Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

JouwWeb zet DANE-beveiliging aan voor 60 duizend maildomeinen

Alleen configuratie op mail-servers en in DNS-systeem vereist

  • maandag 10 oktober 2022

Begin dit jaar heeft website-platform JouwWeb DANE aangezet voor alle door hun beheerde domeinnamen. Daarmee is het mailtransport van en naar die domeinen nu van een extra beveiliging voorzien.

De klanten van JouwWeb hebben veelal zelf geen kennis van internet in huis en verwachten van hun provider dat deze alle techniek voor zijn rekening neemt. Op het moment dat gebruikers zelf zouden moeten vragen om de implementatie van nieuwe technieken, zou de provider eigenlijk al te laat zijn. Omdat vrijwel alle domeinnamen door JouwWeb zelf beheerd worden en voor DANE alleen de eigen mailinfrastructuur aangeraakt hoeft te worden, was deze implementatie relatief makkelijk uit te voeren.

Beveiliging mailtransport

DANE is een cryptografische beveiligingstechnologie die het afluisteren van mailverkeer tegengaat door waar mogelijk het gebruik van TLS-encyptie tijdens het transport (SMTP) af te dwingen. Daarmee beveiligt DANE de vertrouwelijkheid van de berichtenuitwisseling.

Voor DANE is het DNS-protocol uitgebreid met het TLSA-record. Dat kan worden gebruikt om sleutelinformatie – typisch een hashcode, een digitaal uittreksel – aan een adres/protocol/poort-combinatie te koppelen. Op die manier kan van elke versleutelde internetservice de authenticiteit van het servercertificaat via DNS worden geverifieerd. Het gebruik van DNSSEC is hierbij verplicht.

Komt de hashcode van het servercertificaat niet overeen met de hashcode in het TLSA-record, dan weet de client dat de verbinding – ondanks de versleuteling – niet te vertrouwen is. Maar een veel makkelijker aanval die hiermee te voorkomen is, is de downgrade-aanval op de STARTTLS capability van de mailserver: de aanwezigheid van een TLSA-record impliceert immers dat de server TLS ondersteunt.

Postfix-gebaseerde mailinfrastructuur

JouwWeb richt zich vooral op het mkb en beheert op dit moment meer dan 100 duizend domeinen voor zijn klanten. "Onze propositie is dat wij alle techniek verzorgen en dat gebruikers hun domeinnamen, web en mail volledig beheren in een grafische omgeving," zo vertelt Roel van Duijnhoven, CTO en oprichter van JouwWeb.

De implementatie van DANE voor de 60 duizend maildomeinen was relatief makkelijk. De mailinfrastructuur van de provider bestaat uit een round-robin load balancer op de MX-ingangen. De Postfix-servers (MTA's) daarachter verwerken de binnenkomende mail en plaatsen deze in een van de Dovecot-systemen (door de eindgebruikers te benaderen via IMAP). Uitgaande mail (via de SMTP-gateway) wordt door dezelfde Postfix-servers verwerkt. Daarbij loopt de uiteindelijke mail relay wel via een derde partij, zodat JouwWeb zelf geen zorgen heeft over IP-adres reputatiemanagement.

Configuratie

Het aanzetten van DANE-validatie voor uitgaande mail op een Postfix-server omhelst in principe niet veel meer dan het omzetten van een configuratie-switch (we beschrijven die optie hier). "De implementatie van DANE was onderdeel van een upgrade van onze mailinfrastructuur," vertelt Van Duijnhoven. "Voordat we live konden hebben we deze nieuwe setup uitgebreid getest in onze staging-omgeving. Deze bevat een complete kloon van onze mailinfrastructuur, waarop we de goede werking en performance kunnen controleren."

De andere kant van DANE – de publicatie van de TLSA-records waarmee externe SMTP-clients op hun beurt de certificaten op je MX-ingangen kunnen valideren – is een kwestie van het genereren en publiceren van de bijbehorende hashes (we beschrijven dat onderdeel hier). JouwWeb ververst de TLS-sleutels op zijn MX-servers nu elk jaar, wat betekent dat zij ook elk jaar de bijbehorende TLSA-records moeten rollen. Van Duijnhoven is er echter nog niet helemaal uit of ze dit ook op deze manier blijven doen.

SPF en DKIM

De implementatie van DNSSEC – vanwege de cryptografische vertrouwensketen een harde vereiste voor het gebruik van DANE – was destijds aanzienlijk meer werk, aldus Van Duijnhoven. "Maar toen we die beveiliging eenmaal hadden, wilden we die ook nuttig inzetten. Vandaar dat we met DANE aan de slag zijn gegaan."

Wat DANE, DNSSEC en eerder ook HTTPS gemeen hebben, is dat ze ingevoerd konden worden zonder dat klanten daarbij betrokken hoefden worden. Dat is anders voor bijvoorbeeld SPF, waarbij een lijst van IP-adressen van servers die namens het betreffende domein mail mogen versturen in het DNS-systeem wordt gepubliceerd. Omdat met name marketingberichten vaak door derden worden verstuurd, zouden klanten die lijst voortdurend bij moeten houden, omdat berichten anders niet aangepakt worden door SPF-validerende MX-gateways. Overigens zouden klanten die dat willen wel zelf SPF aan kunnen zetten; ze hebben de mogelijkheid om zelf DNS-records aan te maken in hun beheersinterface.

JouwWeb doet ook DKIM, weer een andere beveiligingstechniek voor mail, waarbij SMTP-gateways berichten ondertekenen alvorens deze uit te sturen. De validerende kant wordt hier echter niet hard afgedwongen maar telt alleen mee in de spamscore van binnenkomende berichten. "E-mail is persoonlijk en belangrijk voor klanten," legt Van Duijnhoven uit. "Daar willen we geen risico's mee nemen."

Financiële incentive

De uitrol van DANE voor de 60 duizend maildomeinen van JouwWeb is duidelijk terug te zien als een klein sprongetje in onze statistieken.

Lijngrafiek die de ontwikkeling van de adoptie van DANE laat zien.

Sinds we in juli 2019 een financiële incentive-regeling (onderdeel van de Registrar Scorecard) hebben ingesteld voor de DANE-beveiliging voor inkomende mail, is de adoptie daarvan flink gegroeid [1, 2, 3] (tot bijna 20 procent van het totaal aantal geregistreerde .nl-domeinen nu). Dat heeft vanzelfsprekend ook te maken met de hoge adoptie van DNSSEC in Nederland, die in dit geval dus als een enabler fungeert.

Een andere grote Nederlandse aanbieder die het afgelopen jaar zijn domeinnamen in bulk heeft ondertekend is Hostnet. KPN heeft DANE (en diverse andere beveiligingsstandaarden) juist verloren laten gaan bij de incorporatie van de XS4All-infrastructuur in het KPN-netwerk.