Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Grote mailverwerkers eisen gebruik van SPF, DKIM en DANE

Mailbeheerders moeten haast maken met implementatie moderne beveiligingsstandaarden

Handen die een laptop bedienen, waaruit envelopjes omhoog dwarrelen, als ware er e-mails verzonden worden.
  • woensdag 25 oktober 2023

De grootste mailverwerkers ter wereld gebruiken steeds vaker moderne beveiligingsstandaarden om de authenticiteit van berichten en afzenders te valideren.

Vanaf eind vorig jaar controleert Google de SPF-records van een (random) gedeelte van de binnenkomende mail. Wordt een bericht afgeleverd door een systeem dat niet geautoriseerd is voor het afzenderdomein, dan wordt het betreffende bericht geweigerd. Specifiek voor bulkverzenders van mail heeft Google nog aanvullende maatregelen bekendgemaakt; die gaan begin volgend jaar in.

Microsoft op zijn beurt heeft aangekondigd vanaf volgend voorjaar DANE voor binnenkomende mail te ondersteunen op de Exchange Online clouddienst (onderdeel van Office 365). In eerste instantie zal dat opt-in zijn, maar in de loop van het jaar zullen nieuwe maildomeinen steeds vaker op de DANE+DNSSEC-infrastructuur worden ondergebracht. Op die manier krijgt het transport van binnenkomende berichten een extra beveiliging.

Geautoriseerde mailservers

SPF is een relatief eenvoudige manier om een maildomein te beveiligen. Dat doe je door een speciaal TXT-record aan te maken waarin je alle namen en/of adressen opneemt van de servers (MTA's) die namens jouw domein berichten mogen versturen. Een ontvangende mailserver (een MX-gateway) die SPF-validatie ondersteunt, controleert of de aanbiedende server inderdaad voorkomt in de SPF-lijst voordat hij een binnenkomend bericht accepteert voor verdere verwerking (aflevering). Op die manier wordt mail spoofing (het versturen van berichten met een vervalst afzenderadres) voorkomen. Alleen berichten afkomstig van servers die met het SPF-record zijn geautoriseerd worden immers geaccepteerd.

En andersom: door SPF-records in te stellen voor je maildomein, verlaag je de kans dat je berichten ten onrechte in de spambox belanden. De ontvanger kan immers in het DNS zien dat het betreffende bericht door een geautoriseerde server wordt aangeboden.

SPF, DKIM en Google

Google raadt aan om SPF of DKIM (een andere mailbeveiligingsstandaard, gebaseerd op digitale handtekeningen) te gebruiken om te zorgen dat berichten naar Gmail inderdaad hun eindbestemming bereiken.

Van deze maand is het bericht dat Google specifieke eisen gaat stellen aan bulkverzenders van mail. Wie meer dan 5.000 berichten per dag naar Gmail-adressen verstuurt, moet aan deze regels voldoen:

  • een geldige SPF- of DKIM-validatie

  • een makkelijk te gebruiken (one-click) unsubscribe-button die binnen 2 dagen werkt [1]

  • geen spam, dat wil zeggen dat je berichten niet een te hoge spamscore mogen hebben [1]

Vanaf februari volgend jaar moeten alle bulkverzenders aan deze eisen voldoen. Behalve dat deze maatregelen gelden voor individuele berichten, kan een gebrekkige naleving natuurlijk ook consequenties hebben voor de verzender zelf; een slechte reputatie (dat wil zeggen: een te hoge spam-rate) heeft dan consequenties voor de "deliverability" van al je berichten.

DANE en Microsoft

DANE is een generieke standaard om TLS-certificaten vast te pinnen op een internetdienst (bestaande uit een host met bijbehorende protocol en port). Dat doe je door een TLSA-record aan te maken met daarin de hash-waarde van het server- of intermediate certificaat. Een client (voor mail is dat dus een MTA die een bericht wil afleveren) kan de informatie in dat TLSA-record gebruiken om te controleren of het certificaat dat hij van de ontvangende server (een MX-gateway) aangeboden krijgt, inderdaad bij de betreffende server hoort.

Omdat de DANE-standaard het gebruik van DNSSEC verplicht stelt, is deze methode cryptografisch waterdicht. Daarmee biedt DANE bescherming tegen downgrade-aanvallen en Man-in-the-Middle (MITM)-aanvallen. Een client kan nu immers helemaal los van de SMTP-verbinding in het DNS zien dat een server (START)TLS ondersteunt en welk certificaat daarbij hoort.

Vanaf maart 2024 biedt Microsoft zijn klanten de mogelijkheid om hun maildomeinen van DANE-beveiliging te voorzien. Vanaf juli zal Microsoft nieuwe domeinen steeds vaker direct onderbrengen op de nieuwe infrastructuur. Voor beheerders betekent dit dat hun MX-records niet langer naar de huidige naam '<domeinnaam>.mail.protection.outlook.com' moeten wijzen, maar naar de nieuwe naam '<domeinnaam>.mx.microsoft'. Deze stap is noodzakelijk omdat alleen de nieuwe DNS-hiërarchie DNSSEC ondersteunt.

De validatie van DANE bij het uitsturen van mailberichten doet Microsoft sinds begin vorig jaar.

Haast

Maildomeinnaamhouders – dat wil zeggen: houders van domeinnamen die ook of alleen voor e-mail worden gebruikt – moeten nu echt haast gaan maken met de implementatie van de moderne beveiligingsstandaarden voor mail.

Heb je je e-mail ondergebracht bij een dienstverlener, dan moet je die vragen hoe het zit met de ondersteuning van SPF, DKIM, DMARC en DANE.

Draai je een eigen mailinfrastructuur, dan zal je deze standaarden zelf moeten implementeren of aanzetten. Om je daarbij te helpen hebben we 4 hands-on artikelen gepubliceerd die je stap voor stap meenemen in de configuratie van Exim en Postfix:

Gerelateerde artikelen