De mailservers van de Tweede Kamer missen beveiligingsmaatregelen die e-mailspoofing tegen moeten gaan, waardoor het mogelijk is om uit naam van politici e-mails te versturen. Dat blijkt uit een onderzoek van Follow the Money.

De site werkte samen met een beveiligingsonderzoeker om de mailservers te controleren. Die stelt dat het gebrek van spf het grootste probleem is waardoor derden e-mails uit de naam van politici kunnen versturen. Daarmee wordt een controle uitgevoerd op de domeinen die mails vanaf een mailserver mogen versturen. Doordat onder meer deze maatregel ontbrak, kon Follow the Money mails versturen vanaf het tweedekamer.nl-domein. Dit deed de site onder meer in de naam van Mark Rutte en Geert Wilders. Kamervoorzitter Khadija Arib laat aan de NOS weten dat er op korte termijn maatregelen worden genomen.

Hierdoor ontstaat een beveiligingsrisico, doordat op deze manier bijvoorbeeld overtuigende phishingmails verzonden kunnen worden. Vorig jaar bleek uit een onderzoek van Binnenlands Bestuur dat ook een groot aantal gemeenten niet voldoende maatregelen nemen om hun e-mail te beveiligen. Daarbij werd gekeken naar spf, maar ook maatregelen als dmarc en dkim.

Dkim is een authenticatiemethode waarmee een ontvanger van een e-mail kan nagaan of een bericht van het domein van de verzender inderdaad daarvandaan verzonden mocht worden. Dmarc bouwt voort op deze technieken en kan bijvoorbeeld ingezet worden om te verifiëren of de inhoud van een e-mail is veranderd na het verzenden daarvan. Spf en dkim staan op de zogenaamde 'pas-toe-of-leg-uit'-lijst. Alles wat op deze lijst staat, is verplicht voor overheidsorganisaties bij aanschaf, aankoop, aanbesteding of ontwikkeling van een nieuwe dienst van 50.000 euro of meer.

Reacties mogelijk gemaakt door CComment