Microsoft zwicht na jaren voor druk Nederlandse overheid: e-mail veiliger
Microsoft past na jarenlang aandringen van de Nederlandse overheid eindelijk de e‑mailbeveiligingsstandaard DANE toe op Exchange Online. Dat meldt Forum Standaardisatie in een persbericht. Er zijn jarenlang briefwisselingen en gesprekken voor nodig geweest.
Identiteit mailservers
Door de standaard toe te passen, wordt er zekerheid gegeven over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen. Microsoft gebruikte DANE voor uitgaande e-mail, maar voor binnenkomende e-mails nog niet.
De Nederlandse overheid werkte in Europees verband samen met onder andere de Deense, Duitse, Letse, Tsjechische en Portugese overheden om de adoptie van e‑mailbeveiligingsstandaarden te bevorderen en leveranciers zoals Microsoft tot implementatie te bewegen. Microsoft beloofde dat dit eind 2021 gereed zou zijn, maar kwam die belofte niet na. In januari en mei 2023 drong de Nederlandse overheid er bij Microsoft opnieuw op aan om DANE voor inkomende e‑mail te ondersteunen. Naar aanleiding van deze brieven kwam Microsoft met een concrete planning voor implementatie.
Man-in-the-middle-aanval
De emailbeveiligingstandaard toepassen kan cruciaal zijn. Dat bleek ook bij een zeer ernstig incident bij de Tsjechische overheid in 2020, waarbij de mail werd onderschept via een man-in-the-middle-aanval. ‘Het is waarschijnlijk dat dit soort incidenten vermoedelijk vaker voorkomen, maar niet altijd worden ontdekt of openbaar worden gemaakt’, schrijft Forum Standaardisatie.
Forum Standaardisatie merkt verder op dat een groot en sterk groeiend aantal overheidsorganisaties gebruikmaakt van Microsoft Exchange Online (34%). “Vanuit het oogpunt van leveranciersonafhankelijkheid is dat een zorgelijke ontwikkeling. Forum Standaardisatie zal de situatie blijven monitoren en roept overheidsorganisaties op om bij investeringen ook andere e‑mailoplossingen een serieuze kans te bieden.”
Lees meer:
– Forum Standaardisatie wil dwingende sturing op domeinnamen overheid