De NTA 7516 en de bijbehorende technische handreiking beschrijven een groot aantal maatregelen die een organisatie moet nemen om e-mail veilig te kunnen gebruiken voor de uitwisseling van persoonlijke gezondheidsinformatie. Het beveiligen van de domeinnaamserver (DNS) van een organisatie door het ‘aanzetten’ van DNSSEC is één van deze maatregelen die vereist is om interoperabiliteit tussen e-maildiensten mogelijk te maken. DNSSEC is ook één van de verplichte standaarden op de ‘pas-toe-leg-uit-lijst’ van Forum Standaardisatie.

Wat is DNS?

DNS is een belangrijk onderdeel van het internet. Wanneer je een domeinnaam intypt in een browser, bijvoorbeeld www.zivver.com, wordt via DNS het juiste IP-adres opgezocht van de server waarop deze website wordt gehost (een zogeheten lookup). Vervolgens haalt de browser de webpagina op van die server en geeft deze weer. DNS wordt ook gebruikt om de IP-adressen op te zoeken van de servers die e-mail ontvangen voor een bepaalde organisatie, de zogenoemde mailservers.

Wat is DNSSEC?

DNSSEC is een uitbreiding op DNS om dit oude protocol veiliger te maken. Bij DNS zonder DNSSEC is het voor kwaadwillenden mogelijk om de lookup te beïnvloeden en foutieve informatie terug te geven (zogeheten cache poisoning- of ‘man-in-the-middle’-aanvallen). Zo kan bij een lookup naar www.zivver.com bijvoorbeeld een verkeerd IP-adres worden teruggegeven. In het geval van e-mail kan het bericht dan bij een verkeerde server worden afgeleverd, waardoor onbevoegden de informatie in de e-mail kunnen lezen. DNSSEC voorkomt dat deze beïnvloeding mogelijk is.

Hoe zet ik DNSSEC aan?

Het beveiligen van de DNS-server van je domein kan alleen als je een eigen domeinnaam hebt. Maak je gebruik van een gratis (gedeelde) e-maildienst (bijvoorbeeld @gmail.com of @outlook.com), dan kun je geen veilige e-mails ontvangen volgens de NTA 7516. Je voldoet dan ook niet aan de geldende wet- en regelgeving rondom informatiebeveiliging als je met deze e-mailadressen persoonlijke gezondheidsinformatie verstuurt. Het is daarom sterk aan te raden om een eigen domeinnaam te gebruiken en hieraan een (veilige) e-mailservice te koppelen.

Heb je wel een eigen domeinnaam, dan is deze mogelijk al beveiligd met DNSSEC. Inmiddels heeft namelijk ruim 60% van de Nederlandse domeinnamen DNSSEC ingeschakeld. Controleer of DNSSEC actief is voor jouw domeinnaam via https://internet.nl/test-mail/. Vul onderaan de pagina het domein van jouw e-mailadres in (alles na het @-teken) en klik op Start Test. Zijn onder het kopje Ondertekende domeinnamen (DNSSEC) > E-mailadresdomein beide schildjes groen, dan voldoet jouw domein aan deze beveiligingsstandaard.

Beschikt je domein nog niet over DNSSEC? Bij de meeste domeinaanbieders (registrars) kun je dit (laten) inschakelen. Weet je niet wie jouw registrar is, kijk dan op https://www.sidn.nl/whois. Vul bovenaan de pagina je domeinnaam in en klik op Check. Klik op de volgende pagina op Toon mij de gegevens. Onder het kopje Registrar zie je bij welke domeinaanbieder je domeinnaam is geregistreerd. Ga vervolgens naar de website van deze aanbieder en zoek op DNSSEC of neem contact op met de helpdesk.

Ondersteunt je registrar geen DNSSEC? Dan is het verhuizen van je domeinnaam naar een andere registrar de enige optie om voor het onderdeel interoperabiliteit te voldoen aan de NTA 7516. Dit is relatief eenvoudig en kost vaak slechts enkele euro’s. Op de websites van de meeste registrars staat een duidelijke beschrijving van hoe dit werkt. Zorg er wel voor dat je nieuwe registrar DNSSEC ondersteunt.

Controleer nadat je DNSSEC hebt ingeschakeld of je domeinnaam hebt verhuisd of dit succesvol is geweest door de bovenstaande controle opnieuw uit te voeren.

Meer informatie

Kijk ook op de website van SIDN voor meer informatie over DNSSEC, registrars, enzovoort.