Instellen DNSSEC voor jouw domein t.b.v. de NTA-7516

De NTA 7516 en de bijbehorende technische handreiking beschrijft een groot aantal maatregelen die een organisatie moet nemen om veilig gebruik te kunnen maken van e-mail voor de uitwisseling van persoonlijke gezondheidsinformatie. Het beveiligen van de domeinnaamserver (DNS) van een organisatie door het ‘aanzetten’ van DNSSEC is een van deze maatregelen die vereist is om interoperabiliteit tussen e-maildiensten mogelijk te maken. DNSSEC is ook een van de verplichte standaarden op de ‘pas-toe-leg-uit-lijst’ van het forum standaardisatie.

Wat is DNS?

DNS is een belangrijk onderdeel van ons internet. Wanneer je een domeinnaam intypt in een browser, bijvoorbeeld www.zivver.nl, dan wordt in de DNS het juiste ip-adres opgezocht van de server waarop deze website wordt gehost, een zogenaamde lookup, waarna de browser de webpagina ophaalt van die betreffende server en weergeeft in de browser. DNS wordt ook gebruikt om de ip-adressen op te zoeken van de servers die een e-mail ontvangen die aan de desbetreffende organisatie geadresseerd is, zogenaamde mailservers.

Wat is DNSSEC?

DNSSEC is een uitbreiding op DNS om dit oude protocol veiliger te maken. Met DNS zonder DNSSEC is het voor kwaadwillende personen mogelijk om de lookup te beïnvloeden en andere foutieve informatie terug te geven (zogeheten cache poisoning of ‘man-in-the-middle’ aanvallen). Dus bijvoorbeeld bij een lookup naar www.zivver.n en ander ip-adres teruggeven. In het geval van een e-mail wordt deze dus bij een verkeerde server afgeleverd waardoor onbevoegden de informatie in de e-mail kan lezen. DNSSEC maakt dat deze beïnvloeding niet langer mogelijk is.

Hoe zet ik DNSSEC aan?

Beveiligen van de DNS-server van je domein kan alleen als je een eigen domeinnaam hebt. Als je gebruik maakt van een gratis (gedeelde) e-maildienst (bijv. @gmail.com of @outlook.com) dan kan je geen veilige e-mails ontvangen volgens de NTA-7516. Je voldoet dan ook niet aan geldende wet- en regelgeving rondom informatiebeveiliging als je met deze e-mailadressen persoonlijke gezondheidsinformatie verstuurt. Het is dan ook zeer aan te raden om een eigen domeinnaam en een (veilige) e-mailservice daaraan te koppelen.

Als je wel een eigen domeinnaam heeft dan is deze mogelijk al beveiligd met DNSSEC; inmiddels heeft namelijk bijna 55% van de nederlandse domeinnamen al DNSSEC ingesteld staan. Controleer of op jouw domeinnaam al DNSSEC actief is op https://internet.nl/test-mail/. Vul onderaan de pagina het domein van jouw e-mailadres in (alles na het @-teken) en klik op ‘Start Test’. Zijn onder het kopje ‘DNSSEC - E-mailadresdomein’ beide schildjes groen, dan voldoet jouw domein aan deze beveiligingsstandaard.

Blijkt je domein nog niet te beschikken over DNSSEC? Bij de meeste domeinaanbieders (registrars) kun je dit aan (laten) zetten. Weet je niet wie jouw registrar is, kijk dan op https://www.sidn.nl/whois. Vul bovenaan de pagina je domeinnaam in en klik op ‘Check’. Klik op de volgende pagina op ‘Toon mij de gegevens’. Daar staat onder het kopje ‘Registrar’ de domeinaanbieder waar jij je domeinnaam hebt geregistreerd. Je kunt dan het beste naar de website van je domeinaanbieder gaan en zoeken op DNSSEC of contact opnemen met de helpdesk.

Ondersteunt je registrar geen DNSSEC? Dan is het verhuizen van jouw domeinnaam naar een andere registrar de enige optie om voor het onderdeel interoperabiliteit te kunnen voldoen aan de NTA. Dit is relatief eenvoudig en kost je vaak slechts enkele euro’s. Op de websites van de meeste registrars staat een duidelijke beschrijving van hoe dit moet. Zorg uiteraard wel dat jouw nieuwe registrar wel DNSSEC ondersteunt.

Controleer nadat je DNSSEC hebt aan gezet of jouw domeinnaam hebt verhuist uiteraard of dit succesvol was door bovenstaande controle opnieuw te doen.

Meer informatie

Kijk ook op de website van het SIDN voor meer informatie over DNSSEC, registrars, etc.