Hoe werkt e-mailbeveiliging deel 1: afluisteren


E-mail is nog steeds één van de belangrijkste communicatiemiddelen ter wereld. Maar omdat het een communicatiemiddel is dat niet zonder internet kan, is veiligheid van groot belang: onbeveiligd e-mailverkeer kan betekenen dat het afgeluisterd of misbruikt kan worden. In deze serie gaan we dieper in op problemen die kunnen voorkomen bij het niet, of verkeerd, beveiligen van e-mailverkeer.

Deel 1: Afluisteren

E-mailverkeer kan afgeluisterd worden door een zogenaamde Man in the Middle-attack, waarbij een derde partij zich tussen het verkeer van de zender en de mailserver in wringt en het bericht onderschept. Dit kan gebeuren wanneer het verkeer onversleuteld verloopt, of als de gebruikte versleuteling niet sterk genoeg is. Daarbij kan dit afluisteren van het mailverkeer op meerdere momenten gebeuren: tussen het verzenden vanuit de mailclient en de verzendende mailserver, tijdens het verzenden van de verzendende naar de ontvangende mailserver, of tijdens het doorsturen van de ontvangende mailserver naar de ontvangende mailclient.

Client-server
Het verzenden van e-mail gebeurt vanuit een mailclient, die verbinding maakt met een mailserver. Tegenwoordig wordt mail vrijwel altijd verzonden over een beveiligde SSL- of TLS-verbinding, welke ingesteld is in de mailclient. Maar deze clients tonen niet of er veilige ciphers en sterke encryptiesleutels zijn gebruikt bij het opzetten van de versleuteling. Hierdoor kan deze ogenschijnlijk veilige verbinding toch gaten oplopen die misbruikt kunnen worden.

man-in-the-middle-attack2

Server-server
De e-mail wordt vervolgens vanaf de verzendende mailserver naar de ontvangende mailserver gestuurd. Hiervoor wordt, in principe, altijd een versleutelde verbinding gebruikt: de verzendende mailserver kijkt of de ontvangende mailserver voorkomt in zijn MX-records en of versleuteling ondersteund wordt. Zo ja, verstuurt de mailserver het bericht versleuteld naar de ontvangende server. Ondersteunt de ontvangende server echter geen TLS-versleuteling, dan gaat de e-mail in leesbare tekst het internet over naar de ontvangende mailserver. Een gemiddelde eindgebruiker heeft hier geen invloed op.

man-in-the-middle-attack3

Inmiddels wordt er aan de kant van de mailclients wel gekeken naar een oplossing voor dit probleem. Zo controleren Gmail en Open-Xchange na het invullen van de ontvanger of die mailserver TLS ondersteunt en geven dat aan voor de mail verstuurd is. Hierbij wordt vaak gekeken naar eerdere communicatie met dat e-mailadres of e-mail domein.

ssl-check-sending-email

Server-Client

Ook aan de kant van de ontvanger kan er nog een veiligheidslek ontstaan. De meeste mailclients halen inkomende e-mails op via IMAP, POP3 of een technologie op basis van HTTP, en zoeken vaak zelf al naar de meest veilige instellingen. Maar mocht dit fout gaan, kan mailverkeer ook hier worden afgeluisterd. Daarnaast geldt ook bij de ontvangende mailcliënt dat er vaak niet getoond wordt of er veilige ciphers en sterke encryptiesleutels gebruikt zijn. Hier heeft de afzender geen invloed op.

man-in-the-middle-attack4

Is dit af te vangen?
Helaas zijn er in deze tijd nog altijd mailservers zonder versleuteling. Een systeembeheerder zou in kunnen stellen dat zijn mailserver alleen mail mag versturen over versleutelde verbindingen, maar dat zou als gevolg kunnen hebben dat mail niet afgeleverd kan worden op onbeveiligde ontvangende mailservers. Totdat versleutelde verbindingen gegarandeerd gebruikt worden, zullen mailservers dus alleen gebruik kunnen maken van versleutelde verbindingen wanneer die beschikbaar zijn.

Grotere partijen zoals e-mailproviders en hostingproviders die hun privacy en security serieus nemen, hebben in het algemeen hun SSL/TLS certificaten goed op orde wat betreft veiligheid en geldigheid. Kleinere partijen zoals budgethosters geven hier vaak om financiële redenen minder prioriteit aan, kiezen voor self-signed certificaten, of kiezen voor een certificaat dat niet overeenkomt met de naam van de mailserver. In beide gevallen is veiligheid niet of nauwelijks te controleren.

Versleuteling door de client
E-mailsoftware kent meestal ook versleuteling van de e-mails door de gebruiker zelf, bijvoorbeeld door gebruik van S/MIME of PGP. Hierdoor wordt het mogelijk om de inhoud van e-mails te versleutelen of te ondertekenen, wanneer de verzender en de ontvanger beveiligingssleutels uitwisselen. Dit klinkt als de ideale oplossing: met een dergelijke versleuteling kan de ontvanger nagaan of de inhoud onveranderd is aangekomen en kan de tekst in de mail door niemand anders dan de ontvanger gelezen worden. De headers van de mail worden echter niet versleuteld. Hierdoor blijven de gegevens zoals afzender en ontvanger en het onderwerp van het mailtje wel altijd leesbaar in de e-mail.

Het nadeel van een dergelijke oplossing is wel dat de ondersteuning nog niet universeel is. Bij het versturen van een versleutelde e-mail moeten de beveiligingssleutels altijd op alle systemen aanwezig zijn die gebruik willen maken van dat e-mailaccount: versleutelde e-mail die in een inbox op een computer staan, zijn daardoor niet vanzelfsprekend te lezen in een inbox die op een telefoon wordt geopend. Daarnaast ondersteunen de meeste webmail clients zoals Outlook.com of Gmail geen technieken zoals S/MIME of PGP. Versleutelde e-mails uitwisselen tussen gebruikers van deze clients zal dan ook niet of nauwelijks mogelijk zijn.

Conclusie
Bij het beveiligen van e-mailverkeer komt een hoop techniek kijken. Maar naast toepasbare technieken die het versleutelen van berichten en verkeer makkelijker maken, blijft de menselijke invloed op veiligheid van belang. Kies voor software die bekend staat om de veiligheid, kies voor bedrijven die hun veiligheid op mailservers en hostingservers goed op orde hebben en eerlijk zijn over welke beveiliging ze hebben toegepast, en zorg ervoor dat instellingen en configuraties kloppen. Zo zetten we samen een stapje dichter in de richting van een veiliger internet.

Dit bericht verscheen eerder op de blog van Networking4all.

Advertentie: De inhoud van dit blok bevat een mededeling van onze partner

Dit artikel wordt u aangeboden door Networking4all

Networking4all is een deskundige en service gerichte leverancier van SSL certificaten, veiligheidsscans en overige internet security producten. Networking4all bedient a-merken die actief zijn in branches zoals de detailhandel, zakelijke dienstverlening, ICT, industrie, gezondheidszorg, onderwijs en overheid.

Al sinds 2000 wordt Networking4all door haar klanten gewaardeerd voor de persoonlijke service, vakkennis en snelle levering. Networking4all is tevens preferred partner van de meest vertrouwde SSL merken, zoals Symantec, Thawte, GeoTrust, Certum en GlobalSign.

Bekijk direct ons aanbod, bescherm uw website of word reseller.

Geschreven door Sebastian Broekhoven (Networking4all)

Dit ingezonden artikel is geschreven door Sebastian Broekhoven van Networking4all.

Lees ook de onderstaande artikelen van Networking4all

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

ISPam.nl Job board

B Janssen, 24 juni 2016 8:05 pm

Mooi artikel! De hele wereld gebruikt e-mail maar slechts weinig mensen snappen de techniek qua beveiliging er achter. Ben erg benieuwd naar deel 2 en verder!

Jammer dat PGP anno 2016 nog steeds zo'n 'technisch ding' is (software +plugins installeren e.d.) en niet gewoon standaard in alle mail clients is gebouwd. (zie ook RFC 4880 en verder)

https://en.wikipedia.org/wiki/Pretty_Good_Privacy#Current_situation

B Janssen, 24 juni 2016 8:08 pm

Sorry, link moest zijn:

https://en.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP :-)

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

SIDN halveert tarieven om .nl-domeinnaam uit quarantaine te halen
Jaap Urban: Waarom vraagt iedere provider dan nog steeds de hoofdprijs hiervoor?!?! Webreus: 45 euro

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Uitgelicht bedrijfsnieuws van 27 januari 2017
apkdld: Enjoy most recent number one popular android apps game on your phone and tablet, also be aware that ...

Heartbleed – of de noodzaak om als provider altijd te patchen
showbox alternative: Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for y...