Innovatie

Gmail introduceert (eindelijk) e-mails met slotje

0

Computergebruikers kunnen voortaan beter zien of de e-mails die via Gmail lopen veilig zijn. Bij elke e-mail staat dat aangegeven, maar vooralsnog alleen in Amerika. Werk aan de winkel dus, voor partijen die grote hoeveelheden e-mails verzenden. Hun belangrijkste opgave: de boel waterdicht houden, anders lopen ze het risico dat hun mail in de prullenbak verdwijnt.

Security-specialist Bruce Schneier vergeleek het verzenden van een e-mail in 1995 ooit met het verzenden van een briefkaart: “It’s like a postcard that anyone can read along the way.” Twintig jaar later kunnen we dus door deze vergelijking een streep zetten; met nieuwe technologie wordt meekijken weer een stukje moeilijker gemaakt.

It’s like a postcard that anyone can read along the way.

Google heeft onlangs via haar blog aangekondigd inkomende of uitgaande e-mails te voorzien van een rood slotje. Op basis van dit slotje kunnen ontvanger en verzender zien of de e-mail beveiligd is, of veilig wordt verstuurd. Eigenlijk is dit een variant op de beveiligde websites met https, die we al langer kennen. Het wordt voor hackers nu moeilijker om e-mails te lezen en te onderscheppen.

Hoe ziet dat er precies uit?

In onderstaande afbeelding is het nieuwe slotje dat gebruikt wordt binnen de Gmail-webmail te zien. Google gaat na of er met een beveiligde verbinding wordt verstuurd en dat er met een beveiligde verbinding wordt ontvangen. Is het slotje open? Dan is de overdracht niet veilig en geeft Google een beveiligingswaarschuwing.

Gmail slotje

Naast deze beveiligingswaarschuwing toont Google ook meteen een vraagteken als de zogeheten ‘authenticiteit’ van de binnenkomende berichten niet in orde is. Als er een twijfel is over wie de zender beweert te zijn, toont Google een vraagteken. Dat ziet er dan als volgt uit:

gmail_beveiliging

Op de plaats van de foto van de verzender komt een vraagteken te staan als de e-mail niet gecontroleerd kan worden. Het gaat dan misschien om een phishing mail. 

Het is wel opvallend dat bovenstaande screenshots uit Amerika komen. In Nederland is dit nog niet zichtbaar, Google kiest blijkbaar voor een geleidelijke uitvoering hiervan.

Hoe werkt deze beveiliging en is het echt veilige e-mail?

Even terug naar het slotje. De beveiliging is gebaseerd op een beveiligingsstandaard TLS (Transport Layer Security). Deze beveiligingsstandaard is al enige jaren bekend en steeds meer verzenders (ESP’s) en ontvangers (Google) ondersteunen deze standaard. Google maakt dit dus nu zichtbaar via hun gebruikers van Gmail.

Het gebruik van TLS betekent niet dat onze mail nu voor de volle 100 procent veilig is. TLS verzorgt namelijk niet het complete e-mailverzendtraject tussen verzender en ontvanger, maar slechts een gedeelte van het verzendtraject. Standaards zoals S/MIME en OpenPGP doen dit wel (dat laatste even ter informatie voor de echte beveiligingsliefhebber. ;-)) Maar TLS is toch wel een duidelijke verbetering!

Ruim 80 procent van de ISP’s ondersteunt TLS

Hieronder laat Google duidelijk zien hoe ver we staan met het veiliger maken van e-mails. Op dit moment wordt 60 procent van de e-mails verstuurd met TLS en wordt ongeveer 80 procent van de ISP’s ondersteund (Hotmail, Yahoo, Gmail, etc). Het zijn de vooral de kleinere ISP’s die nog wat achterlopen (bijvoorbeeld het Franse free.fr). 94 procent van de mails ondersteunt een vorm van authenticatie (SPF, DKIM).

email security

E-mailbeveiliging in de toekomst; de opmars van DMARC?

De nieuwe beveiligingskenmerken zijn een goede, volgende stap om misbruik van het kanaal e-mail te voorkomen. Zowel ontvangers als verzenders zijn aan zet.

Gooi de e-mail weg zodra je onraad voelt. Verzenders moeten er op toezien dat er bij het verzenden van e-mails, TLS wordt toegepast en de e-mails geverifieerd zijn met SPF en DKIM.

Een extra beveiligingslaag

Tot slot nog een opmerking over de authenticiteit van e-mails. Google maakt met de nieuwe maatregelen ook de weg vrij voor DMARC. Het is een extra beveiligingslaag (bovenop de genoemde SPF en DKIM) om phishing en spoofing (verzenden van e-mails onder een valse afzender) verder tegen te gaan. Met DMARC wordt ook het e-mailadres van een beveiligingslaag voorzien. Dat betekent dat e-mailadressen niet misbruikt kunnen worden en dat criminelen geen kans hebben hier hun slag te slaan. ‘Onderwater’ wordt DMARC al door de grotere ISP’s (Gmail, AOL en Hotmail) toegepast. De kans is reëel dat later dit jaar, naast een TLS-slot, ook een DMARC-notificatie in Gmail te zien zal zijn.

Alles bij elkaar is het een duidelijk aanwijzing dat zeker de phishing-gevoelige merken (banken, grotere retailers en overheidsinstellingen) het invoeren van DMARC nu echt op hun prioriteitenlijstje moeten gaan zetten.