Overslaan naar inhoud
Nederlands
Meer ondersteuning
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Beveiligd Mailen (NTA 7516)

Deze handreiking beschrijft hoe Beveiligd Mailen van Aangetekend BV invulling geeft aan de NTA 7516-norm en welke technische eisen gelden voor verzender en ontvanger.

Inleiding

Het uitwisselen van gevoelige informatie via e-mail brengt risico’s met zich mee, zoals onderschepping, verkeerde aflevering of onbevoegde toegang. De NTA 7516-norm is ontwikkeld om deze risico’s te beperken en stelt eisen aan zowel de techniek als het gebruik van e-mail.

Beveiligd Mailen van Aangetekend BV vertaalt deze norm naar een praktische oplossing. Het platform zorgt ervoor dat berichten alleen via een veilige route worden verzonden en ontvangen, zonder dat gebruikers zelf complexe technische keuzes hoeven te maken.

Sinds het intrekken van de NTA 7516-certificering voor communicatiedienstenaanbieders in mei 2022 is er momenteel geen door NEN vastgesteld en actueel certificatieschema beschikbaar op basis waarvan leveranciers (opnieuw) gecertificeerd kunnen worden.

Aangetekend B.V. heeft de implementatie van NTA 7516 binnen de Beveiligd Mailen-oplossing gehandhaafd conform de destijds geldende technische handreiking. Waar relevant is deze implementatie geactualiseerd in lijn met de huidige stand van zaken en gangbare beveiligingsstandaarden binnen het e-maildomein.

Hierdoor wordt geborgd dat, voor zover van toepassing, interoperabele en veilige uitwisseling van berichten met andere partijen die NTA 7516 toepassen mogelijk blijft.

Werking

Bij verzending wordt gecontroleerd of de ontvangende partij voldoet aan de NTA 7516-eisen. Dit gebeurt op basis van onder andere DNS-informatie en mailserverconfiguratie.

Als de ontvanger aantoonbaar veilig kan communiceren, wordt het bericht direct in de inbox afgeleverd via een beveiligde verbinding. Als deze zekerheid ontbreekt, wordt het bericht niet direct afgeleverd maar beschikbaar gesteld via een beveiligde omgeving. De ontvanger ontvangt een notificatie en kan het bericht daar veilig inzien.

Beveiliging tijdens verzending

Alle berichten die via Beveiligd Mailen worden verzonden, maken gebruik van moderne beveiligingsstandaarden. De verbinding tussen mailservers is altijd versleuteld met TLS (minimaal versie 1.2), waarbij STARTTLS wordt gebruikt om de beveiligde verbinding op te zetten. Daarnaast wordt het servercertificaat gecontroleerd om zeker te stellen dat de verbinding met de juiste partij tot stand komt.

 Beveiliging van opgeslagen berichten

Wanneer berichten binnen het platform worden verwerkt of tijdelijk opgeslagen, gebeurt dit versleuteld. Hiervoor wordt gebruikgemaakt van sterke encryptie, met gescheiden sleutelbeheer. Hierdoor blijven gegevens beschermd, ook in het geval van een incident of ongeautoriseerde toegang tot systemen.

Authenticatie en toegang

Toegang tot berichten is beperkt tot bevoegde gebruikers. Binnen organisaties wordt gewerkt met persoonlijke accounts en, waar nodig, aanvullende verificatie zoals two-factor authenticatie (2FA).

Wanneer een ontvanger een bericht opent via de beveiligde omgeving, kan extra verificatie worden gevraagd via two-factor authenticatie. Hiermee wordt geborgd dat alleen de juiste persoon toegang krijgt.

Technische eisen voor verzenders

Organisaties die gebruikmaken van Beveiligd Mailen moeten hun e-mailomgeving correct hebben ingericht. Dit betekent dat het domein is geconfigureerd met SPF, DKIM en DMARC, zodat de identiteit van de verzender betrouwbaar kan worden vastgesteld en misbruik wordt voorkomen.

Daarnaast moet de mailinfrastructuur veilige verbindingen ondersteunen via TLS (minimaal versie 1.2) en STARTTLS. Gebruikers werken met persoonlijke accounts en, waar nodig, aanvullende beveiliging zoals 2FA.

Hoewel Aangetekend veel beveiliging afvangt, blijft de verzender verantwoordelijk voor correct en veilig gebruik van de oplossing.

Technische eisen voor ontvangers (directe aflevering)

Om berichten direct in de inbox te ontvangen, moet de ontvangende organisatie voldoen aan de interoperabiliteitseisen van NTA 7516. Dit betekent onder andere dat er een geldig NTA 7516 DNS-record aanwezig is en dat de mailserver veilig is ingericht.

De mailomgeving moet TLS ondersteunen en gebruikmaken van STARTTLS, met een geldig en controleerbaar certificaat. Aanvullende maatregelen zoals DNSSEC en DANE verhogen de betrouwbaarheid en worden aanbevolen.

Ook moeten SPF, DKIM en DMARC correct zijn ingericht, zodat de herkomst van berichten betrouwbaar kan worden vastgesteld.

Wanneer aan deze voorwaarden wordt voldaan, kan Aangetekend het bericht veilig en direct afleveren.

Ontvangst via beveiligde omgeving

Als een ontvanger niet aan de technische eisen voldoet, wordt automatisch gebruikgemaakt van de beveiligde omgeving van Aangetekend. De ontvanger ontvangt een notificatie en kan het bericht openen via een beveiligde webomgeving.

Deze omgeving is bereikbaar via een versleutelde HTTPS-verbinding en vereist authenticatie, bijvoorbeeld via een eenmalige code of aanvullende verificatie. De inhoud van het bericht blijft versleuteld opgeslagen totdat deze wordt geopend.

 

Technische specificatie

Onderstaande specificatie beschrijft de technische uitgangspunten voor verzendende en ontvangende mailomgevingen binnen Beveiligd Mailen conform NTA 7516.

1 Technische eisen voor verzender

De verzendende mailomgeving moet voldoen aan de volgende eisen:

Transportbeveiliging

  • Gebruik van TLS 1.2 of hoger voor mailtransport
  • Ondersteuning van STARTTLS voor SMTP
  • Validatie van servercertificaten volgens gangbare X.509-validatiestappen

E-mailauthenticatie

  • SPF correct geconfigureerd op het verzendende domein
  • DKIM actief voor ondertekening van uitgaande berichten
  • DMARC policy ingesteld (minimaal p=quarantine, bij voorkeur p=reject)

Verzending en aflevering

  • Controle op ontvangende partij vóór aflevering (o.a. DNS en mailserverconfiguratie)
  • Alleen directe aflevering indien de ontvangende partij aantoonbaar voldoet aan NTA 7516

Authenticatie en gebruik

  • Gebruik van persoonlijke gebruikersaccounts
  • Ondersteuning voor sterke authenticatie (bijv. 2FA)

2 Technische eisen voor ontvanger (directe interoperabiliteit)

Om berichten direct in de eigen mailomgeving te kunnen ontvangen (zonder fallback), moet de ontvangende partij voldoen aan:

Interoperabiliteit (NTA 7516)

  • Het ontvangende domein moet een geldig en actueel NTA 7516 DNS TXT-record publiceren
  • Het DNS-record moet correct geformatteerd zijn en binnen de geldigheidsperiode vallen
  • De verzendende partij moet op basis van DNS-informatie kunnen vaststellen dat de ontvangende partij NTA 7516 ondersteunt

Transportbeveiliging

  • De ontvangende mailserver moet TLS versie 1.2 of hoger ondersteunen
  • De mailserver moet STARTTLS ondersteunen en afdwingen voor inkomende verbindingen
  • De mailserver moet beschikken over een geldig servercertificaat
  • Servercertificaten moeten valide zijn volgens gangbare X.509-validatiestappen:
    • certificaat is niet verlopen
    • certificaat is uitgegeven door een vertrouwde certificaatautoriteit
    • servernaam komt overeen met het certificaat

E-mailauthenticatie

  • Het ontvangende domein moet SPF ondersteunen
  • DKIM-validatie moet mogelijk zijn op inkomende berichten
  • DMARC moet actief zijn op het domein

Aanvullende beveiliging (aanbevolen)

  • DNSSEC moet worden toegepast om DNS-resolutie te beschermen tegen manipulatie
  • DANE kan worden toegepast voor aanvullende validatie van mailservercertificaten

Indien niet aan bovenstaande eisen wordt voldaan, vindt geen directe aflevering plaats en wordt gebruikgemaakt van een beveiligde fallback.

3 Platform en fallback (Aangetekend)

Indien de ontvangende partij niet aantoonbaar voldoet aan de eisen voor directe interoperabiliteit, wordt het volgende mechanisme toegepast:

Indien de ontvangende partij niet aantoonbaar voldoet aan de eisen voor directe interoperabiliteit, wordt het volgende mechanisme toegepast:

Fallback mechanisme

  • Het bericht wordt niet via SMTP bij de ontvangende mailserver afgeleverd
  • Het bericht wordt versleuteld opgeslagen binnen het platform
  • De ontvanger wordt geïnformeerd via een notificatie

Toegang tot berichten

  • Toegang vindt plaats via een beveiligde webomgeving (HTTPS)
  • HTTPS-verbindingen moeten gebruikmaken van TLS 1.2 of hoger
  • Authenticatie van de ontvanger is vereist via two-factor authentication

Data security

  • Berichten moeten versleuteld worden opgeslagen
  • Sleutelbeheer moet logisch gescheiden zijn van de opgeslagen data

Logging en audittrail

  • Het platform moet gebeurtenissen vastleggen, waaronder:
    • verzending
    • aflevering (of beschikbaarstelling)
    • openen van berichten
    • authenticatiepogingen
  • Logging moet herleidbaar en beschikbaar zijn voor audit- en controledoeleinden

4 Security model

Beveiligd Mailen conform NTA 7516 is gebaseerd op een vertrouwensmodel en niet op verplichte end-to-end encryptie.

De beveiliging wordt gerealiseerd door een combinatie van:

  • versleuteld transport (TLS)
  • validatie van verzendende en ontvangende partij
  • gecontroleerde aflevering (alleen bij voldoende zekerheid)
  • versleutelde opslag van berichten
  • afgedwongen fallback bij onvoldoende beveiligingsniveau

 

Vragen of ondersteuning

Heb je vragen over de inrichting of het gebruik van Beveiligd Mailen, of wil je toetsen of jouw organisatie voldoet aan de technische eisen? Neem dan contact op met de supportafdeling van Aangetekend. Zij kunnen helpen bij configuratie, validatie en verdere toelichting.