SIDN blijft voorlopig houders van verlopen .nl-domeinen waarschuwen

SIDN blijft voorlopig doorgaan met het waarschuwen van domeinnaamhouders als hun opgezegde domeinen nog e-mail ontvangen. De organisatie doet dit sinds 2021 via zijn Lemmings-tool en concludeert na drie jaar dat dit de aandacht voor het probleem heeft verhoogd.

Opgezegde .nl-domeinen komen na een quarantaineperiode van veertig dagen weer beschikbaar voor registratie. Het risico bestaat echter dat mensen nog e-mails blijven sturen aan de gekoppelde e-mailadressen, die vervolgens in handen komen van de nieuwe houder, terwijl ze daar niet voor zijn bedoeld. In het verleden zijn zo diverse datalekken ontstaan, bijvoorbeeld bij Jeugdzorg.

De Lemmings-tool van het SIDN moet deze datalekken voorkomen door houders te waarschuwen als een opgezegd domein nog e-mail ontvangt. De tool gebruikt het DNS-verkeer dat SIDN voor .nl verwerkt om in te schatten of een domein inderdaad nog e-mail ontvangt. In een nieuw techreport waarin SIDN ingaat op de technische details van de tool, valt te lezen dat deze waarschuwing zo'n dertig dagen na het opzeggen van het domein verstuurd wordt, dus nog voordat de quarantaineperiode voorbij is en een ander de kans krijgt om de domeinnaam te registreren.

SIDN analyseerde gedurende 8,5 maanden, beginnend in april 2022, 587.778 domeinnamen die opgeheven werden. In totaal werden 54.410 waarschuwingen verstuurd, wat neerkomt op 9,2 procent van de gevallen. Zo'n acht procent viel in een hoogrisicocategorie, wat betekent dat de kans groter is dat er privacygevoelige informatie in de verstuurde mails zit. Dit is bijvoorbeeld het geval bij domeinnamen van zorginstellingen of juridische bedrijven.

SIDN concludeert dat de tool de aandacht voor het probleem heeft verhoogd en mogelijk ook datalekken heeft voorkomen, 'maar het laatste blijft lastig om te meten'. Daarom is besloten om Lemmings voorlopig te blijven draaien en domeinnaamhouders voor mogelijke datalekken te blijven waarschuwen. De organisatie noemt geen einddatum voor het project.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 17-10-2024 08:31
37 • submitter: Anonymoussaurus

17-10-2024 • 08:31

37

Submitter: Anonymoussaurus

Lees meer

Onderzoeker vindt beveiligingsrisico door typfout in DNS-records Mastercard
Onderzoeker vindt beveiligingsrisico door typfout in DNS-records Mastercard Nieuws van 23 januari 2025
SIDN: aantal .nl-domeinen stabiliseert na acht maanden krimp
SIDN: aantal .nl-domeinen stabiliseert na acht maanden krimp Nieuws van 19 december 2024
DuckDNS werkt niet goed vanwege storing
DuckDNS werkt niet goed vanwege storing Nieuws van 5 december 2024
SIDN haalt nepwebwinkels 'onmiddellijk' offline na melding politie
SIDN haalt nepwebwinkels 'onmiddellijk' offline na melding politie Nieuws van 26 november 2024
Data van 41 Nederlandse politici is uitgelekt op het darkweb
Data van 41 Nederlandse politici is uitgelekt op het darkweb Nieuws van 14 november 2024
Datalek bij Amerikaans zorgbedrijf treft honderd miljoen mensen
Datalek bij Amerikaans zorgbedrijf treft honderd miljoen mensen Nieuws van 25 oktober 2024
Amnesty dient klacht in tegen 'discriminerend' Frans risicoanalysealgoritme
Amnesty dient klacht in tegen 'discriminerend' Frans risicoanalysealgoritme Nieuws van 18 oktober 2024
SIDN lekt per ongeluk gegevens domeinnaamhouders uit via Whois-zoekmachine
SIDN lekt per ongeluk gegevens domeinnaamhouders uit via Whois-zoekmachine Nieuws van 10 september 2024
Caesar Groep neemt ontwikkeling Yivi-wallet over van SIDN
Caesar Groep neemt ontwikkeling Yivi-wallet over van SIDN Nieuws van 5 september 2024
AIVD onderzoekt risico's van verhuizing SIDN naar Amazon
AIVD onderzoekt risico's van verhuizing SIDN naar Amazon Nieuws van 22 juni 2024
SIDN: prijzen van IPv4-adressen dalen weer na opkoopgekte tijdens corona
SIDN: prijzen van IPv4-adressen dalen weer na opkoopgekte tijdens corona Nieuws van 29 april 2024
SIDN haalde eind 2023 8000 domeinnamen van malafide houder offline
SIDN haalde eind 2023 8000 domeinnamen van malafide houder offline Nieuws van 25 april 2024
ACM draagt SIDN op om twee domeinnamen van webwinkel TI-84shop te schrappen
ACM draagt SIDN op om twee domeinnamen van webwinkel TI-84shop te schrappen Nieuws van 19 april 2024
SIDN gaat domeinnaamhouder waarschuwen als opgezegd .nl-domein nog mail ontvangt
SIDN gaat domeinnaamhouder waarschuwen als opgezegd .nl-domein nog mail ontvangt Nieuws van 22 februari 2022
Meer producten en artikelen
Privacy Domeinnaam Domeinnamen SIDN

Reacties (37)

-Moderatie-faq
37
37
17
1
0
18
Wijzig sortering
lkruijsw 17 oktober 2024 09:37
Zou het niet handig zijn als SIDN een service aanbiedt (tegen betaling) dat het domein nog wat langer uit de roulatie houdt? Betaal je 1 keer 25 euro of zo, en dan blijft het 3 jaar uit roulatie.
m8ZBm1Si @lkruijsw17 oktober 2024 09:44
Dat bieden ze al aan. Per jaar betaal je 4.99 per jaar aan SIDN en dan blijft hij uit roulatie. Registrars bieden hetzelfde aan tegen een meerprijs. Vaak kun je dit vinden onder de noemer 'registratie' of 'domeinregistratie'.
3raser @lkruijsw17 oktober 2024 09:47
Waarom hou je het domein dan niet gewoon zelfstandig even 3 jaar uit de roulatie? In plaats van opzeggen behoudt je het domein maar gebruik je het niet meer. Dan betaal je hooguit de jaarlijkse registratiekosten, wat bij sommige aanbieders niet eens 25 euro in 3 jaar is.
Cyberpuppy @3raser17 oktober 2024 12:20
Precies. Kun je gelijk nog zien of er nog legitieme e-mail wordt ontvangen op dat domein en waar nodig actie ondernemen.
Kees BOFH @lkruijsw17 oktober 2024 09:49
Bij sommige registrars heb je al een .nl domein voor €8 per jaar. Je kan dus gewoon nu al voor €40 euro dat domein 5 jaar lang vast zetten en autoresponders op de mailadressen zetten.

Maar dat helpt niet echt als je bedrijf failliet is de werkzaamheden gestaakt worden bijvoorbeeld.

[Reactie gewijzigd door Kees op 17 oktober 2024 09:50]

T-men @lkruijsw17 oktober 2024 10:03
Dat heeft geen zin. ex-beheerders die daar voor willen betalen zijn zich al bewust van het probleem en hebben maatregelen genomen vóórdat ze hun domein opzegden, of hebben de registratie al langer door laten lopen.

Beheerders die zich, daarentegen, juist niet bewust zijn van het probleem zullen niet bereid zijn extra te betalen.
killercow @lkruijsw17 oktober 2024 09:42
gewoon zelf aanhouden en geen records aanbieden is goedkoper.
DrGromit @lkruijsw17 oktober 2024 09:44
Dat kan natuurlijk al. Door het domein dat je niet meer gebruikt nog een paar jaar aan te houden.
Jemboy @lkruijsw17 oktober 2024 13:36
Zou super zijn om inderdaad eenmalig €25 te betalen voor 3+ jaar boven je abonnement.
Ik had in het verleden een domeinnaam geparkeerd staan en wilde "ooit" iets mee gaan doen.
Helaas zag ik de e-mail dat de domein ging verlopen niet en 2-maanden later toen ik erachter was,
had een domeinkaper hem al gepakt en die wilde €10.000 ervoor.
Ik zou daarom graag op mijn domeinen +3 jaar willen plakken. Mocht hij dan verlopen zijn en het is bv. een forwarding domein of een domein die ik nu niet actief gebruikt dan kan ik hem binnen die 3 jaar alsnog weer activeren.
Annihlator @Jemboy17 oktober 2024 15:01
Ik had dat soort domeinen altijd op een doorlopend automatisch incasso; is dat niet praktischer?
Jemboy @Annihlator18 oktober 2024 13:46
Dat heb ik ook nu, maar dan nog (ik ben een chaoot ;) ) kan het gebeuren dat bv. je creditcard verlopen of of geblocked is. Je even geen tegoed hebt.... en mail komt in SPAM of je leest het niet, waardoor net te laat ben om je domein te verlengen....

Ik heb gemerkt dat dit soort dingen **net** gebeurd rond vakanties. :)

Voor de vakantie ben je aan het stressen of dingen af te ronden en kijk ik minder naar alle e-mails.
Tijdens vakantie probeer ik liefs geen e-mails te lezen (want je bent op vakantie!)
(Tijdje) Na de vakantie kom je soms erachter dat je belangrijke mailtjes hebt gemist als de p*ep de ventilator raakt :)
Keypunchie 17 oktober 2024 08:35
from: SIDN
to: beheerder@verlopendomein.nl
subject: uw domein “verlopendomein.nl” ontvangt nog mail
Bamieater @Keypunchie17 oktober 2024 08:39
Blijft het DNS record actief in de quarantaineperiode? Dan kan men nog wel e-mail ontvangen, indien de hosting / mailserver nog wel actief is.
Jester-NL @Bamieater17 oktober 2024 08:49
Gedurende de quarantaine-periode is de DNS niet (meer) actief. Het domein ontvangt dus geen mail meer.
De mail wordt aan de houder in de contactgegevens gestuurd (wat natuurlijk niet werkt als je alleen maar adressen op @verlopendomein.nl hebt staan in de contactgegevens).
Je krijgt die SIDN-mail dus op het adres dat je hebt opgegeven bij de registratie.

Tijdens de quarantaine-periode komen de 'vergeten' mails ergens bij de SIDN terecht. En op basis daarvan wordt gewaarschuwd.
wica @Jester-NL17 oktober 2024 09:00
Detecteert SIDN dit niet door het opvragen van een MX record?
Denk namelijk niet dat de SIDN, deze mails zelf wilt ontvangen :)

Maar een simpele `dig mx verlopendomein.nl` kan deze waarschuwing al triggeren.
GertMenkel @wica17 oktober 2024 09:32
Sommige mensen maken (helaas) gebruik van het feit dat mailservers bij het gebrek aan een MX-record het A-record voor het afleveren van mail wordt gebruikt. Met een `dig mx` ga je dus helaas niet alle domeinen vangen.
Groentjuh @GertMenkel17 oktober 2024 09:52
Een mailserver zal echter wel proberen een MX-record op te halen. Dat mislukt als deze niet bestaat en daarna kan inderdaad als fallback een andere strategie gebruikt worden.

SIDN zal echter wel detecteren dat die poging tot het ophalen van dat MX-record is gedaan en daarop dus kunnen baseren dat er pogingen worden gedaan om mail af te leveren.
GertMenkel @Groentjuh17 oktober 2024 10:09
Eens, met de kanttekening dat de records van de net verlopen domeinen nog in de cache van de DNS-servers kunnen zitten. In theorie kan een DNS TTL wel 68 jaar lang geldig zijn (al zullen moderne implementatie de boel op max 1 dag afkappen, maar aan de andere kant zijn er in corporate omgevingen weer spec-incompliant DNS-servers die de max TTL gewoon negeren).
wica @GertMenkel17 oktober 2024 10:35
Het is ook enkel een hulpmiddel die de SIDN heeft. En hoeft ook niet waterdicht te zijn. De verantwoordelijkheid ligt bij de ex domeinhouder.

Als een zorgaanbieder de domein zorg.nu had, dan was deze services er helemaal niet geweest.
ZinloosGeweldig @GertMenkel17 oktober 2024 16:54
Our approach relies on the fact that registries know when domain names are deleted and that they can observe DNS MX queries for these domain names at their authoritative name server infrastructure. Any observed MX query can indicate an attempt by a mail server to deliver email. If we can classify with a certain level of certainty that an MX query is the result of a mail server sending potentially sensitive information, then we want to warn the former registrant.
Our approach consists out of two phases: one preparationphase before starting with notifying registrants and one processing-phase that runs continuously. In this section, we describe these phases on a high level and Figure 4 visualizes the general workflow. In the sections that follow, we describe how we implement each phase at .
We kunnen natuurlijk ook gewoon het Technisch rapport dat in het artikel gelinkt wordt lezen in plaats van te speculeren over de implementatie...
ZinloosGeweldig @GertMenkel17 oktober 2024 16:57
SIDN wijst domeinen in quarantaine naar eigen nameservers waar ze bijhouden voor welke domeinen er nog MX querys gedaan worden.

Hoezo zouden mailservers die bij ontbrekende MX records terugvallen op de A records deze dans ontspringen? Die moeten toch echt eerst een mx query doen voordat ze weten dat er geen MX-records zijn.

[Reactie gewijzigd door ZinloosGeweldig op 17 oktober 2024 17:07]

Gameboy @ZinloosGeweldig17 oktober 2024 20:37
.NL domeinen in quarantaine bestaan helemaal niet meer in de .NL zone, er zijn dus geen DNS nameservers die reageren voor het domein, het domein is immers uit de .NL zone verwijderd.

De .NL nameservers zelf krijgen nog wel mee welke DNS records er opgevraagd zouden gaan worden, en dat triggered eventueel zo'n melding naar de houder van het domein.

En verder is het "fallback to A" mechanisme al heel lang onderdeel van de SMTP specificatie. Maar dat werkt uiteraard niet voor domeinen in quarantaine, want er zijn geen DNS servers die uberhaubt records teruggeven voor een domein in quarantaine.

Als een domein nog wel resolved, en geen MX record(s) heeft, dan zal de aanbiedende mailserver een A(AAA) record opvragen en de mail op dat IP adres proberen af te leveren, als er een record van dat type aanwezig is dan.

[Reactie gewijzigd door Gameboy op 17 oktober 2024 21:01]

MischaBoender @GertMenkel17 oktober 2024 09:51
Email dat via een A-record wordt afgeleverd zonder een MX record? Voor het eerst dat ik er van hoor, heb je daar voorbeelden van?

Maar om te weten of er een MX record bestaat zul je die query toch naar DNS moeten sturen, wat dan alsnog de waarschuwing kan triggeren. Ligt ook een beetje aan waar de query vandaan komt, want niet iedere MX record query zal een melding triggeren.
GertMenkel @MischaBoender17 oktober 2024 10:00
Uit de SMTP-spec van 2001:
If no MX records are found, but an A RR is found, the A RR is treated as if it was associated with an implicit MX RR, with a preference of 0, pointing to that host.
In RFC5321 staat dit anders opgeschreven, maar ik vind de herverwoording wat verwarrend:
If an empty list of MXs is returned, the address is treated as if it was associated with an implicit MX RR, with a preference of 0, pointing to that host.
Waar "the address" naar verwijst, is me hier niet helemaal duidelijk.

Natuurlijk moet je nog wel een actieve DNS hebben om te queryen, maar ik wilde alleen maar zeggen dat alleen op MX records zoeken helaas nog niet betekent dat je alle gebruikte maildomeinen gaat vinden.
beerse @MischaBoender17 oktober 2024 14:02
Volgens mij is het mx-record er vooral om mail naar de a-records om te leiden. In de begin dagen van email op internet werd mail afgeleverd bij het ip adres dat achter de naam stond. Met de introductie van het mx record is pas begonnen om de mail af te leveren op de machine die bij het mx-record genoemd staan en dan ook alleen maar als de machine zelf niet te benaderen was. De server achter het mx-record deed dan (mogelijk) haar best om het alsnog bij de juiste machine te krijgen.

Een mail adress is immers opgebouwd uit een gebruikersnaam@machinenaam waarbij de machinenaam een fully-qualified domein naam kan zijn.
wjwithagen @GertMenkel17 oktober 2024 21:38
Naar mijn beste weten is dat ook onderdeel van de standaard
xFeverr @Bamieater17 oktober 2024 08:40
Maar dan... ontvang je dus gewoon nog de email? En hoef je niet nog een email te krijgen dat iemand je probeert te mailen, want dat zie je namelijk zelf?
Anoniem: 278217 @xFeverr17 oktober 2024 08:47
En nee, DNS blijft niet actief in quarantaine.
Lijkt mij ook niet de bedoeling.
*edit* reageer op de verkeerde zie ik ;) sorry, nog geen koffie gehad.

[Reactie gewijzigd door Anoniem: 278217 op 17 oktober 2024 08:48]

Ulysses @xFeverr17 oktober 2024 08:48
Nee. Het werkt door de houder een mailtje te sturen, op het mailadres buiten het betreffende domein dat gebruikt is voor de registratie
Bas_f @Keypunchie17 oktober 2024 09:08
Haha. Ja precies. Zelfde grapje als wanneer iemand de helpdesk belt met de mededeling: "mijn internet doet het niet". ~ Vervelend. Kunt u even een mail sturen?

Maar voor de meeste domeinen geldt dat het administratief-contact waarschijnlijk gekoppeld is aan een andere domeinnaam. Tenzij dat na registratie is gewijzigd natuurlijk.
killercow 17 oktober 2024 09:28
Let wel, elke resolving dienst kan de zelfde datapunten maken, dat kan dus Ziggo, of cloudflare of google zijn als je hun DNS resolvers gebruikt.
Er zitten vast malafide partijen tussen die bij een interessant klinkende domainnaam in een niet lukkende lookup toch wel een antwoordje meesturen.
Anoniem: 454358 17 oktober 2024 10:05
Pas ook een .com geregistreerd, kreeg meteen allemaal zakelijke mail binnen, mails van banken,hypotheek en verzekeringen. Statements etc etc. velen beseffen denk ik helemaal niet wat er op mail allemaal binnenkomt
Robtimus @Anoniem: 45435817 oktober 2024 12:04
Toen ik een van mijn huidige domeinen kocht had ik daar initieel een catch-all mailbox voor ingesteld. Daar ben ik maar snel vanaf gestapt toen bleek dat er nog veel mail naar mijn domein werd gestuurd. Niet alleen spam maar ook mails gericht aan werknemers van de vorige eigenaar.
JDx 17 oktober 2024 08:42
JDX blijft van mij
Gameboy @JDx17 oktober 2024 21:07
Strikt genomen niet, maar blijft het van de SIDN ;)

Domeinregistraties zijn geen eigendom, maar je betaalt de (doorgaans jaarlijkse) fee aan een registrar (of aan de SIDN als je zelf registrar bent), om het exclusieve gebruiksrecht van die domeinnaam te hebben, voor zolang je die fee betaalt, *EN* zolang je niet tegen de registratie-/gebruiksvoorwaarden handelt.

Wanneer de SIDN vaststelt dat je onrechtmatige handelingen verricht met een .NL domein, of als iemand anders meer recht heeft op het gebruik van je domeinaam (denk aan merkenrecht), dan wordt jouw registratie van dat domein simpelweg ongedaan gemaakt (dat heet "doorhalen"), of overgedragen aan de rechtmatige(re) houder...

[Reactie gewijzigd door Gameboy op 17 oktober 2024 21:11]

Mark87 17 oktober 2024 09:51
Ook registrars ontvangen hier e-mails over en hebben best vaak een e-mail adres in de administratie dat niet eindigt met de domeinnaam. De betere registrars sturen deze meldingen door naar hun klant.
Microwilly 18 oktober 2024 11:11
Jammer dat Sidn. Voor domeinen whois privacy protectie zo moeilijk/onmogelijk heeft gemaakt.

https://www.sidn.nl/en/ne...d-from-nl-after-1-october

Als je nu een nl domein wilt voor een email adres. Stuur je gelijk woonplaats, straat, huisnummer etc mee.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq