In het traject om te komen tot beter anti-phishing maatregelen is een volgende stap gezet.
LISA heeft, in samenwerking met M&C, technische richtlijnen (in het Engels) opgezet voor het gebruik van Sender Policy Framework (SPF). SPF geeft aan waar legitieme mail vandaan mag komen en wat een ontvanger moet doen als de mail niet van een dergelijke bron afkomstig is. Op deze manier kunnen we voorkomen dat partijen buiten de UT phishing mail versturen met een @utwente.nl adres. De richtlijnen zijn nu vastgesteld door het MT van LISA. De komende maanden gaan we verder werken aan de implemenatie van deze richtlijnen.
De richtlijnen hebben betrekking op alle (mail)domeinen waar de universiteit voor verantwoordelijk is.
- Voor utwente.nl worden alleen de centrale, officiele mailservers opgenomen. Dat betreffen de centrale Exchange servers en de servers van SURF die gebruikt worden voor controle van de uitgaande mail.
- Domeinen voor studie- en studentenverenigingen en andere derden staan vrij zelf een beleid op het gebied van SPF vast te stellen. We raden hen wel aan om ook uit te gaan van deze richtlijnen.
- SaaS providers wordt gevraagd gebruik te maken van onze mailservers. Daarmee vallen ze direct onder richtlijn 1.
- Als richtlijn 3 niet haalbaar is, dan wordt er een apart subdomein onder utwente.nl aangemaakt voor deze provider.
- In alle andere gevallen wordt SPF zo geconfigureerd dat alle mail als onjuist wordt geclassificeerd.
- De universiteit is verantwoordelijk voor al haar domeinen. Als misbruik wordt geconstateerd, zullen SPF instellingen gewijzigd worden om dat misbruik te stoppen.
Voor richtlijn 4 geldt dat een subdomein nog steeds goedgekeurd dient te worden door M&C.
