Oude maildomeinen niet blijven verhuizen, maar opruimen

‘We kregen van het ministerie van Justitie en Veiligheid (JenV) het verzoek om e-mailadressen te verhuizen naar een nieuw systeem’, vertelt Edwin. ‘Het viel me op dat een flink deel van het e-mailverkeer nog op de oude adressen werd bezorgd. Toen dacht ik: hoelang blijven we deze oude maildomeinen nog verhuizen? We moeten ervan af! Maar bij een dergelijke opschoonactie heb ik de klant natuurlijk nodig.’

Hoofdpijndossier

'Bij de IND hadden we zelf ook hoofdpijn over dat oude maildomein’, vertelt Kees. ‘Het was al bijna 15 jaar een soort stille droom om het uit te faseren. Toen ik in een overleg van onze netwerkbeheerders hoorde over de wens van Edwin, voelde ik de ambitie om de handschoen op te pakken. Want alles wat de informatiebeveiliging (security) verbetert voor de IND, daar ben ik als de kippen bij!’

Wat is het securityrisico?

Kees: ‘Er werken bij de IND rijksambtenaren die al 25 jaar in dienst zijn. Als je veel mailmigraties hebt doorgemaakt, heb je inmiddels wel 5 mailaccounts. In het gekste geval misschien zelfs 10. Dat maakt een organisatie kwetsbaar. Je kunt immers behoorlijk wat spammails binnenkrijgen op al die verschillende adressen.’ Edwin beaamt dit: ‘Als SSC-ICT moeten we aan al die oude domeinen nieuwe instellingen meegeven om spam in de inbox tegen te houden (spamfilter, red.). Doe je dat niet, dan is het domein kwetsbaarder voor spam, met alle daarbij behorende (security)risico's. Bovendien wil je de beheerlast zo laag mogelijk houden.’

'Die drive moet je wel hebben'

Om te kunnen starten met de uitfasering, leverde SSC-ICT een overzicht aan van al het mailverkeer op het oude domein. Edwin: ‘We maakten een ‘foto’ van het mailverkeer over een periode van 2 weken. In die periode kwamen er 30.000 mailtjes van afzenders buiten de organisatie binnen via adressen uit het oude maildomein.’

Kees voerde hier vervolgens een analyse op uit. Hij vertelt: ‘Dankzij de dataset kreeg ik een beeld van de ontvanger van de e-mail, de verzender, op welk tijdstip een e-mail binnenkomt, en wat het onderwerp is. ‘Eén van de doelgroepen die ik detecteerde waren ketenpartners van de IND, zoals Dienst Terugkeer en Vertrek (DT&V) en het Centraal Orgaan opvang Asielzoekers (COA). Daarnaast zag ik veel mailverkeer vanuit leveranciers. Zo kreeg ik inzicht in de verkeersstromen, die ik in categorieën van afzenders kon onderverdelen. Een behoorlijk uitzoekwerkje. Maar naast projectleider ben ik ook technisch analist, dus ik vind zo’n overzicht helemaal geweldig. Die drive moet je wel hebben, want anders kom je er niet uit.’

Gevolgen afsluiten oud maildomein

Kees legt uit waarom een verouderd maildomein niet ‘gewoon’ opgeruimd en afgesloten kan worden. ‘Veel collega's in de techniek hebben – soms al 25 jaar geleden – met een oud e-mailadres een account aangemaakt op een leveranciersportaal van bijvoorbeeld Cisco of Microsoft. Zet je het oude maildomein uit, dan ontvang je die mails niet meer. Het is daarbij extra complex als zo'n leverancier met one time passwords (otp’s) werkt, die jij nodig hebt om je op het desbetreffende portaal aan te melden. Als dat het geval is, dien je extra scherp te zijn om de dingen in de juiste volgorde te doen. Je maakt eerst een nieuw account aan, pas daarna kun je het oude account op het leverancierportaal opheffen. Hef je eerst het oude account op, dan kan de leverancier jou geen otp meer afleveren.’

Een ander voorbeeld: er zijn IND-collega’s die zich ooit met een oud e-mailadres hebben aangemeld voor een kluisje (locker) op de Rijnstraat. Kees: ‘Zo’n registratie moet dan door de leverancier van het lockersysteem worden omgezet naar een mailadres met het nieuwe domein. Anders komen mailtjes over wijzigingen – zoals een automatische buitengebruikstelling na 60 dagen inactiviteit – niet meer aan, waardoor jouw kluisje wordt vrijgegeven en je deze niet meer kunt openen.’

Hoe heb je de e-mailgebruikers betrokken bij de uitfasering?

‘Ik heb de gebruikers via mijn lijst eerst gecategoriseerd op basis van de afzenders waarvan zij mails ontvingen. Vervolgens heb ik deze mensen individueel of groepsgewijs aangeschreven, met het verzoek om zelf te zorgen voor een e-mailadreswijziging bij de betreffende afzenders. Als het om honderden gebruikers binnen eenzelfde categorie ging, verliep de communicatie via ons eigen serviceportal. Voor de uitrol van iPhones bijvoorbeeld, hebben we ooit in een instructie verteld dat je jouw ind.minjenv.nl-account moest registreren als Apple-ID. Dat pas je als gebruiker niet zo makkelijk aan. Een collega van lokale support bij de IND heeft hiervoor een werkinstructie voor de gebruikers opgesteld. Hierin stond precies beschreven welke stappen nodig zijn om het Apple-ID los te koppelen van het oude e-mailadres en het te vervangen door het nieuwe e-mailadres.’

Hoe verliep het aan de kant van SSC-ICT?

Edwin: ‘Om het proces vlot te laten verlopen, maakten we slimme werkafspraken. Zodra Kees wist welke mailadressen klaar waren om te worden opgeruimd, stuurde hij zijn lijsten naar de Servicedesk van SSC-ICT, onder vermelding van vooraf afgesproken steekwoorden. Zo wist de Servicedesk dat deze mailadressen direct doorgezet konden worden naar onze mailbeheerders. Die zorgden er op hun beurt voor dat de juiste adressen met behulp van een script automatisch werden opgeruimd. Zo hebben we in 4 maanden tijd 4000 oude mailadressen opgeheven. Daarna hebben we het maildomein vanaf internet onbereikbaar gemaakt en intern opgeruimd.’