Je rammelt aan de verkeerde boom! Meld het bij Ziggo.

Dit is om 2 redenen fout:
1) Het is ordinaire gebruikerstracking wat lgclick.email-domain.com doet: als jij op één van de links in de mail klikt, weten zij dat meteen (en dan weten ze natuurlijk ook dat jij die specifieke e-mail open hebt staan). Bovendien is het misleiding, er staat onder meer:
waarbij de link onder Mijn Ziggo, zoals Anoniem hierboven ook schrijft, begint met http://lgclick.email-domain.com/; je gaat dus naar een heel andere site (die duidelijk niet van Ziggo is). Nergens in de e-mail staat dat je getracked wordt door een derde partij, waarvan je de privacyvoorwaarden dus ook niet kent laat staan daarmee akkoord kunt gaan of van de hele truc af kunt zien. Saillant detail uit dezelfde mail:
waarbij de link onder phishing natuurlijk weer met http://lgclick.email-domain.com/ begint.
Mijn tip: phishing mails herken je eraan als je met je muis over zo'n link gaat en een onbekende domeinnaam ziet.

2) Omdat er een http link gebruikt wordt kan de verbinding gekaapt worden als een MITM (Man In The Middle) toegang heeft tot jouw verbinding met internet en/of jouw PC vervalste DNS antwoorden kan geven (fout WiFi access point, gekaapte router etc). De aanvaller kan jou dan naar elke door haar gewenste site sturen, die als 2 druppels water op de Ziggo login pagina kan lijken.

Daarnaast worden er, als je het laden van externe (niet meegezonden) plaatjes aan hebt staan, waarschijnlijk plaatjes (deels tracking pixels) geladen vanaf de volgende sites zodra je de mail opent:
http://img.edm.ziggo.nl/
http://lgclick.email-domain.com/
http://upc.d2.sc.omtrdc.com/
http://access2.creatormail.co.uk/
http://d.cm-apps.co.uk/

Zouden ze bij Ziggo nog niet van de AVG gehoord hebben?

Zelf klik ik overigens nooit op dat soort links, indien nodig open ik zelf https://wwe.ziggo.nl/ en log in op mijn account.

Nergens voor nodig. Ziggo heeft op hun website staan welke externe domeinen zij gebruiken. Dit domein staat erbij:

https://www.ziggo.nl/klantenservice/internet/veiligheid/e-mail-van-ziggo/

Jawel, maar Ziggo heeft dit ingehuurd om een klikstatistiek bij te houden van hun klanten.
De stiekemerds.

@Bitwiper,

Het rammelt al maanden bij Ziggo. Het probleem van o.a. niet kunnen inloggen op 'MijnZiggo' - "Oeps, er ging iets mis" heeft mij zelfs al doen besluiten voor het idiote bedrag van € 2,50 per maand de facturen maar toe te laten zenden.
De Call-center medewerkers - kunnen zij het helpen! - hebben zelfs al opdracht maar te melden dat het probleem bekend is; dat eraan wordt gewerkt, maar het blijft dus een zootje, want terug naar jouw - waarvoor dank - verhelderend post, verbaast het mij niets dat ze schaamteloos maar een lekke mand http verbinding hebben opgezet om de klant 'van dienst' te zijn. Nou dank je wel Ziggo, linken naar een http site voor te bieden persoonlijke klantinformatie, de Gotspé!.
Te bedenken: deze 'zendaamateurclub' is notabene telecom-provider??!!
Een Belgische opinist gaf vorige week al aan: Het schaaamtegevoel moet terug in de samenleving.... Ziggo mag er wat mij betreft met de haren bijgesleept worden!

Lijkt me nog steeds volstrekt onnodig om linkjes in emails met rekeningen te tracken. De enige wetenswaardigheid is of er betaald is. Daarmee is wat mij betreft de tracking gewoon niet te billijken, aangekondigd of niet.

(Persoonlijk zou ik staan op html-vrije emails met als het dan moet een PDF/Atje voor rekening, en als dat niet kan sturen ze maar een briefje. Maargoed, de gewoontelijke "digitale transformatie" draait er dan steevast weer op uit de stomste fratsen uit te halen die ze kunnen bedenken en dan te kijken of het nog stommer kan. Way to go, "digitale transformateurs".)

Dat is niet aan de orde bij TS. De vraag ging expliciet over wel/geen phishing en daar is Ziggo duidelijk over.

Voor spionage doelen gebruikt ziggo ook domeinen die niet in hun lijstje staan. Als je b.v. een factuur wilt downloaden, moet dat via een link die langs Relay42 loopt. En die firma leeft van de handel in klantstatistieken. Dat staat zelfs op hun website. https://relay42.com/product

Ik heb dit zelfde al wel jaar geleden bij Ziggo gemeld;ze snappen het probleem niet,want ik moest het herhaaldelijk uitleggen.

????? Eerder schreef je:
Dat is niet aan de orde bij TS - wiens bijdrage ik niet lees als een vraag, maar als mededeling en/of waarschuwing. Die gaat over een mail, schijnbaar van Ziggo, vol links naar een WEBSITE met een domeinnaam die niet eindigt op ziggo.com. Nergens op de door jou genoemde webpagina staat dat je dit kunt verwachten - tenzij jij vindt dat je de koptekst "Domeinen waar onze mailtjes vandaan komen" denkbeeldig moet aanvullen met "en websites waar je naar toe gestuurd kunt worden als je op links in onze mailtjes klikt".

Maar zelfs dan blijft het mij een raadsel waarom een e-mail verzonden vanaf edm.ziggo.com vol staat met links naar een website met domeinnaam lgclick.email-domain.com. Moet ik al die, niet op ziggo.nl eindigende domeinnamen, gaan onthouden of zo? Of moet ik bij elke mail van Ziggo die pagina raadplegen om te weten of het om een phishingmail gaat? Als jij die link niet had gepost, hoe had ik dan moeten weten waar ik moet kijken? WTF heeft dit met klantvriendelijkheid en het helpen voorkomen van phishing te maken? Welke nitwits verzinnen dit?!?

En, in deze tijd, op het misdadige af schandalig vind ik dat een link om in te loggen op Mijn Ziggo via een http (i.p.v. https) site wordt geredirect. Temeer daar in (laat ik ook maar eens wat Ziggo pagina's noemen) https://www.ziggo.nl/klantenservice/internet/veiligheid/phishing/ onder meer staat:
Dat laatste statement is dus een leugen, net als wat bovenaan https://www.ziggo.nl/privacy/ staat:
Ziggo LIEGT ook hier aantoonbaar. Want als Ziggo "net zoveel waarde" zou "hechten aan privacy als" ik, zou ik geen NoScript nodig hebben om te voorkomen dat, vanuit diezelfde "privacy" pagina, javascript wordt gedownload en uitgevoerd van sites met domeinnamen eindigend op adobetm.com, google-analytics.com en r42tag.com. En die laatste tekst ("Niet vanwege de wet") kun je ook zo lezen als dat Ziggo meent zich niet aan de wet te hoeven houden.

Tenslotte staat nergens in de door jou genoemde pagina, noch in het Vodafone-Ziggo privacy statement ("VERSIE VFZ.18.1, DATUM 16 MEI 2018) dat Ziggo big privacy data collectors als Adobe/Omniture en Google over jouw schouder laat meekijken bij elke (Ziggo-gerelateerde) beweging die jij maakt. Noch dat domeinnamen eindigend op o.a. omtrdc.com (Adobe/Omniture, waar jijzelf in 2014 -naar verluidt- ook niet blij mee was, zie https://security.nl/posting/380121) worden benoemd zodat je, desgewenst, bij die partiijen aan kunt geven niet gevolgd te willen worden. Doordat Ziggo nalaat om die partijen stuk voor stuk te benoemen en te verwijzen naar hun uitschrijfpagina's, overtreedt Ziggo m.i. gewoon de AVG.

Ik ben het ook niet eens met dit soort linkjes. Ik had ook liever gezien dat ziggo een subdomein aangemaakt had, die vervolgens met een CNAME doorverwijst naar het betreffende domein. In de mail zie je dan alleen linkjes naar een ziggo.nl domein.

Het tweede deel van de vraag is simpel. Als je dat onbekende domein invult in het zoekveld van een Ziggo pagina, kom je vanzelf bij die pagina met domeinnamen terecht. En zoveel domeinen zijn het niet, dus je herkent ze al snel.

Ziggo verbetert zich wel langzaam. Dit soort mailings werd vroeger via DKIM ondertekend door die externe partij. Dan moet je ook eerst uitzoeken of hij op de Ziggo lijst met vertrouwde afzenders staat. Zo ja, dan garandeert de DKIM ondertekening dat de mail niet meer aangepast is na verzending. Je hoeft dan niet elk linkje te controleren.

Tegenwoordig zorgt Ziggo ervoor dat vertrouwde partijen hun mail DKIM ondertekenen met het 'ziggo.nl' domein. Dan hoef je ook geen lijsten meer te controleren. En ook geen linkjes, want dieDKIM ondertekende mail is al door Ziggo gevalideerd.

Ziggo gebruikt ook DMARC, waardoor phishing mailtjes die in de naam van Ziggo verzonden worden, automatisch geblokkeerd kunnen worden.

Alleen durven ze op de afzender "ziggo.nl" nog geen reject policy in te stellen. Waarschijnlijk omdat dit domein ook door de gewone ziggo klanten gebruikt wordt en die dan problemen kunnen krijgen als ze de smtp instellingen niet goed hebben staan.

Voor mailings gebruikt Ziggo daarom "edm.ziggo.nl" en "e.ziggo.nl". Op deze domeinen staat wel een reject policy voor dmarc. Als jij een mail provider hebt die dmarc controleert, (en dat worden er steeds meer) zul je nooit een phishing mailtje vanuit dat domein moeten krijgen.

Vooral op ethisch gebied, maar ook op technisch gebied, is het nog een puinhoop bij Ziggo ("@"->"/bij/"):

Naar aanleiding van de "dmarc=fail" hierboven is dat, vermoed ik, omdat Ziggo er zelf (samen met hun vele, ontgetwijdfeld goedkope, "partners") geen ruk van snapt.

Maar SFP, DKIM, en DMARC et al zijn sowieso POINTLESS bij de crapmails die Ziggo zelf laat versturen. Waarom blijf jij Ziggo verdedigen? Ze hebben aantoonbaar scheit aan hun klanten en de wet, kunnen we s.v.p. daar op focussen in deze m.i. uitstekende thread?

Met dank aan de TS voor het starten hiervan!

T.i.: Lgclick.email-domain.com wordt gehost door private data verzamelaar Google !

Duidelijk is je eigen domein gebruiken. Het ergens op een website vermelden heeft maar beperkt zin en is niet duidelijk.

Overigens is klanten zonder daar duidelijk over te zijn langs allerlei databoeren sturen natuurlijk onacceptabel.

Ik hou het wel bij xs4all, een stuk betrouwbaardere partij met een heel ander DNA dan Ziggo en al die andere charlatans.
Sinds het een KPN dochter is geworden, is er uiteraard nog een portie tracking bij gekomen, maar bukken ze in ieder geval niet meteen als de aivd aanklopt.

En is er, conform de wettelijke voorschriften, ook toestemming gevraagd aan de gebruiker ? Immers in deze informatie op zichzelf niet afdoende.

Jups, maar dat maakt het nog geen website welke eigendom is van Google. Wat dat betreft is de vraag bij welke hosting partij het domein draait niet erg relevant. Website is van Merck Sharpe & Dohme.

Voor zover jij weet. Transparantie geven bij AIVD verzoeken is, gezien wettelijke geheimhoudingsplicht, vrij lastig. Verder zijn dit soort verzoeken dwingend, en niet op basis van vrijwillige medewerking.

Ik wil Ziggo zeker niet volledig verdedigen, want ik stoor me ook aan linkjes die ergens anders heen wijzen.

Maar je moet het in perspectief zien. Ziggo besteed dit soort mailings uit aan een derde partij en dit soort partijen wil vaak niet moeilijk doen om er toch Ziggo linkjes in te krijgen. Dit gebeurt bij heel veel bedrijven die de mailings uitbesteden en Ziggo is de enige firma die ik ken die op zijn minst op hun website aangeeft welke externe linkjes in hun mailings gebruikt worden.

Doordat er zoveel aan derde partijen uitbesteed wordt, gaat het vaak mis. En ziggo zit er niet goed achteraan bij de derde partijen om die fouten te corrigeren.

Zo heb ik vorige week de Ziggo helpdesk gebeld. Zij hebben me daarop een formulier toegestuurd. De helpdesk is waarschijnlijk ook niet van Ziggo en werkt waarschijnlijk ook voor andere partijen. In elk geval sturen ze de mail niet via de ziggo mailservers naar me toe, waardoor er een fail optreed:


Primair is dit een fout van die derde party die de afzender ziggo.nl aan het spoofen is. Ze moeten of hun eigen afzender gebruiken, of de ziggo smtp server, of met Ziggo overleggen zodat hun IP adres in het ziggo spf record terecht komt.

Maar het is ook een Ziggo fout, want dit soort zaken hoor je ook te bespreken bij het uitbesteden van werk.

Dit soort zaken maakt wel dat Ziggo geen DMARC policy op reject kan zetten, want dan komt dit soort, met goede bedoelingen, gespoofde mail ook nooit aan.

Ik heb een eigen mailserver waar ik al sinds 2015 DMARC gebruik. Voor een kleine organisatie is dit ook simpel in te stellen. Voor een groot conglomeraat die feitelijk uit veel kleine, gefuseerde, bedrijven bestaat vraagt DMARC implementatie veel discipline.

Kijk maar eens naar gmail van google. Google heeft al jaren geleden aangecondigd dat ze hun policy op reject zouden zetten, maar daar is ook nu ook nog niets wat van gekomen. Hij staat nog steeds op none. Google is notabene een drijvende kracht achter DMARC en zij durven hun policy nog niet eens op reject te zetten. In hun dmarc raporten zien ze waarschijnlijk ook dat hun infrastructuur nog niet 100% is.

Voor grote organisaties die veel mail over veel diverse servers laat lopen, vergt dmarc implementatie veel discipline. En dat lukt die grote bedrijven niet.

Klopt dit rooskleurige beeld wel, zoals hier aangegeven?: https://starttls-everywhere.org/results/?ziggo.nl

Volgens deze resultaten is het allemaal wat minder, zie alle 3rd party tracking:
https://privacyscore.org/site/48006/

Een algemene -15 en een C score hier: https://webcookies.org/ssl/report/ziggo.nl/93959 situatie in 2015;
situatie nu: https://webcookies.org/scan/37210/force

luntrus

Net als ieder ander bedrijf. Het eerste bedrijf dat niet liegt, moet nog opgericht worden. Marketing communicatie noemt men dat.

Het begint al met het probleem dat "IT" vaak denkt dat ze overal bij betrokken moeten worden en ook -worden.
Op een gegeven moment wil een afdeling een mailing doen. Ze bellen "IT" en die zeggen "dat is niet zo gemakkelijk,
dan moeten we een mailing systeem gaan bouwen. dat kan zomaar een ton kosten een een jaar duren".
Dan denkt de gebruiker "eens even googlen op mailing" en komt op zo'n extern bedrijf wat dit in een kwartiertje voor
ze regelt. Dan kun je roepen "gebrek aan discipline" maar in werkelijjheid moet er natuurlijk ook wel wat geproduceerd
worden en kan men niet altijd op "IT" wachten. Dan moeten ze maar flexibeler zijn.

Met flexibiliteit gaan de aanschafkosten niet omlaag. Een systeem bouwen, dat kost eveneens tijd. Wil je dat geen interne oplossing, dan is het duidelijk dat je een alternatief moet kiezen. Verder worden de prioriteiten voor IT over het algemeen bepaald door het management, en niet door de IT-er.

Je reactie lijkt wat dat betreft erg kort door de bocht. Of ik als IT-er wel/geen tijd en geld krijg voor een bepaald project, dat is een management issue. Net als de vraag of er, indien nodig, bijvoorbeeld extra IT-ers aangenomen moeten worden, als er meer werk is dan wat men aan kan met de huidige bezetting.

Aan de ene kant schermt Ziggo haar registrator af wegens privacy (REDACTED FOR PRIVACY):
(We hoeven van de EU steeds minder te weten te komen over onze uitbaters, zelfs bij domein registratie,
maar van ons willen ze wel graag zo veel mogelijk info weten).
Zie: https://www.whois.com/whois/as9143.net

Zelf als organisatie dus achter een Privacy Protection Service gaan zitten via Basefarm IT op Schiphol
een Big Data Cloud & IT hosting firma waar Ziggo mee samenwerkt binnen "as9143.net".

Check if embedded 3rd parties are known trackers

The Ziggo site is using 7 known tracking- or advertising companies.
demdex.net everesttech.net doubleclick.net omtrdc.net adobedtm.com google-analytics.com r42tag.com
Hier geen code redacted for privacy, dat zult u zelf helaas moeten doen.

-> https://toolbar.netcraft.com/site_report?url=ontdek.ziggo.nl

Aan de andere kant bieden ze dezelfde privacy protected service helaas niet aan hun end-users.
Het is maar dat u het weet, want zo de waard zelf is vertrouwt ie z'n gasten en zo is het nu altijd.

luntrus

Wat je niet ziet of niet wilt zien is dat je als IT'er alleen faciliterend werkt en dat je voor dit probleem overbodig bent omdat het extern geregeld kan worden voor een paar centen. Maar zoals ik al zei, "IT" denkt dat ze overal bij betrokken moeten worden.
Het zou wellicht iets netter kunnen met specifieke DNS namen binnen het eigen domein, maar ja dan begint het al weer, dan moet IT er bij betrokken worden en je zult zien: als je een mailtje naar IT stuurt met "maak voor mij even deze CNAME's aan" (die dan wijzen naar dat mailbedrijf) dan hebben ze weer allerlei mitsen en maren en problemen.
Dus slaat men dat maar over.

Wat veel mensen zich niet realiseren, is dat ook veel email programma's een historisch geheugen hebben en koekjes eten. Die email programma's functioneren daardoor bijna net als een webbrowser, zeker als het HTML optie standaard aan staat.

Het onderstaande voorbeeld komt speciaal voor deze gelegenheid uit de privacy instellingen van Mozilla Thunderbird v52.x, maar ik had bijvoorbeeld ook Microsoft Outlook kunnen kiezen:


Onder de account settings onder Thunderbird kan men HTML compositie van de uitgaande email uitzetten. Dat geeft ook de nodige bescherming bij het doorsturen van email. En dan heb ik het nog niet eens over de nodige instellingen voor SSL/TLC authenticatie van de gebruikte SMTP of IMAP server en Enigmail PGP. Een foutje en je verstuurt je email als kale tekst.

Logischerwijs zijn bij gebruik van alleen webmail de Privacy-intellingen van de gebruikte webbrowser de aangewezen weg om de nodige wijzigingen te maken. Als het op privacy handhaving aankomt, zijn de instellingen van het gebruikte email programma vaak een ondergeschoven kindje. Dat is onterecht.

Nee, het probleem zit in het in kaart brengen van de mailstromen.


Shadow IT is volstrekt ongewenst, en leidt tot dit soort ellende. De marketing afdeling is vaak de boosdoener van de veelheid aan domeinen.

Het is overigens prima te doen om mail vanaf andere bedrijven gewoon onder eigen sub domeinnaam te versturen, en aldus alsnog spf, dkim en dmarc aan te zetten. Been there, done that. Uiteindelijk terug naar 5 mailstromen, allemaal onder eigen naam, allemaal met het hele arsenaal aan spf, dkim en dmarc. De resultaten waren meetbaar en significant.

Ik beschrijf alleen hoe het ontstaat. "IT" roept "Shadow IT is volstrekt ongewenst" maar dat doen ze vanuit het eerder genoemde standpunt dat ze overal bij betrokken moeten worden.

Helaas, zo werkt dat niet meer. Leef er maar mee want die ivoren toren die gaat niet meer terug komen.

Ga er maar vanuit dat het bij Ziggo gewoon geen geld moet kosten. Alles wat geld kost, wordt uitgesteld. Dit specifieke problem is al heel oud bij Ziggo en heeft geen prioriteit.

Rare denkwijze. Ronduit liegen is vaak een reden tot ontslag en kan de ondergang zijn van een bedrijf.

(Sorry voor de late reactie: ik kwam vandaag pas een link naar deze draad tegen)

In het bovenstaande lijstje staat:
http://upc.d2.sc.omtrdc.com/

Dat moet volgens mij zijn:
http://upc.d2.sc.omtrdc.net/

Ik neem aan dat die tracking pixels niet geladen worden, wanneer ik (in Thunderbird) cookies van derden niet aanvaard?

https://www.thunderbird.net/en-US/features/
Hoofdstuk: Secure and Protect Your Email

Daar heb je denk ik helemaal gelijk in, mijn excuses! Alleen de .net variant resolvt (je krijgt een IP-adres als je er een DNS lookup van doet). Slordig van mij, sorry!

Cookies kunnen het gevolg zijn van het laden (downloaden) van een trackingpixel (feitelijk een klein plaatje).

Vanuit privacyoogpunt is het verstandig om het laden van externe afbeeldingen uit te laten. D.w.z. plaatjes die niet als onderdeel van de mail zijn bijgesloten, maar via http of https links worden geladen elke keer als je de mail opent. Het zou overigens kunnen dat elke volgende keer (na de eerste keer) dat je die mail opent, die plaatjes uit een cache (buffer) op jouw PC worden gehaald (en de tracking organisatie dat niet "ziet"), maar dat is lastig te voorspellen.

Want ook al heb je jouw browser (ingebouwd in Thunderbird) geconfigureerd om geen cookies te bewaren (en dus ook niet mee te sturen bij volgende http of https requests), kan een tracking organisatie op basis van jouw IP-adres (ook al wijzigt dat adres af en toe) en allerlei details die de gebruikte browser meestuurt bij het ophalen van zo'n plaatje, jouw PC waarschijnlijk behoorlijk nauwkeurig te herkennen - zeker indien zo'n plaatje een unieke URL heeft (bijv. eindigend op ? gevolgd door een reeks schijnbaar willekeurige cijfers en/of letters).

De trackende organisatie weet daardoor precies wanneer jij die specifieke mail opent en zal dat waarschijnlijk aan de opdrachtgever laten weten, maar die informatie natuurlijk ook voor eigen gewin bewaren, benutten en wellicht doorverkopen.

Bedankt voor je antwoord!
In Ziggo mails sta ik het laden van externe afbeeldingen eigenlijk altijd toe, maar vanaf nu komen die tracking pixels er niet meer in:


Toegevoegd aan mijn hosts-bestand.

Klopt wel ongeveer, Bitwiper, maar ik begrijp dat Thunderbird je daar tegenwoordig standaard tegen beschermt.
https://www.security.nl/posting/583980

Hewlett Packard heeft eens email tracking gebruikt om te ontdekken wie er steeds vertrouwelijke directie-bestuursinformatie naar buiten lekte.
https://www.computerworld.com/article/2546818/it-management/faq--the-hp-boardroom-leak-scandal.html
(interessant leervoorbeeld.)