StartTLS is een uitbreiding op het klassieke SMTP e-mailprotocol. Met StartTLS wordt de verbinding tussen verzendende en ontvangende mailserver versleuteld en dus beschermd tegen pottenkijkers. Wel zo prettig. Helaas is die versleuteling niet gegarandeerd. Een kwaadwillende ‘man-in-the-middle’ kan eenvoudig voorkomen dat de versleutelde verbinding tot stand komt, waardoor de e-mail alsnog in leesbare tekst wordt verstuurd. Met de DANE-standaard wordt dit probleem opgelost en krijgt de kwaadwillende het weer een stuk moeilijker. Maar hoe staat het eigenlijk met de adoptie van DANE + StartTLS in ons .nl-domein?
We stimuleren de adoptie van DANE
DANE for SMTP DANE for SMTP how to Webinar: DANE - Waarom en hoe je deze techniek, voortbouwend op DNSSEC, moet inzetten voor e-mailbeveiligingEerder dit jaar schreven we over DANE voor e-mailbeveiliging (RFC 7672) en legden we uit welke tekortkomingen deze standaard ondervangt. We kondigden aan dat we DANE zouden toevoegen aan onze incentiveregeling voor registrars, de Registrar Scorecard (RSC). Daarmee willen we het gebruik van moderne standaarden te stimuleren. Om dergelijke adoptie objectief te kunnen meten, gebruiken we de door SIDN Labs ontwikkelde DMAP-tool. Hiermee monitoren we, naast diverse andere zaken, ook de adoptie van de standaarden die we stimuleren via de RSC. Een deel van de meetresultaten uit DMAP presenteren we op stats.sidnlabs.nl. En met enige regelmaat publiceren we daarover in onze nieuwbrief. Inmiddels zijn we een halfjaar verder. Een goed moment om eens in onze statistieken te kijken of we verbetering zien op het gebied van DANE.
Waar staan we nu met DANE?
De DANE-standaard vereist DNSSEC. Omdat nog lang niet iedere gebruiker achter een DNSSEC-validerende resolver zit, is het gebruik van DANE voor websites nog niet gelukt, misschien zelfs wel mislukt. Daarentegen is het voor beheerders van e-mailomgevingen veel gemakkelijker om DANE aan te zetten, omdat het zorgen voor DNSSEC(-validatie) in zo’n constructie veel eenvoudiger is. We zien dan ook dat DANE voor StartTLS daadwerkelijk tractie heeft in een aantal landen (vooral Duitsland valt op). Het meten van de adoptie van DANE voor e-mail in het .nl-domein, doen we met behulp van OpenIntel. Dat is een DNS-meetplatform, dat we samen met de UTwente, SURFnet en NLnetLabs hebben opgezet. Met behulp van OpenIntel worden dagelijks ruim 220 miljoen domeinnamen, waaronder alle .nl-domeinnamen, onderzocht op verschillende parameters. Het bestaan van TLSA (DANE) records is er hier een van. We beschikken daarmee over een schat aan informatie.
Hoe meten we DANE voor e-mail?
We gaan voor onze DANE-meting als volgt te werk: we nemen de primary MX record(s) van elk domein (die met de laagste prioriteit) en bekijken vervolgens of zowel de domeinnaam zelf, als de domeinnaam van het MX-record (dat immers onder een andere domeinnaam kan zitten) zijn beveiligd met DNSSEC. En vervolgens bekijken we of het betreffende MX-record een DANE TLSA record heeft (zoals bijvoorbeeld ‘_25._tcp.kamx.sidn.nl’). Is dat het geval, dan nemen we hem mee in de telling.
Figuur 1: Het TLSA record van het MX record van sidn.nl
Sinds enige tijd zien we een behoorlijke toename van het aantal .nl-domeinnamen dat op die manier extra is beschermd. Zo’n 276.000 .nl-domeinnamen zijn inmiddels beschermd met DANE voor e-mail en dat is een forse stijging t.o.v. enkele maanden geleden.
Nog niet klaar
Natuurlijk is dit nog maar een klein deel van de ongeveer 3,2 miljoen gesigneerde .nl-domeinnamen, dus er is nog wel wat te doen. Daar staat tegenover dat natuurlijk lang niet alle domeinnamen gebruikt worden voor e-mail. Zeker 25% heeft überhaupt geen MX-record. Desondanks kan het DANE-percentage nog wel wat hoger en gaan we voorlopig nog door met het stimuleren van de adoptie. Hou dus de statistieken in de gaten. Meet de aanwezigheid van DANE TLSA records op je favoriete domeinnaam zelf met https://dane.sys4.de/ en https://internet.nl/.
