SIDN: bijna zestig procent .nl-domeinen maakt gebruik van DNSSEC
Bijna zestig procent van de .nl-domeinnamen maakt gebruik van DNSSEC, de groei lijkt echter af te vlakken, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. DNSSEC is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Het doet dit door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren. Het is aan de eigenaar van een domein om voor zijn domein DNSSEC in te stellen.
Inmiddels is bijna zestig procent van alle .nl-domeinen met DNSSEC beveiligd, zo stelt SIDN. Nederland is daarmee wereldwijd nog steeds één van de koplopers. De groei lijkt echter af te vlakken. De afgelopen vier jaar groeide het gebruik van DNSSEC met 1 à 2 procentpunt per jaar. SIDN stimuleert de adoptie van DNSSEC middels een financiële incentive-regeling. Door registrars een korting te geven op domeinen die DNSSEC toepassen, probeert de stichting omslagpunten in investeringen in DNSSEC dichterbij te brengen.
Naast het signeren van DNS-responses moeten DNS-resolvers de digitale handtekeningen van ondertekende domeinnamen controleren op geldigheid, en ongeldige DNS-verwijzingen blokkeren. "Wat betreft de validatie liepen we in Nederland lange tijd achter op de rest van de wereld. Specifiek voor de Nederlandse internetgebruikers was het probleem dat de twee grootste Nederlandse accessproviders, KPN en Ziggo, beide geen validatie op hun DNS-servers ondersteunden", aldus SIDN. In 2020 heeft KPN validatie aangezet voor zijn KPN/Telfort-klanten. VodafoneZiggo ondersteunt echter nog steeds geen validatie.
SIDN stelt dat het originele DNS-systeem op dit moment niet onveilig is, maar wel degelijk kwetsbaar voor aanvallen. "DNS is een van de oudste internetprotocollen die we nog steeds gebruiken. De beveiliging ervan is desondanks pas relatief laat ontwikkeld." De afgelopen jaren zijn verschillende nieuwe aanvalsmethoden gepubliceerd. DNSSEC biedt hier bescherming tegen. "Maar dan moeten we deze beveiligingstechnologie wel met z’n allen gaan gebruiken", merkt SIDN op.
Dus je wilt standaard SPF en DMARC records terwijl je zegt dat 90% van de aangekochte domeinen geen e-mail verwerkt?
Zes jaar geleden werd de feature al gevraagd:
https://feedback.azure.com/d365community/idea/d403899e-8526-ec11-b6e6-000d3a4f0789
Helaas geeft Microsoft niet echt thuis op dit front, ook zonder uitleg waarom.
Onderwerp : DNSSEC
Ridder te stokpaard : doe SPF DMARC .
Je weet dat die dingen maar een heel erg zijdelingse relatie hebben ("allebei onderwerp DNS") .
Ik snap trouwens de combinatie niet van dingen die je zegt : je doet blijkbaar iets bij een hoster of domeinen boer . En je ziet 90% van de domeinen nooit e-email verwerken .
Is dat "ze doen nooit de email op het hostingplatform" ? En dan wil je als hoster er standaard SPF opzetten ?
Hoe KAN je dat nou doen, als je blijkbaar 90% klanten hebt die niet je platform voor mail gebruiken , maar dat elders (O365, gmail ?) doen - je weet dan niet wat er in die records moet . Of wou je gewoon standaard je eigen platform erin rammen en de klant lekker laten uitvinden hoe half en bagger het werkt als die dan met mismatchende SPF/DMARC records als ze hun mail via O365 laten lopen ? Lekkere valkuil voor je klanten .
Als je bedoelt : ze doen gewoon *helemaal niks* met e-mail naar of vanaf dat domein is een zinloos SPF /DMARC record minder schadelijk. Maar nog steeds een stevige valkuil als zo'n domein later wel mail gaat doen .
Dus je wilt standaard SPF en DMARC records terwijl je zegt dat 90% van de aangekochte domeinen geen e-mail verwerkt?
Juist, zonder die recrods is spoofing gewoon mogelijk en is het wel raadzaam om dit te voorkomen met de volgende instellingen:
SPF:
v=spf1 -all
DMARC:
v=DMARC1; p=reject; sp=reject;
Hiermee blokeer je al het mail verkeer afkomstig van je domeinen die geen e-mail versturen.
Zijn er providers die dit wel bieden?
Zijn er providers die dit wel bieden?
Uiteraard
https://sqr.nl
Dat klink onlogisch, maar is het wel.
Stel je heet "nutsbank" en hebt een website nutsbank.nl, maar je mail stuur je met nutsbank.com omdat je dit adres wereldwijd gebruikt. Dan kunnen criminelen de naam "nutsbank.nl" spoofen voor hun phshing.
Dus ook de domeinen die niet voor mail gebruikt worden, moet je toch tegen misbruik beschermen omdat je ze elders wel gebruikt en dus door ontvangers vertrouwd worden.
Zijn er providers die dit wel bieden?
wellicht nog providers die het optioneel aanbieden ook.
SPF:
v=spf1 -all
DMARC:
v=DMARC1; p=reject; sp=reject;
Hiermee blokeer je al het mail verkeer afkomstig van je domeinen die geen e-mail versturen.
MX 0 .
(NUL punt)
Hiermee blokkeer je mail naar je domein.
https://www.rfc-editor.org/rfc/rfc7505
Zijn er providers die dit wel bieden?
wellicht nog providers die het optioneel aanbieden ook.
Dat is een statistische misvatting . Het is *zeker* niet gezegd dat 60% _van de providers_ DNSSEC aanbiedt .
Wel/alleen dat 60% van de domeinen het heeft .
Als er één provider is die 60% van alle NL domeinen host, en die provider doet standaard DNSSEC heb je (ook) deze getallen .
Zijn er providers die dit wel bieden?
Onderwerp : DNSSEC
Ridder te stokpaard : doe SPF DMARC .
Je weet dat die dingen maar een heel erg zijdelingse relatie hebben ("allebei onderwerp DNS") .
Ik snap trouwens de combinatie niet van dingen die je zegt : je doet blijkbaar iets bij een hoster of domeinen boer . En je ziet 90% van de domeinen nooit e-email verwerken .
Is dat "ze doen nooit de email op het hostingplatform" ? En dan wil je als hoster er standaard SPF opzetten ?
Hoe KAN je dat nou doen, als je blijkbaar 90% klanten hebt die niet je platform voor mail gebruiken , maar dat elders (O365, gmail ?) doen - je weet dan niet wat er in die records moet . Of wou je gewoon standaard je eigen platform erin rammen en de klant lekker laten uitvinden hoe half en bagger het werkt als die dan met mismatchende SPF/DMARC records als ze hun mail via O365 laten lopen ? Lekkere valkuil voor je klanten .
Als je bedoelt : ze doen gewoon *helemaal niks* met e-mail naar of vanaf dat domein is een zinloos SPF /DMARC record minder schadelijk. Maar nog steeds een stevige valkuil als zo'n domein later wel mail gaat doen .
Default spf van "v=spf1 -all" doet geen wonderen maar voorkomt wel voor een deel misbruik van een domain...
Verder zou 't helpen als de verschillend domain verkopers een dnssec key voor je willen opslaan... Daar schort het nog wel eens aan.
Zijn er providers die dit wel bieden?
Met Freedom Internet heb je al die dingen standaard, inclusief DMARC en alles wat je op internet [punt] nl (externe check tool) kunt laten valideren. Niet verwonderlijk, die mensen hebben als oud-XS4ALL-ers hart voor techniek en mensen.
Er zijn slechts twee nadelen:
- vanwege hun sterke groei blijft de (persoonlijke) dienstverlening nog een beetje achter
- je betaalt iets meer door aparte (variabele) tarieven voor de internetkabel van een andere provider
Maar dat zijn zaken die zich in de toekomst vanzelf (althans voor de klant) zullen oplossen.
Bijvoorbeeld MX hosterdomein1 verwijst uiteindelijk naar IP nummers en op de MX servers staan alleen een certificaat voor hosterdomein2. Een third party mail server ziet een certificaat voor een onbekend domein en weigert de mail te bezorgen (want mitm risico). Het domein van de klant is een particulier domein (domein3).
Wat ze zouden kunnen doen is de MX records voor alle klanten vervangen naar die van hosterdomein2.
onderwerp: mijlpaal DNSSEC
reactie: blah SPF DMARC
response: dat is dus iets anders.
response op response: ja maar ik heb echt een enorm argument over dat andere onderwerp.
Laten we gewoon even wachten met het dak gaan bouwen als er geen fundament staat.
Maar inderdaad, wil je domein hebben dat als een huis staat, zul je beide moeten hebben, en beken zelf: de combinatie is sterker dan deze twee los.
Zullen we het anders over typo domeinen gaan hebben?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
