SIDN gaat waarschuwen voor mailverkeer naar opgezegde domeinnamen
De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een systeem ontwikkeld dat gaat waarschuwen voor mailverkeer naar opgezegde domeinnamen. Dit zou datalekken moeten voorkomen. Het is de verwachting dat het systeem in juli voor alle .nl-domeinnamen wordt ingezet.
De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen.
Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag.
Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien.
Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'.
Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger.
Begin deze maand is SIDN een pilot met .nl-registrar Argeweb gestart. Het is de verwachting dat Lemmings vanaf juli voor alle opgeheven domeinnamen in de .nl-zone kan worden ingezet, tenzij uit de pilot blijkt dat het systeem grotere aanpassingen vereist. Daarna zal het systeem met nieuwe features worden uitgebreid, waaronder support van een opt-out voor de waarschuwingsmail en het voor de domeinnaamhouder beschikbaar maken van de meet- en analysedetails van een domeinnaam.
Nu maar hopen dat bij hert domein "verlopendomein.nl" de waarschuwingsmail niet naar "postmaster@verlopendomein.nl" gestuurd wordt :-)
Ook ben ik zeer benieuwd wat voor meet- en analysedetails we in de toekomst kunnen verwachten.
[ocd-mode]
Moet naam van dienst niet als volgt zijn?
deLetEd doMain MaIl warnING System
[/ocd-mode]
Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien.
Dit doet toch denken dat ze niet alleen passief naar mx-query's kijken maar actief een mx optuigen voor het domein, mail accepteren en/of (alleen) in de headers kijken. Als ze mail accepteren dan voelt het toch een beetje als een smerig trucje.
Ik denk dat SIDN (in samenwerking met de registrars) een optie zou moeten bieden om een vervallen domeinnaam
"permanent" te blokkeren voor nieuwe registratie tenzij gedocumenteerd met bewijzen dat de nieuwe aanvrager rechten
heeft op de communicatie naar de vorige houder.
Zodat in een gevoelige situatie een domein voor herregistratie geblokkeerd kan worden tegen een eenmalige betaling,
en tevens dat deze optie geactiveerd kan worden als een domein vervalt door bijvoorbeeld wanbetaling of faillissement.
Ik dacht dat DNS ong. als volgt werkte:
1 Host wil iets van server.voorbeelddomein.nl
2 Host checkt bij de root-DNS-server voor .nl (server van SIDN?) wie de DNS-server is voor voorbeelddomein.nl
3 Host checkt bij het in stap 2 teruggekregen ip-adres wie is server.voorbeelddomein.com
Dan zou de root DNS niet moeten/hoeven weten dat ik naar server.voorbeelddomein.nl wil, maar alleen dat ik iets van voorbeelddomein.nl zoek.
Ook niet dat ik het MX record ziek in het geval ik een mailtje probeer te sturen naar iemand@voorbeelddomein.nl.
Ik dacht dat DNS ong. als volgt werkte:
1 Host wil iets van server.voorbeelddomein.nl
2 Host checkt bij de root-DNS-server voor .nl (server van SIDN?) wie de DNS-server is voor voorbeelddomein.nl
3 Host checkt bij het in stap 2 teruggekregen ip-adres wie is server.voorbeelddomein.com
Dan zou de root DNS niet moeten/hoeven weten dat ik naar server.voorbeelddomein.nl wil, maar alleen dat ik iets van voorbeelddomein.nl zoek.
Ook niet dat ik het MX record ziek in het geval ik een mailtje probeer te sturen naar iemand@voorbeelddomein.nl.
Helemaal gelijk! Daar bestaat qname minimisation voor, alleen wordt dat nog niet veel gebruikt.
https://datatracker.ietf.org/doc/html/rfc7816
Ik denk dat SIDN (in samenwerking met de registrars) een optie zou moeten bieden om een vervallen domeinnaam
"permanent" te blokkeren voor nieuwe registratie tenzij gedocumenteerd met bewijzen dat de nieuwe aanvrager rechten
heeft op de communicatie naar de vorige houder.
Zodat in een gevoelige situatie een domein voor herregistratie geblokkeerd kan worden tegen een eenmalige betaling,
en tevens dat deze optie geactiveerd kan worden als een domein vervalt door bijvoorbeeld wanbetaling of faillissement.
https://www.sidnlabs.nl/nieuws-en-blogs/lemmings-waarschuwt-nl-houders-bij-mogelijk-mailverkeer-naar-hun-opgezegde-domeinnamen
Ik denk dat SIDN (in samenwerking met de registrars) een optie zou moeten bieden om een vervallen domeinnaam
"permanent" te blokkeren voor nieuwe registratie tenzij gedocumenteerd met bewijzen dat de nieuwe aanvrager rechten
heeft op de communicatie naar de vorige houder.
Zodat in een gevoelige situatie een domein voor herregistratie geblokkeerd kan worden tegen een eenmalige betaling,
en tevens dat deze optie geactiveerd kan worden als een domein vervalt door bijvoorbeeld wanbetaling of faillissement.
Wat je nodig hebt is een manier om eenmalig bij SIDN af te kopen dat niet iemand anders het kan inpikken.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.
"Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien" staat er, maar dat kun je toch helemaal niet zien aan de MX queries?
Dat zou wel kunnen als je van alle opgezegde domeinen de MX records laat verwijzen naar een analyserende server die bijvoorbeeld om te beginnen de MAIL FROM en RCPT TO headers bekijkt, de mail zelf hoeven ze dan nog niet eens binnen te halen om een iets sterker vermoeden te hebben over of dit over persoonlijke mail gaat of over bulk.
Een complete analyse is uiteraard alleen mogelijk als je ook de mail zelf ontvangt en scant.
Met alleen de MX queries kun je maar heel weinig lijkt me.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.
"Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien" staat er, maar dat kun je toch helemaal niet zien aan de MX queries?
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.
Het lijkt me zeer waarschijnlijk dat ze meer doen dan alleen naar de DNS querres te kijken. Al was het omdat ze dan veel missen door caching. Stel een bulk mailer stuurt een mail en zij gebruiken de dns van google. Google haalt vervolgens het record op bij de root (SIDN). SIDN weet volgens mij alleen dat google om dat record gevraagd heeft. En dan komt er een volgend mailtje van een google dns gebruiker die het MX record uit de cache haalt.
Ze zullen dus een fake mail account aanmaken die de connectie accepteert. Dan hebben ze het IP van de verzendende partij. En misschien komt de hele mail wel binnen maar wordt die al weer uit de buffer gewist voordat hij naar een gebruiker afgeleverd wordt.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.
Het lijkt me zeer waarschijnlijk dat ze meer doen dan alleen naar de DNS querres te kijken. Al was het omdat ze dan veel missen door caching. Stel een bulk mailer stuurt een mail en zij gebruiken de dns van google. Google haalt vervolgens het record op bij de root (SIDN). SIDN weet volgens mij alleen dat google om dat record gevraagd heeft. En dan komt er een volgend mailtje van een google dns gebruiker die het MX record uit de cache haalt.
Ze zullen dus een fake mail account aanmaken die de connectie accepteert. Dan hebben ze het IP van de verzendende partij. En misschien komt de hele mail wel binnen maar wordt die al weer uit de buffer gewist voordat hij naar een gebruiker afgeleverd wordt.
https://www.sidn.nl/nl-domeinnaam/mailverkeer-naar-opgezegde-domeinnaam
Tsja...
Zou SIDN dit ook met de andere NL registrars kunnen afstemmen aan t begin van de keten?
Ik denk aan al die spoofing sites, namen die veel lijken op n bestaande site.
Na 24 ' ineens' weg nadat t geld is gecashed.
Enorme econ schade, ellende voor burger, bedrijf en overheid.
O.a. in de havens maar ieder kent wel voorbeelden per sector.
Zo moeilijk kan t toch niet zijn? Even mouwen opstropen en regelen.
Dan ook eindelijk 's gov.nl sites, nu we toch bezig zijn. Betrouwbare overheid, maar ieder kan zo n kopie site opzetten..
Dat lukt met n formeel aanvraagproces niet zomaar meer.
En wie weet kunnrn we ook s providers gaan blockrn die nog steeds dat oude protocol uit 1997 (IPv6) nog niet ondersteunen..
Manman, wat kan t Internet weer mooi worden:) :)
Je weet wel al die providers die gauw even domeintje registreren namens een klant en vervolgens op hun eigen naam gooien in plaats van de klant hun mail adres. Gaan die misschien eindelijk ook eens hun administratie bijwerken.
Waar ik echter minder fan van ben is volgende:
Na afloop van deze periode anonimiseren we de privacygevoelige gegevens in deze separate database(zoals je mailadres en naam) en bewaren we overige gegevens nog maximaal 3 jaar. Zo kunnen we ze gebruiken voor het verbeteren van onze diensten en voor wetenschappelijk onderzoek"
Daar zou ik wel per direct bezwaar tegen maken als klant zijnde. Er is nooit toestemming gegeven voor enige deling voor onderzoek doeleinden door de eindgebruiker en drie jaar is buiten proporties voor iets dat maximaal 40 dagen kan duren.
Had betere verwoording en vastlegging van het SIDN verwacht en ben zeer benieuwd of er uberhaubt een opt-out mail straks word meegestuurd bij enige opzegging.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.