image

SIDN gaat waarschuwen voor mailverkeer naar opgezegde domeinnamen

maandag 28 juni 2021, 11:26 door Redactie, 17 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een systeem ontwikkeld dat gaat waarschuwen voor mailverkeer naar opgezegde domeinnamen. Dit zou datalekken moeten voorkomen. Het is de verwachting dat het systeem in juli voor alle .nl-domeinnamen wordt ingezet.

De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen.

Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag.

Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien.

Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'.

Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger.

Begin deze maand is SIDN een pilot met .nl-registrar Argeweb gestart. Het is de verwachting dat Lemmings vanaf juli voor alle opgeheven domeinnamen in de .nl-zone kan worden ingezet, tenzij uit de pilot blijkt dat het systeem grotere aanpassingen vereist. Daarna zal het systeem met nieuwe features worden uitgebreid, waaronder support van een opt-out voor de waarschuwingsmail en het voor de domeinnaamhouder beschikbaar maken van de meet- en analysedetails van een domeinnaam.

Image

Reacties (17)
28-06-2021, 11:34 door Anoniem
Mooi initiatief! Er zijn regelmatig domeinen die ten onrechte niet verlengt worden.

Nu maar hopen dat bij hert domein "verlopendomein.nl" de waarschuwingsmail niet naar "postmaster@verlopendomein.nl" gestuurd wordt :-)
28-06-2021, 11:58 door Anoniem
Top initiatief.
28-06-2021, 12:45 door Anoniem
Mooie dienst, wat uit het verhaal niet duidelijk wordt is wat SIDN doet met de risicocategorisaties.

Ook ben ik zeer benieuwd wat voor meet- en analysedetails we in de toekomst kunnen verwachten.

[ocd-mode]
Moet naam van dienst niet als volgt zijn?
deLetEd doMain MaIl warnING System
[/ocd-mode]
28-06-2021, 13:01 door Anoniem

Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien.

Dit doet toch denken dat ze niet alleen passief naar mx-query's kijken maar actief een mx optuigen voor het domein, mail accepteren en/of (alleen) in de headers kijken. Als ze mail accepteren dan voelt het toch een beetje als een smerig trucje.
28-06-2021, 13:10 door Anoniem
Het is een mooi idee maar de periodes zijn wel veel te kort.
Ik denk dat SIDN (in samenwerking met de registrars) een optie zou moeten bieden om een vervallen domeinnaam
"permanent" te blokkeren voor nieuwe registratie tenzij gedocumenteerd met bewijzen dat de nieuwe aanvrager rechten
heeft op de communicatie naar de vorige houder.
Zodat in een gevoelige situatie een domein voor herregistratie geblokkeerd kan worden tegen een eenmalige betaling,
en tevens dat deze optie geactiveerd kan worden als een domein vervalt door bijvoorbeeld wanbetaling of faillissement.
28-06-2021, 13:27 door Anoniem
Ziet de SIDN de inhoud van DNS-requests?

Ik dacht dat DNS ong. als volgt werkte:
1 Host wil iets van server.voorbeelddomein.nl
2 Host checkt bij de root-DNS-server voor .nl (server van SIDN?) wie de DNS-server is voor voorbeelddomein.nl
3 Host checkt bij het in stap 2 teruggekregen ip-adres wie is server.voorbeelddomein.com

Dan zou de root DNS niet moeten/hoeven weten dat ik naar server.voorbeelddomein.nl wil, maar alleen dat ik iets van voorbeelddomein.nl zoek.
Ook niet dat ik het MX record ziek in het geval ik een mailtje probeer te sturen naar iemand@voorbeelddomein.nl.
28-06-2021, 13:43 door Anoniem
Door Anoniem: Ziet de SIDN de inhoud van DNS-requests?

Ik dacht dat DNS ong. als volgt werkte:
1 Host wil iets van server.voorbeelddomein.nl
2 Host checkt bij de root-DNS-server voor .nl (server van SIDN?) wie de DNS-server is voor voorbeelddomein.nl
3 Host checkt bij het in stap 2 teruggekregen ip-adres wie is server.voorbeelddomein.com

Dan zou de root DNS niet moeten/hoeven weten dat ik naar server.voorbeelddomein.nl wil, maar alleen dat ik iets van voorbeelddomein.nl zoek.
Ook niet dat ik het MX record ziek in het geval ik een mailtje probeer te sturen naar iemand@voorbeelddomein.nl.

Helemaal gelijk! Daar bestaat qname minimisation voor, alleen wordt dat nog niet veel gebruikt.

https://datatracker.ietf.org/doc/html/rfc7816
28-06-2021, 14:14 door Anoniem
Door Anoniem: Het is een mooi idee maar de periodes zijn wel veel te kort.
Ik denk dat SIDN (in samenwerking met de registrars) een optie zou moeten bieden om een vervallen domeinnaam
"permanent" te blokkeren voor nieuwe registratie tenzij gedocumenteerd met bewijzen dat de nieuwe aanvrager rechten
heeft op de communicatie naar de vorige houder.
Zodat in een gevoelige situatie een domein voor herregistratie geblokkeerd kan worden tegen een eenmalige betaling,
en tevens dat deze optie geactiveerd kan worden als een domein vervalt door bijvoorbeeld wanbetaling of faillissement.
Die optie hebben ze al... als je je domein, voor minder dan 10 euro per jaar, geregistreerd houdt dan kan niemand anders het inpikken.
28-06-2021, 14:23 door Anoniem
Door Anoniem:Dit doet toch denken dat ze niet alleen passief naar mx-query's kijken maar actief een mx optuigen voor het domein, mail accepteren en/of (alleen) in de headers kijken. Als ze mail accepteren dan voelt het toch een beetje als een smerig trucje.
Je zou ook de links in het artikel kunnen volgen om een idee te krijgen hoe het werkt in plaats van zelf een complot(?) theorie te verzinnen:
https://www.sidnlabs.nl/nieuws-en-blogs/lemmings-waarschuwt-nl-houders-bij-mogelijk-mailverkeer-naar-hun-opgezegde-domeinnamen
28-06-2021, 16:22 door Anoniem
Door Anoniem:
Door Anoniem: Het is een mooi idee maar de periodes zijn wel veel te kort.
Ik denk dat SIDN (in samenwerking met de registrars) een optie zou moeten bieden om een vervallen domeinnaam
"permanent" te blokkeren voor nieuwe registratie tenzij gedocumenteerd met bewijzen dat de nieuwe aanvrager rechten
heeft op de communicatie naar de vorige houder.
Zodat in een gevoelige situatie een domein voor herregistratie geblokkeerd kan worden tegen een eenmalige betaling,
en tevens dat deze optie geactiveerd kan worden als een domein vervalt door bijvoorbeeld wanbetaling of faillissement.
Die optie hebben ze al... als je je domein, voor minder dan 10 euro per jaar, geregistreerd houdt dan kan niemand anders het inpikken.
Maar dat werkt dus niet bij een faillissement of andere vorm van bedrijfs beeindiging, overlijden, etc.
Wat je nodig hebt is een manier om eenmalig bij SIDN af te kopen dat niet iemand anders het kan inpikken.
28-06-2021, 16:30 door Anoniem
Wat ik niet goed snap is hoe ze op basis van de MX queries kunnen zien wat voor mail het is.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.
"Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien" staat er, maar dat kun je toch helemaal niet zien aan de MX queries?
Dat zou wel kunnen als je van alle opgezegde domeinen de MX records laat verwijzen naar een analyserende server die bijvoorbeeld om te beginnen de MAIL FROM en RCPT TO headers bekijkt, de mail zelf hoeven ze dan nog niet eens binnen te halen om een iets sterker vermoeden te hebben over of dit over persoonlijke mail gaat of over bulk.
Een complete analyse is uiteraard alleen mogelijk als je ook de mail zelf ontvangt en scant.
Met alleen de MX queries kun je maar heel weinig lijkt me.
28-06-2021, 18:17 door Anoniem
Door Anoniem: Wat ik niet goed snap is hoe ze op basis van de MX queries kunnen zien wat voor mail het is.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.
"Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien" staat er, maar dat kun je toch helemaal niet zien aan de MX queries?
Als er in korte tijd vanaf dezelfde DNS server aanvragen voor de MX van meerdere domeinen komen, zou je hieruit kunnen afleiden dat het om bulk mail gaat.
28-06-2021, 18:44 door Briolet
Door Anoniem: Wat ik niet goed snap is hoe ze op basis van de MX queries kunnen zien wat voor mail het is.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.

Het lijkt me zeer waarschijnlijk dat ze meer doen dan alleen naar de DNS querres te kijken. Al was het omdat ze dan veel missen door caching. Stel een bulk mailer stuurt een mail en zij gebruiken de dns van google. Google haalt vervolgens het record op bij de root (SIDN). SIDN weet volgens mij alleen dat google om dat record gevraagd heeft. En dan komt er een volgend mailtje van een google dns gebruiker die het MX record uit de cache haalt.

Ze zullen dus een fake mail account aanmaken die de connectie accepteert. Dan hebben ze het IP van de verzendende partij. En misschien komt de hele mail wel binnen maar wordt die al weer uit de buffer gewist voordat hij naar een gebruiker afgeleverd wordt.
28-06-2021, 20:05 door Anoniem
Door Briolet:
Door Anoniem: Wat ik niet goed snap is hoe ze op basis van de MX queries kunnen zien wat voor mail het is.
Immers ze claimen dat ze alleen reageren op persoonlijke mail en niet op bulkmail.

Het lijkt me zeer waarschijnlijk dat ze meer doen dan alleen naar de DNS querres te kijken. Al was het omdat ze dan veel missen door caching. Stel een bulk mailer stuurt een mail en zij gebruiken de dns van google. Google haalt vervolgens het record op bij de root (SIDN). SIDN weet volgens mij alleen dat google om dat record gevraagd heeft. En dan komt er een volgend mailtje van een google dns gebruiker die het MX record uit de cache haalt.

Ze zullen dus een fake mail account aanmaken die de connectie accepteert. Dan hebben ze het IP van de verzendende partij. En misschien komt de hele mail wel binnen maar wordt die al weer uit de buffer gewist voordat hij naar een gebruiker afgeleverd wordt.
Prachtige theorie... alleen niet hoe het werkt.
https://www.sidn.nl/nl-domeinnaam/mailverkeer-naar-opgezegde-domeinnaam
28-06-2021, 22:02 door Anoniem
Dus je verhuist en iemand moet maar in de gaten houden of er niet nog post op je oude adres binnen komt.
Tsja...
28-06-2021, 22:49 door Anoniem
Mhm, top ontwikkeling!
Zou SIDN dit ook met de andere NL registrars kunnen afstemmen aan t begin van de keten?
Ik denk aan al die spoofing sites, namen die veel lijken op n bestaande site.
Na 24 ' ineens' weg nadat t geld is gecashed.
Enorme econ schade, ellende voor burger, bedrijf en overheid.
O.a. in de havens maar ieder kent wel voorbeelden per sector.
Zo moeilijk kan t toch niet zijn? Even mouwen opstropen en regelen.

Dan ook eindelijk 's gov.nl sites, nu we toch bezig zijn. Betrouwbare overheid, maar ieder kan zo n kopie site opzetten..
Dat lukt met n formeel aanvraagproces niet zomaar meer.

En wie weet kunnrn we ook s providers gaan blockrn die nog steeds dat oude protocol uit 1997 (IPv6) nog niet ondersteunen..
Manman, wat kan t Internet weer mooi worden:) :)
28-06-2021, 23:01 door Anoniem
Een bijkomend effect hiervan is dat heel veel hosting providers nu ongevraagd spam gaan krijgen van het SIDN.
Je weet wel al die providers die gauw even domeintje registreren namens een klant en vervolgens op hun eigen naam gooien in plaats van de klant hun mail adres. Gaan die misschien eindelijk ook eens hun administratie bijwerken.

Waar ik echter minder fan van ben is volgende:
Gedurende de monitoringperiode die volgt op de opzegging van een domeinnaam, bewaren we data die nodig is voor het kunnen bewaken van een domeinnaam. De data worden in een separate database bewaard, dus niet in de database van het .nl registratiesysteem.

Na afloop van deze periode anonimiseren we de privacygevoelige gegevens in deze separate database(zoals je mailadres en naam) en bewaren we overige gegevens nog maximaal 3 jaar. Zo kunnen we ze gebruiken voor het verbeteren van onze diensten en voor wetenschappelijk onderzoek"

Daar zou ik wel per direct bezwaar tegen maken als klant zijnde. Er is nooit toestemming gegeven voor enige deling voor onderzoek doeleinden door de eindgebruiker en drie jaar is buiten proporties voor iets dat maximaal 40 dagen kan duren.

Had betere verwoording en vastlegging van het SIDN verwacht en ben zeer benieuwd of er uberhaubt een opt-out mail straks word meegestuurd bij enige opzegging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.