Wij zijn de op 6 na grootste beveiligde mailprovider ter wereld. En dat door maar 1 aanpassing te maken in onze mailservers.

Wat zou jij doen als je in één klap de op 6 na grootste aanbieder TER WERELD zou kunnen worden?

Precies. Doen!

Vanaf eind maart is DANE actief op al onze FlexFilter e-mailservers. Dat zegt je misschien niks, toch is het een interessante ontwikkeling. Kort gezegd: het is een grote stap richting volledige e-mailveiligheid.

Hoe werkt e-mail?

Om te weten wat voor een impact DANE heeft, moet je weten hoe e-mail werkt. Wat gebeurt er zodra je op het kopje verzenden klikt?

Vanaf dat moment communiceren er twee servers met elkaar. Die regelen onderling het verzenden en ontvangen van de mail. Dat gaat dan ongeveer zo.

Leesbare communicatie tussen mailservers

Zo simpel is het dus.

Geheimzinnig doen

Aangezien digitale criminelen aan de lopende band manieren verzinnen om dit soort gesprekken af te luisteren, is hier iets voor ontwikkeld.

Het versleutelen van berichten is al zo oud als dat er knappe koppen bestaan. Julius Caesar gebruikte al een simpele vorm van versleuteling. Hij liet in al zijn persoonlijke brieven alle letters met een vast aantal verspringen. A werd d, b werd e en zo voorts. Alleen als je precies wist hoe veel letters er versprongen werd, kon je zijn bericht lezen.

Tegenwoordig gaat het een stuk geavanceerder. Het principe blijft wel hetzelfde. De e-mail wordt door de verzendende server versleuteld en door de ontvangende server ontcijferd. Hiervoor wordt door mailservers TLS (Transport Layer Security) gebruikt.

Versleutelde communicatie tussen mailservers

Zoals je ziet, begint het gesprek hetzelfde. Al snel geeft de ontvangende server aan de verbinding te willen versleutelen en wordt de boodschap voor Piet in geheimtaal verstuurd.

Dit is een veilig verbinding. Toch is die nog niet volledig betrouwbaar als er zich een stoorzender op de lijn bevindt.

De start van het gesprek begint namelijk leesbaar. Een hacker ziet niet alleen de “Hallo” van de verzendende server voorbij komen, maar ook het “beveiligde versie”-antwoord van de ontvangende server. Als dit antwoord wordt aangepast naar “wat heb je voor me”, wordt het bericht alsnog leesbaar verstuurd door de verzender.

Tweestapsverificatie

Het is dus van belang dat je als ontvangende server kunt vertrouwen op je antwoord. Ik ZEG dat ik kan versleutelen en ik wil dan ook dat jij HOORT dat ik dat kan. Hier komt DANE om de hoek kijken.

DANE staat voor DNS-based Authentication of Named Entities. Oftewel: controleer mijn naam ook even in het DNS. Een soort tweestapsverificatie voor servers.

Met DANE beveiligde versleutelde communicatie tussen mailservers

Doordat de verzendende server nu niet van de ontvangende kant te horen krijgt dat er een beveiligde verbinding kan komen, maar dat zelf van tevoren al weet, kan er niemand meer tussen beiden komen. Ook al zou een hacker het antwoord van de ontvangende server aanpassen, zou de verzendende server alsnog het bericht versleuteld versturen.

Implementatie

Het mooie van TLS is dat het heel gemakkelijk in te stellen valt op een mailserver. Het implementeren van DANE heeft wat meer voeten in de aarde, toch is ook dat goed te doen.

Dat laatste zeggen we uit ervaring. In één klap staan we op #7 van mailproviders wereldwijd die deze manier van e-mailbeveiliging hebben geïmplementeerd. Daar zijn we (vinden we) terecht trots op.

Tegelijkertijd weten we ook dat we wereldwijd helemaal geen grote speler zijn en dat we onze plek binnen de kortste keren kwijt zijn. Maar tot er een nieuwe provider komt die ons in haalt, genieten we van de roem.

Dit artikel is geplaatst op 15 mei 2019. Het kost je ongeveer 3 minuten om het te lezen.