Studenten bekijken mail achter laptop
Praktijkverhaal

SURFmailfilter bij de UvA: ‘Beveiligde e-mail zonder gerommel’

Bij het beveiligen van e-mailverkeer komt veel kijken, zeker bij grote organisaties als onderwijsinstellingen. Kleine veranderingen in de settings kunnen voor grote problemen zorgen. Daar weet Ed van Gasteren, ict-servicemanager bij de Universiteit van Amsterdam, alles van. Hij vertelt over spoofing en malware, en hoe de UvA met SURFmailfilter de uitgaande mailstromen bundelt en beveiligt. 

In het kort

Naam: Ed van Gasteren
Functie: ict-servicemanager
Organisatie: Universiteit van Amsterdam
Dienst: SURFmailfilter
Uitdaging: Bescherming tegen spoofing en malware
Oplossing: Bundeling en beveiliging van uitgaande e-mailstromen via SURFmailfilter

Samen met zijn team beheert Ed van Gasteren de e-mailomgevingen van zo'n 100.000 studenten en 14.000 medewerkers. Dat komt doordat de UvA niet alleen IT-services binnen de eigen instelling levert, maar ook aan de Hogeschool van Amsterdam. “Vroeger hadden we aparte servers voor al die mailboxen op onze locaties staan,” vertelt Van Gasteren, “maar tegenwoordig is bijna alles gemigreerd naar de cloud van Microsoft. Dat betekent dat je al je andere systemen daaraan moet kunnen koppelen. Lukt dat niet, dan moet je op zoek naar een oplossing. Voor ons is dat SURFmailfilter.” 

Spoofing en malware

Van Gasteren licht toe waarom het bundelen van uitgaande mailstromen belangrijk is: “Informatiesystemen en digitale leeromgevingen sturen via e-mail allerlei berichten en meldingen naar gebruikers. Als dit niet via Microsoft of via een centrale oplossing zoals SURFmailfilter loopt, moet je al die individuele systemen 'toestemming' gaan geven om uit jouw naam e-mail te versturen. Dat is ontzettend veel werk en bovendien is het foutgevoelig: als je de settings niet helemaal goed hebt staan, loop je het risico op spoofing.”

Bij spoofing worden er vanuit jouw naam of instelling nepmails verstuurd die bijna niet van echt te onderscheiden zijn. Hackers gebruiken deze methode om malware te verspreiden. Om je instelling hier zo goed mogelijk tegen te beveiligen, is het verstandig om je uitgaande mailstromen te bundelen. Bundeling zorgt ervoor dat al je systemen vanuit een beperkt aantal bronnen mail afleveren. Hierbij weet je zeker dat ze allemaal aan dezelfde veiligheidsvoorwaarden voldoen. 

Communiceren met de buitenwereld

“De meeste moderne systemen zijn zonder problemen te koppelen met de software van Microsoft, maar dat geldt niet altijd voor oudere systemen”, legt Van Gasteren uit. “Bij de UvA werken we bijvoorbeeld met een roostersysteem dat we binnen onze eigen datacentra faciliteren. Het lukt niet om de berichten en meldingen vanuit dat roostersysteem te versturen via Microsoft 365. Om dat roostersysteem te kunnen blijven gebruiken, hebben we het daarom aangesloten op SURFmailfilter.” 

SURFmailfilter zorgt ervoor dat de berichten vanuit het roostersysteem op de juiste manier bij de ontvangers terechtkomen. “Hierdoor belanden die e-mails niet in de spamfilters en kunnen we dus via dat roostersysteem blijven communiceren met de buitenwereld.”

Verzegeling

Om e-mailberichten te beveiligen, worden ze voorzien van een DKIM-ondertekening. Met DKIM (DomainKeys Identified Mail) worden je e-mails als het ware verzegeld. De ontvangende server herkent niet alleen dat de e-mail inderdaad afkomstig is van de oorspronkelijke afzender, maar ook dat er tijdens het verzendproces niets aan de inhoud is veranderd. In de woorden van Van Gasteren: “Je weet dan als ontvanger zeker dat er onderweg niet met die e-mail is gerommeld.”

Voorheen zorgde de gezamenlijke IT-infrastructuur van de UvA en HvA ervoor dat de DKIM-handtekening niet door beide instellingen kon worden gebruikt. Dat leverde problemen op. “De ondertekende e-mails vanuit ons SAP-systeem die de UvA als afzender hadden, kwamen netjes bij de ontvangers aan. Op de berichten met de afzender HvA konden we echter geen DKIM toepassen, waardoor e-mails met belangrijke inhoud, zoals facturen, niet werden afgeleverd. Die facturen werden dan niet betaald, met alle gevolgen van dien. Met het nieuwe SURFmailfilter hebben we daar geen last meer van; we kunnen DKIM nu toepassen op e-mails vanuit beide instellingen.”  

Druk van de ketel

Van Gasteren is ervan overtuigd dat alles uiteindelijk onder Microsoft komt te hangen. Het liefst zou hij alle systemen en applicaties van de UvA daar nu al aan willen koppelen, maar dat is geen eenvoudige klus. 

“Het is enorm veel werk om alles over te zetten naar Microsoft 365. Je krijgt te maken met veel verschillende partijen en lange doorlooptijden. Bovendien brengt elke verandering in de infrastructuur van je instelling risico’s met zich mee. Zo lang al die complicaties er zijn, blijven we SURFmailfilter gebruiken, want dat werkt gewoon verdomd goed. Zeker sinds de vernieuwing van SURFmailfilter in 2022 is voor ons de druk van de ketel om alles in eigen beheer te gaan doen. Daardoor kunnen we ons bij de UvA de komende jaren op andere belangrijke zaken richten.” 

Meer weten?

SURF adviseert je over een optimale inrichting van de e-mailstromen van je instelling, inclusief de vereiste beveiligingsstandaarden.
Foto Gabriëlle Impens

Gabriëlle Impens

Telefoonnummer

Gerelateerde onderwerpen: