Wat je moet doen voordat je een domeinnaam opzegt

Veel bedrijven onderhouden meerdere domeinnamen. Vaak worden verschillende domeinnaamextensies gebruikt, zoals .nl en .com. Er worden ook extra domeinnamen vastgelegd met alternatieve spellingswijzen van de bedrijfsnaam, of voor verschillende bedrijfstakken, handelsnamen en samenwerkingsverbanden.

Na verloop van tijd blijkt soms dat een domeinnaam niet meer actief wordt gebruikt. Deze domeinnamen worden soms snel opgezegd met het idee dat men niet onnodig wil betalen voor iets dat niet wordt gebruikt. Hierbij worden de risico's echter niet altijd goed ingeschat.

Wanneer een domeinnaam alleen geregistreerd is geweest maar nooit actief in gebruik is genomen voor zaken zoals e-mails of accounts voor websites en apps, kan de domeinnaam meestal zonder problemen worden opgezegd. Als de domeinnaam wel actief is gebruikt, bestaan er wel degelijk risico's.

Voorbeeld van risico’s

Datalekken via email

Een voorbeeld uit de praktijk kan de risico’s goed duidelijk maken. Een bedrijf wisselde na een overname de hoofddomeinnaam waar alle communicatie via verliep. Voor dit voorbeeld zullen we zeggen dat het ging om hetoudebedrijf.nl dat wisselde naar nieuwenaam.com.

De website en alle e-mailaccounts werden omgezet naar de nieuwe domeinnaam. De oude domeinnaam werd als secundair ingesteld, zodat bezoekers nog steeds via de oude domeinnaam naar de website konden gaan en dat e-mails die naar adressen @hetoudebedrijf.nl werden gestuurd aankwamen bij de corresponderende mailboxen @nieuwenaam.com.

Na enkele jaren werd er besloten om een aantal domeinnamen op te zeggen omdat werd gedacht dat deze niet meer werden gebruikt. De domeinnaam hetoudebedrijf.nl en een aantal andere domeinnamen werden opgezegd.

In het begin leek alles goed te gaan, de website en e-mail bleven werken. Maar na enkele weken werden de problemen zichtbaar.

Het eerste grote probleem was een datalek. Een bestaande klant had een document gemaild waarin gevoelige bedrijfsgegevens waren opgenomen. De klant deed al lange tijd zaken met het bedrijf, en de verzender had een e-mailadres van @hetoudebedrijf.nl in zijn mailprogramma staan, waardoor het niet naar het juiste (nieuwe) adres werd gestuurd. Dit lijkt misschien niet erg, maar het probleem ontstond doordat de domeinnaam hetoudebedrijf.nl was overgenomen door een nieuwe eigenaar, die ook mailaccounts had geactiveerd. Hierdoor ontving de verzender geen foutmelding en kwamen de gevoelige gegevens in handen van een derde partij.

Het bedrijf had geluk dat de nieuwe eigenaar niet kwaadwillend was, maar moest toch een hoog bedrag betalen om de oude domeinnaam terug te kopen. De fout was in dit geval gemaakt door de verzendende partij, maar als de oude domeinnaam door een kwaadwillende partij was gekocht, zou er gemakkelijk een phishing-aanval mee kunnen worden uitgevoerd.

Verloren accounts

Een ander probleem dat kan ontstaan, is dat er op verschillende plaatsen accounts zijn aangemaakt met een e-mailadres van het oude domein, zonder andere verificatiemogelijkheden. Deze accounts kunnen vaak lange tijd gebruikt worden. Echter, op het moment dat er opnieuw verificatie nodig is, bijvoorbeeld voor een wachtwoordherstel, kan het account plotseling onherstelbaar worden afgesloten. Uit veiligheidsoverwegingen zal een beheerder van het systeem in dit geval ook niet snel assisteren.

Malafide websites

Tot slot kan een kwaadwillende partij een opgezegde domeinnaam registreren en de bezoekers daarvan naar een eigen website leiden. Als dit niet direct wordt opgemerkt, biedt dit ook de hacker mogelijkheden voor phishing, vergelijkbaar met die welke worden genoemd bij het gebruik van e-mail hierboven.

Zelfs als het opgemerkt wordt, is het niet altijd mogelijk om er direct iets aan te doen. In het geval van een .nl-domeinnaam die is geregistreerd bij een Nederlandse hostingpartij, kan er meestal vrij snel actie worden ondernomen. Echter, als het gaat om een andere domeinnaamextensie of als de website of domeinnaam buiten Nederland wordt gehost, is het soms bijna onmogelijk om er iets aan te doen.

Advies

Uit het bovenstaande voorbeelden is duidelijk dat het opzeggen van een domeinnaam bepaalde risico’s met zich meebrengt. Daarom raden wij klanten aan om een domeinnaam die eenmaal actief in gebruik is geweest, te blijven behouden. De kosten voor de meeste domeinnaamextensies zijn relatief laag, dus het is zelden de moeite waard om uit te zoeken waar deze eventueel nog meer voor gebruikt kunnen worden.

Soms is het echter noodzakelijk om het gebruik van een domeinnaam volledig stop te zetten, bijvoorbeeld wanneer deze wordt verkocht en overgenomen door een andere partij.

In dat geval is het belangrijk om zorgvuldig te onderzoeken waar de domeinnaam voor wordt gebruikt en welke accounts daaraan gekoppeld zijn. Hiervoor moet het bedrijf idealiter een overzicht hebben dat kan worden verkregen uit de gebruikte password manager. Er bestaat altijd een risico dat een medewerker een account heeft aangemaakt zonder dit in het wachtwoordbeheerprogramma op te nemen, maar alle gevoelige accounts moeten vastgelegd zijn.

In ieder geval is het raadzaam om voor elk van de ooit gebruikte e-mailadressen van de domeinnaam wachtwoordherstelmaatregelen uit te voeren bij grote platforms zoals Google, Microsoft, Facebook en X/Twitter, om te controleren of er accounts bestaan. Het feit dat accounts van deze platforms op andere plaatsen kunnen worden gebruikt om in te loggen, maakt het belangrijk om deze extra te controleren en te verwijderen.

Daarnaast is het van belang om in ieder geval de relaties te benaderen waarmee actief wordt samengewerkt, om hen op de hoogte te stellen van de aanpassing. Na deze melding moet alle mail naar het domeinnaam gedurende een periode volledig geblokkeerd worden, zodat afzenders duidelijk merken dat zij de e-mailadressen in hun contacten moeten aanpassen.

De risico’s, tijd en bijbehorende kosten om dit alles uit te zoeken en accounts te sluiten moeten meegenomen worden bij het overwegen van de verkoop van een domeinnaam.