Privacy - Wat niemand over je mag weten

Afzender en geadresseerde dezelfde toch krijg ik deze email

18-06-2018, 17:40 door Anoniem, 14 reacties
Ik ontvang een email van Postbus Stadjerspas <stadjerspas@groningen.nl> gericht aan Postbus Stadjerspas <stadjerspas@groningen.nl>. Het gaat om een uitnodiging voor een enquête bij https://nl.surveymonkey.com/
Nergens is in de bron het email adres van mijzelf of wie dan ook anders te vinden, dus vraag ik mij af, hoe kan dit.
Wie kan mij het antwoord hierop geven.
Reacties (14)
18-06-2018, 20:30 door Bitwiper
Gefeliciteerd met het stellen van de noob-vraag van de dag!

Hint: het zijn 3 letters, lijkt op de afkorting van de Engelse "NPO" en verkoopt wit- en bruingoed. Sjeemig...
18-06-2018, 22:16 door Anoniem
Door Bitwiper: Gefeliciteerd met het stellen van de noob-vraag van de dag!

Hint: het zijn 3 letters, lijkt op de afkorting van de Engelse "NPO" en verkoopt wit- en bruingoed. Sjeemig...

Media Market?

Vind het nog wel moeilijk hoor.
18-06-2018, 22:20 door Spiff has left the building
Door Bitwiper, 20:30 uur:
Sjeemig...
Maar Bitwiper, je weet toch wel dat hier af en toe ook vragen van basisniveau gepost worden?
En het kan nooit kwaad dat iemand hier wat leert.
Je zal ze de kost moeten geven die voor bijvoorbeeld een wijkbrief of een uitnodiging voor een cursus alle geadresseerden doodleuk onder "To" plaatsen, geen idee hebben van Bcc en wanneer dat te gebruiken.

Aan topicstarter, in het laatste stukje hierboven verklap ik waar Bitwiper op doelde.
De afzender had alle geadresseerden, waaronder ook jouw adres, onder "Bcc" geplaatst, en Stadjerspas onder "Aan"/"To".
Het onder Bcc plaatsen van de geadresseerden wordt gedaan zodat de diverse geadresseerden niet elkaars adressen zien, en het onder Aan/To plaatsen van een eigen adres wordt wel gedaan om spamfilters die filteren op 'enkel Bcc' niet tegen de haren te strijken.

Wat meer over het gebruik van Bcc, zie bijvoorbeeld:
https://nl.wikipedia.org/wiki/Carbon_copy
https://en.wikipedia.org/wiki/Blind_carbon_copy
18-06-2018, 22:46 door Anoniem
Mijn dank voor deze reacties. Ik wist het maar het kwartje wilde gewoon niet vallen, dus ik verdien de hoon.
19-06-2018, 12:03 door Anoniem
Mijn waardering voor jou Spiff. Een plus voor het serieus nemen van mensen.
19-06-2018, 13:04 door Anoniem
Oooooo, BBC eh... BCC.
die zit bij ons helemaal niet zo ver bij Media Market vandaan. ;)
19-06-2018, 14:52 door Bitwiper
Hmm Spiff, je hebt wel een beetje gelijk, ik reageerde wat fel. Maar ik begrijp niet dat iemand die, notabene in het privacy forum, zo'n vraag stelt, zich niet bewust is van het BCC veld.

De AP (Autoriteit Persoonsgegevens) gaat het nog druk krijgen door het gebrek aan basiskennis bij de meeste internetters met, als gevolg daarvan, overtredingen van de AVG/GDPR. Die eenvoudig te voorkomen zijn door een stukje opleiding (kan zelfstudie zijn) maar alles begint ermee dat gebruikers er de interesse voor moeten opbrengen en er tijd in moeten willen stoppen. Helaas zien de meesten daar de noodzaak niet van in, want de meeste software wekt de suggestie dat je zonder voorkennis je gang kunt gaan.

Uit https://www.security.nl/posting/564350#posting564386:
03-06-2018, 09:29 door Anoniem: Einstein zou gezegd hebben: "Everything should be made as simple as possible, but not simpler." De fout die in de publieksvoorlichting is gemaakt (en vaak gemaakt wordt) is dat het wel simpeler is gemaakt dan mogelijk. Daar bewijs je in mijn ogen niemand een dienst mee.
Dat was in het kader van https slotjes waarvan de meeste mensen denken dat de website dan veilig is (totale onzin natuurlijk). Maar m.i. geldt iets vergelijkbaars voor e-mail.

De meeste mensen hebben er geen idee van hoe eenvoudig in een e-mail de To: (geadresseerde) maar ook From: (afzenderadres) velden vervalst kunnen worden. Erger, bijna alles in een e-mail kan worden vervalst. Als je dat niet weet loopt jouw werkever of vrijwilligersorganisatie niet alleen risico op boetes van de AP, maar ook op een geplunderde bankrekening (van jezelf of van iemand anders, zoals je baas; zie bijv. https://www.security.nl/posting/566571/Meerdere+Nederlandse+bedrijven+slachtoffer+van+ceo-fraude van vandaag).

SPF, DKIM, DomainKeys en DMARC kunnen een beetje helpen, maar zijn in de praktijk zo brak geïmplementeerd dat je er weinig aan hebt. Ondertussen ontvang ik bakken Nederlandstalige "schimmelnagelmiddel" spam waarin de spammers zowel SPF, DKIM, DomainKeys als DMARC foutloos, dus perfect, hebben geconfigureerd voor hun vele wegwerp-afzenderdomeinenen (elke dag gewoon weer een stel nieuwe). Kennelijk is dit een succesformule om spamfilters te passeren. En de afzenders van deze mails zijn natuurlijk nooit degenen wiens naam als afzender wordt vermeld.

Gisteren bijv. eentje van "Olivia Achterberg". Mochten er een of meer personen met die naam bestaan, dan heeft ongetwijfeld geen van hen een e-mail account genaamd oliviapzkwqsbachterberg@galindochang.com - het "werkelijke" afzenderadres dat mijn IOS en Android smartphones pas tonen nadat ik doorklik op de afzender.

Daarbij geeft noch SPF, noch DKIM, noch DomainKeys en noch DMARC mij enige garantie over die feitelijke afzender ("oliviapzkwqsbachterberg" kennelijk AKA "Olivia Achterberg"); de enige garantie die genoemde protocollen geven (na veel debakels bleken we deze kennelijk allemaal nodig te hebben) is dat de e-mail is verzonden vanaf een mailserver (een ding met een IP-adres) die wordt vertrouwd door het domein "galindochang.com". Maar "galindochang.com" is een wegwerpdomein geregistreerd door spammers, dus wat heb ik daaraan? Helemaal niets.

Kortom, e-mail is helemaal niet simpel, en met allerlei crappy "oplossingen" (waaronder genoemde protocollen, maar zeker ook -uitsluitend symptoombestrijdende- spamfilters - waardoor noobs klagen dat e-mail soms niet aankomt) hebben we van e-mail een hopeloos ingewikkeld gedrocht gemaakt. Als mensen BCC al niet snappen, hoe leggen we dan uit dat From: en To:, ondanks alle lapmiddelen, gewoon flauwekul kunnen bevatten?
19-06-2018, 15:34 door Anoniem
Door Bitwiper:
SPF, DKIM, DomainKeys en DMARC kunnen een beetje helpen, maar zijn in de praktijk zo brak geïmplementeerd dat je er weinig aan hebt.

Het maakt niet uit hoe ze geimplementeerd zijn, ze zijn bedoeld voor je eigen identiteitsbescherming niet voor die van
anderen. Als jij netjes die zaken op je mail voor elkaar hebt en iemand anders pakt mail aan die met jouw adres gespoofed
is en lijdt daardoor schade dan heb jij alles gedaan wat je kunt en is dat slachtoffer het domme schaap wat niet opgelet
heeft ondanks alle mogelijkheden. Dat soort gasten houd je altijd, maar dat is niet een reden om er dan maar niks aan
te doen. De Nederlandse staat verstrekt je een paspoort of id kaart voor jouw identificatie, dat anderen die dan vervolgens
niet goed controleren of zelfs een copietje accepteren dat is niet het probleem van de staat en niet jouw probleem.
(het kan hooguit jouw probleem worden als die andere partij dat niet snapt en vervelend gaat doen)

Ondertussen ontvang ik bakken Nederlandstalige "schimmelnagelmiddel" spam waarin de spammers zowel SPF, DKIM, DomainKeys als DMARC foutloos, dus perfect, hebben geconfigureerd voor hun vele wegwerp-afzenderdomeinenen (elke dag gewoon weer een stel nieuwe).

Dat is ook niet waar deze mechanismen voor bedoeld zijn.
19-06-2018, 21:39 door Anoniem
Door Bitwiper: Hmm Spiff, je hebt wel een beetje gelijk, ik reageerde wat fel. Maar ik begrijp niet dat iemand die, notabene in het privacy forum, zo'n vraag stelt, zich niet bewust is van het BCC veld.
Er zijn wel meer dingen die gewoon in email zitten en waar zelfs "administrators" geen benul van hebben... of zelfs schrijvers van "email"-software. (*kuch* zekere clients en servers van een zekere fabrikant *kuch* en In-Reply-To:, bijvoorbeeld.)

Ja, de headers zijn triviaal te spoofen. En ja, je kan zo'n mailtje via "Bcc:" opzetten... maar dat hoeft niet. De kneep zit'm er in dat een email tijdens verzenden bestaat uit drie delen, body, header, en envelope.

De meeste mensen hebben er geen idee van hoe eenvoudig in een e-mail de To: (geadresseerde) maar ook From: (afzenderadres) velden vervalst kunnen worden. Erger, bijna alles in een e-mail kan worden vervalst. Als je dat niet weet loopt jouw werkever of vrijwilligersorganisatie niet alleen risico op boetes van de AP, maar ook op een geplunderde bankrekening (van jezelf of van iemand anders, zoals je baas; zie bijv. https://www.security.nl/posting/566571/Meerdere+Nederlandse+bedrijven+slachtoffer+van+ceo-fraude van vandaag).
De headers leren lezen is wel nuttig. Mijn email client laat alleen de belangrijkste zien tenzij ik op een knop druk en dan zie ik ze allemaal in originele volgorde netjes boven de email staatn. Heel weinig "GUI" clients die dat kunnen.

Terwijl het heel erg nuttig is om bijvoorbeeld de Received: lijnen te kunnen lezen. Als er mailtjes aankomen bij jouw Mail Service Provider vanaf een ".mx"-adres die net doen of ze van je (Nederlandse) bank afkomen, wat denk je dan? Mijn vader had redelijk snel door dat daar iets niet klopte toen ik 'm vertelde hoe dat met die Received: lijnen werkt.

SPF, DKIM, DomainKeys en DMARC kunnen een beetje helpen, maar zijn in de praktijk zo brak geïmplementeerd dat je er weinig aan hebt.
Dat de praktijk zo zou zijn kon je eigenlijk al zien aan de voorstellen zelf. Niet voor niets dat nanae een "your anti-spam solution will not work, because..."-standaardformulier ontwikkeld heeft. Er zijn een hele hoop mensen met "goede" ideetjes en net als met dat "superveilige" bluetooth-hangslot, ze worden niet allemaal tijdig afgeschoten. Niet iedereen leest zich in in de relevante literatuur en als er maar een groot genoege organisatie achter zit dan kan het idee best ver gelanceerd worden. (Zie ook: RFC 1955 sectie 2 punt (3).)

Kortom, e-mail is helemaal niet simpel, en met allerlei crappy "oplossingen" (waaronder genoemde protocollen, maar zeker ook -uitsluitend symptoombestrijdende- spamfilters - waardoor noobs klagen dat e-mail soms niet aankomt) hebben we van e-mail een hopeloos ingewikkeld gedrocht gemaakt.
<monocle>Quite.</monocle>

Als mensen BCC al niet snappen, hoe leggen we dan uit dat From: en To:, ondanks alle lapmiddelen, gewoon flauwekul kunnen bevatten?
Je kan beginnen met het uit te leggen. Daarmee zou je eigenlijk moeten beginnen zodra je ze aan de email helpt. "Dit is een email, bestaat uit deze elementen, de headers werken zo..." etc.

Er zijn genoeg mensen die dagelijks met email werken maar geen benul hebben van de Sender: of de Reply-To: headers, of hoe nuttig het zou zijn als je client netjes threading ondersteunt. (Dan hoef je bijvoorbeeld niet net te doen of het netwerk je archief is, met je top-posting, en je "niet printen want milieu"-vingerzwaaien in je nodeloos lange email vol met rotzooi die niemand ooit leest.)

Zodat mensen weten hoe het werkt en niet met zelfverzonnen vuistregels als "het eerste adres gaat in de To:, heb je er meer moeten ze in de Cc:" werken. Nee hoor, er kunnen nul-of-meer adressen in de To: en er kunnen nul-of-meer adressen in de Cc:. Of het een goed idee is, is een ander verhaal, maar het kan.

Stukje opleiding. Maar dat doen we niet want dat is niet "intuitief". Nuja, relevante tekst schrijven is dat ook niet, dat is hard werk. Niet raar dus dat dat ook niet gebeurt in email. Met je GUI-client op een "intuitief" GUI-centrisch "OS" waar je op [START] drukt om te stoppen.

Waarmee ik zeggen wil, dit wordt mede-veroorzaakt door de algehele houding tegenover "hoe gebruik ik een computer", die gestuurd wordt door marketeering, niet door duidelijke, goed geinformeerde keuzes.
20-06-2018, 08:29 door Bitwiper - Bijgewerkt: 20-06-2018, 08:33
Door Anoniem:
Door Bitwiper:
SPF, DKIM, DomainKeys en DMARC kunnen een beetje helpen, maar zijn in de praktijk zo brak geïmplementeerd dat je er weinig aan hebt.

Het maakt niet uit hoe ze geimplementeerd zijn, ze zijn bedoeld voor je eigen identiteitsbescherming niet voor die van
anderen.
Zoals ik schreef maar jij weglaat: stel jouw naam is "Olivia Achterberg" en stel er is maar 1 iemand op aarde die zo heet. Volgens jouw redenering hebben die protocollen aangetoond dat "Olivia Achterberg" een van de spams verzonden heeft die ik ontving. Maar dat is helemaal niet waar.

Het enige dat die protocollen trachten te beschermen, is de identiteit van het afzenderdomein (niet van afzenders dus). Als twee personen genaamd "Jan Jansen" de accounts jj1@gmail en jj2@gmail hebben, helpen deze protocollen geen moer om hen uit elkaar te houden (ik laat .com weg om te voorkomen dat mail account harvesting bots toevallig bestaande accounts vinden).

En dat geldt ook voor meer unieke afzendernamen: stel "Ferdinand Grapperhaus" heeft een gmail account (net als destijds Henk Kamp), met accountnaam hoppa123@gmail. Vervolgens wordt een willekeurig ander account, bijv. "Dom Schaap" <whatever123@gmail> gehacked, waarna de hacker de "echte" naam "Dom Schaap" wijzigt in "Ferdinand Grapperhaus" en daarmee gerichte nepmails gaat versturen. Genoemde protocollen bieden nu geen enkele identiteitsbescherming voor de echte Ferdinand Grapperhaus. Alleen ontvangers die doorklikken op het "From:" veld en weten dat de accountnaam van de echte Ferdinand Grapperhaus "hoppa123@gmail" luidt, kunnen nep van echt onderscheiden (onder voorwaarde dat hun ontvangende mailserver op deze protocollen checkt). En de naam van de provider moeten ze hierbij ook onthouden, want "Ferdinand Grapperhaus" <hoppa123@live> is helaas weer iemand anders.

Maak die protocollen niet mooier dan ze zijn.

Door Anoniem: Als jij netjes die zaken op je mail voor elkaar hebt en iemand anders pakt mail aan die met jouw adres gespoofed is en lijdt daardoor schade dan heb jij alles gedaan wat je kunt en is dat slachtoffer het domme schaap wat niet opgelet heeft ondanks alle mogelijkheden. Dat soort gasten houd je altijd, maar dat is niet een reden om er dan maar niks aan te doen.
Het "domme schaap" heeft zelden invloed op wat beheerders van ontvangende mailservers uitvreten, en wordt, initieel en daarna (bij wijzigingen - en die zijn er, want deze protocollen hebben vaak ernstige bijwerkingen), zelden of nooit over de toegepaste maatregelen geïnformeerd. De vraag is wie je onder deze omstandigheden een "dom schaap" moet noemen. Heb jij jouw gebruikers zelf verteld wat jouw inkomende mailserver checkt en wat jouw uitgaande mailserver meestuurt? Zo niet, is die informatie op z'n minst beschikbaar op een intranetsite o.i.d. (en is die info actueel)? De meeste beheerders die ik ken zijn BOFH's op dit gebied...

Door Anoniem: De Nederlandse staat verstrekt je een paspoort of id kaart voor jouw identificatie, dat anderen die dan vervolgens niet goed controleren of zelfs een copietje accepteren dat is niet het probleem van de staat en niet jouw probleem. (het kan hooguit jouw probleem worden als die andere partij dat niet snapt en vervelend gaat doen)
De Nederlandse staat heeft boter op haar hoofd door in verschillende gevallen kopietjes paspoort te vereisen en te stellen dat BSN nummers geheim gehouden moeten worden, omdat het kennen van zo'n nummer zou betekenen dat jij de rechtmatige eigenaar bent.

Goed dat je SPF, DKIM, DomainKeys en DMARC met deze (om identiteitsfraude smekende) praktijken vergelijkt!

Door Anoniem:
Ondertussen ontvang ik bakken Nederlandstalige "schimmelnagelmiddel" spam waarin de spammers zowel SPF, DKIM, DomainKeys als DMARC foutloos, dus perfect, hebben geconfigureerd voor hun vele wegwerp-afzenderdomeinenen (elke dag gewoon weer een stel nieuwe).

Dat is ook niet waar deze mechanismen voor bedoeld zijn.
Maar dat is wel waarmee ze door onze strot zijn gedouwd - door gouden bergen te beloven en de bijwerkingen niet te vermelden - met als resultaat ondertussen 4 (of meer, o a. SenderID dat, volgens Bill Gates destijds, binnen 2 jaar spam tot het verleden zou doen behoren) half werkende protocollen die - zoals ik betoogde - e-mail vooral erg ingewikkeld hebben gemaakt. Spammers lachen zich dood...
20-06-2018, 13:08 door Anoniem
Door Bitwiper: Gefeliciteerd met het stellen van de noob-vraag van de dag!

Hint: het zijn 3 letters, lijkt op de afkorting van de Engelse "NPO" en verkoopt wit- en bruingoed. Sjeemig...

Wat u niet wil dat gij geschied ,..

Het is een terechte rare kronkel in de uitwerking van dat bcc principe.
Het is raar dat jij als geadresseerde zelf niet te zien bent omdat het privacy idee daarvoor niet bedoeld was.
Privacy gaat over jouw gegevens wel/niet naar derden, maar blokkeren voor jezelf is onzin.

Het zou dan ook logisch zijn als de geadresseerde zelf in een bcc wel te zien is.
Of dat wel of geen nut heeft is een andere discussie, maar alleen al het feit dat het vraagtekens oproept is nut genoeg.

Kortom, plssen op noobs heeft geen pas, noobs zijn essentieel bij beroepsdeformatieve blindheid.
Er zijn immers genoeg voorbeelden in de markt te vinden waarbij duidelijk is dat ontwikkelaars de plank volledig misslaan omdat ze de voeding met de consument (noobs) volledig kwijt zijn.

al denken ze soms zelf niet aan beroepsdeformatie te leiden, dan schrijven ze een stukje wat ze dan een uitleg voor leken noemen, maar waar die noob leek helemaal geen hol van snapt.
Had daar maar even een noob naar gekeken voor publicatie.

Koester dus de noob, omdat de noob uiteindelijk vaak toch de eindafnemer of je directe klant is.

Dus
Nergens is in de bron het email adres van mijzelf of wie dan ook anders te vinden, dus vraag ik mij af, hoe kan dit.
Goeie vraag! Waaromisdanou??
Geen omtrekkende ingewikkelde bewegingen svp, anders snappen wij noobs het niet.
20-06-2018, 17:06 door Bitwiper
Door Anoniem: Wat u niet wil dat gij geschied ,..
[...]
al denken ze soms zelf niet aan beroepsdeformatie te leiden, dan schrijven ze een stukje wat ze dan een uitleg voor leken noemen, maar waar die noob leek helemaal geen hol van snapt.
Wanneer kunnen wij jouw - ongetwijfeld veel duidelijker - bijdrage hierover verwachten?

Door Anoniem:
Nergens is in de bron het email adres van mijzelf of wie dan ook anders te vinden, dus vraag ik mij af, hoe kan dit.
Goeie vraag! Waaromisdanou??
Geen omtrekkende ingewikkelde bewegingen svp, anders snappen wij noobs het niet.
Okay, dan met slechts omtrekkende simpele bewegingen.

Stel je een bezorgster voor van reclamedrukwerk. Zij heeft de opdracht om in de Dorpsstraat van Simpelveld in elke brievenbus (m.u.v. die met nee/nee of nee/ja sticker) een stapeltje folders in de bus te doen. Elke week daarna is de consternatie in Simpelveld weer groot: hoe kan dat nou? Er zit een folder in mijn brievenbus zonder dat mijn naam hierop staat???

Neem eens de moeite om je in te lezen voor je domme vragen stelt...
20-06-2018, 17:44 door Anoniem
Door Bitwiper:
Door Anoniem: Wat u niet wil dat gij geschied ,..
[...]
al denken ze soms zelf niet aan beroepsdeformatie te leiden, dan schrijven ze een stukje wat ze dan een uitleg voor leken noemen, maar waar die noob leek helemaal geen hol van snapt.
....

Neem eens de moeite om je in te lezen voor je domme vragen stelt...

Probeer eerst de inhoud van de reactie op waarde te schatten.
Wie geen respect voor anderen toont zal het vermoedelijk ook niet krijgen.

Wie graag de docent uithangt zal het niet helpen zich met dergelijk vertoon (ala 'wat ben jij dom zeg!') naar zijn 'leerlingen op te stellen', het is ene van straten en jodocus hier ook al eens verteld, kennisoverdracht en respect voor mensen met kennis (docenten) gaat niet over indrukwekkend doen en status.
Respect krijgen die docenten die zich niet verheffen omdat ze iets meer weten op een gebiedje dan een ander maar op basis van (omgangs en respect)zaken die nog niet helemaal bij jou zijn doorgedrongen.

Maar misschien komt dat omdat je ook wel helemaal geen docent bent.
Cursusje erbij, nooit te oud om te leren, en te lezen.
Woordjes dom en noob voortaan ff thuislaten, dat helpt al een heel eind.

Kennis van de huisregel nemen is ook een optie
"Algemeen
Wees respectvol richting andere bezoekers"
20-06-2018, 18:41 door Anoniem
Door Bitwiper:
Door Anoniem:
Door Bitwiper:
SPF, DKIM, DomainKeys en DMARC kunnen een beetje helpen, maar zijn in de praktijk zo brak geïmplementeerd dat je er weinig aan hebt.

Het maakt niet uit hoe ze geimplementeerd zijn, ze zijn bedoeld voor je eigen identiteitsbescherming niet voor die van
anderen.
Zoals ik schreef maar jij weglaat: stel jouw naam is "Olivia Achterberg" en stel er is maar 1 iemand op aarde die zo heet. Volgens jouw redenering hebben die protocollen aangetoond dat "Olivia Achterberg" een van de spams verzonden heeft die ik ontving. Maar dat is helemaal niet waar.

Nee dat heb ik helemaal niet geschreven, dat is wat jij er van gemaakt hebt. Maar dat is niet wat DKIM regelt!
Door DKIM weet je dat de eigenaar van het domein waarvan die mail verstuurd is heeft aangegeven dat die mail
legitiem vand at domein afkomstig is. Als het domein van een spammer is dan heb je daar weinig aan, maar als
het een domein van een fatoenlijk bedrijf is dan weet je dat de mail van een medewerker van dat bedrijf komt en
niet van een of andere grappenmaker die gewoon dat adres in het From: veld geplakt heeft.


Het enige dat die protocollen trachten te beschermen, is de identiteit van het afzenderdomein (niet van afzenders dus). Als twee personen genaamd "Jan Jansen" de accounts jj1@gmail en jj2@gmail hebben, helpen deze protocollen geen moer om hen uit elkaar te houden (ik laat .com weg om te voorkomen dat mail account harvesting bots toevallig bestaande accounts vinden).

In dit geval weet je dat de mail van een geautenticeerde gebruike van gmail komt en niet van een of andere
grappenmaker die gewoon dat adres in het From: veld geplakt heeft.
Omdat je weet dat gmail verder weinig moeite doet om de identiteit van de gebruikers te valideren weet je dat dit
weinig zegt over de achtergrond van die gebruiker. Maar als je weet dat het mail adres hoort bij iemand die je kent
dan weet je wel dat de mail van die persoon of van iemand die het wachtwoord van die persoon weet afkomstig is,
en niet van een of andere spammer.


En dat geldt ook voor meer unieke afzendernamen: stel "Ferdinand Grapperhaus" heeft een gmail account (net als destijds Henk Kamp), met accountnaam hoppa123@gmail. Vervolgens wordt een willekeurig ander account, bijv. "Dom Schaap" <whatever123@gmail> gehacked, waarna de hacker de "echte" naam "Dom Schaap" wijzigt in "Ferdinand Grapperhaus" en daarmee gerichte nepmails gaat versturen. Genoemde protocollen bieden nu geen enkele identiteitsbescherming voor de echte Ferdinand Grapperhaus. Alleen ontvangers die doorklikken op het "From:" veld en weten dat de accountnaam van de echte Ferdinand Grapperhaus "hoppa123@gmail" luidt, kunnen nep van echt onderscheiden (onder voorwaarde dat hun ontvangende mailserver op deze protocollen checkt). En de naam van de provider moeten ze hierbij ook onthouden, want "Ferdinand Grapperhaus" <hoppa123@live> is helaas weer iemand anders.

Dat probleem houd je altijd tot je iedereen uniek en publiek identificeert met bijvoorbeeld een BSN met echtheidsstempel
in iedere mail, en dat vinden mensen die graag stoute dingen doen dan weer niet goed.
(ze dekken dan zichzelf meestal in met een lulverhaal over privacy)


Door Anoniem: Als jij netjes die zaken op je mail voor elkaar hebt en iemand anders pakt mail aan die met jouw adres gespoofed is en lijdt daardoor schade dan heb jij alles gedaan wat je kunt en is dat slachtoffer het domme schaap wat niet opgelet heeft ondanks alle mogelijkheden. Dat soort gasten houd je altijd, maar dat is niet een reden om er dan maar niks aan te doen.
Het "domme schaap" heeft zelden invloed op wat beheerders van ontvangende mailservers uitvreten, en wordt, initieel en daarna (bij wijzigingen - en die zijn er, want deze protocollen hebben vaak ernstige bijwerkingen), zelden of nooit over de toegepaste maatregelen geïnformeerd. De vraag is wie je onder deze omstandigheden een "dom schaap" moet noemen. Heb jij jouw gebruikers zelf verteld wat jouw inkomende mailserver checkt en wat jouw uitgaande mailserver meestuurt? Zo niet, is die informatie op z'n minst beschikbaar op een intranetsite o.i.d. (en is die info actueel)? De meeste beheerders die ik ken zijn BOFH's op dit gebied...

Ik kom alleen met deze stelling omdat het hier op dit forum heel populair is om mensen die niet letten op ieder
lettertje boven een website als dom te bestempelen. Nu zie je dat het zo makkelijk niet ligt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.