SIDN waarschuwt voor mail naar jouw opgezegde domeinnaam

Heb je onlangs een domeinnaam opgezegd?

Dan ontvang je mogelijk een e-mail van SIDN. In die mail staat dat er nog steeds e-mail wordt verstuurd naar adressen die bij de opgezegde domeinnaam hoorden. Met het opheffen van een domeinnaam vervallen ook alle bijbehorende e-mailadressen. Als SIDN signalen ontvangt dat er nog e-mail naar die adressen wordt gestuurd, dan word je daarover geïnformeerd.

 

Het veiligheidsrisico van opgezegde domeinnamen

In een eerder artikel waarschuwde ik dat een opgezegde domeinnaam interessant is voor kwaadwillenden. Criminelen registreren de domeinnaam opnieuw en plaatsen daar bijvoorbeeld nep webshops op.

Maar er is nog een risico: ook de bijbehorende e-mailadressen kunnen opnieuw worden aangemaakt. Een crimineel kan dan e-mail ontvangen die nog steeds naar jouw oude adres wordt gestuurd. De crimineel kan de e-mail zelfs antwoorden namens jou. Dat maakt het risico extra groot.

 

Hoe werkt e-mailmisbruik bij opgezegde domeinnamen?

Quarantaineperiode

Als je een .nl-domeinnaam opzegt, komt deze na de vervaldatum 40 dagen in quarantaine. In die periode kan niemand anders de domeinnaam registreren. Alleen de ex-houder (de voormalige eigenaar) kan de domeinnaam nog herstellen door hem uit quarantaine te halen. Heb je de domeinnaam bewust opgezegd of niet verlengd, dan laat je deze periode meestal gewoon verlopen. Na 40 dagen wordt de domeinnaam vrijgegeven en kan hij opnieuw door iedereen worden geregistreerd.

Tijdens de quarantaine-periode werkt de domeinnaam niet meer. De bijbehorende website en e-mailadressen zijn dan niet meer bereikbaar. Als iemand in die periode een e-mail stuurt naar een adres dat niet meer bestaat, ontvangt de afzender een zogeheten ‘bounce’-bericht: een melding dat het e-mailadres niet meer bestaat.

 

Misbruik start na de quarantaineperiode

Na de quarantaineperiode registreren criminelen de domeinnaam. Ze koppelen er een hostingpakket aan en maken dezelfde e-mailadressen aan als die jij eerder gebruikte.
Als iemand nu een e-mail stuurt naar een van jouw oude adressen, komt dit terecht bij de crimineel. Die kan het bericht zelfs beantwoorden namens jou.

Het doorgeven van een nieuw e-mailadres aan alle instanties is een tijdrovende klus. Vaak vergeet je een aantal organisaties te informeren. Als dat een organisatie is met een online account, bijvoorbeeld een verzekeringsmaatschappij, dan kan de crimineel een nieuwsbrief of ander bericht ontvangen. Vervolgens gaat hij naar het inloggedeelte van de website en vraagt een wachtwoordreset aan. Na het resetten kan hij inloggen en zich voordoen als jou.

 

Misbruik van e-mailaccounts voorkomen

Zeg een domeinnaam niet zomaar op als je er ook e-mail op ontving. Wil je de domeinnaam niet langer behouden, neem dan de tijd voor een zorgvuldige overgang.

Informeer eerst alle relevante contacten zoals vrienden, familie, organisaties en bedrijven, over je nieuwe e-mailadres. Houd de domeinnaam daarna nog minimaal een jaar aan. In die periode kun je controleren van wie je nog e-mail ontvangt op het oude adres en hen alsnog informeren over je wijziging.
Ontvang je gedurende meerdere maanden geen e-mail meer op het oude domein? Dan is het doorgaans veilig om de domeinnaam op te zeggen.

 

SIDN probeert misbruik te voorkomen

SIDN beheert alle domeinnamen die eindigen op .nl en zet zich actief in voor de veiligheid van het .nl-domein.

Tijdens de quarantaineperiode van een .nl-domeinnaam kan SIDN waarnemen of er nog e-mail naar het domein wordt gestuurd. Dat komt doordat de domeinnaam in die periode nog aanwezig is in de DNS-servers van SIDN. SIDN heeft géén inzage in de inhoud van de e-mail en ziet ook niet wie de afzender is. Ze kunnen alleen vaststellen dat een bepaald IP-adres het MX-record van het domein heeft opgevraagd. De privacy van zowel de ex-domeinhouder als de afzender blijft dus gewaarborgd.

Omdat SIDN kan detecteren dat er nog e-mailverkeer plaatsvindt naar e-mailadressen van een opgezegde domeinnaam, heeft de organisatie besloten om ex-houders hierover te waarschuwen. Zo hopen ze misbruik na afloop van de quarantaineperiode te voorkomen.

 

LEMMINGS

SIDN ontwikkelde een systeem dat automatisch DNS-verkeer analyseert voor opgezegde .nl-domeinnamen. Als het systeem inschat dat er nog legitieme e-mail naar de domeinnaam wordt verstuurd, ontvangt de voormalige houder automatisch een waarschuwing.

Het systeem heet LEMMINGS, een creatieve afkorting van deLetEd doMain MaIl warNinG System.

 

Legitieme mail

LEMMINGS stuurt alleen een waarschuwing als er nog legitieme e-mail naar een opgeheven domeinnaam wordt verstuurd.

SIDN definieert legitieme mail als: e-mail die door een persoon of organisatie bewust en gericht is verstuurd naar een ontvanger, en die géén onderdeel is van een grotere campagne. Spam, marketingmails, social media-notificaties (zoals van Facebook, LinkedIn, Twitter) en bulkmail vallen dus niet onder legitieme e-mail.

 

Filters

Om DNS-verkeer te kunnen onderscheiden, ontwikkelde SIDN speciale filters. Deze herkennen niet-legitieme e-mail op basis van een database met IP-adressen. In die database staan onder andere:

• mailservers van social media
• bekende spamnetwerken
• verdachte IP-adressen

Alle e-mail afkomstig van deze bronnen wordt buiten beschouwing gelaten. Zo voorkomt SIDN dat ex-houders onnodige waarschuwingen ontvangen.

 

Waarschuwingsmail op dag 30

Op dag 30 van de quarantaineperiode (die in totaal 40 dagen duurt) bepaalt LEMMINGS of er een waarschuwing wordt verstuurd. Dit gebeurt op basis van de hoeveelheid legitieme e-mail die is gedetecteerd tussen dag 20 en 30 van de quarantaine. De voormalige domeinnaamhouder heeft dan nog 10 dagen om actie te ondernemen, bijvoorbeeld door de domeinnaam uit quarantaine te halen.

De statistieken van de eerste 20 dagen worden (nog) niet meegenomen. In die periode is het DNS-verkeer vaak grillig, bijvoorbeeld door mailservers die blijven proberen e-mail af te leveren, of door afzenders die hun e-mailadres nog niet hebben aangepast.

Als er tussen dag 20 en 30 nog veel legitieme e-mail naar jouw opgezegde domeinnaam wordt gestuurd, kun je een waarschuwing van SIDN ontvangen. In deze e-mail (zie voorbeeld) meldt SIDN dat er nog e-mailverkeer plaatsvindt naar adressen op jouw oude domein.

SIDN geeft daarbij ook een risico-inschatting en informeert je over mogelijke vervolgstappen. Je kunt bijvoorbeeld besluiten om de domeinnaam opnieuw te activeren.

 

Conclusie

Het opzeggen van een domeinnaam lijkt misschien een administratieve handeling, maar kan onverwachte veiligheidsrisico’s met zich meebrengen. Criminelen kunnen een vrijgekomen domeinnaam opnieuw registreren en misbruik maken van achtergebleven e-mailverkeer. SIDN probeert dit risico te beperken met het waarschuwingssysteem LEMMINGS, maar als domeinhouder kun je zelf ook veel doen om misbruik te voorkomen.

Zeg je domeinnaam niet te snel op, zeker niet als je er e-mail op ontving. Informeer eerst al je contacten over je nieuwe e-mailadres en houd de domeinnaam nog enige tijd aan. Zo voorkom je dat gevoelige informatie in verkeerde handen valt.