DNS-zone is jaren gegroeid, niemand weet meer welke records nog ergens voor dienen
Een rommelige DNS-zone is een security- en mailrisico. Vergeten subdomeinen die nog naar oude IP's wijzen zijn perfect kapingsmateriaal (subdomain takeover) en oude TXT-records van vertrokken vendors verwarren mail-validatie.
Probeer dit eerst zelf
- 1Exporteer de zone (BIND-formaat of provider-export) en zet 'm in een spreadsheet of git-repo zodat je 'm kan diffen.
- 2Per record: bestaat het doel nog (curl, ping, certificaat-check) en wie is eigenaar binnen het bedrijf? Onbekend = kandidaat voor verwijdering.
- 3Filter alle CNAME's: wijzen ze nog naar levende hostnamen? CNAME naar een vervallen Heroku-app of S3-bucket is direct kapingsrisico.
- 4Bekijk TXT-records: SaaS-verificaties, oude DKIM-keys, lege SPF-residu. Wat onbekend en oud is, kan weg na 30 dagen testperiode.
- 5Plan de audit jaarlijks of bij elke DNS-host-migratie, en log iedere wijziging in een changelog of CMDB.
Wanneer ons inschakelen
Heb je honderden records of meerdere registrars en geen overzicht, dan kunnen we een audit doen, takeover-risico's markeren en de zone terugbrengen naar wat echt in gebruik is.
Zie ook
- Domein vervalt morgen en niemand had de mail gezienEen vervallen domein gaat niet direct naar een ander. Er zit een redemption-window omheen, maar je betaalt extra.
- Twijfel of auto-renew aan moet of nietAuto-renew uitzetten is alleen zinvol bij domeinen die je echt loost. Voor alles wat live is, gewoon aan.
- Nieuwe registrar vraagt om auth-code, weet niet waar die staatEPP-code of transfer-code is het wachtwoord om een domein van registrar A naar B te verhuizen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.