Beschrijving
In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld, die bij. Deze dragen bij aan de afleverbetrouwbaarheid van e-mail en bescherming van domeinnamen tegen misbruik, zoals phishing. De beveiligingsstandaarden die hiervoor van belang zijn (SPF, DKIM en& DMARC) en de juiste toepassing ervan, worden toegelicht. Dat geldt ook de toepassing van STARTTLS en& DANE, die de communicatie tussen mailservers beveiligt. Beveiligingsstandaarden voor beveiliging van het e-mailbericht zelf, zoals versleuteling of ondertekening, vallen buiten scope en worden niet behandeld. Dat geldt ook voor de verdere afhandeling binnen de e-mailtoepassing zelf.
De genoemde beveiligingsstandaarden zijn onderdeel van de lijst open standaarden van Forum Standaardisatie, die door de Wet Digitale Overheid (WDO) verplicht worden gesteld. Deze lijst is als uitgangspunt genomen, maar ook andere relevante standaarden en/ of configuraties die bijdragen aan een veilig en betrouwbaar e-mailverkeer worden behandeld.
Deze conceptversie (0.5) is bijgewerkt met de laatste opmerkingen die door de werkgroep zijn gemaakt. Deze versie is voorgelegd aan de architectuurraad, die de voorschriften bij hun achterban ter consultatie neerlegtgen. Op basis daarvan wordt de volgende conceptversie gemaakt.
Samenhang
Gebruikte standaarden in dit document staan op de lijst met Verplichte (pas toe of leg uit) standaarden van Forum Standaardisatie.
Voor de Uniforme Bbeveiligingsvoorschriften wordt waar mogelijk gebruik gemaakt van ‘hoger gelegen’ afspraken. Bij voorkeur internationale afspraken (zoals van INAN), indien nodig nationale afspraken (zoals van Forum Standaardisatie en NCSC) en alleen als die niet voldoen, aanvullende afspraken die in deze werkgroep worden gemaakt. Afwijken van bovenliggende afspraken wordt onderbouwd. In geval van deze voorschriften, worden de factsheets ‘Bescherm domeinnaam tegen phishing’ en ‘Beveilig verbindingen van mailservers’ van NCSC gevolgd.
Meerwaarde
De afspraak ‘UBV Veilig en Betrouwbaar e-mailverkeer’ beoogt een aantal standaarden voor e-mailverkeer in samenhang te beschrijven zodat ze goed implementeerbaar zijn in het onderwijsdomein. Dit verhoogt de afleverbetrouwbaarheid van e-mail en vermindert de kans op misbruik van domeinnamen in de sector (zoals phishing). Verder verhoogt het het gebruik van beveiligde communicatie tussen mailservers, wat bijdraagt aanin de integriteit en vertrouwelijkheid van het e-mailverkeer. Let wel, niet het e-mailbericht zelf. Daar zijn andere beveiligingsstandaarden voor nodig, zoals versleuteling en ondertekening voor nodig. Deze worden niet behandeld in de ‘UBV Veilig en Betrouwbaar e-mailverkeer’.
De Wet Digitale Overheid (WDO) stelt genoemde beveiligingsstandaarden verplicht voor (semi-)publieke organisaties. De voorschriften in de ‘UBV Veilig en Betrouwbaar e-mailverkeer’ faciliteren een effectieve implementatie van deze standaarden in het onderwijsdomein.
Gebruik
Het betreft een conceptversie ter consultatie. Op basis hiervan kunnen voorschriften nog wijzigen.
De licentie op de voorschriften is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat men vrij is om het werk te delen en te bewerken, mits bronvermelding wordt toegepast. Let wel op dat de voorschriften zijnis ontworpen voor de onderwijssector.
Heeft u vragen of ideeën over de Uniforme Bbeveiligingsvoorschriften? Suggesties, aanvullende maatregelen of betere formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “UBV – Veilig en Betrouwbaar e-mailverkeer” in het onderwerp. Uw ervaringen helpen ons ook ommet vast te stellen of de voorschriften goed zijn toe te passen en zijn doelen bereikt.
Implementatie
De ‘UBV Veilig en Betrouwbaar e-mailverkeer’ voorschriften kunnen door alle partijen die e-mail uitwisselen in het onderwijsdomein zelfstandig worden geïmplementeerd. Invoeren van de op DMARC gebaseerde rapportage is daarbij een belangrijke eerste stap. Strengere filtering, waarmee het potentieel van de standaarden ten volle wordt benut, kan worden toegepast als de meeste partijen de voorschriften hebben toegepast.
Ontwikkelingen
Binnen Edustandaard wordt periodiek (minimaal eenmaal per jaar) de opzet en de werking van de voorschriften besproken met alle relevante stakeholders die vertegenwoordigd zijn in de Standaardisatieraad. Hiertoe wordt input verzameld vanuit de Edustandaard werkgroep Uniforme Bbeveiligingsvoorschriften en vanuit Edu-K.
Documentatie
Normatieve documenten
Alle documentatie en specificaties die verplicht zijn bij het implementeren van een afspraak.
Versies
Bijeenkomsten
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.