web-dev-qa-db-fra.com

Quelqu'un peut-il lire mon e-mail si je perds la propriété de mon domaine?

Supposons que j'ai un serveur configuré avec une adresse e-mail comme [email protected]. Maintenant, j'ai distribué ma carte de visite avec l'adresse e-mail à toutes les personnes du monde entier et ils continuent de m'envoyer des e-mails confidentiels. Mais maintenant, je n'ai plus envie de payer pour le domaine mydomain.tld.

Maintenant, si quelqu'un achète le domaine et crée un enregistrement mx pointant vers son propre serveur de messagerie, il peut lire tous mes e-mails confidentiels que les gens m'envoient, n'est-ce pas?

Non, je ne peux pas leur dire d'arrêter d'envoyer des mails confidentiels car je ne peux pas les contacter.

Y a-t-il des moyens d'empêcher cela ou est-ce que la seule option que j'ai est de payer le domaine jusqu'à ma mort?

100
Skiddie Hunter

Maintenant, si quelqu'un achète le domaine et crée un enregistrement mx pointant vers son propre serveur de messagerie, il peut lire tous mes e-mails confidentiels que les gens m'envoient, n'est-ce pas?

S'ils enregistrent le nom de domaine, ils recevront tous les e-mails qui lui seront envoyés à partir de ce moment. Ils n'auront pas un accès rétroactif aux e-mails précédemment envoyés. Rien n'empêche fondamentalement cela.

Y a-t-il des moyens d'empêcher cela ou est-ce que la seule option que j'ai est de payer le domaine jusqu'à ma mort?

Vous pouvez demander à tous vos contacts de chiffrer leurs communications avec PGP à l'aide de votre clé publique, ce qui empêchera quiconque obtiendra le domaine ultérieurement de lire de nouveaux messages, mais cela nécessite que les personnes utilisent réellement PGP, ce qui peut ne pas être probable si vous distribuez l'adresse à des gens moyens dans une carte de visite. Cependant, si vous maintenez ou au moins renouvelez le domaine pendant, disons, 20 ans, alors quelles sont les chances que quelqu'un envoie sérieusement un e-mail à une adresse aussi ancienne?


J'ai posé la question sur le Law Stack Exchange s'il y aurait ou non un recours légal contre une personne utilisant votre domaine, et la réponse était non: https://law.stackexchange.com/q/35917/15724

131
forest

Comme d'autres l'ont déjà mentionné: Oui, conserver un nom de domaine est le seul moyen de s'assurer que personne ne recevra les e-mails qui y sont envoyés.

Cela étant dit:

Garder un domaine coûte souvent moins cher que de l'utiliser

Bien sûr, tout dépend du fournisseur, mais si je comprends bien, vous disposez actuellement de plus d'un service (nom de domaine, redirection?, Serveur de messagerie?, Espace d'hébergement?).

Lorsque votre seul objectif est d'empêcher les autres de recevoir vos e-mails, il suffit de renouveler uniquement le nom de domaine et vous pouvez éviter les frais pour tout service supplémentaire.

56
Dennis Jaheruddin

Supposons que quelqu'un va certainement acheter votre domaine, car les robots de domaine essaient de verrouiller et de revendre des noms de domaine trop chers que les gens oublient de renouveler. Un enregistrement MX n'est pas nécessaire pour que les e-mails soient livrés quelque part .

Grâce à @Criggie, si un enregistrement MX n'est pas défini, l'agent de transfert de courrier essaiera de pointer vers l'enregistrement racine A pour ce domaine et ouvrira une connexion à son port 25. Ainsi, le serveur Web répondant pour le nouvel acheteur doit également être capable de serveur de messagerie.

Maintenant, nous devons estimer les chances qu'une personne puisse effectivement surveiller la ou les adresses e-mail.

Dans mon opinion personnelle , à moins que vous ne soyez une personne digne d'être ciblée par un intérêt humain, le mieux que la société acheteuse fera sera simplement d'explorer les adresses e-mail de l'expéditeur à des fins de publicité en masse non sollicitée, à savoir spam. Ne pas inspecter le contenu réel.

Mise à jour: statistiques non scientifiques

J'ai essayé d'envoyer une requête ping à 5 des domaines que je possédais dans le passé. Parmi eux, un a été acheté en 2015 par ce qui ressemble à une entreprise dont le nom est significatif pour le nom de domaine, et ils ont établi un record MX. Les 4 autres n'existent pas.

Y a-t-il des moyens d'empêcher cela ou est-ce que la seule option que j'ai est de payer le domaine jusqu'à ma mort?

Utilisez une période de grâce à long terme

Cela signifie mettre progressivement hors service ce domaine . Gardez-le pour l'instant, par ex. Renouveler pour 2 ans, mais peut-être établir un e-mail de réponse automatique (ou de refus automatique) comme

Salutations,

l'adresse e-mail [email protected] sera mise hors service d'ici [2 ans à partir de maintenant]. Je vous prie de bien vouloir mettre à jour votre carnet d'adresses et de renvoyer l'e-mail à [email protected].

Pour la confidentialité des deux, il est important que vous mettiez en œuvre ce changement dès que possible.

La dernière phrase explique le problème mais est difficile à comprendre pour les utilisateurs non experts en sécurité.

Je m'attends à ce que les e-mails envoyés à mydomain.tld diminuent progressivement au fil du temps. N'oubliez pas de mettre à jour vos cartes de visite immédiatement et commencez à utiliser les nouvelles.

Finalement, il pourrait toujours y avoir quelqu'un, j'espère une poignée, utilisant votre ancienne adresse e-mail après l'expiration du délai de grâce. Que faire?

C'est là que mathématiques viennent: mettre sur une échelle le coût total de possession à vie de l'ancien nom de domaine versus les pertes économiques que VOUS subirez au cas où un courrier confidentiel serait révélé à une personne non autorisée. J'ai dit VOS pertes parce que si votre client/expéditeur est un imbécile et continue d'envoyer du matériel sensible à la mauvaise adresse , ce n'est peut-être pas votre entreprise .

Commentaire

Personnellement, je n'aime pas cette question depuis le tout début. Les FAI, y compris l'expéditeur, ont un accès complet aux e-mails en texte brut, certains peuvent être tenus par la loi de conserver ("conservation des données") un enregistrement pendant des mois ou des années. En fin de compte, le courrier électronique en texte brut n'est pas la meilleure option pour traiter les contenus sensibles.

Finalement, nous faisons confiance aux principaux FAI pour protéger notre vie privée. Nous leur faisons confiance à ...

24

La perte de nom de domaine est en fait l'une des plus grandes vulnérabilités de sécurité que je vois "à l'état sauvage".

Il ne s'agit peut-être pas d'un sujet de symposium à Blackhat, mais la menace a une superficie gigantesque et un impact commercial élevé, et elle est en tête de liste lorsque j'informe le conseil d'administration d'une petite organisation.

Donc, si vous êtes sérieux au sujet d'un nom de domaine, prévoyez de le garder à vie. Si vous n'êtes pas sérieux au sujet d'un nom de domaine, ne mettez pas votre email sur . C'est aussi simple que cela.

Ne traitez pas votre domaine (sérieux) comme un abonnement annuel

Les domaines peuvent être pré-enregistrés jusqu'à 10 ans à l'avance. Mon propre domaine expire en 2025, donc je deviens bâclé. :) Bien avant, je vais le revoir et le repousser au maximum. Lorsque j'enquête auprès des petites entreprises pour l'expiration du domaine, je constate que seulement la moitié environ expirent plus de 2 ans.

Les domaines sont commercialisés d'une manière qui vous encourage à les traiter comme un abonnement à un magazine ou un abonnement Netflix, pensant qu'ils peuvent simplement être renouvelés à tout moment. Ils deviennent caducs et reviennent un mois plus tard et trouvent que quelqu'un d'autre a enregistré le domaine pour sa valeur de rachat.

Ce problème est souvent causé par des personnes regroupant l'enregistrement de leur nom de domaine avec leur hébergement Web. Les domaines sont un maigre 12 $/an. Ils sont souvent "jetés gratuitement" avec un plan d'hébergement coûteux de 180 $ à 600 $ +. C'est génial pour l'hébergeur du site, car il contrôle votre domaine et peut le rançonner s'il y a un litige de facturation tel qu'un dépassement de bande passante de 2000 $ dû à une explosion sur les réseaux sociaux. Si vous annulez l'hébergement Web pour une mauvaise période de 30 jours, le domaine peut être définitivement perdu. L'hébergeur s'en fiche et pourquoi dépenserait-il de l'argent pour l'enregistrer un jour de plus que nécessaire?

Comment ils profitent du braconnage des noms de domaine

Lorsque vous laissez votre domaine devenir caduc et que la période de grâce se termine, en quelques millisecondes, il est attaqué par au moins une douzaine de scripts automatisés d'acteurs différents, tous essayant de faire la même chose. Voici ce que cela leur procure.

  • La possibilité de monétiser (diffuser des publicités) le trafic organique (liens et signets) vers votre site Web, ainsi que tout trafic Google/Bing pendant qu'il se maintient.
  • pour bénéficier du PageRank et d'autres mesures que votre site a gagnées avec les moteurs de recherche au fil des ans. Dans l'économie des liens du Web, un lien provenant d'un site réputé vaut son pesant d'or. Les spammeurs Web l'utilisent pour booster leurs sites de spam, de scammy ou de moche.
  • Pour tromper Google en hébergeant directement son contenu indésirable sur votre nom de domaine.
  • Pour attaquer les visiteurs organiques/recherche sur le site avec des logiciels malveillants, Flash ou PDF exploits, etc. Ils utilisent généralement des exploits plus anciens pour cibler les personnes qui ne gardent pas leur système à jour.

    • Une petite entreprise a perdu un site qui est réapparu avec son contenu précédent. Vraiment. L'objectif était de convaincre Google que l'ancien propriétaire était toujours sous contrôle, car (ils supposaient) que Google savait surveiller les changements soudains de contenu. Quelques pages ont été ajoutées annonçant les pilules Acai Berry. Voyez comment cela fonctionne? Le site a devancé le nouveau site réel de l'entreprise pendant plusieurs années. * Normalement, les spammeurs Web fonctionnent à une échelle beaucoup plus grande que celle-ci avec des milliers de pages de porte, mais ce gars était de petites pommes de terre.
  • Pour intercepter des e-mails vers votre site simplement pour récolter des adresses e-mail.

  • Pour utiliser leur contrôle de votre messagerie pour réinitialiser le mot de passe/prendre le contrôle de vos comptes Web. Ils découvriront vos comptes chez des fournisseurs plus petits et moins protégés lorsque ces derniers enverront leurs e-mails promotionnels de routine.
  • Pour passer en revue le courrier électronique humain vers votre site à la recherche d'opportunités pour les jeux de con ou les hacks sociaux.

Oui, le scénario décrit est possible. Par exemple, il est arrivé à Google en 2015 quand ils ont perdu le contrôle de google.com et Microsoft en 2003 avec hotmail.co.uk. Ces domaines ont été achetés. Pour le cas de Google:

... Il a également reçu des e-mails contenant des informations internes, qu'il a depuis signalées à l'équipe de sécurité de Google, a déclaré Ved.

... Sa gestion de Google.com a cependant été de courte durée. Google Domains a annulé la vente une minute plus tard ...

Pour Microsoft, qui a perdu le contrôle d'un domaine pour un service de messagerie , mettant peut-être des milliers de personnes dans la situation décrite:

[Microsoft] a réussi à contacter le nouveau propriétaire de hotmail.co.uk, à se plaindre de leur erreur et à régler le désordre. Par tous les comptes, hotmail.co.uk sera retourné dans quelques jours.


Le seul moyen de s'assurer que les e-mails confidentiels ne fuient pas est de posséder le domaine indéfiniment. Cependant, comme mentionné par sr-local-ΕΨΗΕΛΩΝ , vous pourriez équilibrer votre perte possible si un e-mail confidentiel fuit par rapport au coût de possession du domaine pendant une longue période.

En pratique, ce que vous pourriez faire, c'est remplacer vos e-mails par le domaine expirant sur les sites sur lesquels vous vous êtes inscrit. En outre, informez vos contacts pour éviter votre ancien e-mail (ou domaine, ou les deux).

Comme étape supplémentaire, conservez le domaine pendant un an ou cinq et percez délibérément vos enregistrements MX afin que les expéditeurs qui n'ont pas reçu (ou n'ont pas pu obtenir) le mémo soient accueillis par des erreurs. Pour Gmail, un exemple serait

Gmail - Message not delivered

8
PNDA

Oui, le nouveau propriétaire pourra recevoir et lire tous vos e-mails. La seule façon d'éviter cela est de continuer à payer pour le domaine. Il n'est pas nécessaire de conserver l'hébergement - ne payez que le domaine. Si vous payez à l'avance pendant 10 ans, le prix sera d'environ 90 $ ou moins pour .com domaine. Il est important de se souvenir de l'expiration après 10 ans et du mot de passe. Si le domaine n'est pas com/net/org, le prix sera plus élevé.

4
i486

Y a-t-il des moyens d'empêcher cela ou est-ce que la seule option que j'ai est de payer le domaine jusqu'à ma mort?

Selon qui héberge votre e-mail, vous pouvez peut-être configurer un répondeur automatique.

Habituellement, une sorte de répondeur de vacances est disponible. Soit cela, soit règle/filtre peut être la même chose.

Si un nouvel e-mail arrive, répondez "ce compte n'est plus actif, veuillez rediriger vos e-mails vers ....." ou "ceci est des services ne sont plus disponibles veuillez cesser d'envoyer des e-mails "

Même chose avec le répondeur de vacances.

https://tools.ietf.org/html/rfc1846

521 n'accepte pas le courrier (voir rfc1846)

Je ne sais pas si vous pouvez configurer votre serveur de messagerie pour faire une réponse 521 ou non.

Quoi qu'il en soit, après environ un an, tout le monde devrait avoir l'idée et cesser d'envoyer des e-mails.

3
cybernard

Tous les trucs techniques ont déjà été résolus, mais juste pour mettre une perspective légèrement différente dessus ...

Si vous déménagez, vous recevez votre courrier postal redirigé vers votre nouveau lieu, mais pas indéfiniment. Finalement, vous devez supposer que toute personne importante sait où vous vivez et peut vous envoyer du courrier là-bas. Et que s'ils ne le font pas, le courrier envoyé à l'ancienne adresse peut potentiellement être ouvert par quelqu'un d'autre.

Je suggère que ce soit la même chose avec les anciens domaines - changez votre adresse de réponse afin que ce soit le nouveau domaine, gardez l'ancien assez longtemps pour pouvoir répondre à quiconque vous envoie du courrier là-bas, et faites un effort pour contacter tout le monde vous voulez rester en contact avec.

Finalement, le courrier envoyé à l'ancien domaine ne servira à rien, et à un moment donné, vous serez heureux d'arrêter de réenregistrer le domaine.

Si ce point ne vient jamais, vous devrez garder le domaine pour toujours, comme d'autres l'ont dit.

1
ChrisA