Mail wordt tikkeltje veiliger

E-mail moet veiliger worden. Vinden in elk geval Google, Microsoft, Yahoo, Comcast en LinkedIn. Zij willen een nieuw protocol lanceren, Strict Transport Security (STS).

E-mail is een van de oudste internettechnieken. Het dateert van ver voor het World Wide Web en de bedenkers ervan hadden niet kunnen vermoeden wat voor ellende dat met zich mee zou brengen. Zo waren er in de jaren tachtig nog geen spammers of hackers.

Voor het versturen van mail is er Simple Mail Transfer Protocol (SMTP) en dat is precies wat het zegt: simpel. Wellicht te simpel. Het is zeker niet zo dat in al die jaren mail technisch stil is blijven staan. In 2002 werd de SMTP technologie al eens verbeterd met STARTTLS, dat de inhoud van e-mails tijdens het verzenden versleutelt. Maar STARTTLS wordt nog niet door iedereen gebruikt.

Ook werden nog enkele andere varianten ontwikkeld, maar het gebruik ervan is vrijwillig, waardoor er een lappendeken van beveiligingsmaatregelen is ontstaan. En niet alle servers blijken op de juiste manier geconfigureerd.

Met het nieuwe protocol wordt de verbinding altijd versleuteld. Zo wordt eerst nagegaan of de servers die het mailtje ontvangen SMTP STS ondersteunen en of er een geldig beveiligingscertificaat is. SMTP STS controleert de identiteit van de ontvanger, door te communiceren met de servers die de e-mail verstuurt. Bij onraad kan dan worden ingegrepen.

Versleuteling van e-mail is niet nieuw. Sterker nog: Google ziet dat er steeds meer versleutelde mails door Gmail worden ontvangen. Het huidige systeem blijft echter vatbaar voor zogenoemde man-in-the-middle-aanvallen. Met een valse digitale handtekening kunnen zij mailservers op een verkeer spoor brengen. In feite is het nieuwe protocol vooral een verbetering van STARTLS.

De techbedrijven hebben hun voorstel ingediend bij Internet Engineering Task Force. Dat betekent niet dat de technologie er morgen al is. Alle mailservers zullen immers voor het nieuwe protocol moeten worden aangepast.