Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)

Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken of we de NCSC en DANE meting moeten loshalen. Tot nader bericht kan het zijn dat wel wordt voldaan aan de richtlijn van het NCSC, omdat DANE daar (nog) als overweging wordt aangedragen. Het gebruik van DANE voorkomt een bekende kwetsbaarheid, zie links in dit artikel.

Sinds juli 2023 is versleuteling verplicht op alle overheidswebsites. Toen de wet inging voldeed 33% van de overheidssites niet. Het is nog niet bekend wanneer een zelfde soort wet voor e-mail gaat gelden, maar gezien de gevoeligheid van post kan iedereen zien aankomen dat een verplichting niet al te lang meer op zich laat wachten.

Technisch gezien kan mail, net als een website, volgens de NCSC richtlijnen worden versleuteld. Maar er is een belangrijk verschil: van oudsher gaat het afleveren van mail boven versleuteling. Stel dat een mailverwerker alleen hypermoderne cryptografie gebruikt dan kan het zijn dat de mail deels onversleuteld wordt verwerkt. Het is voor een mailverwerker dus van belang om óók minder moderne versleuteling te bieden als achtervang.

Het opzetten van een veilige verbinding gebeurt met opportunistic TLS. De eerste stappen hiervan zijn onversleuteld en dit zorgt voor zwaktes die weer met andere technologieën zoals DANE worden opgelost.

De metingen zijn vanaf 7 februari in te zien op basisbeveiliging.nl. Ontbrekende versleuteling wordt nu beoordeeld met oranje, later dit jaar is dat rood. Niet voldoen aan de richtlijnen van het NCSC blijft voorlopig oranje. Deze meting is september 2023 aangekondigd.

De nieuwe metingen en omvang onderzoek

Deze nieuwe meting bestaat uit twee delen. De eerste is of versleuteling mogelijk is. De tweede is of deze ook kan voldoen aan de richtlijnen van het NCSC. De meting wordt ontwikkeld en onderhouden door internet.nl.

De meting wordt uitgevoerd vanaf de verzendende partij naar de eerste ontvanger. Dus vanaf een burger naar @rijksoverheid.nl. Er wordt niet gemeten of de ontvangende partij zelf in staat is veilig te mailen.

In totaal zijn er 3284 hoofddomeinen gecontroleerd waarop wordt aangegeven dat er iets met e-mail gebeurt (MX). Daarvan waren er 812 die mail weigeren (null MX). Op een domein is het gebruikelijk om meerdere mailservers in verschillende prioriteiten aan te bieden ter redundantie. In 317 gevallen konden niet alle servers van een domein worden gemeten: bijvoorbeeld door beperkte bereikbaarheid. Uiteindelijk is er op 2155 hoofddomeinen een volledige meting uitgevoerd. Er zit een lichte dubbeling in het aantal hoofddomeinen omdat sommige domeinen op meerdere kaarten staan of onder meerdere organisaties vallen. Van de 3284 domeinen zijn er 3075 uniek.

Versleuteling ontbreekt op 19 domeinen

Op 2144, ofwel 99.49%, van alle hoofddomeinen wordt versleuteling toegepast. De onderstaande 10 zijn dus de enige hoofddomeinen waar versleuteling ontbreekt.

Het gaat hier om het hoofddomein van een securitybedrijf, een politieke partij, vijf domeinen uit de zorg en drie van de overheid.

KaartDomeinDoel (vermoedelijk)Nameting
Cybersecuritydigitaleopsporing.nlVoorpagina securitybedrijfinternet.nl
Overheidstandaardplatform.nlOnbekend, placeholderinternet.nl
Overheidkcb.nlVoorpagina Kwaliteits-Controle-Bureauinternet.nl
Overheidtoetsingonline.nlVoorpagina onderzoeksinstellinginternet.nl
Zorgprikjevoormees.nlCampagnesite ziekenhuisinternet.nl
Zorgtransmuraalnetwerk.nlOnbekend, 404internet.nl
Zorgcmua.nlCampagnesite ziekenhuisinternet.nl
Zorghagaradar.nlInternet Surveyinternet.nl
Zorglkch.nlForward naar dienstverlening ziekenhuisinternet.nl
Politieke partijensamenvoornederland.nlVoorpagina politieke partijinternet.nl
Domeinen waar versleuteling ontbreekt

De overige 9 subdomeinen worden vaak gebruikt voor e-mail marketing.

KaartDomeinDoel (vermoedelijk)Nameting
Cybersecuritycampagnes.kpn.comWaarschijnlijk e-mail marketing internet.nl
Overheide.valys.nlE-mail marketing (met deployteq)internet.nl
Overheidtools.rijksinnovatiecommunity.nlOnbekend, onbereikbaarinternet.nl
Overheide.buitenlevenvakanties.nlE-mail marketing (met deployteq)internet.nl
Overheide.kvk.nlE-mail marketing (met deployteq)internet.nl
Overheidv-lab.ubrijk.nlOnbekend, onbereikbaarinternet.nl
Overheidjapan.investinholland.comVoorpagina marketingscampagne Nederlandinternet.nl
Zorge.erasmusmcfoundation.nlE-mail marketing (met deployteq)internet.nl
Zorgmail.ml.adrz.nlMaildiensteninternet.nl
Subdomeinen waar versleuteling ontbreekt

E-mail versleuteling op NCSC niveau

Van de overheden komt de centrale overheid er met 44% er het beste vanaf. Dus wordt er in 56% niet voldaan aan de eisen. Alle andere overheidslagen scoren slechter.

Voldoet aan richtlijn NCSCVoldoet niet aan richtlijn NCSC
Centrale overheid44% (429)56% (553)
Gemeenten41% (160)59% (226)
Waterschappen26% (6)74% (17)
Provincies23% (3)77% (10)
Veiligheidsregio’s6% (1)94% (16)
Veilige e-mail op hoofddomeinen van de overheid

Bij de overige lagen zien we dat de cybersecuritybedrijven het slechtst scoren. Slechts 14 van de 141 bedrijven past voldoende veilige versleuteling toe. We zagen al eerder dat deze sector op alle metingen slecht scoort.


Voldoet aan richtlijn NCSCVoldoet niet aan richtlijn NCSC
Zorg (Ziekenhuizen, GGD)43% (234)57% (311)
Politieke partijen21% (7)79% (27)
Cybersecuritybedrijven9% (14)91% (141)
Veilige e-mail op hoofddomeinen bij zorg, cybersecurity en politieke partijen.

De metingen zijn terug te vinden op basisbeveiliging.nl. Daar is dus precies te zien welke organisaties wel en niet voldoen.