Mailverkeer naar opgezegde domeinnaam

Wij zijn de beheerder van het .nl-domein. Wij regelen de registratie van alle .nl-domeinnamen en zorgen ervoor dat ze op het internet bereikbaar zijn. Elke keer als jij een .nl-adres intypt, zorgen wij ervoor dat je bij de juiste site uitkomt. Zo verwerken onze systemen dagelijks meer dan 2 miljard zoekopdrachten. Het .nl-domein is één van de veiligste betrouwbaarste internetdomeinen van de wereld. Je domeinnaam wordt beheerd door een .nl-registrar (provider) en dit bedrijf is je eerste aanspreekpunt.

Als beheerder van het .nl-domein vinden we het belangrijk dat het internet een veilige plek is voor iedereen. We investeren daarom veel in het steeds veiliger en betrouwbaarder maken van het internet en .nl in het bijzonder.

Opzeggen is prima, maar doe het zorgvuldig

We vinden het natuurlijk jammer dat je je domeinnaam hebt opgezegd, maar als je de domeinnaam niet meer gebruikt, dan kan deze maar beter weer vrijkomen voor registratie, zodat een ander de domeinnaam weer kan gebruiken. We vinden het wel belangrijk dat dit zorgvuldig gebeurt, daarom stuurden we je onze mail.

Risico

Als je je domeinnaam opzegt, maar niet iedereen die de domeinnaam weleens gebruikte om een mail naar jou of je organisatie te sturen ervan op de hoogte is dat de naam niet meer bestaat, kan er bijvoorbeeld een privacylek ontstaan of kunnen bedrijfsgeheimen openbaar worden. Dit gebeurde eerder al eens bij de politie of bij zorginstellingen. In deze gevallen werd een domeinnaam, die eerder in gebruik was door deze organisaties, nadat de naam was opgezegd weer opnieuw geregistreerd door iemand anders. De nieuwe eigenaar van de domeinnaam kon daardoor mails lezen die nog steeds naar de vorige eigenaar van de domeinnaam werden gestuurd. Afhankelijk van het soort mails dat gestuurd wordt, kan er zo gevoelige informatie in handen vallen van iemand voor wie het niet bedoeld is.

Eenmalige mail van SIDN

Om dit te voorkomen controleren we elke domeinnaam die wordt opgezegd enige tijd om vast te stellen of er mogelijk nog mail wordt verstuurd naar een mailadres dat gekoppeld is aan de opgezegde domeinnaam. Als we denken dat dit het geval is, sturen we de laatste domeinnaamhouder eenmalig een mail om je hierover te informeren. Naar aanleiding hiervan kun je eventueel actie ondernemen.

Nee, omdat we alleen het DNS-verkeer voor de opgezegde domeinnaam kunnen analyseren en niet het mailverkeer, weten we niet wie de afzender is. Zie ook Wat kan SIDN allemaal zien in het DNS-verkeer? Als je toch wil weten wie er nog mail naar je opgeheven domeinnaam stuurt dan kun je de domeinnaam uit quarantaine halen. Zie ook Wat kan ik nu doen?

Nee, omdat we alleen het DNS-verkeer voor je domeinnaam kunnen analyseren en niet het mailverkeer, kunnen we geen exacte berekening maken van het aantal mailberichten dat gestuurd wordt. Er zijn soms duizenden eindgebruikers die dezelfde gedeelde DNS-resolver gebruiken, het resultaat van 1 DNS-query wordt dan door al deze gebruikers gebruikt, terwijl wij op onze DNS-servers maar 1 DNS-query zien.

Je hebt verschillende mogelijkheden.

1. Informeer contacten

Informeer iedereen die wel eens mail naar je oude domeinnaam heeft gestuurd, dat de domeinnaam niet meer bestaat en/of dat je van domeinnaam bent veranderd. Je contacten moeten ervoor zorgen dat je oude mailadres uit hun adresboek is verwijderd en dat ze je nieuwe mailadres hebben ingevoerd. Anders is de kans groot dat ze alsnog per ongeluk een mail naar je oude adres sturen. Kijk ook zorgvuldig of je oude mailadres nog ergens als contactadres is opgegeven. b.v. op de website van de Kamer van Koophandel, van een partnerbedrijf of op sociale netwerken

2. Domeinnaam uit quarantaine halen

Als je een domeinnaam opheft, dan gaat de naam gedurende 40 dagen in quarantaine, een soort afkoelperiode. In deze periode kan niemand anders de domeinnaam opnieuw registreren, alleen de laatste domeinnaamhouder weer activeren. Dit biedt bescherming tegen het verliezen van een domeinnaam wanneer deze per ongeluk is opgeheven. Wil je écht weten welke mailverkeer er nog is richting de opgezegde domeinnaam, dan kun je de domeinnaam dus uit quarantaine halen. Dan kan niemand anders de domeinnaam meer opnieuw registreren en dus ook niet de mail ontvangen die nog per ongeluk naar deze domeinnaam wordt verstuurd. Het uit quarantaine halen van een domeinnaam doe je via een registrar. Lees meer Daarna heb je verschillende opties. Je kan de mail weer activeren, zodat je ervoor kunt zorgen dat mail, die nog naar de domeinnaam wordt gestuurd, doorgestuurd wordt naar je nieuwe adres. Hierdoor kan je ook zien wie nog mail naar de domeinnaam stuurt en de afzenders informeren. Je hostingprovider of het bedrijf dat de domeinnaam voor je beheerde kan je hiermee verder helpen. Zie ook Wie kan me helpen om de domeinnaam weer te activeren? Als je geen mailserver aan de oude domeinnaam koppelt ontvangt iedereen die nog probeert mail naar het oude adres te sturen een foutmelding. Hierdoor weet je niet, wie nog mail naar je oude adres probeert te sturen, maar je hebt er wel ervoor gezorgd dat deze mail niet door onbevoegden kan worden ontvangen.

3. Geen actie ondernemen

Ben je ervan overtuigd dat er geen relevante mail meer gestuurd wordt richting de oude domeinnaam, dan kun natuurlijk ook geen actie ondernemen. Als je niets doet, dan is de domeinnaam na afloop van de quarantaineperiode (40 dagen) weer beschikbaar voor iedereen om te registreren.

Als beheerder van het .nl-domein zorgen we ervoor dat elke .nl-domeinnaam bereikbaar is. Elke keer dat iemand een domeinnaam (zoals sidn.nl) in z’n browser intypt of een mail naar een .nl-mailadres (zoals naar info@example.nl) stuurt, wordt onder water 1 van onze servers benaderd. Dit is nodig omdat je browser anders niet weet wat het IP-adres is van de example.nl-website, of bij welke mailserver mail voor example.nl moet worden afgeleverd.

Domeinnaamsysteem

Dit wordt allemaal vliegensvlug en automatisch gedaan door je webbrowser of mailserver. Deze maken hiervoor gebruik van het domeinnaamsysteem (DNS). Als iemand een mail naar info@example.nl stuurt, dan zoekt de mailserver van de afzender in het DNS naar de mailserver van de ontvangende partij, in dit voorbeeld dus de mailserver van het domein example.nl. Wij beheren de DNS-servers die de verzendende mailserver helpen om de mailserver gekoppeld aan example.nl te vinden. Dit noemen we DNS-verkeer.

DNS-verkeer

In het DNS-verkeer dat onze systemen verwerken kunnen we zien of er om de mailservers van een bepaalde .nl-domeinnaam wordt gevraagd (MX-query, voor de experts). Het versturen van MX-query’s, in opdracht van een mailserver, wordt meestal uitgevoerd door een DNS-resolver. En dat is ook gebeurd bij de door jou opgezegde domeinnaam. Na je opzegging hebben we bij de controle van het DNS-verkeer nog aanvragen voor je domeinnaam gezien. Dit is voor ons een signaal, dat er nog steeds wordt geprobeerd mail naar je opgeheven domeinnaam te versturen. Door het gebruik van caching en het delen van DNS-resolvers is niet exact te bepalen hoe vaak eindgebruikers om een bepaalde domeinnaam vragen.

We hebben 3 verschillende risicocategorieën vastgesteld waarmee we het risico aangeven voor een opgezegde domeinnaam waar mogelijk nog mailverkeer naartoe plaatsvindt. We kijken voor de inschaling in een risicocategorie bijvoorbeeld ook naar de domeinnaam in combinatie met het soort website dat aan de opgezegde domeinnaam gekoppeld was. Zo is een domeinnaam waarin het woord ‘huisartspraktijk’ voor komt, waarbij er ook een website was met de kenmerken van een website in de zorgsector, voor ons aanleiding om het risico hoger in te schatten.

Laag

We zien nog mailverkeer maar het aantal DNS-query’s is relatief laag, gemiddeld minder dan 5 per dag. Ook zijn er geen andere risico-indicatoren gevonden.

Middel

We zien meer DNS-query’s, gemiddeld maximaal 10 per dag of er is een additionele risico-indicator gevonden, zoals het gebruik van een gekoppeld mailadres op een nog wel bestaande .nl-website. Indien het mailadres op een website is gebruikt dan is de kans groter dat het mailadres actief is gebruikt.

Hoog

We zien relatief veel DNS-query’s voor deze domeinnaam of er zijn additionele risico-indicatoren gevonden, zoals vermoedelijk gebruik van de domeinnaam door bijvoorbeeld een zorginstelling of een juridisch bedrijf. In zo’n geval is de kans dat er privacygevoelige informatie gedeeld wordt met behulp van de domeinnaam groter.

We proberen op basis van verschillende metingen te bepalen of er nog legitieme mail naar een domeinnaam wordt verstuurd. Niet alle mail die je ontvangt is immers even relevant. Vaak zal nog steeds SPAM of andere oninteressante mail naar je oude domeinnaam gestuurd worden. Je ontvangt daarom alleen een waarschuwing als we denken dat er grote kans is dat er nog legitieme mail naar je oude domeinnaam verstuurd wordt. Hiervoor gebruiken we verschillende zelfontwikkelde filters.

Zo proberen we DNS-aanvragen van ‘verdachte’ systemen die veel SPAM- of reclamemails versturen, automatisch eruit te filteren. Als we na het filteren nog steeds aanvragen voor je domeinnaam vanuit ‘betrouwbare’ systemen zien, is er een grotere kans dat we je gaan waarschuwen.

Aard van het bedrijf

Daarnaast kijken we ook of je de domeinnaam mogelijk is gebruikt door een bedrijf of organisatie waar privacy bijzonder belangrijk is, zoals bijvoorbeeld voor een zorginstelling of een advocatenkantoor. Deze domeinnamen worden automatisch in een hogere risicocategorie ingedeeld, bijvoorbeeld:

1. Op basis van trefwoorden zoals ‘huisarts’ of ‘advocatenkantoor’, hiermee herkennen we bijvoorbeeld advocatenkantoor-jansen.nl.

2. Bevat de voormalige website (in de periode voor opzegging gecrawld), informatie waarmee de bedrijfsactiviteiten kunnen worden afgeleid, zoals bijvoorbeeld zorg of overheid.

3. Wordt een mailadres gekoppeld aan de opgeheven domeinnaam nog gebruikt op een .nl-website.

Disclaimer

We voeren deze service naar ons beste kunnen uit, maar onze metingen zijn niet perfect, omdat we niet alle DNS-verkeer kunnen zien en het soms moeilijk is om niet legitieme (SPAM, reclame, etc.), mail gerelateerde DNS-query’s weg te filteren. Het kan daarom gebeuren dat ondanks onze waarschuwing er toch geen legitieme mail meer naar je opgezegde domeinnaam wordt verzonden of dat we geen waarschuwing verstuurd hebben terwijl er juist nog wel steeds legitieme mail verstuurd wordt.

Het systeem dat we gebruiken voor het analyseren van het DNS-verkeer bevat filters voor het verwijderen van DNS-query’s die vermoedelijk gerelateerd zijn aan SPAM, reclame en andere, naar onze mening, niet belangrijke activiteit. Dit doen we omdat we alleen een waarschuwing willen sturen als we het sterke vermoeden hebben dat er nog nuttige/legitieme mail naar de opgeheven domeinnaam wordt gestuurd.

We gebruiken verschillende filters om niet relevante mail zoals bijvoorbeeld SPAM-mail of mails van social media (zoals Facebook) uit te sluiten. Deze filters bevatten ‘verdachte’ IP-adressen, en alle DNS-query’s verstuurd vanaf deze IP-adressen tellen we niet mee bij het bepalen van de risicocategorie. Voorbeelden van filters zijn:

1. Abuse feeds, zoals APWG en Spamhaus.

2. Een filter met verdachte DNS-resolvers die:

   1. Stuurt veel DNS-query’s voor domeinnamen zonder gekoppelde mailservers

   2. Stuurt veel DNS-query’s voor niet-bestaande domeinnamen

   3. Stuurt alle DNS-query’s op 1 dag

   4. Nieuwe DNS-resolver(s)

3. Open DNS-resolvers

4. Botnet client IP-adressen die zijn gedetecteerd op onze Sinkhole

5. Een statische lijst met ‘verdachte’

   1. IP-adressen

   2. Autonome systemen

   3. Landen

Wij beschikken over je contactgegevens omdat je via een registrar een .nl-domeinnaam bij SIDN hebt geregistreerd. Natuurlijk gaan we zorgvuldig met je gegevens om. Je vindt onze privacy bepalingen in de algemene voorwaarden voor .nl-domeinnaamhouders (in artikel 23). Als aanvulling hebben we voor dit initiatief een additionele privacypolicy opgesteld. Hierin leggen we uit hoe we de data verwerken die we nodig hebben om het risico voor een domeinnaam te bepalen en om de eigenaar te benaderen. De privacypolicy vind je op onze website.

We kunnen niets zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger. In het DNS-verkeer is wel te zien dat er wordt gevraagd om IP-adressen (A of AAAA-record), en mailservers (MX-record) gekoppeld aan .nl-domeinnamen. Daarnaast zien we het IP-adres van de server die om deze gegevens vraagt. Dit wordt meestal gedaan door gedeelde DNS-resolvers, een soort tussenpersoon, waardoor we bijna nooit het IP-adres van een eindgebruiker zien. Ook zien we, vanwege het gebruik van caching in het DNS, niet elke vraag voor een MX-record.

Aan het uit quarantaine halen van een domeinnaam zijn meestal kosten verbonden. Hoeveel het kost is afhankelijk van de registrar die je gebruikt om de domeinnaam voor je uit quarantaine te halen. Vaak is het goedkoper als je dit doet bij de registrar die de domeinnaam beheerde en waar je deze opgezegd hebt. Welke registrar dat is staat in de waarschuwingsmail die we naar je stuurden.

Nadat je een domeinnaam hebt opgezegd gaat deze voor een periode van 40 dagen in quarantaine, een soort van afkoelperiode waarin alleen de laatste domeinnaamhouder de mogelijkheid heeft de domeinnaam weer te activeren. Dit biedt bescherming tegen het verliezen van een domeinnaam wanneer deze per ongeluk is opgeheven. We versturen de waarschuwingsmail over mogelijk mailverkeer dat er nog is 30 dagen na de opzegging. Als je deze mail hebt ontvangen heb je dus nog maximaal 10 dagen tijd voordat de quarantaineperiode afloopt en de domeinnaam weer door iedereen te registreren is.

Je hebt je domeinnaam niet direct bij SIDN geregistreerd maar bij een zogenaamde ‘registrar’, dit is een tussenpersoon die namens de domeinnaamhouder (jij) in onze systemen domeinnamen kan registeren en beheren. Wie deze registrar is staat in de waarschuwingsmail die je van ons ontving. Als je niet zelf de domeinnaam hebt geregistreerd, maar dit bijvoorbeeld hebt uitbesteed aan de ontwerper van je website, dan raden we aan om met deze persoon of dit bedrijf contact op te nemen.

Gedurende de monitoringperiode die volgt op de opzegging van een domeinnaam, bewaren we data die nodig is voor het kunnen bewaken van een domeinnaam. De data worden in een separate database bewaard, dus niet in de database van het .nl registratiesysteem.

Na afloop van deze periode anonimiseren we de privacygevoelige gegevens in deze separate database(zoals je mailadres en naam) en bewaren we overige gegevens nog maximaal 3 jaar. Zo kunnen we ze gebruiken voor het verbeteren van onze diensten en voor wetenschappelijk onderzoek.

Nee, we gaan vertrouwelijk om met alle gegevens die we beheren. Dit betekent onder meer dat we ze niet delen of doorverkopen. Het kan wel dat we bepaalde geaggregeerde statistieken publiceren op onze website of in wetenschappelijk publicaties. Het gaat dan bijvoorbeeld om het totaal aan verstuurde waarschuwingen of het gemiddelde aantal DNS-query’s gemeten over alle domeinnamen. Deze statistieken zijn nooit te herleiden tot individuele domeinnamen of domeinnaamhouders.

We adviseren je om voordat je nog een keer een domeinnaam opzegt, al je contacten goed en duidelijk te informeren dat je mailadres verandert. Zie ook Wat kan ik nu doen?

Als je overstapt naar een andere domeinnaam adviseren we je om een tijd lang beide domeinnamen te behouden en actief de afzenders te benaderen die nog mail naar je oude adres sturen. Pas als je over een langere periode geen belangrijke mail meer op je oude adres hebt ontvangen kan je overwegen om de oude domeinnaam op te zeggen.

Over het algemeen kost het een domeinnaamregistratie maar enkele euro’s per jaar. Je zou daarom ook kunnen overwegen om je oude domeinnaam niet op te zeggen, maar als inactieve domeinnaam aan te houden. Vraag je provider naar de mogelijkheden. Zie ook Wat kan ik nu doen?

Lees ook de Handreiking Verlopen domeinnamen van Z-CERT en een eerder verschenen artikel op Computable.