E-Mails an aufgegebene Domains: .nl-Registry warnt mit LEMMINGS

Domains sind wichtig. Diese werden bekanntermaßen nicht nur im Web angesurft und zahlreiche weitere Dienste verwendet, sondern dienen auch dem Empfang von E-Mails. Wer die Domain beherrscht, bekommt auch die Post – und das kann bei unsachgemäß aufgegeben Domains zu einem schlimmen Datenschutzproblem werden. Die für den .nl-Adressraum zuständige Registry Stichting Internet Domeinregistratie Nederland, kurz SIDN, geht das Thema mit einem Warnverfahren an. Mithilfe von LEMMINGS, das kurz für "deLetEd doMain MaIl warNinG System" steht, sollen Domain-Besitzer im von der SIDN verwalteten Bereich künftig automatisch gewarnt werden, wenn sie eine Adresse aufgeben, dort aber noch regelmäßig E-Mails aufschlagen. Dann können die Nutzer ihre Domain gegebenenfalls zurückholen, bevor sie in falsche Hände gerät.

Leaks ganz ohne Hacks

Die Motivation hinter LEMMINGS, das von SIDN-Mitarbeiter Moritz Müller auf der ONE Conference in Den Haag vorgestellt wurde, hat einen sehr ernsten Hintergrund. In den Niederlanden kam es in den vergangenen Jahren vermehrt zu unerwünschten Leaks sensibler E-Mails – und das ganz ohne Hacks. So gelangten wichtige Daten einer medizinischen Jugendeinrichtung in fremde Hände – und sogar Informationen, die eigentlich für die Nationalpolizei gedacht waren. Den Vorfällen gemeinsam ist, dass es sich dabei stets um Domains handelte, die der ursprüngliche Besitzer aus Geld- oder Faulheitsgründen hatte verfallen lassen. Angreifer und/oder Interessierte registrierten die Domain dann selbst und setzten einen Mail-Server auf – schon kamen die nicht für sie gedachten Informationen an.

Was nach einem eigentlich einfach zu lösenden Problem klingt, ist keins. Große Organisationen verfügen mittlerweile über einen großen Schatz an Domains, deren Verwaltung nicht immer professionell abläuft. Kommt Kostendruck hinzu, geht eine seit Jahren in Verwendung befindliche Domain schon mal an unerwünschte Personen. So hatte die besagte niederländische Nationalpolizei Medienberichten zufolge noch 2017 mehr als 3600 Domains im Besitz, von denen "einige" verloren gegangen sein sollen. Wird nicht innerhalb des von der Registry vorgegeben Quarantänezeitraums – der aktuell 40 Tage beträgt – eine Rückholung gestartet, ist die Domain mit all ihren ankommenden E-Mails unwiederbringlich weg.

Warnung vor dem Verlust

Zuvor greift LEMMINGS ein – zumindest für .nl-Domains. Die Registry prüft dazu im Quarantänezeitraum über ihre Domainserver ab, ob noch relevante E-Mails an die Adresse gehen. Das erfolgt automatisiert nach Absenderadresse (also nicht nach Inhalt, der unsichtbar bleibt) und schließt dank Filtersystemen Spam oder Benachrichtigungen von Social-Media-Angeboten wie Facebook aus. Erkennt LEMMINGS signifikanten E-Mail-Traffic, geht eine Benachrichtigung an die bei der Registry hinterlegte E-Mail heraus, in der gewarnt wird – inklusive der Information, wie man die Domain gegebenenfalls zurückholt. Ex-Besitzer können dann entscheiden, ob sie das machen wollen.

LEMMINGS lief laut Müller bereits in einem Echtbetrieb für neun Monate und konnte dabei 600.000 Domains analysieren. Täglich werden vier Billionen DNS-Requests überprüft. Der Traffic im .nl-Adressraum ist nicht klein: Es handelt sich immerhin um die drittgrößte Country-Code-Top-Level-Domain (ccTLD) Europas. Nach Versand der E-Mail an die Betroffenen müssen diese entscheiden, was sie tun wollen. Es habe wenig Beschwerden über die Mails gegeben und das Projekt sei positiv von der niederländischen Internet-Community angenommen worden, sagt Müller. Bei besonders gefährdeten Domains konnten die sogenannten Cancel-Requests immerhin mehr als versiebenfacht werden. Das Problem bleibt natürlich, dass die Besitzer dann ihre Domain gegebenenfalls für einen längeren Zeitraum weiter bezahlen müssen, um Leaks zu vermeiden – was angesichts der Gefahr und der relativ geringen Kosten vermutlich die sinnvolle Herangehensweise ist, bis wirklich keine E-Mails mehr ankommen. LEMMINGS läuft derzeit noch als Pilotprogramm. Bis Ende des Jahres will die SIDN mit ihren Registrars besprechen, wie es weitergeht, sagt Müller. Er hofft auch, dass sich andere Registries für das Verfahren interessieren – schließlich betrifft das Abgreifen von sensiblen E-Mails nicht nur die .nl-TLD, sondern alle Domains.

(bsc)