Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nieuw emailadres i.v.m. spam, wat is wijsheid?

13-12-2019, 14:56 door Anoniem, 13 reacties
Beste security.nl bezoekers,

De laatste tijd ontvang ik extreem veel spam. Mijn e-mailadres komt in veel gelekte databases voor (HIBP). Ook heb ik regelmatig inlogpogingen. Niemand komt in mijn mail omdat ik 2FA (OTP geen SMS) aan heb staan, echter word ik echt gek van de hoeveelheid spam waardoor ik andere belangrijke mail soms over het hoofd zie.

Mijn idee was om een nieuwe email aan te maken voor bijvoorbeeld mail van de overheid, bank en verzekeringen etc. Dit e-mailadres gebruik ik dan alleen voor dit soort dingen en geen registraties voor nieuwsbrieven en dat soort ongein.

Nu is mijn vraag: hoe zouden jullie dit aanpakken? Ik zat zelf te denken aan Protonmail met 2FA o.i.d.


Ik zie graag jullie reacties en tips tegemoet!
Reacties (13)
13-12-2019, 16:02 door Anoniem
Ik heb recent zelf uiteindelijk toch maar een domein geregistreerd zodat ik zoveel mail adressen kan aanmaken als ik
wil en nu maak ik iedere keer als ik ergens een mailadres moet opgeven een nieuwe aan, meestal gewoon de
bedrijfsnaam @ mijn domein. Die komen allemaal in 1 mailbox terecht.
Mocht nu een van die bedrijven het adres lekken dan kan ik dat adres gewoon verwijderen en wordt de spam niet
afgeleverd, tevens weet ik dan meteen wie de schuldige is.
En met inloggen hebben die adressen uiteraard ook niks te maken dus wie dat wil proberen: veel succes.
13-12-2019, 16:21 door Anoniem
Door Anoniem: Mijn idee was om een nieuwe email aan te maken voor bijvoorbeeld mail van de overheid, bank en verzekeringen etc. Dit e-mailadres gebruik ik dan alleen voor dit soort dingen en geen registraties voor nieuwsbrieven en dat soort ongein.

Waarom moeten deze instanties jouw e-mail adres hebben?

Als ik een mailtje van de bank krijg, weet ik dat het phishing is, want de bank heeft mijn e-mail adres niet.

De overheid heeft DigiD en de berichtenbox. Ik heb de berichtenbox niet geactiveerd en krijg alles (vermoed ik) per post.

Mijn verzekeringen hebben ook mijn e-mail adres niet. Hoe denk je dat oude mensen dat doen? Die hebben geeneens internet en die functioneren nog prima.

Minder is meer!
13-12-2019, 16:27 door Anoniem
Ik heb meerdere ongefilterde emailadressen en daar komt vrij weinig spam op binnen. Omdat ik gewoon ontzettend zorgvuldig ben met wie ik mijn emailadressen geef. En ja, ook tijdelijke emailadressen, adressen specifiek aan de ontvanger, en zo meer, gebruik. En dan is goed te zien welke lutsers onmiddelijk "mijn" emailadres doorverkopen, nog voor ik goed en wel een account bij ze bevestigd heb. (*kuch* zekere kamer"bemiddelaars" *kuch*)

Voordeel van weinig spam krijgen is ook dat ik wat ik krijg vlot kan doorgooien naar spamcop, en dat heeft ook wel eens effect. Soms zijn ze een beetje hardleers, maar tot nu toe is uiteindelijk iedereen opgehouden met spammen. (*afkloppen*)

Dingen als overheid doe ik expliciet en specifiek alleen maar op papier. En nee, daar accepteer ik geen extra kosten van de andere kant voor. De postzegels (en papier, inkt, moeite) die ik er zelf aan besteed zijn tot daar aan toe. Mij laten betalen omdat de andere kant zichzelf een voorschot op het mogen gebruiken van mijn computer (en stroom, en internetverbinding, en emailabonnement, etc.) heeft gegeven en ik daar niet in meega, gaat niet aan.

Het heeft wel zin om duidelijke keuzes te maken met wie je wel en niet wil communiceren, en ook hoe je dat wil doen.
13-12-2019, 17:43 door Briolet
Door Anoniem:…word ik echt gek van de hoeveelheid spam waardoor ik andere belangrijke mail soms over het hoofd zie.…

…Mijn idee was om een nieuwe email aan te maken voor bijvoorbeeld mail van de overheid, bank en verzekeringen etc. Dit e-mailadres gebruik ik dan alleen voor dit soort dingen en geen registraties voor nieuwsbrieven en dat soort ongein.

Een andere mogelijkheid is om gewoon op het oude adres te filteren op bekende afzenders via de filteroptie die elk mailprogramma wel heeft.

Ik heb een map voor "onbekende afzenders". Alles met een onbekende afzender gaat automatisch naar die map. Mijn mail programma ziet als bekende afzenders de adressen waar ik zelf naar toe gestuurd heb en adressen die in mijn adresboek staan. In het begin moet je dan even veel mail-adressen toevoegen in je adresboek want er is een groot aantal adressen waar je zef nooit naar toe stuurt.

Dat helpt ook goed tegen phishing met gelijkende namen. Want als een vaste afzender plots in die map terechtkomt, ga je de mail even kritisch bekijken.
13-12-2019, 18:33 door Anoniem
Gmail heeft een betere spamfilter dan ProtonMail en de Google diensten ondersteunen meerdere types 2FA apps en hardware keys. Kijk je naar ProtonMail, bieden ze niet eens een Yubikey aan maar wel o.a. Google Auth. De standaard Google Auth keuzes zijn daarbij zowel OTP als timebased. Zolang je geen SMS gebruikt voor 2FA zit je goed i.v.m. simjacking.

Gaat het je om security en privacy? Dan kun je Proton maar dan heeft je correspondent idealiter ook Protonmail en dan moet je niet vertrouwen op de PGP keys die je op hun servers kunt opslaan. Als je dan toch bezig bent met PGP genereer je private key nooit op een internet PC. Omslachtig maar het is nodig wil je wat security.

Waarom Gmail?

+ Gmail: betere anti-spam dan ProtonMail
+ Gmail: betere 2FA support dan ProtonMail want geen FIDO2 support- als je ProtonMail gebruikt met 2FA moet je dus Authy App of Google Auth gebruiken. Er schort wel meer aan Proton diensten incl de VPN iptables rules op Android.

Ik zou ook nooit de PGP keys op de ProtonMail servers vertrouwen en versleutel alles zelf in meerdere lagen met echte hardware dongles en via Qubes ctrl-shift copy-pasten van data naar USB etc naar een mail lees/schrijf station op een geofysieke andere lokatie (geen internet / niet thuis in je werkkamertje etc). Een mailtje beantwoorden kan zomaar een week duren maar gelukkig verwacht ik niet veel correspondenten met mijn ProtonMail. Als er dan wat wordt onderschept ligt dat meestal bij de tegenpartij. Het enige echte voordeel van ProtonMail is dat het gratis is en het er gelikt uitziet. De enige "privacy" die je hebt is dat Proton-Proton verkeer op dezelfde servers blijft maar een beheerder van een gratis dienst kun je niet vertrouwen. Van Google weet je tenminste zeker wat er met je data gebeurt en wie het in handen zullen krijgen. Je kunt overigens wel gericht targeting uitzetten in je Google Account tegenwoordig - dan blijven 3rd party diensten een beetje in het ongewisse maar neemt niet weg dat de kids van Alphabet geen algos loslaten om je psychologisch te profileren aan de hand van je drafts, backspace-gebruik en aantal typevaoten ("Dit you mean typefouten?").

Daarbij gaat Google flink stroomlijnen en een grotere markt van hardware vendors voor hun Android systemen aanboren naast Xiami, HTC, Huawei, Motorola, Nokia etc ook die +10 andere incl. Turkse en Indiase telefoons. Met de One en Go platformen en groeiende userbase neemt hun verantwoordelijkheid vanzelf toe.

Ik ben benieuwd naar de competitie tussen de VS en UK waar de UK goede zaken doet met Huawei die zeer goede kwaliteit leveren met veel custom aanpassingen (dat is voor de antennes en switches). Google draait voor de software het verhaal om: per 31-01-20 moet iedere smartphone ontwikkelaar aan een lijst met hardware criteria voldoen en verplicht Android 10 voor elk nieuw toestel.

Het allerbelangrijkste de komende jaren wordt de houding van de VS (met name de Intel community) en Alphabet Group. Ze hebben veel (positief) potentieel maar of het goed benut gaat worden is afwachten. Die kunnen best wel eens een tech-oorlog veroorzaken tussen Westerse bondgenoten. Er zijn al genoeg mensen onder de zoden door schaamteloze graaierij van tijdelijke aard, persistente arrogantie en ethische kwesties. Google zelf heeft veel links-liberaal personeel met een sluimerende interne dreiging van radicaal rechtse machtspolitiek. Dat is jammer want Google begint met Android net uit de kindertijd te geraken met verbeterde security en privacy feats (sommige hadden allang in Android 4.4 kunnen zitten bijv).

Nu even advocaat van de niet bestaande duivel spelen: Interessant nieuws uit China is dat zij via Huawei voor de Europese consumenten een beta programa hebben voor Android X (10) met eigen security-auditted microkernel. Andere consumenten moeten nog een paar maandjes wachten of zo'n dure Pixel kopen. Hier moet je even bij stil staan... De Pixel is duur maar de software "gratis" - wil je wel die "gratis" software op een goedkope degelijke smartphone van een van tientallen anderen leveranciers? Hmm

Er zijn meerdere gaten in de markt maar niemand doet er iets mee. Russische (prop) zenders hebben een punt over Microsoft contracten en de EU (en DOCX is spuuglelijk t.o.v. het schone ODF) maar dat is vooral politiek zagen. Frans Timmermans is gelukkig wel wakker maar leest deze site niet en moet het met "geleende buzzwoorden" doen want hij is geen techie. Waar blijft het Europees gesubsidieerde Linux alternatief voor tientallen smartphone vendors, een Europese zoekmachine, Europese clouddiensten etc? Daar was toen met Neelie Kroes al discussie over maar zonder gevolg. What happened? Is appjes coden voor Android en iPhone het hoogst haalbare hier in Nederland-Europa zonder kapot gemaakt te worden? Ik bedoel maar. Als ik 20 was met de kennis van nu dan wist ik het wel. Meteen naar Brussel :)

Voor het Google/Android deel Alphabet zijn wij in EU een afzetmarkt vergelijkbaar met de nieuwe vendors in landen als Turkije en India. In China zijn ze nu al bezig met de Europese markt op een grotere schaal dan wij - een beetje appjes voor platformen van externe machtsblokken het bouwen en hun producten reviewen enz. Lekker afhankelijk zijn we. Het is wachten op een single point of failure in One of Go op 20+ vendors straks (over een jaar of 3..5)

Ron v
13-12-2019, 18:49 door Anoniem
Voor het Google/Android deel Alphabet zijn wij in EU een afzetmarkt vergelijkbaar met de nieuwe vendors in landen als Turkije en India.<<== Hier bedoelde ik mee wij zijn een melkkoe / dus niet bedoeld in de zin van "vergelijkbare marktgrootte" want Android Go bijv gaat het daar veel beter doen.

In China zijn ze nu al bezig met de Europese markt op een grotere schaal dan wij <== Hier bedoel ik "met de Europese markt in gedachten".

Maar on-topic: wat is wijsheid bij een nieuw email adres? Je hebt ook nog de optie om gewoon zaken te doen met een Nederlandse provider waar je een paar tientjes per jaar betaald voor je email. Je hebt dan wel service. Backups bijv. Bij een hackpoging krijg je beter bewijsmateriaal in de vorm van logs voor aangifte bij de politie (die zelf lekker verknocht zijn aan hun Samsungs met Android en foute apps). Een kleine persoonlijke provider houdt je zaakjes zelf ook nog eens in de gaten.

Als je handig bent zet je zelf een VPS op met een smtpd en een extra MX met een leuk portaaltje en je favoriete FIDO2 compat 2FA. Dan bij een foute inlog de attacker omleiden naar een fake mailbox aka honeypot. The sky is the limit.

Ron v
13-12-2019, 20:43 door Anoniem
Door Anoniem: Ik heb recent zelf uiteindelijk toch maar een domein geregistreerd zodat ik zoveel mail adressen kan aanmaken als ik
wil en nu maak ik iedere keer als ik ergens een mailadres moet opgeven een nieuwe aan, meestal gewoon de
bedrijfsnaam @ mijn domein. Die komen allemaal in 1 mailbox terecht.
Mocht nu een van die bedrijven het adres lekken dan kan ik dat adres gewoon verwijderen en wordt de spam niet
afgeleverd, tevens weet ik dan meteen wie de schuldige is.
En met inloggen hebben die adressen uiteraard ook niks te maken dus wie dat wil proberen: veel succes.

Ik heb ook al jaren een aantal domeinen met een vergelijkbare setup (ik gebruik 'catch all' en maak dus geen adressen aan) . Het nadeel is dat je ieder domein voor altijd en eeuwig aan moet houden tenzij je een nauwkeurige administratie hebt bijgehouden waar je welke email adressen je waar gebruikt hebt.

Als je dat niet doet kan iemand je domein registreren als jij het vrijgeeft en kan zo ook in bezit komen van alle email waarvan jij geen wijziging hebt doorgegeven toen je het domein opgaf.

Als ik dit jaren geleden (phoe toch al weer 20 jaar denk ik) geweten had dan had ik het anders aangepakt.
13-12-2019, 22:49 door Anoniem
Door Anoniem:
Door Anoniem: Mijn idee was om een nieuwe email aan te maken voor bijvoorbeeld mail van de overheid, bank en verzekeringen etc. Dit e-mailadres gebruik ik dan alleen voor dit soort dingen en geen registraties voor nieuwsbrieven en dat soort ongein.

Waarom moeten deze instanties jouw e-mail adres hebben?

Als ik een mailtje van de bank krijg, weet ik dat het phishing is, want de bank heeft mijn e-mail adres niet.

De overheid heeft DigiD en de berichtenbox. Ik heb de berichtenbox niet geactiveerd en krijg alles (vermoed ik) per post.

Mijn verzekeringen hebben ook mijn e-mail adres niet. Hoe denk je dat oude mensen dat doen? Die hebben geeneens internet en die functioneren nog prima.

Minder is meer!

De reden dat ik voor email kies en niet voor post is het feit dat PostNL er één grote puinzooi van maakt qua bezorging. Een email gaat altijd naar het emailadres dat je intypt, voor briefpost geldt dit helaas niet bij PostNL.
14-12-2019, 10:30 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb recent zelf uiteindelijk toch maar een domein geregistreerd zodat ik zoveel mail adressen kan aanmaken als ik
wil en nu maak ik iedere keer als ik ergens een mailadres moet opgeven een nieuwe aan, meestal gewoon de
bedrijfsnaam @ mijn domein. Die komen allemaal in 1 mailbox terecht.
Mocht nu een van die bedrijven het adres lekken dan kan ik dat adres gewoon verwijderen en wordt de spam niet
afgeleverd, tevens weet ik dan meteen wie de schuldige is.
En met inloggen hebben die adressen uiteraard ook niks te maken dus wie dat wil proberen: veel succes.

Ik heb ook al jaren een aantal domeinen met een vergelijkbare setup (ik gebruik 'catch all' en maak dus geen adressen aan) . Het nadeel is dat je ieder domein voor altijd en eeuwig aan moet houden tenzij je een nauwkeurige administratie hebt bijgehouden waar je welke email adressen je waar gebruikt hebt.

Als je dat niet doet kan iemand je domein registreren als jij het vrijgeeft en kan zo ook in bezit komen van alle email waarvan jij geen wijziging hebt doorgegeven toen je het domein opgaf.

Als ik dit jaren geleden (phoe toch al weer 20 jaar denk ik) geweten had dan had ik het anders aangepakt.

Ja maar waarom zou je dan meteen "een aantal domeinen" gaan registreren? Je kunt toch binnen 1 domein al
willekeurig adressen en subdomeinen aanmaken, dat vind ik wel voldoende. En met een eigen domein heb je het
in ieder geval ZELF in de hand. Ik heb toen ik met internet begon een mailadres bij de toenmalige provider gebruikt
en die provider is daarna een stuk of 3 keer overgenomen door anderen en uiteindelijk is de mail op het originele
domein (en minstens 1 domein dat daarna kwam) stopgezet. Toen zat ik ook met die situatie dat ik dat adres her en
der gebruikt had en geen enkele invloed meer heb op wat er met die mail gebeurt. Het adres werkt nu gewoon niet
meer (bounce) maar voor hetzelfde geld maken die lui ook een catchall aan of ze laten het domein verlopen en iemand
anders kan dat doen. Zonder dat er ook maar iets is wat ik er tegen kan doen.
Dan kun je dat toch beter zelf in de hand hebben? Als ik nu wil stoppen met die eigen oplossing kan ik altijd nog
het domein geregistreerd houden voor een tientje per jaar of minder en dan gewoon geen server meer draaien.
En als ik het wil overzetten naar bijvoorbeeld Gmail of Outlook dan kan dat ook.
14-12-2019, 12:44 door Anoniem
Door Anoniem: Als ik nu wil stoppen met die eigen oplossing kan ik altijd nog
het domein geregistreerd houden voor een tientje per jaar of minder en dan gewoon geen server meer draaien.
En als ik het wil overzetten naar bijvoorbeeld Gmail of Outlook dan kan dat ook.

En daarom schreef ik dat je dus voor 'altijd en eeuwig' dat domein aan moet houden tenzij je overal waar je dat @domein adres gebruikt hebt kunt wijzigen in jouw @gmail of @outlook adres. Vaak vergeten mensen dat bij het opzeggen van een domein waardoor criminelen controle krijgen over email op dat domein, incl. eventuele password reset e.d.
14-12-2019, 18:32 door Anoniem
Door Anoniem:
Door Anoniem: Als ik nu wil stoppen met die eigen oplossing kan ik altijd nog
het domein geregistreerd houden voor een tientje per jaar of minder en dan gewoon geen server meer draaien.
En als ik het wil overzetten naar bijvoorbeeld Gmail of Outlook dan kan dat ook.

En daarom schreef ik dat je dus voor 'altijd en eeuwig' dat domein aan moet houden tenzij je overal waar je dat @domein adres gebruikt hebt kunt wijzigen in jouw @gmail of @outlook adres. Vaak vergeten mensen dat bij het opzeggen van een domein waardoor criminelen controle krijgen over email op dat domein, incl. eventuele password reset e.d.

Nee ik bedoel dat je je mail op eigen domein door gmail of outlook kunt laten afhandelen, dan hoef je dus het adres niet
te wijzigen en dan heb je ook niet te maken met de door velen hier zo verafschuwde scanning van de mail voor advertenties.
Je zegt je domein dan dus niet op. En je maakt je ook niet afhankelijk van derden, als je bij gmail zit en die bevalt je niet
meer kun je overstappen naar outlook. Bijvoorbeeld.
Bovendien denk ik dat veel mensen nu nog een adres hebben bij een internet provider, en dat is nog wankeler want
die kun je al kwijt raken door een overname of doordat je verhuist bijvoorbeeld.
14-12-2019, 20:45 door [Account Verwijderd] - Bijgewerkt: 14-12-2019, 20:46
https://mailbox.org/en/ Fijne Duitse provider met een uitstekend spam filter en begaan met privacy. Vanaf 12 euro per jaar,prepaid. 30 dagen gratis proberen. Goede 2FA. Plaatst nauwelijks cookies en reclame geheel afwezig.
21-12-2019, 10:37 door Anoniem
Door Anoniem:
Door Anoniem: Waarom moeten deze instanties jouw e-mail adres hebben?

Als ik een mailtje van de bank krijg, weet ik dat het phishing is, want de bank heeft mijn e-mail adres niet.

De overheid heeft DigiD en de berichtenbox. Ik heb de berichtenbox niet geactiveerd en krijg alles (vermoed ik) per post.

Mijn verzekeringen hebben ook mijn e-mail adres niet. Hoe denk je dat oude mensen dat doen? Die hebben geeneens internet en die functioneren nog prima.

Minder is meer!

De reden dat ik voor email kies en niet voor post is het feit dat PostNL er één grote puinzooi van maakt qua bezorging. Een email gaat altijd naar het emailadres dat je intypt, voor briefpost geldt dit helaas niet bij PostNL.

Ik heb juist deze ervaring met e-mail. Mailtjes van xs4all naar gmail die niet, of later, aankomen. Belangrijke mailtjes voor mij die in de spambox terecht komen, of die helemaal niet aankomen (ik gebruik POP3 en heb geen zin om de webmail in te gaan om te kijken in de spambox).

Snailmail gaat juist heel goed bij mij! Ik heb een abonnement op de VPRO gids en die is dit jaar eigenlijk altijd goed bezorgd (op woensdag tegenwoordig, vroeger op dinsdag). Het grootste probleem met snailmail is als de post in de verkeerde brievenbus wordt gedaan door haast van de postbezorger. Maar met het loon wat ze krijgen kan ik er eigenlijk niet boos om worden. En de meeste mensen zijn wel zo eerlijk dat ze het in de juiste brievenbus doen als er een brief bij hun verkeerd bezorgd is. Andersom geldt dat natuurlijk ook.

Anoniem 16:21
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.