Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

LEMMINGS waarschuwt .nl-houders bij mogelijk mailverkeer naar hun opgezegde domeinnamen

Nieuw prototypesysteem draagt bij aan het voorkomen van datalekken

E-mail icon op een light-board met grote pixels

Opgezegde domeinnamen waarnaar nog mailverkeer wordt verstuurd kunnen tot een datalek leiden. Verschillende organisaties hadden hier de afgelopen jaren mee te maken, met bijvoorbeeld als gevolg dat privacygevoelige informatie op straat kwam te liggen. Het liet ons zien dat we voor .nl een mechanisme nodig hebben waarmee we organisaties en individuen helpen zich tegen dit soort securityincidenten te beschermen. Bij SIDN Labs prototypten we hiervoor een nieuw systeem (LEMMINGS) en startten we een pilot samen met .nl-registrar Argeweb om het te evalueren. In deze blog leggen we uit wat het probleem is en hoe LEMMINGS kan helpen. In onze volgende blog gaan we in op de architectuur en de technische werking van het systeem.

Ben je een voormalige houder van een opgezegde .nl-domeinnaam en heb je een e-mail van ons ontvangen dat er mogelijk nog e-mail naar de opgezegde domeinnaam wordt verstuurd? Check dan onze FAQ voor al je vragen (en de antwoorden van onze supportcollega’s).

Politie had hack kunnen voorkomen Groot datalek bij jeugdzorgorganisatie had voorkomen kunnen worden

E-mail is still going strong

Mail is een van de oudste internettoepassingen en bestaat al sinds begin jaren 70. Het is niettemin nog steeds enorm populair, ondanks de opkomst van bijvoorbeeld chatprogramma’s en videobellen. Uit onze eigen analyse met behulp van onze crawler blijkt bijvoorbeeld dat zo’n 73% van alle .nl-domeinnamen een DNS-mailserverrecord heeft, wat betekent dat ze zijn ingericht voor mailgebruik. Op onze statistiekenwebsite zie je ook dat we op onze DNS-servers de afgelopen 12 maanden 75 tot 100 miljoen zoekopdrachten per dag voor dit soort records verwerkten, wat een grove indicatie is voor het aantal mails dat mensen via .nl-domeinnamen uitwisselen (o.a. spam tellen we in onze cijfers ook mee). E-mail is van oudsher een onbeveiligd systeem en de afgelopen jaren heeft de technische internetgemeenschap daarom verschillende beveiligingstandaarden voor e-mail ontwikkeld. Voorbeelden zijn SPF, DKIM en DMARC (de check voor jouw e-mailadres kun je doen op internet.nl). Dit gaat echter om protocollen voor het veilig versturen en ontvangen van mails en ze bieden geen bescherming bij opgezegde domeinnamen.

Het securityprobleem van opgezegde domeinnamen

Het probleem is dat er een datalek kan ontstaan als een houder een domeinnaam opzegt en een nieuwe houder dezelfde domeinnaam opnieuw registreert. In dit soort gevallen kan het voorkomen dat mail bestemd voor de voormalige houder terecht komt bij de nieuwe, die mogelijk kwade bedoeling heeft. Dit gebeurde bijvoorbeeld al eens bij de politie en bij zorginstellingen. Dit werkt technisch als volgt. Stel dat Alice de houder van de domeinnaam example.nl is en die opzegt. Example.nl komt dan in quarantaine terecht, een ‘afkoelperiode’ die voor .nl 40 dagen is. Binnen deze periode kan alleen Alice de naam her-registreren (uit quarantaine halen). Doet ze dat niet, dan komt de naam na die 40 dagen weer vrij voor registratie voor iedereen. Gebruiker Corinne kan example.nl dan bijvoorbeeld her-registreren en een mailserver inrichten op die domeinnaam om mail bestemd voor Alice te ontvangen. Als Bob vervolgens een email stuurt naar alice@example.nl, dan komt de mail binnen op de server van Corinne. Deze kan onversleutelde mail van Bob voor Alice vervolgens lezen en zo mogelijk gevoelige informatie in handen krijgen. Een bijkomend probleem is dat Alice meestal niet op de hoogte is van de ontstane situatie, omdat ze geen melding krijgt dat Bob nog mail verstuurt naar alice@example.nl. De enige die een melding krijgt is Bob. Hij krijgt een zogenaamd ‘bounce’-bericht in zijn inbox dat het mailadres van Alice niet meer bestaat, totdat een andere gebruiker example.nl opnieuw registreert (in ons voorbeeld Corinne).

Hoe kan SIDN helpen?

Als beheerder van alle 6.2 miljoen .nl-domeinnamen kunnen we zien wanneer er waarschijnlijk nog gemaild wordt naar mailadressen die gekoppeld waren aan een opgezegde domeinnaam. Als Bob bijvoorbeeld naar alice@example.nl mailt, dan zoekt de mailserver van Bob in het Domain Name System (DNS) naar de mailserver van example.nl, ook als Alice die domeinnaam heeft opgezegd. Onze DNS-servers ontvangen en beantwoorden uiteindelijk deze DNS-zoekopdrachten en op deze manier hebben we voor een deel zicht op dit soort data (DNS-resolver operators zoals Google Public DNS en ISP’s zien het bijvoorbeeld ook). Bij SIDN Labs prototypten we daarom een systeem dat automatisch DNS-verkeer voor opgezegde domeinnamen analyseert. Het stuurt daarna de voormalige houder (zoals Alice) automatisch een waarschuwing als het op basis van deze en andere datasets inschat dat er nog legitieme mail wordt verstuurd naar de domeinnaam (bijv. door Bob). Het systeem heet LEMMINGS, wat een creatieve afkorting is van ‘deLetEd doMain MaIl warNinG System’.

Hoe nieuw is LEMMINGS?

Voor zover wij weten is LEMMINGS het eerste systeem wereldwijd dat houders waarschuwt dat er mogelijk nog mail wordt gestuurd naar hun opgezegde domeinnaam. Complementair aan ons werk is het stappenplan dat het Expertisecentrum voor cybersecurity in de zorg (ZCERT) heeft ontwikkeld om datalekken bij domeinnaamopheffingen te helpen voorkomen. LEMMINGS probeert houders echter op een intelligentere en proactieve manier te helpen.

Welke datasets gebruikt LEMMINGS?

LEMMINGS maakt gebruik van verschillende datasets die we bij SIDN Labs hebben opgezet, waaronder ENTRADA (60+ terabyte aan DNS-verkeer) en van DMAP (honderden miljoenen historische security- en gebruiksmetingen van .nl-domeinnamen). LEMMINGS gebruikt ook externe databronnen zoals Spamhaus, een veel gebruikte anti-spam blocklist. Het systeem analyseert elke dag het DNS-verkeer van de voorgaande dag voor alle opgeheven domeinnamen. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mail-gerelateerde DNS-query’s per dag (MX-query, voor de experts).

Voor welke opgeheven domeinnamen sturen we een waarschuwing?

Het principe dat we voor LEMMINGS hanteren is dat we een waarschuwing versturen voor een opgeheven domeinnaam als er nog legitieme mail naar een opgeheven domeinnaam lijkt te worden verstuurd.

De definitie van ‘legitieme mail’ die wij voor LEMMINGS hanteren is: alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Dat wil zeggen dat we o.a. spam, marketingmail, socialmedia (Facebook, LinkedIn, Twitter e.d.) en bulk-email niet als legitiem zien.

Filters

We maken gebruik van verschillende zelfontwikkelde filters om DNS-verkeer van niet-legitiem verkeer automatisch te kunnen verwijderen, bijvoorbeeld van spam- of reclamemailcampagnes. Als er na het filteren nog steeds DNS-query’s overblijven, is er een grotere kans dat dit legitieme mail was.

Sommige van onze filters bestaan uit statische lijsten met verdachte IP-adressen of autonome systemen. De meeste filters genereert LEMMINGS echter elke dag opnieuw zodat deze zo actueel mogelijk zijn. Hiervoor gebruiken we informatie uit externe bronnen zoals Spamhaus. Ook filteren we afzenders van DNS-aanvragen, die bijvoorbeeld veel mail gerelateerde DNS-query’s sturen voor domeinnamen zonder gekoppelde mailserver. Meer details over onze filters lees je op onze informatiepagina over LEMMINGS.

Hoge risicocategorie

Daarnaast probeert LEMMINGS ook een inschatting te maken of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Denk aan een zorginstelling of een advocatenkantoor. Voor dit soort ‘hoogrisicodomeinnamen’ ontwikkelden we een relatief eenvoudig regelgebaseerd algoritme, dat domeinnamen automatisch in een risicocategorie indeelt. Dit gebeurt bijvoorbeeld op basis van een door ons samengestelde, vaste lijst aan trefwoorden zoals ‘huisarts’ of ‘advocatenkantoor’. Hiermee herkennen we bijvoorbeeld advocatenkantoor-example.nl. Ook onderzoeken we of de voormalige website (in de periode voor opzegging gecrawld), informatie bevat waaruit de bedrijfsactiviteiten kunnen worden afgeleid, zoals bijvoorbeeld zorg of overheid.

Studenten van de Universiteit van Amsterdam hebben voor ons ook onderzoek gedaan naar de risico's rondom mail en niet-bestaande domeinnamen. De resultaten van dit onderzoek vind je hier: https://rp.os3.nl/2019-2020/p19/report.pdf.

Wanneer verstuurt LEMMINGS een waarschuwingsmail?

Op dag 30 van de quarantaineperiode van 40 dagen bepaalt LEMMINGS of het een waarschuwing gaat versturen. Dit doet het systeem op basis van de statistische data over de voorliggende 10-daagse periode van dag 20 tot 30 van de quarantaineperiode. De voormalige domeinnaamhouder heeft op dat moment nog 10 dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. De statistieken van de eerste 20 dagen van de quarantaineperiode gebruikt LEMMINGS (nog) niet omdat het DNS-verkeerspatroon aan het begin van de quarantaineperiode vaak wat grilliger is. Dit kan bijvoorbeeld het gevolg zijn van mailservers die blijven proberen om mail af te leveren of automatische systemen.

Privacy- en ethische overwegingen

Respect voor de privacy van .nl-domeinnaamhouders en .nl-gebruikers staat bij ons hoog in het vaandel. Het is een integraal onderdeel van alle projecten die we uitvoeren. We stelden daarom ook voor LEMMINGS een privacypolicy op, net als voor alle onderzoeksprojecten waarbij we persoonsgegevens verwerken. In de policy voor LEMMINGS leggen we bijvoorbeeld uit hoe we de data verwerken die we nodig hebben om te bepalen of een opgeheven domeinnaam in de hoge risicocategorie valt.

Na afloop van de monitoringperiode, anonimiseren we de privacygevoelige gegevens (zoals mailadres en naam) door het verwijderen van deze gegevens, we bewaren de overige statistische gegevens nog maximaal 3 jaar. Zo kunnen we deze gebruiken voor het verbeteren van onze diensten en voor (wetenschappelijk) onderzoek.

We benadrukken expliciet dat we in het DNS-verkeer niets kunnen zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger.

Pilot met Argeweb

Op 1 juni startten we samen met .nl-registrar Argeweb een pilot met ons prototype van LEMMINGS. Gedurende 1 maand testen we het systeem samen met hen in de praktijk, voor alle domeinnamen onder het beheer van Argeweb. Het doel van deze pilot is te leren: (1) hoe goed het systeem werkt en (2) wat de ervaringen van domeinnaamhouders zijn. Het tweede doel vinden we belangrijk omdat we willen weten hoe goed voormalige houders de waarschuwing begrijpen en omdat we hen niet onnodig ongerust willen maken. We hebben daarom veel tijd gestoken in het uitwerken van de boodschap in de waarschuwingsmail, ook omdat het probleem voor veel houders complex kan zijn. De resultaten van de pilot gebruiken we om het prototype van LEMMINGS en de waarschuwingsmail verder te verbeteren en voor een publicatie over onze lessons leared.

De toekomst van LEMMINGS

We verwachten LEMMINGS vanaf juli in te zetten voor álle opgeheven domeinnamen in de .nl-zone, tenzij uit de pilot blijkt dat het systeem grotere aanpassingen vereist. Daarna gaan we aan de slag met nieuwe features voor LEMMINGS, zoals ondersteuning van een opt-out voor de waarschuwingsmail en het voor de domeinnaamhouder beschikbaar maken van de meet- en analysedetails van een domeinnaam. Als LEMMINGS minimaal 6 maanden volledig operationeel is, analyseren we de resultaten om het effect van het systeem te bepalen. Hiervoor analyseren we het aantal uit quarantaine gehaalde domeinnamen, waarvoor LEMMINGS een waarschuwing heeft verstuurd. Deze aantallen vergelijken we dan met de situatie vóórdat we LEMMINGS gebruikten.

Artikel door:

Maarten Wullink

Research engineer

Moritz Muller

Moritz Müller

Research engineer

Cristian Hesselman

Cristian Hesselman

Directeur SIDN Labs