van DKIM een public en private key), namelijk je public key.  Nabrander: Het kan goed zijn dat er bedrijven zijn die aanvullende diensten leveren, ik wil hier zeker niet het bericht van Bart mee onderuit halen! Aan de andere kant wil ik ook niet dat hardwerkende mentoren geld betalen voor zaken die op een andere wijze reeds goed geregeld (zouden moeten) zijn. De informatie hierboven komt van een ICT-professional die voor grote clubs (banken, verzekeraars, multinationals) gevoelige data versleuteld moet uitwisselen.

Antwoord: Kijk, dat is het nut van dit forum. Ik leer elke dat 🙂 Bedankt.

Antwoord: Dankjewel J! En ook nog in een taal geschreven die ik begrijp! 🙂

Antwoord: Bedankt, zeer duidelijk verhaal.

Antwoord: Nog een nabrander: Ik heb nog even nagevraagd waarom die gratis DMARC-toestand dan niet standaard aanstaat (dat lijkt mij dan logisch). Het meest waarschijnlijke antwoord is dat DMARC door de versleuteling om extra rekenkracht vraagt en daar moet voor betaald worden door jouw hostende partij. En daar worden ze niet rijk van. Dus het is er, maar jij moet even iets slims roepen om jouw mails veilig te versturen.

[Auteur]

Berichten