Internet.nl controleert nu ook striktheid anti-mailspoofing-standaarden

9 januari 2018

Vandaag lanceert Platform Internetstandaarden een verbeterde versie van de testtool Internet.nl waarmee gebruikers in 2017 meer dan 750 duizend testen uitvoerden. Vanaf nu controleert de testtool niet alleen of standaarden tegen mailspoofing op een domeinnaam aanwezig zijn, maar ook of ze voldoende strikt zijn ingesteld zodat misbruik van een domein echt wordt tegengegaan.

Sinds het redesign van Internet.nl in de zomer van 2017, is het aantal bezoekers dat testen uitvoert enorm toegenomen. Bezoekers voerden dit jaar tot juli rond de 100.000 testen uit. In de tweede helft van het jaar, dat wil zeggen na het redesign, zijn er ongeveer 650 duizend uitgevoerde testen bijgekomen. Gerben Klein Baltink, voorzitter van Platform Internetstandaarden:

"De groei is prachtig maar klaar is modern internet helaas nog niet. We zien gelukkig wel ook een sterk groeiend aantal domeinen met een 100%-score die in onze Hall of Fame staan. Tegelijkertijd zijn er nog teveel domeinen die niet of niet helemaal voldoen aan moderne internetstandaarden. Blijf daarom testen, leren en vragen om moderne internet!".

Controle op policy voor DMARC en SPF

Deze nieuwe versie van Internet.nl controleert nu ook of de syntax van je DMARC- en SPF-record geldig is. Bovendien controleert de testtool of deze records een voldoende strikte policy bevatten om misbruik van je domein door phishers en spammers tegen te gaan.

Controle op geldigheidsduur voor HSTS

Daarnaast controleert de nieuwe versie van Internet.nl nu ook de geldigheidsduur van de HSTS-policy. Een HSTS-geldigheidsduur van tenminste zes maanden achten we voldoende veilig. Een lange geldigheidsduur heeft als voordeel dat ook infrequente bezoekers beschermd zijn. Het nadeel is dat wanneer je wil stoppen met HTTPS, je langer moet wachten totdat de geldigheid van de HSTS-policy in alle browsers die je website bezochten, is verlopen.

Impact op testscore

De DMARC-/SPF-policy en de HSTS-geldigheidsduur tellen voorlopig nog niet mee in de procentuele totaalscore. Afwijkingen worden als oranje waarschuwingen weergegeven in de testresultaten. Vanaf april 2018 wegen de resultaten van deze testonderdelen wel mee in de score.


Release notes:

  • New: DMARC and SPF record parsers to check the record's syntax and policy strictness;
  • New: Check if HSTS 'max-age' value is at least 6 months;
  • Various UI/webdesign fixes/improvements;
  • Bugfixes:
    • DANE test is split into 'existence' and 'validity' tests. Previously, failed requests for the TLSA record resulted in an invalid result;
    • DNSSEC-signed domains signed with algorithms that our validating resolver currently does not support are now reported as DNSSEC-signed but insecure.