Privacy - Wat niemand over je mag weten

email van een look-a-like

15-04-2015, 16:15 door pcb_nl, 36 reacties
Hallo,

Ik kreeg vorige week een email van menzis, tenminste daar leek het op. Het kwam van "Menzis" info@mailing-menzis.nl
Ik heb altijd geleerd om niks te vertrouwen dus ik heb menzis zelf via email gevraagd of dit mailtje bij hun vandaan kwam.
Ik schreef ze o.a.
"Ik ga dergelijke mail niet bekijken want ik heb geen relatie met mailing-menzis.nl en misschien wordt ik wel gespamd/gehackt via een dergelijk mailtje. etc."
Het email ging over: Om in te loggen op Mijn Menzis heb je vanaf april naast je DigiD ook eenmalig een
sms-code nodig.

Is het terecht dat ik huiverig ben om email van een look-a-like te openen?

Overigens kreeg ik als antwoord:
Geachte --- ---,

Deze e-mail komt werkelijk van Menzis. U kunt het vertrouwen.
Reacties (36)
15-04-2015, 16:20 door FB - Bijgewerkt: 15-04-2015, 16:21
ik zie hier inderdaad:
Ga fluitend de lente in!? From: nieuwsbrief@mailing-menzis.nl
"Uw nieuwe factuur. Eenvoudig te betalen via iDEAL." From: Menzis (mail@mail-menzis.nl)
"Belangrijk! Uw digitale polis?", from: Menzis (info@menzis.nl)

klein verschil, met mogelijk ernstige gevolgen..
Toch handig dat ze zoveel adressen gebruiken..
15-04-2015, 16:25 door Eric-Jan H te D
mailing-menzis.nl of mailing.menzis.nl?

De eerste kan ik niet traceren op internet. De tweede is overduidelijk Menzis zelf. Wat niet weg neemt dat je bij een E-mail er sowieso niet zonder meer vanuit kan gaan dat wat je ziet ook de echte afzender is.
15-04-2015, 16:36 door Anoniem
Ik zou zeggen niet doen, klinkt wel een beetje raar allemaal.
En misschien ben ik wel te paranoide maar als je er geen relatie mee heb gewoon links laten liggen.


komt direct van hun site :

2. Hoe weet ik zeker dat de e-mail van Menzis is?
Aan het e-mailadres waarvan de digitale acceptgiro is verstuurd (mail@mail-menzis.nl) kunt u zien dat wij de afzender zijn. U ziet ook ons logo en onze bedrijfsgegevens in de e-mail.


Dus bij twijfel nooit doen.
15-04-2015, 16:49 door Anoniem
Door FB: ik zie hier inderdaad:
Ga fluitend de lente in!? From: nieuwsbrief@mailing-menzis.nl
"Uw nieuwe factuur. Eenvoudig te betalen via iDEAL." From: Menzis (mail@mail-menzis.nl)
"Belangrijk! Uw digitale polis?", from: Menzis (info@menzis.nl)

klein verschil, met mogelijk ernstige gevolgen..
Toch handig dat ze zoveel adressen gebruiken..

"Belangrijk! Uw digitale polis?", from: Menzis (----> info@menzis.nl)

-----> info@mailing-menzis.nl <------------ ^^^

Waarom 2x die info@ waar is daar het nut van.
15-04-2015, 16:53 door FB - Bijgewerkt: 15-04-2015, 16:54
Eric-Jan, bovenstaande 3 mailadressen komen rechtstreeks uit outlook,
er worden geen subdomeinen gebruikt ozals bij mailing.menzis.nl, maar 3(Waarvan 2 bijna identieke) losstaande domeinen:
mail-menzis.nl en mailing-menzis.nl.

@Anoniem: ik zie maar 1x info@?
from: Menzis (info@menzis.nl)
Dit staat voor:
from: <naam contact zoals ik in outlook heb toegevoegd> (<mailadres van afzender>)
15-04-2015, 17:04 door Anoniem
@FB

OP zegt dat die mail kreeg van " info@mailing-menzis.nl " en jij liet zien dat "info@menzis.nl" voor eigenlijk het zelfde is dus vind dat een beetje raar dat ze twee keer "info@" gebruiken met het zelfde doel.
15-04-2015, 17:05 door Anoniem
Stichting Domeinregistratie is je vriend : https://www.sidn.nl/

Zoekopdrachtje

Domeinnaam : menzis.nl
Status : actief
Houder : Stichting Menzis Beheer
Administratieve contactpersoon : register@menzis.nl

Domeinnaam : mailing-menzis.nl
Status : actief
Houder : Stichting Menzis Beheer
Administratieve contactpersoon : register@menzis.nl

Domeinnaam : mail-menzis.nl
Status : actief
Houder : Stichting Menzis Beheer
Administratieve contactpersoon : register@menzis.nl

Dit sluit natuurlijk andere vorm van misbruik niet uit.
Niet geheel uit te sluiten is het versturen van mail namens Menzis.
Daar is echter vermoedelijk weer wat meer voor nodig dan tijdelijk een gelijkende Menzis naam voor te registreren.

Een variant registreren om die te gebruiken is eenvoudiger.
Menzis heeft niet alle variaties geregistreerd al doet het wel zijn best:
mensis.nl hebben ze bijvoorbeeld wel.

memzis.nl is ook geregistreerd maar niet door Menzis.
mensiz.nl zelfs al maar ook weer niet door Menzis.

Wat kunnen we nog meer verzinnen? Deze dan?
nemzis.nl .
Vrij!

De lijst met mogelijkheden is eindeloos, blijf maar goed opletten.
Ik vond je titel overigens spannender (nog) dan het verhaal.
:)
15-04-2015, 17:26 door pcb_nl - Bijgewerkt: 15-04-2015, 17:28
ps mailing-menzis.nl is geen subdomein.

Maar de vraag is: geldt dit als een grote beveiligingsfout van menzis.

En als mailing-menzis.nl van menzis is
Wat vind jullie van deze email/domeinnamen.
info@email-van-menzis.nl
info@zorg-menzis.nl
info@deze-mail-kunt-u-vertrouwen-menzis.nl
inf@Deze-e-mail-komt-werkelijk-van-Menzis-U-kunt-het-vertrouwen-menzis.nl

En om de verwarring compleet te maken hebben ze nu ook nog medemenz.nl

Ben ik paranoia?
15-04-2015, 17:30 door Anoniem
Die zou ik zeker vertrouwen.. Dat zijn toch gewoon legitieme adressen?
15-04-2015, 18:02 door pcb_nl
maar gaan ze naar menzis?
15-04-2015, 18:29 door Anoniem
Is het terecht dat ik huiverig ben om email van een look-a-like te openen?
-->> JA, 100% JA <<---

Ik kan immers menzis-mailing.nl over 1 minuut in eigendom hebben en daar ook vandaan mailen.
Het is wat anders als ze het duidelijk op hun eigen site melden, dat ze daar altijd vandaan mailen.
Dat Menzis dit zelf niet snapt (en je ze geen Responsible Disclosure hebben om het even te melden) geeft te denken.

@Webcare Menzis: kom er maar in met waarom dit niet duidelijk is!
15-04-2015, 19:16 door Eric-Jan H te D
Delivery to the following recipient failed permanently:

info@mailing-menzis.nl

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain mailing-menzis.nl by mg.menzis.nl. [80.79.101.252].

The error that the other server returned was:
550 Administrative prohibition

Vertrouw je het nu nog.

Kun je de rauwe source van de E-mail posten. Wel even je eigen E-mailadres uitvlakken. Wat van belang is, is het Return-path dat in de E-mail voorkomt.
15-04-2015, 19:28 door Anoniem
@Eric-Jan H te A
Da's toch niet zo vreemd dat je geen mail naar dat e-mailadres kunt sturen? Anders krijgen ze allemaal reply's op dat mailadres binnen. Bijna elke nieuwsbrief wordt verstuurd van een no-reply e-mailadres.
15-04-2015, 19:29 door FB - Bijgewerkt: 15-04-2015, 19:32
dit is de header van "Ga fluitend de lente in" van mailing-menzis.nl
x-store-info: J++/JTCzmObr++wNraA4Pa4f5Xd6uensxNRGNyaWNydIEuf6/sm/Sjnc/PmBVg90R+wVeJuoEG2mG6Ho3tnovcPN6Z41BBb2qB2FWgcUp0m8J+7bdtJSNKeWbjktEDoSreEDMinOy4U=
Authentication-Results: hotmail.com; spf=pass (sender IP is 194.88.231.13) smtp.mailfrom=td42bounce.j.c@td42.tripolis.com; dkim=none header.d=mailing-menzis.nl; x-hmca=none header.id=nieuwsbrief@mailing-menzis.nl
X-SID-PRA: nieuwsbrief@mailing-menzis.nl
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vQEZ+40E6sQ5OdbRsHa7+FDE3MaA+Y9Uhh0h5XSkmQYhtI7E4iqMxNfRINedxInkwtJUR35No8/ycTyBExJ3jEnmXfg+RcR5eb35E51FZxA9Y+/L2vmxZRuK3pETdJKy8iXyvsfFoWghRGiyg6PkG3oZEz6cveR7LEasD/GdyHswqxpb0vXhCeW4pu6Vh9ldvph+tHDCY5YDrYGLnSrV3tT
Received: from mta013.tripolis.com ([194.88.231.13]) by BAY004-MC6F30.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);
Tue, 14 Apr 2015 08:19:59 -0700
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=s20120227; d=ntd42.tripolis.com;
h=Date:From:Reply-To:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:Message-ID;
bh=TQNgpRA7Zp+WAMzU0kmHbnZ/9vceoXwlgwLLBtLeBm4=;
b=iEsWINwZAMlNaZnYJJXALI27P69eL54ANMuEvcGt5Qc8JnZusmRCjHVRLV4erwl4y7muAGAw7h9Z
wMQ7rOxKz06P6LAmzVmERj8fFOT1gVB8UBMWzWcGrGqH9Nbohh7Ui0wrch9um78ezoy4gEMFAT9c
qIXATVR854TbQRWwFQU=
Date: Tue, 14 Apr 2015 17:19:57 +0200
From: Menzis <nieuwsbrief@mailing-menzis.nl>
Reply-To: nieuwsbrief@menzis.nl
To: *@outlook.com
Subject: Ga fluitend de lente in!
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_12610138_1392523396.1429024797606"
X-Customer-ID: 4TQdp+J+FVyr7CT8kL1SWQ
X-Database-ID: Ko80PIOu2bmwSQSQp+w+JQ
X-Content-ID: HFZiS_07wDB4FbxhjOZlfQ
X-Job-ID: yKpE18gZ7JfCHr_zPo+4_w
X-Contact-ID: 99FYSv5sCd735sgMYkqFQw
List-Unsubscribe: <mailto:u.YaX+QrgO0ynCNI_dtaZ+dQ.4waTmvuXLSwCjA5RW_Rgpg@td42.tripolis.com>
Message-ID: <0.0.9.504.1D076C678377FEE.0@mta013.tripolis.com>
Return-Path: td42bounce.j.c@td42.tripolis.com
X-OriginalArrivalTime: 14 Apr 2015 15:19:59.0479 (UTC) FILETIME=[78B9D070:01D076C6]

Pcb_nl, sorry voor het kapen van je topic.. ;)
15-04-2015, 19:53 door Anoniem
Tja, daar heb je het al

Received: from mta013.tripolis.com ([194.88.231.13]) by BAY004-MC6F30.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);

Zeker weer zo'n marketeer die op zijn werk de privé mail èn de werkmail tegelijkertijd heeft open staan
Dat krijg je er dan van, dan gaan de zaken doorelkaar lopen.
'Benieuwd' welke prive mail dan via mailing-menzis.nl is gegaan.
Misschien gaat er iemand nu iets minder fluitend de lente in.
Of zou er wat anders aan de hand zijn?
;)
15-04-2015, 20:10 door FB
even kijken:
mailing-menzis staat hierboven al

de header van een mail van mail-menzis.nl(factuur voor de premie)
x-store-info: J++/JTCzmObr++wNraA4Pa4f5Xd6uensWQjutc4PB1BzxFksOJi5e4NvqK1S9c+HXW6xo6dUJk2dlytJkrsVJLRZxafN69xn65NccUtma/Y9F5TCZFYYsSOynYkMFqry2xJdY4JxVHY=
Authentication-Results: hotmail.com; spf=pass (sender IP is 194.88.231.19) smtp.mailfrom=bounce.j.c@b.acceptemail.com; dkim=none header.d=mail-menzis.nl; x-hmca=none header.id=mail@mail-menzis.nl
X-SID-PRA: mail@mail-menzis.nl
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vQRHV6jbdvQfibhgw1iwvrSqdhXuaSscqGalY1BHnH2KMwbZwyrRr3EZ/khKSAxWpPjjGkVuvvD05TadHROabSbuOQphI7cACBaXYITKYpFGfieDMbwO7nuDSy5GjXZrpIig9b/HWCkF/VjyZU3J5CW5JKXt6KzYlffpOoJKGqy2AlYFpp6jrCBVOqKcTran+TaJ71zGo/p/9qLrmJfGQMU
Received: from mta019.tripolis.com ([194.88.231.19]) by SNT004-MC4F52.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.22751);
Wed, 25 Mar 2015 02:34:19 -0700
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=s20130109; d=acceptemail.com;
h=Date:From:Reply-To:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:Message-ID;
bh=wFlsYXZpNlYGvvewdv8WG5STx9oZ/7/T+e2vUD4fZ2Q=;
b=SxxaxsQ1LJEijoBA5U+JCQOGQouq1IFDLhMD0G5IB4Y/CwqEmVrQCpIlSF5pxIsQoCyb1f4GAtX7
7+2XFvboLi8PLaUPJjHpK6HLvyOli7mU77V/BwecxaxKt5xRySncdJxNcd5tS0ErkFommpFr3Tv+
lrYzuTkoNnmR7EKF4Bc=
Date: Wed, 25 Mar 2015 10:34:17 +0100
From: Menzis <mail@mail-menzis.nl>
Reply-To: info@menzis.nl
To: *@outlook.com
Subject: Uw nieuwe factuur. Eenvoudig te betalen via iDEAL.
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_6758740_771302512.1427276057468"
X-Customer-ID: BenXT_AYq5pmtYquHLqebA
X-Database-ID: Z4y2YAJ_WEe6aQvf37cvcA
X-Content-ID: 2DBuFQ4SQ6Q+OAqPekhGKQ
X-Job-ID: mVTG_W2bX+9o1LRNxktaCA
X-Contact-ID: 3O4wGfhrIdF44FZdEub1xQ
List-Unsubscribe: <mailto:u.m9klWER5RFZ0yR13bm+Nfw.tL2mDDKNmfBXIMiPVtxhkQ@b.acceptemail.com>
Message-ID: <0.0.1C.CB6.1D066DEDD01C2BA.0@mta019.tripolis.com>
Return-Path: bounce.j.c@b.acceptemail.com
X-OriginalArrivalTime: 25 Mar 2015 09:34:19.0114 (UTC) FILETIME=[DE3E44A0:01D066DE]


en info@menzis.nl:
x-store-info: J++/JTCzmObr++wNraA4Pa4f5Xd6uensxNRGNyaWNycIIXEpFgWTXkmIFroDS3iqgB6Uww9tWLE+oL0QAACNay9RnP0R0nOLqtc9/g1VR+kiyQC9zyWHM3xNiSVQES9CCXpH5ww9Z/Q=
Authentication-Results: hotmail.com; spf=none (sender IP is 80.79.101.252) smtp.mailfrom=info@menzis.nl; dkim=none header.d=menzis.nl; x-hmca=none header.id=info@menzis.nl
X-SID-PRA: info@menzis.nl
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vRMTq/Ey2ZlMSoTd7BZPx5yFKe/cjB9H3bC8r2lJIAgbub+S+y2qulVsIz28PDPBCyJGpcKbGplYC2Q1Yyze+PV0OWDHXmb7XMjKDpaNb1wGPWlXqkEHiyi+dLlDKLtImFtkOVtNrSa8MOSs4GinDpiPtPra9q3y9CkdRFCV/E8guMtOOLUHHeDQSfga/0xNLcxIr7p+qJVhsNqD8H2SAGH
Received: from mg.menzis.nl ([80.79.101.252]) by SNT004-MC1F37.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.22751);
Tue, 2 Dec 2014 02:50:27 -0800
Received: from ka1982.loods.local ([10.66.209.182]:64695)
by mg.menzis.nl with esmtps (TLSv1:AES128-SHA:128)
(Exim 4.82_1-5b7a7c0-XX)
(envelope-from <info@menzis.nl>)
id 1Xvl2F-0003Ki-2s
for *@outlook.com; Tue, 02 Dec 2014 11:50:24 +0100
Received: from KA1521.Loods.Local (10.64.59.254) by cas-grn.loods.local
(10.66.209.182) with Microsoft SMTP Server id 14.3.195.1; Tue, 2 Dec 2014
11:50:23 +0100
Received: from KA1540 ([10.64.24.40]) by KA1521.Loods.Local with Microsoft
SMTPSVC(7.5.7601.17514); Tue, 2 Dec 2014 11:50:23 +0100
From: Menzis <info@menzis.nl>
To: <*@outlook.com>
Date: Tue, 2 Dec 2014 10:50:23 +0000
Message-ID: <7bd5faf9e0714e39a9b5030672e3c4ae@KA1540>
Subject: Re: Overig
MIME-Version: 1.0
X-Mailer: devMail.Net (3.0.1854.22234-6)
Priority: Normal
X-Priority: 3
Content-Type: multipart/mixed;
boundary="----=_EDNP_0000_9192bc7f-5d94-4e44-817c-4aeaac3c76ef"
Return-Path: info@menzis.nl
X-OriginalArrivalTime: 02 Dec 2014 10:50:23.0042 (UTC) FILETIME=[C5E0AA20:01D00E1D]
15-04-2015, 20:23 door pcb_nl - Bijgewerkt: 15-04-2015, 20:25
Header van het eerste mailtje:

Return-Path: <td42bounce.j.c@td42.tripolis.com>
Delivered-To:
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on
server79
X-Spam-Level:
X-Spam-Status: No, score=-1.7 required=4.0 tests=BAYES_00,
HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_HTML_MOSTLY,MPART_ALT_DIFF
autolearn=no version=3.2.4
Received: (qmail 3809 invoked from network); 8 Apr 2015 12:10:58 +0200
Received: from mta013.tripolis.com (194.88.231.13)
by server79 with SMTP; 8 Apr 2015 12:10:58 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=s20120227; d=ntd42.tripolis.com;
h=Date:From:Reply-To:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:Message-ID;
bh=abVin6LxfFzFYIUZx4ThvHvd4EIKGg=;
b=jDq+x77h8VWz16L1TsW/Te5RwLy+ABdGfw1ghlzClbpAd8/bEAdLQKM
9EykKp4MIYLENQbl6mT01BubikUdNv6OWWQVsizYPN+EwZ24emXxuPl
BJvRckWm2ZKvNXASo48=
Date: Wed, 8 Apr 2015 12:11:04 +0200 (CEST)
From: Menzis <info@mailing-menzis.nl>
Reply-To: info@menzis.nl
To:
Subject: Eenmalige sms-controle bij inlog Mijn Menzis
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_7722574_6082"
X-Customer-ID: 4TQdp8kL1SWQ
X-Database-ID: Ko80PIOu2bm+JQ
X-Content-ID: pYtUuU_BmZW_peg
X-Job-ID: f8688HML+8kYng
X-Contact-ID: 8oDF_hTauP7w6qJiw
List-Unsubscribe: <mailto:u.dxj@td42.tripolis.com>
Message-ID: <0.0.29.249.1D071E4500.0@mta013.tripolis.com>
15-04-2015, 20:27 door FB
Tripolis is iets van een mailingdienst. het bedrijf waar ik momenteel zit gebruikt net zo'n soort dienst voor grootschalige mailing,
Ik heb alsnog even een vraag hierover bij info@menzis.nl gesteld ;-)
15-04-2015, 20:28 door pcb_nl
En dit is de header van de "Ga rustig slapen" email

Return-Path: <info@menzis.nl>
Delivered-To:
X-Spam-Checker-Version: SpamAssassin 3.2 (2008-01-01) on
server
X-Spam-Level:
X-Spam-Status: No, score=-3.6 required=4.0 tests=BAYES_00,HTML_MESSAGE,
RCVD_IN_DNSWL_LOW autolearn=ham version=3.2.4
Received: (qmail 23570 invoked from network); 15 Apr 2015 08:00:49 +0200
Received: from mg.geove-rzg.nl (HELO mg.menzis.nl) (80.79.101.252)
by server with (DHE-RSA-AES256-SHA encrypted) SMTP; 15 Apr 2015 08:00:49 +0200
Received: from ka1982.loods.local ([10.66.209.182]:00606)
by mg.menzis.nl with esmtps (TLSv1:AES128-SHA:128)
(Exim 4.82_1-5b7a7c0-XX)
(envelope-from <info@menzis.nl>)
id 1YiHDi-00014N-35
for ; Wed, 15 Apr 2015 08:00:47 +0200
Received: from KA1521.Loods.Local (10.64.59.200) by cas-grn.loods.local
(10.66.209.182) with Microsoft SMTP Server id 14.3.195.1; Wed, 15 Apr 2015
08:00:46 +0200
Received: from KA1001 ([10.64.24.41]) by KA1521.Loods.Local with Microsoft
SMTPSVC(7.5.7601.17514); Wed, 15 Apr 2015 08:00:46 +0200
From: Menzis <info@menzis.nl>
To: <>
Date: Wed, 15 Apr 2015 06:00:46 +0000
Message-ID: <144c9905e739c476c@K001>
Subject: Re: Overig
MIME-Version: 1.0
X-Mailer: devMail.Net (3.0.1800.22234-6)
Priority: Normal
X-Priority: 3
Content-Type: multipart/alternative;
boundary="----=_EDNP_0000_827e-810e-3b4fb89"
Return-Path: info@menzis.nl
X-OriginalArrivalTime: 15 Apr 2015 06:00:46.0230 (UTC) FILETIME=[0D760:01D749]
15-04-2015, 20:31 door FB
pcb_nl, 20:28:
die komt van mg.geove-rzg.nl
over RZG kon ik het volgende vinden:
"RZG bestaat inderdaad niet meer, Geove ook niet en is inderdaad in 2006 Menzis geworden. "

dus dat lijkt een systeem wat overgenomen is maar nooit vervangen of hernoemd.. ;-)
15-04-2015, 20:46 door pcb_nl
Tjong. ouwe meuk ook nog.

Vanaf half april willen ze ook nog sms verificatie invoeren. Gelukkig wordt dat uitbesteed aan DigiD.
16-04-2015, 15:37 door FB
Heb ze een mail gestuurd met de vraag hoe het zit,
Ben ook erg benieuwd naar de privacy policy e.d. van die 3e partij.
21-04-2015, 10:46 door FB
From: info@menzis.nl
To: FB
Date: Tue, 21 Apr 2015 08:25:55 +0000
Subject: Re: Ontvangen mails - mogelijk onbetrouwbaar?

Geachte heer B,

Hartelijk dank voor uw e-mail. Het is in deze tijd goed om bewust te kijken naar de nieuwsberichten die u per e-mail ontvangt. Graag geef ik u meer uileg over de wijze waarop we onze nieuwsbrieven verzenden.

Nieuwsbrieven
Onze nieuwsbrieven worden inderdaad door een extern bedrijf, genaamd Tripolis, verzonden. Tripolis is onze mailpartner en volledig gecertificeerd volgens alle veiligheidseisen. Ik begrijp uw verwarring over de diverse e-mailadressen heel goed. Ik heb uw opmerking daarom doorgezet naar de betreffende afdeling. Dank voor het meedenken, we waarderen deze feedback enorm.

Ik vertrouw erop u hiermee meer duidelijkheid te hebben gegeven en wens u een prettige dag.

Meer informatie
Wist u dat u online altijd gemakkelijk en veilig uw zorgzaken kunt regelen? Zo kunt u wijzigingen doorgeven, declaraties indienen en uw facturen inzien. Ook kunt u uw zorgkosten en eigen risico bekijken. Ga naar www.mijnmenzis.nl.

Uw mening
Graag wil ik uw mening over deze e-mail, daarom nodig ik u uit voor een kort tevredenheidsonderzoek. Ook als u tevreden bent horen we dat graag. Het onderzoek duurt ongeveer 2 minuten. Ga naar www.menzis.nl/email om uw mening te geven.

PS
Wilt u meedenken over verbeteringen van onze diensten en producten, of uw zorgervaring delen met Menzis en andere leden? Ga dan naar www.medemenz.nl


Met vriendelijke groet,

Michel Tax
Menzis
------------------------------------------------------------------------------------
Op 15-04-2015 heeft u de volgende vraag aan ons gesteld:
Goedenavond,

Ik zat zojuist even mijn mail door te kijken, en toen viel me op dat ik meerdere mailings heb ontvangen van Menzis.
Het bijzondere hieraan is, dat dit van 3 mailadressen komt, 3 verschillende:
nieuwsbrief@mailing-menzis.nl;
mail@mail-menzis.nl;
info@menzis.nl.

Ik heb hier nog niet eerder naar gekeken, maar ik wil er tegenwoordig wat bewuster mee omgaan.

De eerste 2 addressen, van de domeinen @mailing-menzis.nl en @mail-menzis.nl, komen van een andere source dan het @menzis.nl-adres.
Wat hierin opvalt is het volgende:
Received: from mta013.tripolis.com ([194.88.231.13]) by BAY004-MC6F30.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);

De naam "Tripolis" zegt mij niks. Een beetje google levert al snel op dat het gaat om een marketing-bedrijf.
Ik ben nu uiteraard erg benieuwd hoe ik hiermee om moet gaan, gezien de laatste tijd zoveel spam en phishing mails verstuurd word.
Zouden jullie mij hierin kunnen adviseren?
Ik ben trouwens niet de enige die dit is tegengekomen, er zijn blijkbaar meer mensen die het is opgevallen:
https://www.security.nl/posting/425117/email+van+een+look-a-like

Met vriendelijke groet,

FB


--
De inhoud van dit bericht is vertrouwelijk en met de grootst mogelijke zorg verzonden. Ontvangt u dit bericht
onterecht? Dan vragen we u ons direct per e-mail te informeren en het bericht te vernietigen. Wij danken u
voor uw medewerking. Dit bericht is afkomstig van één van de leden of deelnemingen van de Coöperatie
Menzis U.A. (kvk-nr.: 02065142).

Mijn reactie hierop zal nog volgen, ik wil eerst even wat info inwinnen over welke info handig is om te hebben van deze 3e partij.
Pcb_NL, heb jij nog specifieke vragen, of weet jij inmiddels voldoende?
21-04-2015, 13:26 door Anoniem
Het afzenderadres van een e-mail is zo eenvoudig te vervalsen dat je daar sowieso nooit op kan vertrouwen, je hebt er niet eens speciale tools voor nodig. Bij twijfel gewoon altijd niet doen; ga naar de website (zelf, niet door een link te klikken), en kijk of daar informatie staat betreffende het mailtje. Bedrijven moeten eens ophouden met dit soort mailtjes te sturen, of mensen aanleren hoe PGP of S/MIME werkt en dat in gaan zetten.
22-04-2015, 11:00 door Anoniem
Door FB: Eric-Jan, bovenstaande 3 mailadressen komen rechtstreeks uit outlook,
er worden geen subdomeinen gebruikt ozals bij mailing.menzis.nl, maar 3(Waarvan 2 bijna identieke) losstaande domeinen:
mail-menzis.nl en mailing-menzis.nl.
Zijspoor qua onderwerp: Is er hier iemand die begrijpt waarom bedrijven massaal een afkeer lijken hebben van subdomeinen en een voorkeur voor losstaande domeinen? Het lijkt wel of ze vooral *niet* expliciet willen maken dat domeinen onderling gerelateerd zijn.

En dat terwijl ik enkel voordelen zie. Zodra je begrijpt dat die puntjes een hiërarchische ordening vertegenwoordigen is duidelijk dat mailing.menzis.nl bij menzis.nl hoort, terwijl dat voor mailing-menzis.nl een (weliswaar eenvoudig voor wie de weg weet) onderzoekje vergt. Als NoScript-gebruiker heb ik als voortdurende ergernis op dat nagenoeg elke site die statische en dynamische content over twee domeinen verdeelt (en dat zijn er vele) dat *niet* met subdomeinen doet, ze gebruiken steevast in plaats van static.example.com zoiets als example-static.com of zelfs zoiets als exstat.com.

Voor wie weet hoe subdomeinen werken schept het duidelijkheid, voor wie het niet weet maakt het geen verschil.

Dus waarom maken bedrijven er zo massaal *geen* gebruik van?
22-04-2015, 12:18 door Anoniem
Door pcb_nl:Maar de vraag is: geldt dit als een grote beveiligingsfout van menzis.
Technisch gezien misschien niet.
Juridisch gezien met aan zekerheid grenzende waarschijnlijkheid ook niet.
Praktisch gezien: ja, bijzonder knullig.

Door pcb_nl:Ben ik paranoia?
LOL, en wie bepaald dat? Jij of zij?
22-04-2015, 14:08 door Anoniem
@Anoniem, 12:18
Het is zeker geen beveiligingsprobleem/fout, maar meer een privacy-dingetje
Gegevens liggen bij een 3e partij, en wie weet wat die ermee doen ;-)
23-04-2015, 15:01 door Anoniem
"Gegevens liggen bij een 3e partij, en wie weet wat die ermee doen ;-)"

Lol, vind eens 1 groot Nederlands bedrijf die *geen* gebruik maakt van derde partijen ? Is een medewerker van een 3e partij overigens per definitie onbetrouwbaar, en een medewerkers van Menzis per definitie betrouwbaar ?

Immers weet je bij geen van beiden ''wat ze met je gegevens zouden kunnen doen'' (buiten hetgeen wat ze met je gegevens zouden moeten doen).
21-05-2015, 17:10 door CodeAsm
Ik check altijd bij twijfel de email bron (zeg naar de headers zoals hierboven)
En bij fake mails zijn de meeste links waar je op wil klikken nep (lees: verwijzen naar een ander domein dan wat meestal voorkomt bij de voor aaneembare identiteit waar de mail vandaan komt)

Laatst een paypal email gehad, alles linkte naar paypal, behalve de grote knop "Check your transaction" achtige knop. die werd beschreven dat ik zojuist een slordige 80 euro aan een "Gezelige avond met Saskia" heb betaald.

Ben met een andere pc wezen kijken op paypal... nope, laatste transactie was naar china, voor een 3 euro arduino bordje via aliexpress.

Had ik al verteld dat ik een email adress specifiek heb voor paypal, en een compleet andere voor nieuwsbrieven? raad jij waar die mail binne kwam. ;) verdeel en heers
22-05-2015, 08:26 door Anoniem
Allemaal niet te fatsoenlijk te verifieëren, je kunt wel gaan graven in bedrijfshistorische domein namen, maar dat gaat veel te ver om praktisch te zijn. Als er geen S/MIME ondertekening is en de TLD van de hostnaam van laatste versturende MTA niet is geregistreerd bij het bedrijf dan is een e-mail niet verifieerbaar als 'legitiem'.

Bedrijven moeten hun mail gewoon digitaal gaan ondertekenen. Bedrijven kunnen niet van hun gebruikers verwachten dat deze alert zijn op phishing atempts en die correct herkennen terwijl tegelijkertijd hun eigen mail in niets te onderscheiden is van een goede phishing poging.
22-05-2015, 10:02 door Erik van Straten - Bijgewerkt: 22-05-2015, 10:05
Door Anoniem: Allemaal niet te fatsoenlijk te verifieëren, je kunt wel gaan graven in bedrijfshistorische domein namen, maar dat gaat veel te ver om praktisch te zijn. Als er geen S/MIME ondertekening is en de TLD van de hostnaam van laatste versturende MTA niet is geregistreerd bij het bedrijf dan is een e-mail niet verifieerbaar als 'legitiem'.
Goed opgemerkt! Geen van de getoonde e-mail adressen (From, Reply-To en "Return-Path") bewijst de identiteit van de feitelijke verzender (en opsteller).

Maar helaas, ook de hostnaam van de laatste versturende MTA (Mail Transfer Agent = mail server) is eenvoudig te vervalsen, en de eventuele reverse DNS lookup die de wel door jou vertrouwde mailserver uitvoert, levert vaak niets of flauwe kul op.

Daar komt bij dat spammers vaak vervalste Received headers toevoegen in de hoop onervaren lezers (en anti-spam parsers) van die headers op een dwaalspoor te zetten.

Echt het enige in een e-mail dat je kunt vertrouwen zijn headers die zijn toegevoegd door mailservers die jij vertrouwt (van jouw ISP bijvoorbeeld). En het enige in die headers dat iets te maken heeft met de afzender is 1 IP-adres; daar zul je het mee moeten doen. En als je niet weet wat "whois" is, ben je kansloos.

Door Anoniem: Bedrijven moeten hun mail gewoon digitaal gaan ondertekenen. Bedrijven kunnen niet van hun gebruikers verwachten dat deze alert zijn op phishing atempts en die correct herkennen terwijl tegelijkertijd hun eigen mail in niets te onderscheiden is van een goede phishing poging.
Het zou goed zijn als alle mail digitaal ondertekend zou zijn. Helaas bestaan daar 2 standaarden voor (PGP/GnuPG en S/MIME), die allebei grote gebreken kennen (waardoor ze schijnveiligheid bieden) en bovendien niet door leken worden begrepen.

Daar komt bij dat de praktijk is dat bedrijven niet meer zelf mailen, maar dit aan een derde partij overlaten. Als zij het ondertekenen ook aan die derde partij gaan overlaten, moet je je sterk afvragen wat de waarde is van een handtekening namens bedrijf A gezet door bedrijf X (hetzelfde geldt voor https certificaten van MitM bedrijven die we CDN's noemen, maar dat is een andere discussie).

En, zodra digitale handtekeningen meer worden gebruikt, zal bedrijf X, als deze ook voor bedrijven B, C etc. de mailings en handtekeningen verzorgt, een zeer interessant doelwit worden voor cybercriminelen.

Last but not least zijn doorsnee PC's veel te onveilig om de identiteit van de afzender van een belangrijke e-mail (plus de integriteit van de inhoud van die e-mail) te garanderen. Aanvallers van Diginotar en Adobe konden, zonder toegang tot de private key, resp. subcertificaten en code ondertekenen doordat ze toegang hadden verkregen tot het signing proces. Op vergelijkbare wijze kan een backdoor in jouw mailprogramma (of XSS bij webmail) "door jou" gesigneerde mails versturen.

Als er een betrouwbare en begrijpelijke oplossing bestond zouden we die allang gebruiken.
24-05-2015, 18:23 door Anoniem
Door Erik van Straten:
Door Anoniem: Allemaal niet te fatsoenlijk te verifieëren, je kunt wel gaan graven in bedrijfshistorische domein namen, maar dat gaat veel te ver om praktisch te zijn. Als er geen S/MIME ondertekening is en de TLD van de hostnaam van laatste versturende MTA niet is geregistreerd bij het bedrijf dan is een e-mail niet verifieerbaar als 'legitiem'.
Echt het enige in een e-mail dat je kunt vertrouwen zijn headers die zijn toegevoegd door mailservers die jij vertrouwt (van jouw ISP bijvoorbeeld). En het enige in die headers dat iets te maken heeft met de afzender is 1 IP-adres; daar zul je het mee moeten doen. En als je niet weet wat "whois" is, ben je kansloos.

Die headers doelde ik dan ook op en ik realiseer me dat die voor de meeste gebruikers onleesbaar zijn, en mocht je al achterhalen wie de verzendende partij is, dan weet je nog steeds niet welke relatie die hebben met diegene uit wiens naam de mail verstuurd was.

Door Anoniem: Bedrijven moeten hun mail gewoon digitaal gaan ondertekenen. Bedrijven kunnen niet van hun gebruikers verwachten dat deze alert zijn op phishing atempts en die correct herkennen terwijl tegelijkertijd hun eigen mail in niets te onderscheiden is van een goede phishing poging.
Het zou goed zijn als alle mail digitaal ondertekend zou zijn. Helaas bestaan daar 2 standaarden voor (PGP/GnuPG en S/MIME), die allebei grote gebreken kennen (waardoor ze schijnveiligheid bieden) en bovendien niet door leken worden begrepen.

Welke problemen precies?

Er zullen best problemen zijn met s/mime en de achterliggende infrastructuur voor certificaten, net als bij https, maar dat staat niet in verhouding tot de problemen die de huidige werkwijze met zich meebrengt. Tenslotte gebruiken we ook https, en steeds meer.

Het gebruik van third-party mailers is op dit moment eigenlijk al not-done, dergelijke mail is niet te onderscheiden van phishing. Of een bedrijf A een ander bedrijf X toestaat een certificaat te gebruiken voor een van hun e-mail adressen vereist niet meer vertrouwen dan in de huidige situatie, waarbij het op dit moment voor de klant niet te achterhalen is of mailer Z nu wel of niet partij X is die het vertrouwen van A geniet. Overigens kan X ook in de huidige situatie gehackt worden en een malware-mailing verzenden, maar eigenlijk is het niet eens nodig om ook maar iets te hacken. En mocht het fout gaan, een certificaat kan worden ingetrokken, eenmaal verzonden mail kun je niet terughalen.

Als doorsnee PC's te onveilig zijn om s/mime te gebruiken zijn ze hoe dan ook te onveilig om te gebruiken in situaties waarin verificatie van de verzender belangrijk is.

Als er een betrouwbare en begrijpelijke oplossing bestond zouden we die allang gebruiken.
Sorry, ik ben te sceptisch (cynisch?) wat bertreft het ict niveau in he berdrijfsleven om dat te geloven
27-05-2015, 14:55 door pcb_nl
En nu sturen ze de rekening ook al via een derde partij!!!!!
Met als onderwerp: Uw nieuwe factuur. Eenvoudig te betalen via iDEAL.

En wat vindt je van deze link in het bericht:
Heeft u vragen over betalen via de digitale acceptgiro of ondervindt u problemen met betalen? Kijk dan op <a href="https://p.acceptemail.com/r/tralala/tralala+tralala/tralala" target="_blank" title="Deze externe link zal openen in een nieuw venster">www.menzis.nl/digitaleacceptgiro</a>.

Kijkt Roger van Boxtel ook even mee? Is er iemand van menzis eigenlijk geinteresseerd in security?


Hier onder de header van de email.
Return-Path: <bounce.j.c@b.acceptemail.com>
Delivered-To: 60-xxxxxxxxxx@xxxxxxxxxxxxxxx.nl
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on
serv.host.nl
X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=4.0 tests=BAYES_00,HTML_MESSAGE
autolearn=ham version=3.2.4
Received: (qmail 10398 invoked from network); 27 May 2015 12:14:39 +0200
Received: from mta019.tripolis.com (194.88.231.19)
by serv.host.nl with (DHE-RSA-AES256-SHA encrypted) SMTP; 27 May 2015 12:14:39 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=s20130109; d=acceptemail.com;
h=Date:From:Reply-To:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:Message-ID;
bh=gzToRzD49/ns68ghJG7Cc83tOuADc+wCcVH9OJeQx8M=;
b=314YEDTlbcNCevslGs/8DQMEvSPVwfsX4Jac1kWonsDg/ll5lMtus9kXWWOnQj34iLqurQTmv+wp
ID3Ekxx1O3jZiRT5VyvDxn9MfIiOn0sWHmFncSuxW3TjNEKCXv+YrhReJLntd5N5bCMNDhVZcSP+
nKgT0xYUzKmyJLV4IH0=
Date: Wed, 27 May 2015 12:14:46 +0200 (CEST)
From: "Menzis N.V." <mail@mail-menzis.nl>
Reply-To: fnv@menzis.nl
To: xxxxxxxxxx@xxxxxxxxxxxxxxx.nl
Subject: Uw nieuwe factuur. Eenvoudig te betalen via iDEAL.
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_132828308_692125704.1432721686506"
X-Customer-ID: BenXT_AYq5pmtYquHLqebA
X-Database-ID: Z4y2YAJ_WEe6aQvf37cvcA
X-Content-ID: FZxowOHcXpK0w9E1uJUh7w
X-Job-ID: hg9lIjg2j0Jh3Yr3nlTULg
X-Contact-ID: mB7Fz7QB81w05Px+2qRK0w
List-Unsubscribe: <mailto:u.fH+DX857ADj4OeAOfoG+Mw.t965Ni5PD2rsWFVQK_24EQ@b.acceptemail.com>
Message-ID: <1.7.F2.c7s7c.0@mta019.tripolis.com>
27-05-2015, 15:23 door Anoniem
Door pcb_nl: En nu sturen ze de rekening ook al via een derde partij!!!!!
Met als onderwerp: Uw nieuwe factuur. Eenvoudig te betalen via iDEAL.

En wat vindt je van deze link in het bericht:
Heeft u vragen over betalen via de digitale acceptgiro of ondervindt u problemen met betalen? Kijk dan op <a href="https://p.acceptemail.com/r/tralala/tralala+tralala/tralala" target="_blank" title="Deze externe link zal openen in een nieuw venster">www.menzis.nl/digitaleacceptgiro</a>.

Menzis staat erbij
http://www.acceptemail.com/nl

Geen privacy policy maar wel een disclaimer met heel veel niet-claims
http://www.acceptemail.com/nl/disclaimer

Filiaal in de States
http://www.acceptemail.com/nl/blog/acceptemail-opent-kantoor-in-new-york
Het antwoord op de vraag of de vs nu ook onder andere de betaaldata van nederlandse zorgklanten mag opvragen omdat acceptmail een vestiging in de vs heeft mag je zelf uitzoeken.
Het staat in ieder geval nog niet vermeld in de disclaimer.
27-05-2015, 19:46 door Anoniem
Door Anoniem:
Door pcb_nl: En nu sturen ze de rekening ook al via een derde partij!!!!!
Met als onderwerp: Uw nieuwe factuur. Eenvoudig te betalen via iDEAL.

En wat vindt je van deze link in het bericht:
Heeft u vragen over betalen via de digitale acceptgiro of ondervindt u problemen met betalen? Kijk dan op <a href="https://p.acceptemail.com/r/tralala/tralala+tralala/tralala" target="_blank" title="Deze externe link zal openen in een nieuw venster">www.menzis.nl/digitaleacceptgiro</a>.

Menzis staat erbij
http://www.acceptemail.com/nl
Beeep, fout, u gaat niet door naar de volgende ronde....

acceptmail.com can wel beweren dat ze voor Menzis (en honderden andere bedrijven) werken maar dat zou ik ook kunnen beweren. De enige die je daarover kunt raadplegen is Menzis. Dus bellen met Menzis. Als meer mensen dat doen leren ze het misschien nog eens af.

Je kunt de e-mail natuurlijk ook melden als phishing. Wederom, als genoeg mensen dat doen gaan ze er misschien anders mee om.

Geen privacy policy maar wel een disclaimer met heel veel niet-claims
http://www.acceptemail.com/nl/disclaimer

Filiaal in de States
http://www.acceptemail.com/nl/blog/acceptemail-opent-kantoor-in-new-york
Het antwoord op de vraag of de vs nu ook onder andere de betaaldata van nederlandse zorgklanten mag opvragen omdat acceptmail een vestiging in de vs heeft mag je zelf uitzoeken.
Het staat in ieder geval nog niet vermeld in de disclaimer.[/quote]
27-05-2015, 22:25 door Anoniem
Door Anoniem: Het afzenderadres van een e-mail is zo eenvoudig te vervalsen dat je daar sowieso nooit op kan vertrouwen, je hebt er niet eens speciale tools voor nodig. [...] Bedrijven moeten eens ophouden met dit soort mailtjes te sturen, of mensen aanleren hoe PGP of S/MIME werkt en dat in gaan zetten.

Of gewoon standaarden voor mailauthenticatie toepassen (DKIM, SPF en DMARC). Hoewel minder geavanceerd dan PGP en S/MIME, worden deze standaarden breder toegepast, ook aan de ontvangende zijde (o.a door Gmail, Outlook.com, Yahoo en XS4ALL) en geven ze zekerheid over de authenticiteit van het afzenddomein.

De test op Internet.nl laat zien dat hier winst te behalen is voor Menzis: https://internet.nl/mail/mailing-menzis.nl/results. Voor meer inhoud zie ook verslag en slide van onlangs georganiseerde DMARC-masterclass op https://internet.nl/news/DMARC-masterclass-authenticatie-afzender-noodzaak-geworden/ en de FAQ (under construction) op https://internet.nl/faqs/mail/.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.