Heb je pas een domeinnaam opgezegd? Mogelijk ontvang je van SIDN een e-mail. In die mail lees je dat er mogelijk nog e-mail wordt verstuurd naar e-mailadressen die bij de opgezegde domeinnaam hoorden. Met het opheffen van een domeinnaam vervallen ook alle daarbij behorende e-mailadressen. Als er aanwijzingen zijn dat er nog wel mail naar die e-mailadressen wordt verstuurd, dan informeert het SIDN je daarover.
Het veiligheidsrisico van opgezegde domeinnamen
In een eerder artikel waarschuwde ik dat een opgezegde domeinnaam interessant is voor kwaadwillenden. Criminelen registreren de domeinnaam opnieuw en plaatsen daar bijvoorbeeld nep webshops op.
Er is nog een andere risico bij opgezegde domeinnamen. Ook hier wordt de domeinnaam opnieuw geregistreerd. Daarna worden de e-mailadressen weer aangemaakt en kan de crimineel e-mail die nog naar jouw oude e-mailadres wordt gestuurd lezen en beantwoorden namens jou.
Hoe werkt e-mailmisbruik bij opgezegde domeinnamen?
Quarantaineperiode
Als je een .nl domeinnaam opzegt, dan zit die domeinnaam na de vervaldatum 40 dagen in quarantaine. In die periode kunnen anderen de opgezegde domeinnaam niet registereren. Alleen de ex-houder (ex-eigenaar) van de domeinnaam kan deze weer activeren door hem uit quarantaine te halen. Heb je de domeinnaam bewust opgezegd of niet verlengd, dan laat je die periode natuurlijk gewoon verlopen. Na 40 dagen wordt de domeinnaam vrijgegeven en kan deze weer door iedereen geregistreerd worden.
In de periode dat de domeinnaam in quarantaine is, werkt deze niet meer. De aan de domeinnaam gekoppelde website en e-mailadressen zijn niet meer beschikbaar. Als iemand in die periode een e-mail stuurt naar een mailadres dat niet meer beschikbaar is, dan krijgt de afzender een ‘bounce’-bericht terug. In dat bericht staat dat het e-mailadres niet bestaat.
Misbruik start na de quarantaineperiode
Na de quarantaineperiode registreren criminelen de domeinnaam. Ze koppelen er een hostingpakket aan en maken dezelfde e-mailadressen aan als die jij had.
Als iemand nu een e-mail stuurt naar een van jouw oude e-mailadressen, wordt dit bericht ontvangen door de crimineel. De crimineel kan de e-mail ook beantwoorden namens jou.
Het doorgeven van een wijziging van je e-mailadres aan alle instanties is een tijdrovende klus. Vaak vergeet je een aantal organisaties te informeren. Als dat een organisatie is met een online account, bijvoorbeeld een verzekeringsmaatschappij, dan kan de crimineel een nieuwsbrief of ander bericht daarvan ontvangen. Vervolgens gaat deze naar het inloggedeelte van de website en vraagt een wachtwoord reset aan. Na het resetten van het wachtwoord kan de crimineel inloggen en zich voordoen als jou.
In 2019 overkwam Jeugdzorg dit en in 2020 en 2024 de Politie. Hierdoor kwam privacygevoelige informatie op straat te liggen.
Misbruik van e-mail komt helaas ook regelmatig voor bij kleine bedrijven zoals eenmanszaken en bij particulieren.
Misbruik van e-mailaccounts voorkomen
Wij raden aan om niet zomaar je domeinnaam op te zeggen als je er ook e-mail op ontving. Wil je de domeinnaam niet meer behouden, neem dan de tijd. Stuur je nieuwe e-mailadres naar vrienden, familie en organisaties en houd daarna de domeinnaam nog minimaal een jaar aan. In dat jaar houd je in de gaten van wie je nog e-mail ontvangt op het domein en informeer de afzender over je gewijzigde e-mailadres. Als je meerdere maanden geen e-mail meer ontvangt op het oude adres, is het redelijk veilig om de domeinnaam op te zeggen.
SIDN probeert misbruik te voorkomen
Stip Hosting registreert .nl-domeinnamen, die beheerd worden door SIDN, voluit de Stichting Internet Domeinregistratie Nederland.
SIDN beheert alle domeinnamen die eindigen op .nl. Daarnaast maakt de organisatie zich sterk voor de veiligheid van het .nl domein.
Tijdens de quarantaineperiode van een .nl domein kan SIDN ‘zien’ als er nog mail naar het domein wordt gestuurd. Dat komt doordat de domeinnaam tijdens de quarantaineperiode nog in de DNS-servers van SIDN aanwezig is. SIDN heeft geen inzage in de e-mail en kan ook niet zien wie de afzender is. Ze weten alleen dat een bepaald IP-adres een MX-record van het domein heeft opgevraagd. De privacy van de ex-domeinhouder en afzender zijn dus gewaarborgd.
SIDN kan dus waarnemen dat er nog e-mail wordt gestuurd naar e-mailadressen die waren gekoppeld aan een opgezegde domeinnaam. Vanwege het risico van misbruik na afloop van de quarantaineperiode, bedacht SIDN dat ze door het analyseren van e-mailverkeer mensen kunnen waarschuwen.
LEMMINGS
SIDN ontwikkelde een systeem dat automatisch DNS-verkeer voor opgezegde domeinnamen analyseert. Het stuurt daarna de voormalige houder automatisch een waarschuwing als het inschat dat er nog legitieme mail wordt verstuurd naar de domeinnaam. Het systeem heet LEMMINGS, wat een creatieve afkorting is van ‘deLetEd doMain MaIl warNinG System’.
Legitieme mail
LEMMINGS stuurt dus een waarschuwing als er nog legitieme mail naar een opgeheven domeinnaam wordt verstuurd.
De definitie van ‘legitieme mail’ die SIDN voor LEMMINGS hanteert is: alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Dat wil zeggen dat SIDN onder andere spam, marketingmail, social media (Facebook, LinkedIn, Twitter e.d.) en bulk-email niet als legitiem ziet.
Filters
SIDN ontwikkelde filters om DNS-verkeer te kunnen onderscheiden in legitiem en niet-legitiem. Die filters herkennen niet-legitieme mail doordat gebruik wordt gemaakt van een database van IP-adressen. In de database staan bijvoorbeeld de IP-adressen van mailservers van social media, verdachte IP-adressen en spammers. Alle niet-legitieme mail wordt dus buiten beschouwing gelaten.
Waarschuwingsmail op dag 30
Op dag 30 van de quarantaineperiode van 40 dagen bepaalt LEMMINGS of het een waarschuwing gaat versturen. Dit doet het systeem op basis van de hoeveelheid ligitieme mail in de periode van dag 20 tot 30 van de quarantaine. De voormalige domeinnaamhouder heeft op dat moment nog 10 dagen de mogelijkheid om de domeinnaam uit quarantaine te halen of andere acties te ondernemen.
De statistieken van de eerste 20 dagen van de quarantaineperiode gebruikt LEMMINGS (nog) niet omdat het DNS-verkeerspatroon aan het begin van de quarantaineperiode vaak wat grilliger is. Dit kan bijvoorbeeld het gevolg zijn van mailservers die blijven proberen om mail af te leveren, nog niet verwerkte wijzigingen van het e-maildres bij afzenders, etc.
Wordt er daarna nog veel legitieme e-mail naar jouw opgezegde domeinnaam gestuurd, dan kun je dus een e-mail ontvangen van SIDN. In deze e-mail (voorbeeld) waarschuwt SIDN dat er nog e-mail wordt gestuurd naar de e-mailadressen van jouw opgezegde domeinnaam.
SIDN geeft tevens een risico-inschatting en informeert je ook over wat je kunt doen. Je kunt bijvoorbeeld de domeinnaam heractiveren.
Domein heractiveren
Als een domeinnaam de vervaldatum is gepasseerd, is het afhankelijk van de extensie wat er met de domeinnaam gebeurt. Bij sommige extensies kun je een domeinnaam alsnog zonder extra kosten verlengen als je dat binnen een bepaalde tijd doet. Bij andere extensies komt een domeinnaam terecht in een quarantaineperiode. Wanneer een domein in quarantaine is, betekent dit dat het tijdelijk niet beschikbaar is voor registratie door anderen. De quarantaineperiode geeft de oorspronkelijke eigenaar de kans om de domeinnaam opnieuw te registreren voordat deze beschikbaar wordt voor het grote publiek. De duur van de quarantaineperiode kan variƫren, maar is vaak rond de 40 dagen. Het terughalen van een domeinnaam uit quarantaine is niet gratis.
Is je domeinnaam verlopen en wil je deze toch behouden? Neem dan contact met ons op.
Dit artikel is oorspronkelijk gepubliceerd op 14 september 2021 en voor het laatst geactualiseerd op 3 augustus 2024.
