Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Mail phishing de meest gebruikte eerste stap voor een cyberaanval

Bescherm je maildomeinen en -infrastructuur met SPF, DKIM en DMARC

  • dinsdag 25 augustus 2020

Phishing is de meest gebruikte eerste stap voor een digitale aanval. Zo staat in het rapport 'Cybersecuritybeeld Nederland 2020', opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in samenwerking met het Nationaal Cyber Security Centrum (NCSC). Daarbij signaleren zij wel een verschuiving naar phishing via SMS (smishing) en heel gerichte berichten na onderzoek op sociale media (spear phising). De geslaagde ransomware-aanval op de Universiteit Maastricht eind vorig jaar dient daarbij als afschrikwekkend voorbeeld. Die aanval begon met het aanklikken van een generiek mailberichtje door twee van hun medewerkers. Volgens de NCTV helpen voorlichting en training van eindgebruikers om de doorklik-rate op dit soort berichten omlaag te brengen. Wij zouden daar nog de technische mail-beveiligingsmaatregelen gebaseerd op SPF, DKIM, DMARC (en DANE voor mail) aan toe willen voegen. Die eerste drie maken onder andere het onderscheid tussen ‘spam’ en ‘ham’ scherper, waarmee het voor aanvallers moeilijker wordt om hun phishing-mailtjes überhaupt bij de eindgebruiker in de inbox te krijgen.

Losgeld

De Clop ransomware-aanval op de Universiteit Maastricht eind vorig jaar was gebaseerd op een combinatie van phishing-berichten (verstuurd in bulk) en servers die kwetsbaar waren voor een drie jaar oud lek. Bestanden op 267 Windows-servers (van de 1647 servers in totaal) waren niet meer bereikbaar (dat wil zeggen: cryptografisch versleuteld), waaronder ook een deel van de back-upsystemen. Uiteindelijk is er twee ton losgeld betaald om de decryptiesleutel van de hackers te krijgen, maar de totale schade is een veelvoud daarvan. Uit de onderzoeksrapportage van de Onderwijsinspectie blijkt dat de universiteit weliswaar geen wanbeheer kan worden verweten, maar wel dat de IT-organisatie zijn zaakjes niet goed voor elkaar had. In het technische rapport van Fox-IT kunnen we lezen hoe alles begon met openen van twee simpele (generieke) phishing-berichten twee maanden eerder. Vandaaruit werd gelinkt naar een online Excel-bestand voorzien van een kwaadaardige macro die de eerste echte malware van een internetserver afhaalde en uitvoerde. En vandaaruit ging het zo verder.

Modus operandi

Volgens Fox-IT richt de verantwoordelijk gehouden groep TA505 zich specifiek op Windows-systemen, waarbij phishing-mailtjes altijd de eerste opening in hun modus operandi zijn. Alleen al het afgelopen jaar heeft deze groep meer dan 150 slachtoffers gemaakt. De aanbevelingen van Fox-IT voor wat betreft phishing richten zich primair op training van de gebruikers. In hun toelichting op het rapport van Fox-IT geeft de Universiteit Maastricht aan dat een deel van de binnenkomende phishing-berichten door het spamfilter wordt tegengehouden, en dat gebruikers die dergelijke berichten toch ontvangen daarover regelmatig de helpdesk bellen. Volgens de Onderwijsinspectie werd met deze meldingen echter te weinig gedaan: "Op 15 oktober 2019 werd een phishing mail geopend. Fox-IT heeft vastgesteld dat door onvoldoende detectie, monitoring en opvolging hackers op 23 december 2019 een ransomware-aanval konden uitvoeren op een deel van het UM-netwerk." De Universiteit heeft aangegeven bewustwordingscampagnes tegen phishing te gaan organiseren en hun processen voor de melding en afhandeling van verdachte berichten in orde te maken.

"Nederland doet te weinig"

Ook de laatste 'The State of Email Security Report' van Mimecast (sind kort eigenaar van DMARC Analyzer) benoemt e-mail als de belangrijkste eerste aanvalsvector. Uit een inventarisatie onder ruim duizend IT-managers blijkt dat men bij Nederlandse organisaties veel minder dan in andere landen bedacht is op (mail) spoofing-aanvallen. Het thuiswerken vanwege de coronapandemie heeft het bovendien moeilijker gemaakt om de veiligheid van de IT-infrastructuur te bewaken. De nieuwe periferie is immers diffuser geworden, en bovendien in grote haast opgetuigd en opengesteld. Net als Fox-IT benadrukt Mimecast het belang van training. Bewustwording bij eindgebruikers is cruciaal bij het herkennen van (spear) phishing-berichten en het voorkomen van doorkliks. Daarnaast waarschuwt Mimecast dat Nederland te weinig doet tegen mail spoofing. Maar 13 procent van de Nederlandse deelnemers aan het 'The State of Email Security'-onderzoek geeft aan dat hun organisatie DMARC gebruikt, veruit de laagste score van alle onderzochte landen. Het wereldwijde gemiddelde is 23 procent. "DMARC is een krachtige maatregel die niet alleen de organisatie zelf weerbaar maakt tegen digitale oplichting, maar ook veel phishing-aanvallen op burgers in de kiem smoort," aldus Dirk Jan Koekkoek, Vice President DMARC bij Mimecast.

Risicofactoren

Interessant is dat Mimecast ook de gebrekkige veiligheid van Microsoft 365 en het doorlaten van berichten die eigenlijk gestopt hadden moeten worden expliciet noemt als risicofactor. Daar komt nog eens bij dat elke downtime van Microsofts maildienst gebruikers naar hun privémailadres drijft om hun werk te kunnen blijven doen, met alle gevaren van dien. Om een idee te geven van de omvang van deze problematiek: bijna 60 procent van de IT-managers ondervraagd voor het 'The State of Email Security'-onderzoek meldt de afgelopen twaalf maanden last te hebben gehad van uitval van Microsofts cloud-dienst. Na Gmail is Microsoft de grootste mailprovider, verantwoordelijk voor bijna 10 procent van de domeinen. Iets vergelijkbaars komt ook terug in het rapport van de Onderwijsinspectie: gebruikers die tegen het beleid van de universiteit in hun data in Dropbox bewaarden, werden door de aanval bevestigd in hun idee dat het opslaan van data elders juist goed is.

Mailtest Internet.nl

Opvallend genoeg scoort de Universiteit Maastricht op hun hoofddomein maastrichtuniversity.nl ook nu nog slecht op de mailtest van de Internet.nl portal: slechts 67 procent. DNSSEC, DKIM en DANE wordt niet ondersteund, SPF staat open, en de DMARC policy bevat alleen een placeholder.

DMARC (en de onderliggende SPF- en DKIM-standaarden) zijn cruciale beveiligingstechnologieën om je maildomein(en) te beschermen. Deze standaarden beschermen in eerste instantie de authenticiteit van berichten, afzenders (mailadressen) en verzenders (mailsystemen) voor berichten afkomstig van jouw domein. Maar DMARC-validatie als onderdeel van je spam filter speelt ook een belangrijke rol bij de herkenning van (spear) phishing-berichten, en dan van spoofing-berichten in het bijzonder.

Hack en coronacrisis

"De Universiteit Maastricht zet SPF, DKIM en DMARC sinds voorjaar 2019 in voor drie van haar maildomeinen (via SURFmailfilter)," vertelt CISO Bart van den Heuvel. "Daarmee hebben we de acceptatie van berichten afkomstig van onze domeinen door grote partijen als Google sterk verbeterd. Bovendien verzamelen we zo informatie uit de DMARC-rapportages." "De Universiteit heeft in 2019 middelen gereserveerd om een Security Operations Center (SOC) op te zetten. Zoals gepland zijn we daarmee op 1 januari van dit jaar van start gegaan, maar toen zaten we dus al midden in de ransomware-crisis. Op de voorjaarsagenda van het UM-SOC stond onder andere het verder uitzoeken van SPF/DKIM/DMARC en DNSSEC/DANE. Maar we zitten nog met de nasleep van de hack, inmiddels gevolgd door de coronacrisis. Op dit moment liggen onze prioriteiten daar." "Probleem met SPF/DKIM/DMARC is dat de invoering ervan voor complexe organisaties niet zomaar te doen is," zegt Van den Heuvel. "Met name mailing lists en auto forwarding leveren problemen op, en juist die twee zaken worden bij ons heel veel gebruikt." "Bovendien helpen SPF, DKIM en DMARC wel tegen spoofing, maar slechts beperkt tegen phishing. Zo bleken zowel de phishing-berichten zelf alsook de latere mailberichten van de hackers gewoon te valideren voor SPF/DKIM/DMARC. Niets belet criminelen om deze technieken ook te gebruiken, en dat doen ze dan ook."

False positives en negatives

"Het is voor de universiteit dan ook onmogelijk om alle phishing-mail op basis van de headers te herkennen," vervolgt Van den Heuvel. "We hebben 19 duizend studenten, vijfduizend medewerkers en 70 duizend alumni die vrij kunnen communiceren met honderdduizenden of zelfs miljoenen andere mailadressen over allerhande onderwerpen. Dat kunnen zelfs ‘verdachte onderwerpen’ zijn die deel uitmaken van onderzoeksprojecten. We kunnen daarom niet whistelisten en moeten bijzonder alert zijn op false positives (het blokkeren van berichten die door hadden moeten gaan). Twee zaken die we nooit zullen herkennen zijn:

  1. berichten afkomstig van gehackte, geleende of gekochte accounts op een legitiem domein;

  2. een legitiem account in een crimineel of door criminelen gebruikt domein dat helemaal volgens de regels der kunst is ingericht; voorbeeld daarvan is de anonieme mail service gebruikt door de hackers, maar diezelfde service wordt ook door studenten gebruikt voor hun privé mail.

Onze aanpak is drieledig:

  1. detectie van malware content op basis van de inhoud van een bericht en attachments;

  2. awareness: melding van verdachte berichten bij onze helpdesk; sinds de hack worden vanzelfsprekend veel meer berichten gemeld: dit voorjaar waren dat er 1.000, ten opzichte van iets meer dan 200 over dezelfde periode vorig jaar;

  3. opvolging van die meldingen door te filteren, domeinen te blokkeren en logs te onderzoeken; bij echt risicovolle phishing-berichten wordt een organisatiebrede waarschuwing verstuurd.

Belangrijke les is dat doorklikken op een phishing-bericht nooit helemaal kan worden voorkomen. We zorgen er daarom voor dat een gebruiker zo min mogelijk schade kan aanrichten. Denk dan aan het beperken van de rechten op admin accounts en het inperken van macro's. En we zorgen dat er voldoende logging- en monitoringsystemen aanwezig zijn, zodat verdere verdachte handelingen na een initiële infectie worden gedetecteerd en opgevolgd. Een gehackt account wordt door ons vrij snel gedetecteerd en dan gereset. Zo'n verzender willen we juist niet in de spam-lijsten hebben, want daar kunnen belangrijke bedrijfsprocessen van afhangen." Van den Heuvel geeft toe dat de huidige aanpak behoorlijk wat handwerk vereist. "We zijn bang voor false positives, maar ook voor false negatives (een phishing-melding laten gaan omdat we die al hebben afgehandeld, terwijl er subtiele, gevaarlijke verschillen zijn). Tussen die 1.000 meldingen van afgelopen voorjaar zaten best wat reguliere mailberichten, maar onze gebruikers zijn inmiddels erg wantrouwend. Sommige providers kun je wel makkelijk blokkeren, eventueel automatisch, maar andere niet omdat ze een legitieme dienst leveren. Denk aan de Dropbox- en Google-domeinen met hun steeds wisselende URL's. Soms moet je een provider per mail aanspreken, soms via een webformulier, en soms zelfs in een chat. We gaan de komende tijd binnen het SOC verschillende cases voor automatisering uitwerken, maar handwerk zal altijd wel blijven bestaan."

Direct aan de slag

Voor wie zelf aan de slag wil met DNSSEC, SPF, DKIM en DMARC, hebben we uitgebreide hands-on beschrijvingen beschikbaar. Deze nemen je stapsgewijs mee in de uitleg van de werking van de verschillende standaarden en de concrete configuratie daarvan op je systemen. Op onze DNSSEC-pagina vind je hands-on beschrijvingen voor de implementatie van DNSSEC-ondertekening en -validatie voor Unbound, Infoblox, PowerDNS en BIND. Voor de implementatie van SPF, DKIM en DMARC verwijzen we je naar deze twee artikelen [Postfix, Exim]. Hands-on artikelen voor de configuratie van DANE voor Postfix en Exim volgen binnenkort.