Heb je pas een domeinnaam opgezegd? Mogelijk ontvang je van SIDN een e-mail. In die mail lees je dat er mogelijk nog e-mail wordt verstuurd naar e-mailadressen die bij de opgezegde domeinnaam hoorden. Met het opheffen van een domeinnaam vervallen ook alle daarbij behorende e-mailadressen. Als er aanwijzingen zijn dat er nog wel mail naar die e-mailadressen wordt verstuurd, dan informeert het SIDN je daarover.
Het veiligheidsrisico van opgezegde domeinnamen
In een eerder artikel waarschuwde ik dat een opgezegde domeinnaam interessant is voor kwaadwillenden. Criminelen registreren de domeinnaam opnieuw en plaatsen daar bijvoorbeeld nep webshops op.
Er is nog een andere risico bij opgezegde domeinnamen. Ook hier wordt de domeinnaam opnieuw geregistreerd. Daarna worden de e-mailadressen weer aangemaakt en kan de crimineel e-mail die nog naar jouw oude e-mailadres wordt gestuurd lezen en beantwoorden namens jou.
Hoe werkt e-mailmisbruik bij opgezegde domeinnamen?
Quarantaineperiode
Als je een .nl domeinnaam opzegt, dan zit die domeinnaam na de vervaldatum 40 dagen in quarantaine. In die periode kunnen anderen de opgezegde domeinnaam niet registereren. Alleen de ex-houder (ex-eigenaar) van de domeinnaam kan deze weer activeren door hem uit quarantaine te halen. Heb je de domeinnaam bewust opgezegd of niet verlengd, dan laat je die periode natuurlijk gewoon verlopen. Na 40 dagen wordt de domeinnaam vrijgegeven en kan deze weer door iedereen geregistreerd worden.
In de periode dat de domeinnaam in quarantaine is, werkt deze niet meer. De aan de domeinnaam gekoppelde website en e-mailadressen zijn niet meer beschikbaar. Als iemand in die periode een e-mail stuurt naar een mailadres dat niet meer beschikbaar is, dan krijgt de afzender een ‘bounce’-bericht terug. In dat bericht staat dat het e-mailadres niet bestaat.
Misbruik start na de quarantaineperiode
Na de quarantaineperiode registreren criminelen de domeinnaam. Ze koppelen er een hostingpakket aan en maken dezelfde e-mailadressen aan als die jij had.
Als iemand nu een e-mail stuurt naar een van jouw oude e-mailadressen, wordt dit bericht ontvangen door de crimineel. De crimineel kan de e-mail ook beantwoorden namens jou.
Het doorgeven van een wijziging van je e-mailadres aan alle instanties is een tijdrovende klus. Vaak vergeet je een aantal organisaties te informeren. Als dat een organisatie is met een online account, bijvoorbeeld een verzekeringsmaatschappij, dan kan de crimineel een nieuwsbrief of ander bericht daarvan ontvangen. Vervolgens gaat deze naar het inloggedeelte van de website en vraagt een wachtwoord reset aan. Na het resetten van het wachtwoord kan de crimineel inloggen en zich voordoen als jou.
In 2019 overkwam Jeugdzorg dit en in 2020 de Politie. Hierdoor kwam privacygevoelige informatie op straat te liggen.
Misbruik van e-mail komt helaas ook regelmatig voor bij kleine bedrijven zoals eenmanszaken en bij particulieren.
Misbruik van e-mailaccounts voorkomen
Wij raden aan om niet zomaar je domeinnaam op te zeggen als je er ook e-mail op ontving. Wil je de domeinnaam niet meer behouden, neem dan de tijd. Stuur je nieuwe e-mailadres naar vrienden, familie en organisaties en houd daarna de domeinnaam nog minimaal een jaar aan. In dat jaar houd je in de gaten van wie je nog e-mail ontvangt op het domein en informeer de afzender over je gewijzigde e-mailadres. Als je meerdere maanden geen e-mail meer ontvangt op het oude adres, is het redelijk veilig om de domeinnaam op te zeggen.
SIDN probeert misbruik te voorkomen
Stip Hosting registreert .nl-domeinnamen, die beheerd worden door SIDN, voluit de Stichting Internet Domeinregistratie Nederland.
SIDN beheert alle domeinnamen die eindigen op .nl. Daarnaast maakt de organisatie zich sterk voor de veiligheid van het .nl domein.
Tijdens de quarantaineperiode van een .nl domein kan SIDN ‘zien’ als er nog mail naar het domein wordt gestuurd. Dat komt doordat de domeinnaam tijdens de quarantaineperiode nog in de DNS-servers van SIDN aanwezig is. SIDN heeft geen inzage in de e-mail en kan ook niet zien wie de afzender is. Ze weten alleen dat een bepaald IP-adres een MX-record van het domein heeft opgevraagd. De privacy van de ex-domeinhouder en afzender zijn dus gewaarborgd.
SIDN kan dus waarnemen dat er nog e-mail wordt gestuurd naar e-mailadressen die waren gekoppeld aan een opgezegde domeinnaam. Vanwege het risico van misbruik na afloop van de quarantaineperiode, bedacht SIDN dat ze door het analyseren van e-mailverkeer mensen kunnen waarschuwen.
LEMMINGS
SIDN ontwikkelde een systeem dat automatisch DNS-verkeer voor opgezegde domeinnamen analyseert. Het stuurt daarna de voormalige houder automatisch een waarschuwing als het inschat dat er nog legitieme mail wordt verstuurd naar de domeinnaam. Het systeem heet LEMMINGS, wat een creatieve afkorting is van ‘deLetEd doMain MaIl warNinG System’.
Legitieme mail
LEMMINGS stuurt dus een waarschuwing als er nog legitieme mail naar een opgeheven domeinnaam wordt verstuurd.
De definitie van ‘legitieme mail’ die SIDN voor LEMMINGS hanteert is: alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Dat wil zeggen dat SIDN onder andere spam, marketingmail, social media (Facebook, LinkedIn, Twitter e.d.) en bulk-email niet als legitiem ziet.
Filters
SIDN ontwikkelde filters om DNS-verkeer te kunnen onderscheiden in legitiem en niet-legitiem. Die filters herkennen niet-legitieme mail doordat gebruik wordt gemaakt van een database van IP-adressen. In de database staan bijvoorbeeld de IP-adressen van mailservers van social media, verdachte IP-adressen en spammers. Alle niet-legitieme mail wordt dus buiten beschouwing gelaten.
Waarschuwingsmail op dag 30
Op dag 30 van de quarantaineperiode van 40 dagen bepaalt LEMMINGS of het een waarschuwing gaat versturen. Dit doet het systeem op basis van de hoeveelheid ligitieme mail in de periode van dag 20 tot 30 van de quarantaine. De voormalige domeinnaamhouder heeft op dat moment nog 10 dagen de mogelijkheid om de domeinnaam uit quarantaine te halen of andere acties te ondernemen.
De statistieken van de eerste 20 dagen van de quarantaineperiode gebruikt LEMMINGS (nog) niet omdat het DNS-verkeerspatroon aan het begin van de quarantaineperiode vaak wat grilliger is. Dit kan bijvoorbeeld het gevolg zijn van mailservers die blijven proberen om mail af te leveren, nog niet verwerkte wijzigingen van het e-maildres bij afzenders, etc.
Pilot van 30 dagen vanaf 15 september
Vanaf 15 september doet het SIDN een pilot met LEMMINGS. De pilot duurt tot 15 oktober.
Wordt er nog veel legitieme e-mail naar jouw opgezegde domeinnaam gestuurd, dan kun je dus een e-mail ontvangen van SIDN. In deze e-mail (voorbeeld) waarschuwt SIDN dat er nog e-mail wordt gestuurd naar de e-mailadressen van jouw opgezegde domeinnaam.
SIDN geeft tevens een risico-inschatting en informeert je ook over wat je kunt doen. Je kunt bijvoorbeeld de domeinnaam te heractiveren.
Na afloop van de pilot evalueert SIDN de resultaten. Als er geen grote aanpassingen nodig zijn voor LEMMINGS, zal het op korte termijn definitief in gebruik worden genomen door SIDN.
