Wij zijn de op 6 na grootste beveiligde mailprovider ter wereld. En dat door maar 1 aanpassing te maken in onze mailservers.
Wat zou jij doen als je in één klap de op 6 na grootste aanbieder TER WERELD zou kunnen worden?
Precies. Doen!
Congratulations and thanks to two newly DANE-enabled MX-hosting providers with DANE domain counts as follows:flexfilter․nl 16116 (now 7th largest)netzone․ch 5996 (now 10th largest)This evening’s DANE domain count is ~1.105 million. #DANE #DNSSEC
— Viktor Dukhovni (@VDukhovni) 26 maart 2019
Vanaf eind maart is DANE actief op al onze FlexFilter e-mailservers. Dat zegt je misschien niks, toch is het een interessante ontwikkeling. Kort gezegd: het is een grote stap richting volledige e-mailveiligheid.
Hoe werkt e-mail?
Om te weten wat voor een impact DANE heeft, moet je weten hoe e-mail werkt. Wat gebeurt er zodra je op het kopje verzenden klikt?
Vanaf dat moment communiceren er twee servers met elkaar. Die regelen onderling het verzenden en ontvangen van de mail. Dat gaat dan ongeveer zo.
Zo simpel is het dus.
Geheimzinnig doen
Aangezien digitale criminelen aan de lopende band manieren verzinnen om dit soort gesprekken af te luisteren, is hier iets voor ontwikkeld.
Het versleutelen van berichten is al zo oud als dat er knappe koppen bestaan. Julius Caesar gebruikte al een simpele vorm van versleuteling. Hij liet in al zijn persoonlijke brieven alle letters met een vast aantal verspringen. A werd d, b werd e en zo voorts. Alleen als je precies wist hoe veel letters er versprongen werd, kon je zijn bericht lezen.
Tegenwoordig gaat het een stuk geavanceerder. Het principe blijft wel hetzelfde. De e-mail wordt door de verzendende server versleuteld en door de ontvangende server ontcijferd. Hiervoor wordt door mailservers TLS (Transport Layer Security) gebruikt.
Zoals je ziet, begint het gesprek hetzelfde. Al snel geeft de ontvangende server aan de verbinding te willen versleutelen en wordt de boodschap voor Piet in geheimtaal verstuurd.
Dit is een veilig verbinding. Toch is die nog niet volledig betrouwbaar als er zich een stoorzender op de lijn bevindt.
De start van het gesprek begint namelijk leesbaar. Een hacker ziet niet alleen de “Hallo” van de verzendende server voorbij komen, maar ook het “beveiligde versie”-antwoord van de ontvangende server. Als dit antwoord wordt aangepast naar “wat heb je voor me”, wordt het bericht alsnog leesbaar verstuurd door de verzender.
Tweestapsverificatie
Het is dus van belang dat je als ontvangende server kunt vertrouwen op je antwoord. Ik ZEG dat ik kan versleutelen en ik wil dan ook dat jij HOORT dat ik dat kan. Hier komt DANE om de hoek kijken.
DANE staat voor DNS-based Authentication of Named Entities. Oftewel: controleer mijn naam ook even in het DNS. Een soort tweestapsverificatie voor servers.
Doordat de verzendende server nu niet van de ontvangende kant te horen krijgt dat er een beveiligde verbinding kan komen, maar dat zelf van tevoren al weet, kan er niemand meer tussen beiden komen. Ook al zou een hacker het antwoord van de ontvangende server aanpassen, zou de verzendende server alsnog het bericht versleuteld versturen.
Implementatie
Het mooie van TLS is dat het heel gemakkelijk in te stellen valt op een mailserver. Het implementeren van DANE heeft wat meer voeten in de aarde, toch is ook dat goed te doen.
Dat laatste zeggen we uit ervaring. In één klap staan we op #7 van mailproviders wereldwijd die deze manier van e-mailbeveiliging hebben geïmplementeerd. Daar zijn we (vinden we) terecht trots op.
Tegelijkertijd weten we ook dat we wereldwijd helemaal geen grote speler zijn en dat we onze plek binnen de kortste keren kwijt zijn. Maar tot er een nieuwe provider komt die ons in haalt, genieten we van de roem.
Dit artikel is geplaatst op 15 mei 2019. Het kost je ongeveer 3 minuten om het te lezen.