Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Waar DKIM en DMARC kunnen helpen in geval van phishing

Valse e-mailtjes op die afkomstig lijken van jouw bedrijf?

Phishing gaat vaak via een officieel lijkende mail. Men probeert zo om waardevolle  login-gegevens te stelen.

Bedrieglijk echt?

Als oplichters hengelen naar je gegevens Hands-on: de implementatie van SPF, DKIM en DMARC voor Postfix Hands-on: de implementatie van SPF, DKIM en DMARC in Exim
voorbeeld sidn phishingmail

Eerder circuleerde bovenstaande mail. Een deel van de valse mails had als afzender een op het oog echt SIDN e-mail adres (bijvoorbeeld; klanten.mail@sidn.nl). En hoewel de oplettende lezer zich natuurlijk niet op het verkeerde been laat zetten, met zo’n verdachte tekst, maakt die ‘echte’ afzender de verwarring wel wat groter. De gebruiker die de in de e-mail genoemde URL aanklikte, kwam op een soort namaak login-pagina, die ook weer sterk overeen kwam met de loginpagina op onze website, waar werd gevraagd om vertrouwelijke gegevens. Het bekende verhaal dus, al is het natuurlijk wel anders als het de eigen organisatie betreft. Sporen die door de phisher her en der waren achter gelaten, wezen erop dat het niet zijn eerste keer was en dat hij er vermoedelijk een routine in heeft om op deze manier van allerlei bedrijven en personen gegevens te stelen. Het spreekt voor zich dat door ons CSIRT een grondig onderzoek werd ingesteld. Tevens werd aangifte gedaan.

SMTP – een oud en onveilig protocol

Het e-mailprotocol (SMTP, RFC5321) is een van de oudere internetprotocollen en van origine niet goed beveiligd. Eén van de tekortkomingen van SMTP, is dat het echt kinderlijk eenvoudig is om een afzenderadres te vervalsen. Een leek kan dat nauwelijks van echt onderscheiden. Het laat zich raden dat spammers en phishers graag misbruik van maken van deze truc. Zo ook in dit geval. Met een echt ‘@sidn.nl’-adres als afzender, leken de valse e-mails nog betrouwbaarder.

Wat te doen?

Klassieke spamfiltering alleen, is niet afdoende om alle narigheid bijtijds te ontdekken en als verdacht te markeren.Maar in de loop der tijd zijn weldegelijk enkele oplossingen bedacht die goed kunnen helpen bij het terugdringen van het bovenstaande probleem, te weten: de (proposed) internetstandaarden DKIM (RFC6376), SPF (RFC7208) en DMARC (RFC7489).ISP’s zouden deze maatregelen eigenlijk ook allemaal moeten implementeren in hun mailomgevingen (waar mogelijk, want niet in alle gevallen is dit triviaal). Gelukkig doen veel (met name grote) partijen dat ook. Hoe werken ze en waarom is het belangrijk om deze standaarden toe te passen? Hieronder een beknopte uitleg:

SPF, DKIM, DMARC

Alle drie de technieken leunen op het Domain Name System (kortweg DNS). In het geval van SPF wordt er een DNS-record opgenomen dat (onder meer) aangeeft welke systemen mail voor het betreffende domein mogen versturen. Een simpel voorbeeld: Stel dat het SPF-record (feitelijk gewoon een TXT-record) van example.nl er zo uitziet: example.nl.  IN TXT "v=spf1 ip4:203.0.113.0/24 ip6:2001:db8::/32 ~all" Dan betekent dit, dat mail die als afzender een @example.nl adres heeft, alleen verzonden mag zijn vanaf de genoemde IP-adresreeksen. En als dat niet het geval is, dan zal de betreffende e-mail als verdacht moeten worden aangemerkt (door de ontvangende partij). Met andere woorden; de ontvanger krijgt een instrument in handen waarmee beter kan worden ingeschat of sprake is van een valide e-mail. Helemaal triviaal is het niet; wie SPF wil aanzetten op zijn uitgaande e-mail, of erop wil controleren bij ontvangst, zal er even goed voor moeten gaan zitten. Maar eenmaal goed ingeregeld (zie ook RFC7001), zal SPF bijdragen aan het kunnen herkennen van malafide e-mails. Bij DKIM maakt de verzendende server (MTA) met behulp van een ‘private key’ een cryptografische handtekening en voegt die toe aan de mail in de vorm van een zogenaamde DKIM-header. Een soort echtheidskenmerk dus. De ontvangende partij ziet deze handtekening, zoekt in het DNS de bijbehorende publieke sleutel op en valideert de handtekening (en dus de mail) daarmee. Als de digitale handtekening correct is, dan staat daarmee het afzenderdomein vast en is zeker dat de e-mail onderweg niet is aangepast. Een kwaadwillende beschikt immers niet over de private key en is niet in staat om DKIM-beschermde mails te maken. Dergelijke valse mails zullen een slechtere reputatie krijgen in de e-mailreputatiesystemen die steeds meer partijen gebruiken.In de praktijk is meer mogelijk. Zo kan in het DKIM-record worden opgenomen of sprake is van een ‘testmodus’. Deze kan bijvoorbeeld worden aangezet wanneer men DKIM nog aan het inregelen is. Hiermee wordt voorkomen dat mails ongewild worden geweigerd wanneer zaken nog niet helemaal goed zijn geconfigureerd. Verder kan, net als bij SPF overigens, het ‘forwarden’ van e-mail roet in het eten gooien, omdat een ‘forward’ de mail kan wijzigen (er worden extra headers toegevoegd) wat de oorspronkelijke DKIM-handtekening ongeldig maakt. Dus ook voor DKIM geldt: ga er even goed voor zitten als je het wilt implementeren in je mail-omgeving.Alle grote partijen, zoals Yahoo!, Gmail en Live gebruiken overigens al jaren DKIM. Bovendien is deze standaard opgenomen op de pas-toe-of-leg-uit-lijst van de overheid. Het is dus een bewezen techniek, die ook steeds relevanter wordt wanneer je zeker wilt zijn van een soepele bezorging van e-mails.Met een DMARC-record tenslotte, kan in het DNS een soort beleid kenbaar worden gemaakt. Bijvoorbeeld (in versimpelde vorm): “als de DKIM-handtekening niet klopt, of als SPF faalt, stop deze mail dan in de spamfolder”. Zo’n record zou er dan zo uit kunnen zien in DNS: _dmarc.example.nl. IN TXT “v=DMARC1; p=quarantine”  De ontvangende MTA vraagt dit record op, om te bepalen wat er moet gebeuren met een verdachte e-mail. Het spreekt voor zich dat DKIM, DMARC en SPF-records in DNS het beste tot hun recht komen, als ze beschermd zijn tegen manipulatie met behulp van DNSSEC.

Samenvattend

Uiteraard maakt SIDN gebruik van zowel SPF, DKIM als DMARC. Vervalste e-mails, die uit naam van SIDN worden verzonden (en waar het afzenderadres ook daadwerkelijk …@sidn.nl is), kunnen zodoende vrij simpel door ontvangende partijen als verdacht worden aangemerkt (als zij e.e.a. ondersteunen). Via het DMARC-mechanisme vragen wij ook om zogenaamde feedback-reports, wat een handige feature is. Wanneer er iets niet in de haak is, zullen ontvangende partijen (in de regel) dergelijke rapporten sturen. Dit was dan ook één van de manieren waarop wij al snel op de betreffende phishing-aanval werden geattendeerd. Dus, wie het probleem van spam- en phishingmails wil verkleinen, moet zeker het toepassen van deze standaarden overwegen. Een goede manier om te checken hoe het op dit gebied is gesteld met een bepaalde domeinnaam, is deze te checken op Internet.nl. Deze site biedt een makkelijke en snelle manier om te controleren of wordt voldaan aan moderne (en veilige) standaarden.

Meer handige informatie over SPF, DKIM en DMARC

Artikel door:

Marco Davids

Marco Davids

Research engineer