image

SIDN gaat bij alle opgezegde .nl-domeinnamen voor mailverkeer waarschuwen

maandag 21 februari 2022, 16:27 door Redactie, 14 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat vanaf volgende maand alle houders van opgezegde .nl-domeinnamen waarschuwen wanneer het domein nog mailverkeer ontvangt. Dit zou datalekken moeten voorkomen. De proef duurt een jaar en registrars krijgen de mogelijkheid om zich af te melden.

De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen.

Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag.

Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien.

Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'.

Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger.

Tijdens twee proeven die vorig jaar plaatsvonden werd in totaal voor 1408 domeinen een waarschuwing verstuurd. Daarvan werden er vijf weer uit quarantaine gehaald. Dat is 0,4 procent van alle gewaarschuwde domeinnamen. Van alle .nl-domeinnamen die in dezelfde periode opgezegd werden, werd maar 0,2 procent weer uit quarantaine gehaald.

Op basis van deze proeven heeft SIDN nu besloten om het systeem voor alle .nl-domeinen in te zetten. Het gaat om een proef die een jaar zal duren en meer informatie over de impact van het systeem moet opleveren. Deze derde proef zal naar verwachting in maart starten. Registrars die niet mee willen doen krijgen de optie om zich af te melden. Uiterlijk twee weken voor de start van de nieuwe proef zal SIDN .nl-registrars hierover informeren.

Reacties (14)
21-02-2022, 17:40 door Anoniem
Ik denk dat SIDN de mogelijkheid zou moeten bieden om voor een eenmalige afkoopsom een domein wat men niet
meer wil gebruiken permanent te blokkeren voor registratie door anderen.
Dat kunnen registrars dan aanbieden als optie bij opzegging.
21-02-2022, 19:51 door Anoniem
Email, dat is zowieso al plaintext en per definitie al een datalek.
21-02-2022, 22:10 door Anoniem
Door Anoniem: Ik denk dat SIDN de mogelijkheid zou moeten bieden om voor een eenmalige afkoopsom een domein wat men niet
meer wil gebruiken permanent te blokkeren voor registratie door anderen.
Dat kunnen registrars dan aanbieden als optie bij opzegging.
Retorische vraag: hoelang is permanent?
Een .nl domein kost (inclusief btw) nog geen 5 euro per jaar voor de registratie. De enige eis die SIDN verder stelt is 2 name-servers voor de DNS(*), vaak "gratis" bij je registrar. (**)
Nauwelijks een bedrag om van wakker te liggen, behalve natuurlijk als je een boekhouder bent. ;-)

(*)
https://www.sidn.nl/downloads/7li2X9A-Q1-_qkgnZn1TAg/02066e69fc93d5b64b4aa16c469c38f6/Technische_eisen_voor_registratie_en_gebruik_van_nl_domeinamen.pdf
(**)
https://www.opendomainregistry.net/
21-02-2022, 22:19 door Anoniem
Door Anoniem: Email, dat is zowieso al plaintext en per definitie al een datalek.
STARTTLS en om het af te dwingen: DANE en MTA-STS.
PGP, OpenPGP, S/MIME of desnoods 7-Zip.
Dus sowieso niet per definitie platte tekst of datalek.
22-02-2022, 00:22 door Anoniem
Er komt toch altijd wel spam binnen op een domein?
22-02-2022, 00:23 door Wim ten Brink
Het is een voor mij bekend probleem omdat ik ooit een domein heb overgenomen dar voorheen door een journalist in gebruik was voor een blog, en deze journalist veel contacten had gelegd via email. Hij was plotseling overleden en zijn erfgenamen hebben het domein laten vervallen en het is zelfs lange tijd ongebruikt gebleven omdat het een relatief unieke naam had. Maar toen ik het over nam kreeg ik diverse emails binnen die voor deze journalist bedoeld waren, inclusief gegevens over zijn oude Twitter-account...
Een account die ik dus kon overnemen omdat ik controle had over het email adres, wat ik heb gedaan om het account per direct op te zeggen want het was gekoppeld aan het domein. En dat was ongewenst.
Nu hebben mensen na hun dood eigenlijk geen privacy meer. Dat staat zelfs keihard in de AVG. Maar naast een aantal bedrijven dat gewoon is doormailen ook al hebben ze een jaar lang alleen maar bounce-reports hebben gehad waren er ook best veel spammers actief op enkele domein-gerelateerde adressen. Afmelden heeft een deel opgelost en de rest rapporteren als spam ruimde ook veel op. Verder een goede spamfilter erbij en 99% van alle ongewenste email blijft nu weg. Ja, dat een bedrijf als fooruit.nl dan vandaag nog even spam doorstuurt naar een door hen verzonnen email adres op dit domein mogen ze nu bij de ACM verder toelichten. Ik heb het domein al sinds 2016...
En dat is het probleem als een domein verhuist, want de oude email adressen blijven nog gewoon overal geregistreerd staan, en kunnen soms jaren later alsnog ongewenste emails ontvangen. Fooruit is daar een mooi voorbeeld van omdat ze nooit op een legitieme manier via mij aan dat adres zijn gekomen. Dit moet van de vorige eigenaar zijn geweest. Maar dat ze na 6 jaar opeens een nieuwsbrief gaan versturen is dan ontzettend dom, vind ik. Vooral omdat het naar een adres ging wat voorheen onbekend was en waar ik nooit eerder email op had ontvangen.
Maar het is goed dat het SIDN nu waarschuwingen gaat versturen, maar die zouden eigenlijk ook naar de afzenders toe moeten gaan, zodat die hun administratie kunnen bijwerken om de betreffende emails dus uit te schrijven.
22-02-2022, 07:39 door Anoniem
Door Anoniem: Ik denk dat SIDN de mogelijkheid zou moeten bieden om voor een eenmalige afkoopsom een domein wat men niet
meer wil gebruiken permanent te blokkeren voor registratie door anderen.
Dat kunnen registrars dan aanbieden als optie bij opzegging.
Ik denk dat permanente blokkering overdreven is, want ook dat heeft nadelen, zoals het nooit meer beschilkbaar komen van mooie en korte domeinnamen. Wat wel goed zou zijn is dat je bij afsluiten van het domein een verlenging van de afkoelperiode tot vijf jaar kan kopen, en dat ook in een keer kan betalen zodat je daar niet elk jaar opnieuw aan moet denken. Misschien moeten bijvoorbeeld GGZ-instellingen, waar het om zeer privacygevoelige dingen kan gaan, zelfs tien jaar kunnen afkopen.

Daarmee zou nog niet alles afgevangen worden, maar wel veruit het meeste.
22-02-2022, 10:37 door Anoniem
Door Anoniem:
Door Anoniem: Ik denk dat SIDN de mogelijkheid zou moeten bieden om voor een eenmalige afkoopsom een domein wat men niet
meer wil gebruiken permanent te blokkeren voor registratie door anderen.
Dat kunnen registrars dan aanbieden als optie bij opzegging.
Retorische vraag: hoelang is permanent?
Een .nl domein kost (inclusief btw) nog geen 5 euro per jaar voor de registratie. De enige eis die SIDN verder stelt is 2 name-servers voor de DNS(*), vaak "gratis" bij je registrar. (**)
Nauwelijks een bedrag om van wakker te liggen, behalve natuurlijk als je een boekhouder bent. ;-)

Het gaat me om situaties waarin het domein moet worden beeindigd en er niemand meer is die kan zorgen voor
regelmatige betaling en andere nodige contacten om zo'n registratie in stand te houden.
Het werd hieronder al vermeld: overlijden. En dan heb je ook nog: faillissement van een bedrijf. beeindigen van
activiteiten door een bedrijf. overname van een bedrijf waarna in de nieuwe organisatie niemand meer bezig is
met dit oude domein. en zo zijn er vele mogelijke scenario's.

Het is dan gewoon veel beter als met een eenmalige handeling toekomstig misbruik voorkomen kan worden, veel
beter dan "ieder jaar 5 euro betalen".
Hoe lang dat moet wellicht afgesproken worden maar misschien ook niet. Er IS al een lijst van domeinen die SIDN
niet aan iemand uitgeeft, en die toch niet geregistreerd zijn. Een dergelijke lijst kan uitgebreid worden.
En voor domeinen op die lijst is GEEN nameserver nodig. Technisch bestaan ze gewoon niet. En als iemand ze
wil registreren dan kan dat niet. Daar is geen nameserver bij nodig, alleen een tabelletje bij SIDN.
22-02-2022, 10:43 door Anoniem
Door Wim ten Brink:
Maar het is goed dat het SIDN nu waarschuwingen gaat versturen, maar die zouden eigenlijk ook naar de afzenders toe moeten gaan, zodat die hun administratie kunnen bijwerken om de betreffende emails dus uit te schrijven.
Het probleem is dat SIDN de afzenders niet weet. Ze runnen niet tijdelijk even een mailserver op dat domein die de
MAIL FROM en RCPT TO commands ziet, maar ze kijken alleen naar MX requests in DNS.
Ze zouden een dummy mailserver kunnen draaien die wel die commands leest en vervolgens een 550 reply terug stuurt
zodat de afzender weet dat dit adres niet (meer) bestaat, maar de ervaring leert dat moderne mailinglijsten en hedendaagse
mailgebruikers daar niks meer mee doen. Oude mailinglijst programma's schrapten het adres van de lijst als zo iets
gebeurde (of 3 keer gebeurde) maar tegenwoordig zijn mailinglijsten goud en een adres schrappen iets wat je niet doet.
Eerdere ervaringen met datalekken lieten ook al zien dat bijvoorbeeld artsen en allerlei medische begeleiders als ze een
mail sturen naar een "veilig thuis" bedrijf en daar een 550 error op krijgen, deze ook niet in actie komen en dit adres uit
hun adresboek verwijderen, nee ze blijven het gewoon gebruiken tot het jaren later ineens in handen van een journalist
is.
Dus dat foutcodes sturen heeft weinig zin, en kennelijk dacht er iemand bij SIDN dat alleen al het ontvangen van deze
mail commando's hen in de problemen zou gaan brengen met de moderne privacy manie.
(en het meekijken van requests naar MX records dan niet, kennelijk)
22-02-2022, 12:25 door Anoniem
Door Anoniem:
Door Wim ten Brink:
Maar het is goed dat het SIDN nu waarschuwingen gaat versturen, maar die zouden eigenlijk ook naar de afzenders toe moeten gaan, zodat die hun administratie kunnen bijwerken om de betreffende emails dus uit te schrijven.
Het probleem is dat SIDN de afzenders niet weet. Ze runnen niet tijdelijk even een mailserver op dat domein die de
MAIL FROM en RCPT TO commands ziet, maar ze kijken alleen naar MX requests in DNS.
Ze zouden een dummy mailserver kunnen draaien die wel die commands leest en vervolgens een 550 reply terug stuurt
zodat de afzender weet dat dit adres niet (meer) bestaat,
Er hoeft helemaal geen mailserver te draaien die een 550 geeft...
Als een domein niet (meer) bestaat - of de ontvangende mailserver een 550 geeft - dan is het aan de verzendende mailserver om de afzender daarvan op de hoogte te stellen met een NDR (Non Delivery Report).
maar de ervaring leert dat moderne mailinglijsten en hedendaagse
mailgebruikers daar niks meer mee doen. Oude mailinglijst programma's schrapten het adres van de lijst als zo iets
gebeurde (of 3 keer gebeurde) maar tegenwoordig zijn mailinglijsten goud en een adres schrappen iets wat je niet doet.
Dat is inderdaad een probleem. Mijn mailservers weigeren sommige (niet bestaande) aliassen al jaren.
Eerdere ervaringen met datalekken lieten ook al zien dat bijvoorbeeld artsen en allerlei medische begeleiders als ze een mail sturen naar een "veilig thuis" bedrijf en daar een 550 error op krijgen, deze ook niet in actie komen en dit adres uit
hun adresboek verwijderen, nee ze blijven het gewoon gebruiken tot het jaren later ineens in handen van een journalist
is.
Tja, (l)users... ze gooien NDRs weg omdat ze ze niet snappen - "te technisch"... Vaak dezelfde mensen die update meldingen wegklikken omdat ze "geen tijd" hebben.
22-02-2022, 13:47 door Anoniem

Maar het is goed dat het SIDN nu waarschuwingen gaat versturen, maar die zouden eigenlijk ook naar de afzenders toe moeten gaan, zodat die hun administratie kunnen bijwerken om de betreffende emails dus uit te schrijven.

Je kreeg in de oude situatie al een foutmelding van je eigen mailserver ('recipient domain not found'); dus dat is niet genoeg om de datalekken te verhelpen. In een aantal gevallen gaat het ook om no-reply automatische mail.

Maar hier heeft SIDN voor dit project ook onderzoek naar gedaan. De conclusie was dat het wel een beetje hielp maar dat de methode (daadwerkelijk mail afvangen) veel te invasief is.

Overigens kun je dit wel *zelf* doen als je op een verantwoordelijke manier een domeinnaam wilt opzeggen. Houd hem nog een jaartje of twee aan, en zet er een mailserver op die automatisch netjes antwoord met een uitleg en je nieuwe domein, en de mail doorstuurt (evt met extra waarschuwing dat deze naar je oude domein is gestuurd). Dan kun je altijd zelf nog wijzigingen doorgeven, zoals bijv password recovery adressen bij diensten. Dan hoef je je domeinnaam niet oneindig lang te houden, maar het is natuurlijk wel aan jezelf hoe lang dan wel.
22-02-2022, 14:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Wim ten Brink:
Maar het is goed dat het SIDN nu waarschuwingen gaat versturen, maar die zouden eigenlijk ook naar de afzenders toe moeten gaan, zodat die hun administratie kunnen bijwerken om de betreffende emails dus uit te schrijven.
Het probleem is dat SIDN de afzenders niet weet. Ze runnen niet tijdelijk even een mailserver op dat domein die de
MAIL FROM en RCPT TO commands ziet, maar ze kijken alleen naar MX requests in DNS.
Ze zouden een dummy mailserver kunnen draaien die wel die commands leest en vervolgens een 550 reply terug stuurt
zodat de afzender weet dat dit adres niet (meer) bestaat,
Er hoeft helemaal geen mailserver te draaien die een 550 geeft...
Als een domein niet (meer) bestaat - of de ontvangende mailserver een 550 geeft - dan is het aan de verzendende mailserver om de afzender daarvan op de hoogte te stellen met een NDR (Non Delivery Report).
Nou volgens mij is er een conflict tussen "domain is helemaal opgeheven zodat verzenders no such domain krijgen"
en "SIDN kijkt mee naar MX requests". Daarvoor moeten er minstens nog NS records zijn denk ik.
Maar misschien heeft men wel een slimmere manier bedacht, zoals aftappen bij de meest gebruikte resolvers ofzo.
22-02-2022, 16:15 door Anoniem
Door Anoniem:Daarvoor moeten er minstens nog NS records zijn denk ik.
Maar misschien heeft men wel een slimmere manier bedacht, zoals aftappen bij de meest gebruikte resolvers ofzo.

SIDN beheert de nameservers die de resolver vertellen dat de NS record niet bestaat, dus daar komt die MX query binnen, ongeacht de status van de domeinnaam.
22-02-2022, 16:23 door Anoniem
Door Anoniem:
Door Anoniem:
Er hoeft helemaal geen mailserver te draaien die een 550 geeft...
Als een domein niet (meer) bestaat - of de ontvangende mailserver een 550 geeft - dan is het aan de verzendende mailserver om de afzender daarvan op de hoogte te stellen met een NDR (Non Delivery Report).
Nou volgens mij is er een conflict tussen "domain is helemaal opgeheven zodat verzenders no such domain krijgen"
en "SIDN kijkt mee naar MX requests". Daarvoor moeten er minstens nog NS records zijn denk ik.
Maar misschien heeft men wel een slimmere manier bedacht, zoals aftappen bij de meest gebruikte resolvers ofzo.
SIDN heeft toegang tot de logs van de root-servers van het .NL. TLD...
Als bijvoorbeeld de DNS-server van jouw provider de MX van example.nl wil weten, vraagt hij het eerst bij de rootservers:
Wat is de MX van niet.bestaand.example.nl.? en krijgt als antwoord: weet ik niet, maar de NS van nl. is ns[1-3].dns.nl.
De volgende vraag is dan bij een van die drie servers en het antwoord is dan dat het domain niet bestaat (NXDOMAIN).
https://nl.wikipedia.org/wiki/Domain_Name_System#Basistechniek
SIDN kan dan in de logs zien dat de MX voor example.nl is opgevraagd.

Overigens zal dit niet altijd werken omdat steeds meer DNS-servers gebruik maken van QNAME Minimisation waarbij de root alleen wordt gevraagd om de NS records ook al wil hij eigenlijk de MX en/of A[AAA] records hebben.
https://datatracker.ietf.org/doc/html/rfc7816
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.