Juridische vraag: Mag een mail gatewaydienst verdachte e-mails zonder aankondiging weggooien?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze dienst mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?
Antwoord: Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel mag, juridisch gezien.
In beginsel zijn bedrijven onderling vrij om hun dienstverlening in te richten zoals hen goeddunkt. Het filteren of controleren van e-mail is voor de wet gewoon een dienst als alle andere, en als de klant het goed vindt dat de dienstverlener verdachte zaken direct weggooit zonder te melden, dan is dat een zakelijke keuze.
Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen. Dat is hinderlijk en kan de relatie schaden tussen hem en het bedrijf dat de gatewaydienstverlener ingeschakeld heeft. Maar volgens mij is het niet verboden.
In theorie zou je nog op de AVG kunnen wijzen: de mail gateway verwerkt immers persoonsgegevens door de mail te scannen en door te sturen dan wel weg te gooien. Daarmee geldt er een informatieplicht voor het bedrijf dat de gateway inzet, en de afzender heeft dan een basis voor een claim dat zijn persoonsgegevens ongewenst zijn verwerkt.
Ik denk dat dat in de praktijk niet gaat vliegen. Het scannen van mail en het weggooien van verdachte mail is een relatief bekende praktijk. Daarnaast kan het (zo weet iedereen) altijd gebeuren dat mails spontaan kwijtraken. Je moet er dus sowieso altijd rekening mee houden dat een mail niet aankomt of niet gelezen wordt. Eisen dat de ontvanger je informeert over een blokkade, kan ik dus ook onder de AVG niet hard krijgen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Aan vraagsteller: werk je bij de IT afdeling, of ben je een andere werknemer?
- Als je bij de IT afdeling werkt zou je moeten weten wat de dienstverlener aan biedt
- Als je niet bij IT werkt, lijkt me dit een vraag die je bij je interne helpdesk kan stellen
Zoals Arnoud al aangeeft: het betreft bedrijfsemail, dus je bedrijf mag van alles afspreken, bij wijze van spreke een regel dat maar 1 op de 3 mailtjes wordt afgeleverd en de rest weggegooid. Niet handig maar wel toegestaan...
Dat hangt toch af van de contractuele afspraken welke je zelf maakt met een leverancier ? Ik zou zeggen, overleg met je leverancier over de mogelijkheden. Bevallen de mogelijkheden niet, stap over naar een andere partij.
Dit zijn ook zaken waar je van te voren bij stil moet staan, en waarover je je moet informeren voordat je de stap neemt om de mail extern onder te brengen. Typisch een gevalletje van eigen verantwoordelijkheid.
De wet schrijft niet voor hoe jij dit met je leverancier moet regelen.
De meeste bedrijven willen vandaag de dag toch ook goede spam/malware filtering op de (interne of externe) mail server. Het zal ze ook niet gaan om het feit dat ze deze dienst niet willen, maar om de details hoe dit werkt. Vervelend als mails van of aan klanten bijvoorbeeld ongemerkt in het niets verdwijnen.
LMFAO. Je zou eens moeten zien hoeveel spam e.d. je binnen krijgt wanneer ze deze filtering *niet* aan zouden hebben staan. Zouden mensen steen en been klagen. Veel belangrijker is de vraag hoe strikt de filtering is, om de kans op false positives zo laag mogelijk te houden. Verder kies je zelf voor een email dienst met of zonder spam filtering, antivirus filtering en dergelijke. Waar is je eigen verantwoordelijkheid bij het maken van keuzes ?
De SPF/DKIM instellingen kunnen ook 'breken' als gevolg van constructies met forwarding, bijvoorbeeld als gevolg van het sturen naar een mailinglist.
Volgens mij heb jij geen idee van de hoeveelheid spam die dagelijks weggegooid wordt, dat kan je mailbox niet eens aan, en jij zou er gek van worden. Het is niet alleen een kwestie van goede security software, alhoewel ik denk dat je dan toch nog meer risico gaat lopen.
Hij kan er wel wat aan doen door zijn mail betrouwbaarder te maken.
Ik heb het zelf gehad bij een leverancier waarvan de mail nooit aankwam op mijn normale adres. De ontvangende mailserver gaf aan dat de DKIM handtekening niet geldig was en liet de mail stilletjes vervallen. Bij hem lag het aan zijn mail provider die de mail ondertekende met een extreem korte sleutel. OpenDKIM verwerpt dergelijke mails bij de default settings. GMail liet dergelijke mails wel door, maar gaf wel aan dat DKIM een onveilige sleutellengte gebruikte.
Hij kan er wel wat aan doen door zijn mail betrouwbaarder te maken.
Ik heb het zelf gehad bij een leverancier waarvan de mail nooit aankwam op mijn normale adres. De ontvangende mailserver gaf aan dat de DKIM handtekening niet geldig was en liet de mail stilletjes vervallen. Bij hem lag het aan zijn mail provider die de mail ondertekende met een extreem korte sleutel. OpenDKIM verwerpt dergelijke mails bij de default settings. GMail liet dergelijke mails wel door, maar gaf wel aan dat DKIM een onveilige sleutellengte gebruikte.
Interessant, hoewel ietwat kort door de bocht. Er zijn een hoop slecht geconfigureerde mail severs in omloop en rejecten enkel op DKIM lijkt excessief, verstandiger is taggen. Uiteraard word dit anders als DMARC ook gebruikt word met een p=reject en SPF gaat ook fout.
Zij beschermen de organisatie door deze inkomende berichten te weren.
Te lang Niet Gelezen:
> scan mijn inkomende mails voor malafide berichten
> huurt gatewaydienst in
> inkomende mail: "I'm the Nigerian prince"
> gatewaydienst: "You shall not pass!"
> -bericht weggejorist-
> Geen malafide mails
Het staat vast wel in een logfile.
Als je alle spam in een spamfolder plaatst, houd dan rekening met soms tot ca. 500 mails per dag in die box. Dat je die nooit hebt gezien klopt meestal wel: de meeste spam wordt door de meeste providers al buiten de deur gehouden.
Meestal blijven er van die 500 maar een paar over waar het systeem nog over twijfelt: die staan nu in je 'spam'/'junk' box.
Overigens kunnen eigenaren van domeinnamen beïnvloeden wat er gebeurd met die mail, door bijvoorbeeld P=Reject in te stellen in DMARC. Dan is het verzoek aan de ontvanger om de mail weg te gooien als er iets niet klopt. Of zelfs die niet kloppende mail terug te krijgen in de systemen van de eigenaar van de domeinnaam (over privacy gesproken!).
Sterker nog, je wilt niet eens dat jouw mailserver actie onderneemt. Wie kan hij raadplegen? De afzender? 9 van de 10 keer is dat een vervalst adres, vaak ook nog niet eens bestaand. Degenen die wel bestaan krijgen naar aanleiding van zo'n spamrun anders allemaal non-deliverables. Fijn.
De ontvanger? bijna net zo irritant om 2000 "we hebben mogelijk spam gevonden" berichtjes te ontvangen als wanneer de berichten er daadwerkelijk doorheen zouden zijn gekomen.
Wanneer het vervolgens om content filtering gaat (met andere woorden, het pakket is geaccepteerd en open gemaakt, en oei, er zit een tikkende wekker in) dan is het een ander verhaal, en moet deze apart worden gezet (quarantaine) en onschadelijk gemaakt worden (virus scan/clean). Het lijkt me vrij logisch dat als de EOD er bij is gehaald, de geadresseerde toch minimaal gewaarschuwd wordt dat iemand hem/haar onheil wilde berokkenen, danwel dat de lokale autoriteiten (beheerders) even worden geinformeerd dat er een boos oog naar hun ingezetenen was gericht. Laten alle redelijke anti-spam systemen dat toch allemaal kunnen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.