Domanda:
Qualcuno può leggere la mia posta se perdo la proprietà del mio dominio?
Skiddie Hunter
2019-01-03 11:20:06 UTC
view on stackexchange narkive permalink

Supponiamo che io abbia un server configurato con un indirizzo email come me@mydomain.tld. Ora ho distribuito il mio biglietto da visita con l'indirizzo e-mail a tutte le persone in tutto il mondo e continuano a inviarmi e-mail riservate. Ma ora non ho più voglia di pagare per il dominio miodominio.tld.

Ora se qualcuno acquista il dominio e crea un record mx che punta al proprio server di posta, può leggere tutte le mie email riservate le persone mi stanno inviando correttamente?

No, non posso dire loro di smettere di inviare messaggi riservati perché non posso contattarli.

Esistono modi per impedirlo o l'unica opzione che ho è pagare il dominio fino alla morte?

Quanto ti costa il tuo dominio ogni anno?
Circa $ 14.Ancora più o meno per uno studente.Ma grazie per la tua risposta.Probabilmente lo pagherò per altri 5 anni e poi lo lascerò scadere.
$ 14 all'anno non sono niente.Pagare $ 140 per un periodo di _10_ anni non è niente (non sarai uno studente per sempre!).Rinuncia a una tazza di caffè durante un giorno solo una volta ogni _ tre mesi_ e si ripagherà a tempo indeterminato.
Perché non puoi contattare "loro"?Chi sono esattamente?E che tipo di email "riservate" ti invieranno?A seconda di questi dettagli, potresti essere in grado di mitigare i rischi in qualche modo (inviando uno o più avvisi ad alcuni o tutti i tuoi contatti, ecc.).Altrimenti, il problema che hai sollevato è impossibile da risolvere completamente in teoria.
Diciamo che il mio indirizzo e-mail è nell'impronta del mio sito web.Lo sanno tutti ma io non conosco il loro.Non voglio che altre persone si mettano nei guai solo perché non sapevano che non potevano più inviarmi un'email.Volevo anche utilizzare il mio indirizzo email per le registrazioni online.E se ora mi inviano i dati della carta di credito a questo indirizzo email, sono sempre legato al dominio.Perché la posta elettronica non è stata abolita e sostituita da qualcosa di più nuovo e migliore, ad esempio basato sulla sicurezza?La posta elettronica è stata inventata più di 50 anni fa.(Domanda retorica)
Hai pensato di pagare per qualche anno in più e di impostare una "risposta automatica fuori sede" o "ferie" dicendo che il dominio sarà morto dopo X anni?È quello che ho fatto con il mio account Gmail quando ho divorziato da Google.Non garantirà il 100%, ma quante persone probabilmente non ti contatteranno per 5 anni e poi lo faranno all'improvviso?Immagino che dipenda se questa è una domanda di vita reale o solo accademica.
Se il tuo indirizzo email è associato ad alcuni account, vai lì e modificalo.Se viene utilizzato in account del tutto insignificanti che potresti non ricordare nemmeno di avere, puoi dimenticartene.Puoi inviare una mail a tutti i tuoi contatti per avvisarli, o magari inviare un avviso solo a quelli più importanti.Per quanto riguarda le persone sconosciute casuali che cercano di contattarti, beh, chi se ne frega, tecnicamente non è un tuo problema.Ad ogni modo, oltre a quanto ho detto, suggerirei anche di mantenere il dominio ancora per qualche anno.
@SkiddieHunter L'invio di e-mail informative sulla _carta di credito_ non è mai stata una scelta consigliabile.Un sito Web dovrebbe utilizzare HTTP GET / POST su TLS per lo scambio di informazioni sulla carta di credito.E per un'attività secondaria mentre sei uno studente, dovresti davvero usare qualcosa di più come PayPal in cui non hai mai bisogno di conoscere o toccare le informazioni della carta di credito dei clienti.Anche se continui a possedere il dominio, la posta elettronica non è mai stata un modo sicuro per scambiare informazioni.È generalmente non crittografato e visualizzabile da chiunque in qualsiasi punto del percorso di trasmissione.Inoltre, SMTP ha circa 37 anni, non più di 50. :)
@SkiddieHunter: Re: "Perché la posta elettronica non è stata abolita e sostituita da qualcosa di più nuovo e migliore, ad esempio basato sulla sicurezza?"Come ti aspetti di mantenere la proprietà di un identificatore con il quale puoi essere raggiunto senza una sorta di sistema equivalente alla registrazione del dominio, in un modo permanente per decenni?Gli indirizzi email dei domini registrati più di 25 anni fa sono ancora accessibili.Pensi onestamente che lo otterrai da chiunque offra materiale scherzoso controllato privatamente destinato a sostituire la posta elettronica?
@R.In effetti, conosco anche persone che hanno ancora indirizzi aol :)
"Supponiamo che il mio indirizzo e-mail sia nell'impronta del mio sito web" - L'impronta è modificabile.E a quanto pare, possiedi un altro dominio (quello con il sito web)?
Non penso che sia molto probabile che qualcuno invii informazioni sensibili dal nulla a un dominio abbandonato, ma sì, se controlli quel rischio (come ex ubriachi che ti inviano le immagini del nodo), è una buona idea mantenere il dominioregistrato.
Otto risposte:
forest
2019-01-03 11:32:05 UTC
view on stackexchange narkive permalink

Ora, se qualcuno acquista il dominio e crea un record mx che punta al proprio server di posta, può leggere tutte le mie email riservate che le persone mi stanno inviando, giusto?

Se registrano il nome di dominio, da quel momento in poi riceveranno tutte le email che gli verranno inviate. Non avranno accesso retroattivo alle e-mail inviate in precedenza. Non c'è niente che possa impedirlo fondamentalmente.

Ci sono modi per impedirlo o l'unica opzione che ho è pagare il dominio fino alla morte?

Puoi richiedere che tutti i tuoi contatti crittografino le loro comunicazioni con PGP usando la tua chiave pubblica, il che impedirà a chiunque ottenga il dominio in seguito di leggere nuovi messaggi, ma richiede che le persone utilizzino PGP, che potrebbe non essere probabile se stai distribuendo l'indirizzo a persone comuni in un biglietto da visita. Tuttavia, se mantieni o almeno rinnovi il dominio per, diciamo, 20 anni, quante possibilità ci sono che qualcuno invii seriamente un'email a un indirizzo così antico?

Ho chiesto la domanda sul Law Stack Exchange se ci sarebbe stato o meno un ricorso legale a qualcuno che utilizzava il tuo dominio, e la risposta era no: https://law.stackexchange.com/q/35917/15724

A meno che non capiti già a OP, registrare un marchio costa molto di più che registrare un dominio.
@FedericoPoloni Non è necessario registrare esplicitamente un marchio.Usa semplicemente il simbolo del marchio (™) accanto a un logo o una frase e otterrai un certo livello di protezione in molti paesi.Tuttavia, ottenere un marchio registrato (®) costa denaro.La mancanza di un marchio registrato potrebbe, tuttavia, impedirti di richiedere un risarcimento danni ai sensi del [15 US Code § 1117] (https://www.law.cornell.edu/uscode/text/15/1117) negli Stati Uniti e le protezioniessere più debole.Vedi anche [qui] (https://law.stackexchange.com/a/34011/15724).
La protezione del marchio contro altre persone che registrano un dominio ha i suoi limiti.Funzionerà contro lego.newtld dato che Lego è un marchio mondiale e un marchio registrato, anche se potrebbero dover rivendicarlo quando newtld viene creato per essere sicuri di averlo.Potrebbe non funzionare con speterson.com, anche se esiste una società chiamata Speterson con un marchio.Se Steven Peterson lo registra e lo utilizza per qualcosa che non è in conflitto con quel marchio, la società Speterson non avrà un caso facile.
@Bent È vero, ecco perché ho specificato che le protezioni per i marchi non registrati sono deboli.
@Bent Inoltre, non dimenticare che i marchi sono in realtà solo per il rischio di confusione.Finché Google non apre le registrazioni per .google tld, è improbabile che le persone considerino "lego.google" qualcosa di diverso dalla "pagina di Google su lego", il che significa che non sarà ancora un caso facile se Legovuole chiudere questo dominio.
I marchi avranno un impatto ZERO sulla capacità di qualcuno di occuparsi di un dominio con nome di marchio.È una libertà fondamentale di Internet possedere qualsiasi dominio che si desidera che sia disponibile.Se qualcuno possedeva Lego.com e stava effettivamente scambiando da esso con un prodotto che confondeva i clienti Lego, allora potrebbe essere responsabile per violazione del marchio ... ma non ci sarebbe alcun mandato legale per togliere lego.com dai suoi proprietari.Se Lego vuole lego.chair dalla persona che possiede lego.chair, possono comprarlo da loro.
@hiburn8 Grazie per la correzione.Rimuoverò il reclamo relativo al marchio.
* "Non avranno accesso retroattivo alle e-mail inviate in precedenza." * Questa affermazione dovrebbe venire con un piccolo avvertimento.Supponiamo che OP abbia un account webmail da qualche parte, che è legato a questo dominio per scopi di recupero della password.* A meno che * OP non si assicuri di rimuovere quell'indirizzo e-mail dal processo di recupero dell'account webmail, avere il controllo del dominio potrebbe consentire a un utente malintenzionato di assumere il controllo dell'account webmail, consentendo così l'accesso a tutte le vecchie e-mail memorizzate nelaccount webmail.** Ora, ** questo è uno scenario particolarmente * probabile *?Direi di no.Ma è possibile.
@hiburn8 Non è corretto.Esiste una [procedura di controversia sul nome di dominio] (https://en.wikipedia.org/wiki/Uniform_Domain-Name_Dispute-Resolution_Policy) specifica per casi come questo e l'uso in mala fede di un dominio (vendita di lego falsi da lego.com, ad esempio), è * esplicitamente * un motivo per cui un nome di dominio viene sottratto al suo attuale proprietario.
"richiedi che tutti i tuoi contatti crittografino le loro comunicazioni con PGP" e venga rapidamente negato, rendendo dolorosamente chiaro come PGP praticamente non esista per nessuno che non sia ai margini della comunità di infosec.
Se vuoi che le persone utilizzino PGP, dovresti anche stampare un'impronta digitale della tua chiave sul biglietto da visita.
@Alexander Esattamente il motivo per cui probabilmente non funzionerebbe per la stragrande maggioranza delle persone.Ora, se stai distribuendo quel biglietto da visita con un'impronta digitale PGP al DEF CON o a una festa per la firma delle chiavi, potresti avere più fortuna ...
L'idea di PGP è assolutamente impossibile nella pratica.Se l'OP può informare i suoi contatti di usare PGP, può dire loro semplicemente di smettere di usare questo indirizzo.E cosa fare con le persone che hanno il biglietto da visita e non hanno ancora inviato un'email?
"[usa PGP], il che potrebbe non essere probabile se stai distribuendo l'indirizzo a persone comuni in un biglietto da visita" - Direi che anche darlo alla maggior parte delle persone * tecniche * richiederebbe loro di impostare una coppia di chiavi.Non ho incontrato molte persone che lo usano.
Dennis Jaheruddin
2019-01-03 18:52:01 UTC
view on stackexchange narkive permalink

Come altri già menzionati: sì, mantenere un nome di dominio è l'unico modo per essere sicuri che nessuno riceverà le email inviate lì.

Detto questo:

Basta mantenere un dominio è spesso più economico che usarlo

Ovviamente tutto dipende dal provider, ma da quanto ho capito attualmente hai più di 1 servizio (nome dominio, reindirizzamento ?, server di posta ?, spazio di hosting? ).

Quando il tuo unico obiettivo è impedire ad altri di ricevere le tue email, è sufficiente rinnovare solo il nome di dominio e puoi evitare i costi per qualsiasi ulteriore servizio.

usr-local-ΕΨΗΕΛΩΝ
2019-01-05 03:22:07 UTC
view on stackexchange narkive permalink

Supponi che qualcuno acquisterà sicuramente il tuo dominio, poiché i crawler di dominio cercano di bloccare e rivendere nomi di dominio troppo cari che le persone dimenticano di rinnovare. Non è necessario un record MX per ricevere la posta da qualche parte.

Grazie a @Criggie, se non è impostato un record MX, Mail Transfer Agent proverà a puntare a il record root A per quel dominio e aprire una connessione alla sua porta 25. Quindi, il server web che risponde per il nuovo acquirente deve essere in grado di supportare anche il server di posta.

Ora, dobbiamo stimare le probabilità che qualcuno monitorerà efficacemente gli indirizzi email.

Secondo la mia opinione personale , a meno che tu non sia una persona degna di essere presa di mira da un interesse umano il meglio che l'azienda acquirente farà è semplicemente scansionare gli indirizzi email del mittente per scopi pubblicitari in blocco non richiesti, ovvero spam . Non per ispezionare i contenuti reali.

Aggiornamento: statistiche non scientifiche

Ho provato a pingare 5 dei domini che possedevo in passato. Di questi, uno è stato acquistato nel 2015 da quella che sembra essere un'azienda il cui nome è significativo per il nome di dominio e hanno stabilito un record MX. Gli altri 4 non esistono.

Ci sono modi per impedirlo o l'unica opzione che ho è pagare per il dominio fino alla morte?

Utilizza un periodo di grazia a lungo termine

Ciò significa disattivare gradualmente il dominio . Tienilo per ora, ad es. rinnovare per 2 anni, ma forse stabilire un'e-mail di risposta automatica (o rifiuto automatico) come

Saluti,

l'indirizzo e-mail me@mydomain.tld verrà disattivato entro [2 anni da adesso]. Ti chiedo cortesemente di aggiornare la tua rubrica e di inviare nuovamente l'email a me@miodominio.biz.

Per la privacy di entrambi, è importante che tu attui gentilmente questa modifica il prima possibile

L'ultima frase spiega la questione, ma è difficile da capire per gli utenti non esperti di sicurezza.

Mi aspetto che le email inviate a miodominio.tld diminuiranno gradualmente nel tempo. Non dimenticare di aggiornare i tuoi biglietti da visita immediatamente e inizia a utilizzare quelli nuovi.

Alla fine, potrebbe esserci ancora qualcuno, si spera una manciata, che utilizza il tuo vecchio indirizzo email dopo la grazia il periodo scade. Cosa fare?

È qui che viene la matematica : metti su una scala il costo totale di proprietà della vita del vecchio nome di dominio rispetto a le perdite economiche che TU subirai nel caso in cui una mail riservata venga rivelata a qualcuno non autorizzato. Ho detto le VOSTRE perdite perché se il tuo cliente / mittente è un idiota e continua a inviare materiale sensibile all'indirizzo sbagliato potrebbe non essere affar tuo .

Commenta

Personalmente non mi piace questa domanda sin dall'inizio. Gli ISP, compreso quello del mittente, hanno pieno accesso alle e-mail in chiaro, alcuni potrebbero essere obbligati per legge a mantenere un registro ("conservazione dei dati") per mesi o anni. Alla fine, l'e-mail in chiaro non è l'opzione migliore per gestire i contenuti sensibili.

Alla fine, ci fidiamo dei principali ISP per proteggere la nostra privacy. ci fidiamo di loro per ...

È vero che l'email in chiaro è tutt'altro che ideale, ma almeno richiede un attacco attivo o una posizione di privilegio per accedere ai contenuti.Ma _anyone_ può registrare un dominio una volta che è scaduto e rilasciato.
Nota se il server dei nomi di un nome di dominio non risponde con un record MX specifico, allora gli MTA dovrebbero provare una connessione al record A radice del dominio, se ne ha uno.Uno squatter di dominio punterà spesso il dominio principale e www.ospitare in un server web come pubblicità.
Harper - Reinstate Monica
2019-01-06 03:51:29 UTC
view on stackexchange narkive permalink

La perdita del nome di dominio è in realtà una delle maggiori vulnerabilità di sicurezza che vedo "in natura".

Potrebbe non classificare un argomento del simposio a Blackhat, ma la minaccia ha una superficie gigantesca e un elevato impatto aziendale ed è in cima alla lista quando sto informando il Consiglio di amministrazione di una piccola organizzazione.

Quindi, se prendi sul serio un nome di dominio, pensa di mantenerlo per tutta la vita. Se non prendi sul serio un nome di dominio, non inserire la tua email . Semplice.

Non trattare il tuo dominio (serio) come un abbonamento annuale

I domini possono essere preregistrati fino a 10 anni prima. Il mio dominio scade nel 2025, quindi sto diventando sciatto. :) Molto prima lo rivisiterò e lo spingerò di nuovo al massimo. Quando indago le piccole imprese per la scadenza del dominio, trovo che solo circa la metà scadrà più di 2 anni.

I domini sono commercializzati in un modo che ti incoraggia a trattarli come un abbonamento a una rivista o un abbonamento a Netflix, pensando che possano essere rinnovati in qualsiasi momento. Decadono e tornano un mese dopo e scoprono che qualcun altro ha registrato il dominio per il suo valore in contanti.

Questo problema è spesso causato dalle persone che raggruppano la registrazione del nome di dominio con il loro hosting web. I domini sono un misero $ 12 / anno. Sono spesso "gettati gratuitamente" con un costoso piano di hosting da $ 180 a $ 600 +. È fantastico per l'hoster web, poiché controlla il tuo dominio e può riscattarlo se c'è una controversia sulla fatturazione come un eccesso di larghezza di banda di $ 2000 a causa di un'esplosione sui social media. Se si interrompe l'hosting web per il periodo di 30 giorni sbagliato, il dominio può essere cancellato definitivamente. All'hoster non interessa e perché dovrebbero investire denaro per registrarlo un giorno in più del necessario?

Come traggono profitto dal bracconaggio di nomi di dominio

Quando lasci scadere il tuo dominio e il periodo di grazia finisce, in millisecondi viene lanciato da almeno una dozzina di script automatici di attori diversi, che cercano tutti di fare la stessa cosa. Ecco cosa li ottiene.

  • La capacità di monetizzare (indirizzare gli annunci su) il traffico organico (link e segnalibri) al tuo sito web, così come qualsiasi traffico Google / Bing mentre rimane.
  • per beneficiare del PageRank e di altre metriche che il tuo sito ha guadagnato con i motori di ricerca nel corso degli anni. Nell'economia dei collegamenti del Web, un collegamento da un sito rispettabile vale il suo peso in oro. Gli spammer web lo usano per aumentare i loro siti contenenti spam, truffa o schifoso.
  • Per ingannare Google ospitando direttamente i loro contenuti indesiderati sul tuo nome di dominio.

  • Per attaccare i visitatori organici / di ricerca del sito con malware, exploit Flash o PDF, ecc. In genere utilizzano exploit meno recenti per prendere di mira persone che non mantengono aggiornato il loro sistema.

    • Una piccola azienda ha perso un sito che è riapparso con i suoi contenuti precedenti . Veramente. L'obiettivo era convincere Google che il precedente proprietario aveva ancora un controllo rispettabile, perché (presumevano) Google sapeva di dover prestare attenzione a cambiamenti improvvisi dei contenuti. Sono state aggiunte alcune pagine che pubblicizzano le pillole di Acai Berry. Vedi come funziona? Il sito ha superato il nuovo sito reale dell'azienda per diversi anni. * Normalmente gli spammer web operano su una scala molto più ampia di questa con migliaia di pagine doorway, ma questo tizio era piccolo.

  • Per intercettare le email al tuo sito semplicemente per raccogliere indirizzi email.

  • Per usare il loro controllo della tua posta elettronica per reimpostare la password / ottenere il controllo dei tuoi account web. Scopriranno i tuoi account presso fornitori più piccoli e meno protetti quando questi fornitori invieranno le loro email promozionali di routine.
  • Per vagliare email umane al tuo sito alla ricerca di opportunità per truffe o hack sociali.
PNDA
2019-01-05 19:33:09 UTC
view on stackexchange narkive permalink

Sì, lo scenario descritto è possibile. Ad esempio, è successo a Google nel 2015 quando hanno perso il controllo di google.com e Microsoft nel 2003 con hotmail .co.uk . Quei domini sono stati acquistati. Nel caso di Google:

... Ha anche ricevuto email con informazioni interne, che da allora ha segnalato al team di sicurezza di Google, ha detto Ved.

... La sua corsa di Google.com è stato di breve durata. Google Domains ha annullato la vendita un minuto dopo ...

Per Microsoft, che ha perso il controllo di un dominio per un servizio di posta elettronica , mettendo forse migliaia di persone nella situazione descritta :

[Microsoft] è riuscita a contattare il nuovo proprietario di hotmail.co.uk, umiliandosi del loro errore e risolvendo il problema. Per tutti gli account, hotmail.co.uk verrà restituito in pochi giorni.

L'unico modo per essere sicuri che le email riservate non trapelino è possedere il dominio a tempo indeterminato . Tuttavia, come indicato da usr-local-ΕΨΗΕΛΩΝ, potresti bilanciare la tua possibile perdita se un'e-mail confidenziale trapela rispetto al costo di possesso del dominio per un lungo periodo.

In pratica, quello che potresti fare è sostituire le tue email con il dominio in scadenza sui siti su cui ti sei registrato. Inoltre, informa i tuoi contatti di evitare la tua vecchia email (o dominio, o entrambi).

Come passaggio aggiuntivo, mantieni il dominio per uno o cinque anni e oscura deliberatamente i tuoi record MX, in modo che i mittenti chi non ha ricevuto (o non è riuscito a ottenere) il memo sarebbe stato accolto da errori. Per Gmail, un esempio potrebbe essere

Gmail - Message not delivered

i486
2019-01-05 19:37:07 UTC
view on stackexchange narkive permalink

Sì, il nuovo proprietario potrà ricevere e leggere tutte le tue email. L'unico modo per evitarlo è continuare a pagare per il dominio. Non è necessario mantenere l'hosting, paga solo il dominio. Se effettui il pagamento anticipato per 10 anni, il prezzo sarà di circa $ 90 o inferiore per il dominio .com . È importante ricordare la scadenza dopo 10 anni e la password. Se il dominio non è com / net / org, il prezzo sarà più alto.

cybernard
2019-01-08 01:22:54 UTC
view on stackexchange narkive permalink

Ci sono modi per impedirlo o l'unica opzione che ho è pagare il dominio fino alla morte?

A seconda di chi ospita la tua email, potresti in grado di impostare un risponditore automatico.

Di solito è disponibile un qualche tipo di risponditore automatico. O quello o la regola / il filtro possono essere la stessa cosa.

Se arriva una nuova email, rispondi "questo account non è più attivo reindirizza le tue email a ....." oppure "questo è un servizio non più disponibile, interrompi l'invio di email"

Stessa cosa con il risponditore automatico.

https://tools.ietf.org/html/rfc1846

521 non accetta posta (vedi rfc1846)

Non so se puoi configurare il tuo server di posta per 521 rispondere oppure no.

Comunque dopo circa un anno tutti dovrebbero avere l'idea e smettere di inviare email.

ChrisA
2019-01-09 17:56:49 UTC
view on stackexchange narkive permalink

È già stata data una risposta a tutte le questioni tecniche, ma solo per dare un'inclinazione leggermente diversa ...

Se cambi casa, la posta verrà reindirizzata al tuo nuovo posto, ma non indefinitamente. Alla fine devi presumere che chiunque sia importante sa dove vivi e può inviarti posta lì. E che se non lo fanno, la posta inviata al vecchio indirizzo può essere potenzialmente aperta da qualcun altro.

Suggerirei che sia lo stesso con i vecchi domini: cambia il tuo indirizzo per le risposte in modo che sia il nuovo dominio, mantieni quello vecchio abbastanza a lungo da poter rispondere a chiunque ti mandi posta lì e fai un po 'di sforzo per contattare tutte le persone con cui desideri rimanere in contatto.

Alla fine, la posta inviata a il vecchio dominio non diventerà nulla e, a un certo punto lungo il percorso, sarai felice di smettere di registrare nuovamente il dominio.

Se questo punto non arriva mai, dovrai mantenere il dominio per sempre, come altri hanno detto.

Aneddoto: ho ricevuto posta cartacea destinata ai precedenti residenti della mia attuale casa per _almeno dieci anni_ dopo che se ne erano andati, alcuni ogni anno.Dopo circa cinque anni non mi sono preoccupato di restituirlo a USPS e l'ho semplicemente scartato.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...