image

Kamp: Provider mag in beginsel geen e-mail blokkeren

woensdag 13 september 2017, 11:09 door Redactie, 19 reacties
Laatst bijgewerkt: 13-09-2017, 11:31

Internetproviders en telecomaanbieders mogen in beginsel geen e-mailverkeer blokkeren, zo heeft minister Kamp van Economische Zaken laten weten. De vaste commissie voor Economische Zaken had Kamp vragen gesteld over de interpretatie van de anti-spamregels en de groeiende macht van telecomaanbieders bij het blokkeren van 'spam'.

De commissie wil van de minister meer duidelijkheid over de rol en de positie van de aanbieders van elektronische communicatiediensten bij het tegenhouden van spam. Daarnaast werd de vraag gesteld of het huidige spamverbod, zoals dat geformuleerd is in artikel 11.7 van de Telecommunicatiewet, niet zodanig ruim is geformuleerd dat grondrechten als de vrijheid van meningsuiting in gevaar komen.

Kamp wijst voor de eerste vraag naar de Netneutraliteitsverordening, die onder meer bepaalt dat aanbieders van internettoegang geen 'verkeerbeheersmaatregelen' mogen nemen waarbij internetverkeer wordt geblokkeerd. "Dit betekent onder andere dat aanbieders van internettoegang in beginsel geen emailverkeer mogen blokkeren, ook niet als zij menen dat het om spam gaat", aldus de minister. Het verbod kent echter een aantal uitzonderingen.

Zo is het blokkeren van verkeer door de internetprovider wel toegestaan als dit nodig is om de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen. "Aanbieders hebben in het verleden aangegeven dat (vaak uit bekende bronnen) zoveel spam wordt verspreid over het internet dat als zij geen maatregelen zouden nemen de kwaliteit van de internettoegangsdienst zodanig daaronder zou lijden dat sprake is van aantasting van de integriteit van de internettoegangsdienst", stelt Kamp (pdf).

Spamverbod

Wat betreft de opzet van het spamverbod laat de minister weten dat de Autoriteit Consument & Markt (ACM) verantwoordelijk is voor de handhaving op het spamverbod. Tot nu toe heeft de ACM opgetreden tegen evidente gevallen van spam, dat wil zeggen gevallen waarin het duidelijk ging om reclame-uitingen. Er is dan ook van uit de handhavingspraktijk geen helder beeld te verkrijgen over de grenzen aan de toepassing van artikel 11.7, merkt Kamp op.

Volgens de minister gaat het bij het spamverbod om ongevraagde communicatie in het kader van directmarketing. In dit licht moet ook artikel 11.7 worden bezien. Dit betekent, bijvoorbeeld, dat een al dan niet ongevraagde e-mail van een politieke partij waarin wordt opgeroepen lid van die partij te worden als spam kan worden gezien. Maar ook dat, om aan te haken bij een voorbeeld uit de brief aan de vaste commissie, een e-mail van een burger aan de leden van de gemeenteraad waarin hij zijn visie geeft over een bepaalde politieke kwestie niet valt te beschouwen als spam.

Reacties (19)
13-09-2017, 11:33 door Anoniem
Daarom heb ik het liefste een provider die bij twijfels of iets spam is, deze van een vlag voorziet, of via webmail in een daarvoor aangewezen spambox dropt. Ik vind het niet erg om elke dag even naar de mails in die box te kijken en dan te besluiten om ze weg te gooien.

Dit op de manier die b.v. GMail hanteert, waarbij de controle van de spambox mij soms toch aan gewenste mail helpt. De meeste spam maakt nu eenmaal gebruik van bepaalde patronen en soms worden die onbedoeld ook door anderen gehanteerd.
13-09-2017, 11:36 door Anoniem
"Aanbieders hebben in het verleden aangegeven dat (vaak uit bekende bronnen) zoveel spam wordt verspreid over het internet dat als zij geen maatregelen zouden nemen de kwaliteit van de internettoegangsdienst zodanig daaronder zou lijden dat sprake is van aantasting van de integriteit van de internettoegangsdienst"
"Dan zit je inbox vol met spam." Want een inbox kan je natuurlijk ook een "internettoegangsdienst" noemen.

Ik denk nog altijd dat de drijvende kracht achter spamfiltering toch echt de klant moet zijn; als hij zegt "ik wil dat je mijn inkomende mail tegen dit lijstje van spamfilterregels houdt en daarmee mijn inkomende mail filtert", dan is dat prima. Moet de klant dus wel ten alle tijde aan en uit kunnen zetten. Dat scheelt ook gedoe in de wet met wat wel en niet mag. Leg de macht bij de klant en het is af.

Volgens de minister gaat het bij het spamverbod om ongevraagde communicatie in het kader van directmarketing.
Het traditionele onderscheid is (op USENET) dat van "misbruik van het netwerk" (een gedeelde dienst volproppen met jouw berichten), wat niet hetzelfde is als "misbruik op het netwerk" (bv. trollen). Commercie is daar niet eens de leidende indicator. Emailadministratoren (NANAE) hebben het dan weer over UBE (unsolicited bulk email). Maar onze wet zal wel gemodelleerd zijn op de Amerikanen, waar de regulator het heeft over UCE (unsolicited commercial email).

Één emailtje aan alle raadsleden tegelijk is dan simpelweg noodzaak, maar iedere dag stapels mailtjes aan alle raadsleden met het kennelijke doel zand in de machinerie te strooien (vergelijk de seriële WOBer), is dan wel niet UCE maar wel UBE. Nouja, in ieder geval bulk email; je kan ergens ook beargumenteren dat een persoon met een publieke taak ook de taak heeft om communicatie van het publiek te ontvangen, wat het stukje "unsolicited" lastig maakt want staande uitnodiging contact te zoeken, iig voor natuurlijke personen als niet voor spambots. Maar dat is meer een filosofische discussie.
13-09-2017, 11:47 door Briolet
Hoe zit het met blokkeren van poort 25? Veel ISP's blokkeren die poort voor verkeer die niet naar hun eigen smtp server loopt omdat ze spam vanaf hun netwerk willen blokkeren.

Sommige isp's gaan zelfs zover dat ze mensen afsluiten als ze teveel spam versturen. In plaats van afsluiten mogen ze deze mensen blijkbaar alleen aangeven bij de ACM.
13-09-2017, 12:45 door Anoniem
Door Briolet: Hoe zit het met blokkeren van poort 25? Veel ISP's blokkeren die poort voor verkeer die niet naar hun eigen smtp server loopt omdat ze spam vanaf hun netwerk willen blokkeren.

Sommige isp's gaan zelfs zover dat ze mensen afsluiten als ze teveel spam versturen. In plaats van afsluiten mogen ze deze mensen blijkbaar alleen aangeven bij de ACM.

Blokkeren van poort 25 mag niet meer en word in Nederland ook niet (veel) meer gedaan.
Afsluiten voor een beveiligingsprobleem mag wel degelijk, hier staat een uitzondering voor in de telecommunicatie wet.
Overigens is spam tegenwoordig maar een heel klein probleem bij (consumenten) aansluitingen. Allerlei gegevens stelende trojans komen heel erg veel meer voor.
13-09-2017, 13:05 door Anoniem
Door Briolet: Hoe zit het met blokkeren van poort 25? Veel ISP's blokkeren die poort voor verkeer die niet naar hun eigen smtp server loopt omdat ze spam vanaf hun netwerk willen blokkeren.

Dat is precies waar het over gaat, ook zijn er ISP's die andere poorten (137,138,139,445 b.v.) blokkeren daar waar het, en daar komt ie, "in beginsel" niet toegestaan is. De ISP's lullen er een security verhaal omheen, garanderen van de stabiliteit van het netwerk bla bla bla, en klaar zijn ze met dit poldermodel.
13-09-2017, 13:35 door Anoniem
Kamp wijst voor de eerste vraag naar de Netneutraliteitsverordening, die onder meer bepaalt dat aanbieders van internettoegang geen 'verkeerbeheersmaatregelen' mogen nemen waarbij internetverkeer wordt geblokkeerd.

En, hoe zit dat wanneer de klant *wel* verkeerbeheersmaatregelen wenst van de provider, mag dat dan wel, in relatie tot het account van de desbetreffende klant ?

Hoe zit het met blokkeren van poort 25? Veel ISP's blokkeren die poort voor verkeer die niet naar hun eigen smtp server loopt omdat ze spam vanaf hun netwerk willen blokkeren.

Lees bovenstaand artikel, staat het antwoord op je vraag eigenlijk al in, en wat dat betreft vraag je naar de bekende weg. Jouw voorbeeld valt duidelijk onder de genoemde uitzonderingen.
13-09-2017, 13:57 door Anoniem
Door Anoniem:
Door Briolet: Hoe zit het met blokkeren van poort 25? Veel ISP's blokkeren die poort voor verkeer die niet naar hun eigen smtp server loopt omdat ze spam vanaf hun netwerk willen blokkeren.

Dat is precies waar het over gaat, ook zijn er ISP's die andere poorten (137,138,139,445 b.v.) blokkeren daar waar het, en daar komt ie, "in beginsel" niet toegestaan is. De ISP's lullen er een security verhaal omheen, garanderen van de stabiliteit van het netwerk bla bla bla, en klaar zijn ze met dit poldermodel.

Gelukkig bieden deze vaak wel aan website de mogelijkheid om dit aan te passen. En dan mag het in eens wel weer.
13-09-2017, 14:15 door Briolet
Door Anoniem:Overigens is spam tegenwoordig maar een heel klein probleem bij (consumenten) aansluitingen. Allerlei gegevens stelende trojans komen heel erg veel meer voor.

Phishing mail is natuurlijk ook een vorm van spam. Het is ongevraagde mail die verstuurd wordt zonder relatie met de afzender.

Ik vraag me ook af hoe het zit met mail die volgens een mailprotocol zoals DKIM, SPF of DMARC afgekeurd wordt. Mijn boerenverstand zegt dat dit moet kunnen, maar wetgeving is lang niet altijd logisch. En als de wet niet goed geformuleerd is, kan een rechter gekke beslissingen nemen.

Ik heb b.v. wel eens mail geforward met mijn mailserver naar een Ziggo adres. Mijn mailserver haalt echter webbugs uit de mail, voordat hij hem forward. Door deze aanpassing van de mail klopte de DKIM checksum niet meer en Ziggo leverde deze mailtjes niet af. Ik kreeg ook geen bounce message van Ziggo, hoewel die misschien naar de oorspronkelijke afzender ging. Alleen in het maillog kon ik terug vinden dat ziggo de mail vanwege een DKIM fout weigerde.
Dit was geen spam, maar bewust geforwarde mail die ik op dat andere adres wilde hebben. Moet Ziggo dit dan toch doorlaten met foute DKIM checksum? Natuurlijk wel in de header schrijven dat DKIM ongeldig is.

Ik heb een mail provider die mail met een SPF hard-fail in de spambox plaatst met een toegevoegde waarschuwing in de titel. Dat is dan goed volgens bovenstaand verhaal. Volgens mij behoort een hard-fail echter te bouncen volgens het protocol.
13-09-2017, 14:38 door Anoniem
Door Briolet:
Ik heb een mail provider die mail met een SPF hard-fail in de spambox plaatst met een toegevoegde waarschuwing in de titel. Dat is dan goed volgens bovenstaand verhaal. Volgens mij behoort een hard-fail echter te bouncen volgens het protocol.

https://tools.ietf.org/html/rfc7208#page-33

A "fail" result is an explicit statement that the client is not authorized to use the domain in the given identity.
Disposition of SPF fail messages is a matter of local policy
13-09-2017, 14:46 door Anoniem
Door Briolet:
Door Anoniem:Overigens is spam tegenwoordig maar een heel klein probleem bij (consumenten) aansluitingen. Allerlei gegevens stelende trojans komen heel erg veel meer voor.

Phishing mail is natuurlijk ook een vorm van spam. Het is ongevraagde mail die verstuurd wordt zonder relatie met de afzender.

<snip>

Ik heb een mail provider die mail met een SPF hard-fail in de spambox plaatst met een toegevoegde waarschuwing in de titel. Dat is dan goed volgens bovenstaand verhaal. Volgens mij behoort een hard-fail echter te bouncen volgens het protocol.

Phishing wordt ook zelden via particulieren verstuurd. meestal gehackte websites/mailservers. Er is wel een toename in de de RATs die hiervoor ingezet worden maar dit is verhoudingsgewijs te verwaarlozen.

Zeker met DMARC geeft de verzender al aan wat er met de mail moet gebeuren als deze de check niet haalt, dit lijkt me dan ook zeker niet tegen de netneutraliteit. Ook weigeren bij SPF en DKIM falen lijkt me niet gek, de verzender gebruikt het immers niet voor niks. Op SPF alleen afwijzen (en in mindere mate op DKIM) geeft echter behoorlijk wat problemen omdat beide nogal eens kapot gaan onder bepaalde omstandigheden. De reden ook waarom er voor DMARC maar een van de 2 god hoeft te gaan. Zelf ben ik een voorstander van SPF negeren,behalve daar waar DMARC gebruikt word, en DKIM fails in de spamfolder gooien. Dit geeft de beste resultaten met zeer weinig false positives.
13-09-2017, 15:04 door Anoniem
Ik heb een mail provider die mail met een SPF hard-fail in de spambox plaatst met een toegevoegde waarschuwing in de titel. Dat is dan goed volgens bovenstaand verhaal. Volgens mij behoort een hard-fail echter te bouncen volgens het protocol.

Ik heb toch liever dat ik weet dat ik doelwit ben van een gerichte aanval. Als je het enkel bounced, dan weet je dit niet. De aanvaller zal vast een nieuwe manier bedenken, om je opnieuw aan te vallen. Wil je threat intel, of is je mentaliteit meer 'wat niet weet, wat niet deert' ? ;)
13-09-2017, 15:06 door Anoniem
Dat is precies waar het over gaat, ook zijn er ISP's die andere poorten (137,138,139,445 b.v.) blokkeren daar waar het, en daar komt ie, "in beginsel" niet toegestaan is. De ISP's lullen er een security verhaal omheen, garanderen van de stabiliteit van het netwerk bla bla bla, en klaar zijn ze met dit poldermodel.

Leg jij eens uit wat het functionele nut is van het *niet* uitschakelen van deze porten op het internet ? De risico's zijn vele malen groter dan de voordelen. SMB gebruik ik enkel via een VPN verbinding, nooit direkt over het internet. Ondervind jij last van het blokkeren van de genoemde porten ?
13-09-2017, 15:45 door Anoniem
Ik heb al 15 jaar mijn eigen mailbak en mijn provider blokkeert poort 25 niet en eigenlijk zelden problemen met spam. Ik gebruik Kerio en dat werkt op basis van score wat je helemaal naar eigen inzicht kan instellen en dat werkt uitstekend, 98% van spam die ik krijg wordt ook als spam aangeduid en weg gefilterd. Ik zou niet meer terug willen naar provider mail.

Toevallig laatst nog iemand met ziggo mail op een laptop, die kwam op bezoek en wilde wat versturen gelijk een melding dat er "geauthentiseerd moest worden voor poort 25" en het mailtje is in een diepe put verdwenen.

Ik weet niet welke techneut daar deze melding gemaakt heeft maar het komt blijkbaar niet bij ze op dat zo'n melding ook begrijpelijk moet zijn voor de simpele consument/klant want die haalt nu z'n schouders op.
13-09-2017, 16:42 door Anoniem
Door Anoniem:
Dat is precies waar het over gaat, ook zijn er ISP's die andere poorten (137,138,139,445 b.v.) blokkeren daar waar het, en daar komt ie, "in beginsel" niet toegestaan is. De ISP's lullen er een security verhaal omheen, garanderen van de stabiliteit van het netwerk bla bla bla, en klaar zijn ze met dit poldermodel.

Leg jij eens uit wat het functionele nut is van het *niet* uitschakelen van deze porten op het internet ? De risico's zijn vele malen groter dan de voordelen. SMB gebruik ik enkel via een VPN verbinding, nooit direkt over het internet. Ondervind jij last van het blokkeren van de genoemde porten ?

Het functionele nut is dat mijn honeypot al dit verkeer mist en ik geen fatsoenlijk inzicht kan krijgen van de "dreiging van de dag". Daarnaast is het van de zotte dat mijn ISP voor alle gebruikers deze policy toepast en niet alleen voor mensen die er behoefte aan hebben om hun OS op die manier te beschermen.
13-09-2017, 18:15 door Briolet
Door Anoniem: Zeker met DMARC geeft de verzender al aan wat er met de mail moet gebeuren als deze de check niet haalt, dit lijkt me dan ook zeker niet tegen de netneutraliteit.
Klein nuance verschil: Het is niet de afzender die het aangeeft, maar de domein eigenaar. Juist bij een fail situatie heeft de firma die de DMARC ingesteld heeft, niets met het versturen te maken. En zoals gezegd zijn wet en logica soms twee verschillende zaken.

Ik gebruik een kleine mailserver met een standaard installatie van OpenDKIM. In zijn default instelling bounced OpenDKIM de mail bij een fout. Gelukkig heb ik hier nog maar bij één afzender problemen mee gehad. "skynet.be" publiceert al twee jaar lang een DKIM sleutel van 512 bit. In de default installatie van OpenDKIM zijn sleutels kleiner dan 1024 bit ongeldig. In hun toelichting schrijft OpenDKIM zelfs dan kleinere sleutels niet voorkomen.
Bij die Belgen dus wel. Hij wordt zelfs gepubliceerd met "securemail" als domainkey. (-:
Ik heb hun klantenservice hier vorige week op gewezen, maar ben nog wachtende op een reactie.
13-09-2017, 21:45 door Anoniem
Door Anoniem:Leg jij eens uit wat het functionele nut is van het *niet* uitschakelen van deze porten op het internet ? De risico's zijn vele malen groter dan de voordelen.
Het functionele nut zit in beginsel in het wettelijk recht op netneutraliteit. De verantwoordelijkheid van een telco of isp is verkeer door te laten, de verantwoordelijkheid van de eindgebruiker is om de eigen systemen op orde te hebben.

Het stellen dat de risico's vele malen groter zijn bij het niet blokkeren is deels terecht, want veel eindgebruikers nemen hun verantwoordelijkheid niet. De wet geeft ze een recht maar ze zijn niet bereid verantwoordelijkheid te nemen en niemand neemt echt moeit om die verantwoordelijkheid af te dwingen of de consequenties terug te leggen. telco en isp kost het winst of levert verlies als die agentje moet spelen, wie er last van heeft is niet in staat de verantwoordelijken wettelijk ter verantwoording te krijgen en de politie en om hebben geen prioriteit voor de meeste gevolgen. En dus zijn telcos en isps de wereld om blijven draaien, tegen de principes van netneutraliteitwetgeving in.

Ik vind het daarom meer terecht om te stellen dat doordat eindgebruikers hun verantwoordelijkheid niet nemen de risico's vele malen groter zijn. Het is te makkelijk om eindgebruikers te belonen voor hun laksheid en dan een recht op netneuraliteit maar te negeren omdat het voor een telco of isp voor minder verlies zorgt.

De wet voor netneutraliteit is niet alleen een middel om vrije communicatie af te dwingen maar ook een middel om duidelijk te maken waar de verantwoordelijkheden liggen. Een argument dat stabiliteit of betrouwbaarheid van netwerken in gevaar komen als een telco of isp niet aan filteren doet zijn zelden aantoonbaar te maken en dus is het gewoonlijk geen goed argument om dus maar standaard het beginsel van netneutraliteit te negeren. Het gaat tijd worden dat eindgebruikers leren verantwoordelijkheid te nemen door de telco en isp te verplichten om netneutraliteit in brede zin na te laten leven. De eindgebruikers die via hun netwerkontsluiting voor overlast zorgen kunnen door hun telco of isp worden aangepakt en voor de kosten opdraaien. Het risico is inderdaad dat de klant dan overstapt naar een telco of isp die het niet zo veel uit maakt dat eindgebruikers met hun netwerkontsluiting overlast veroorzaken, maar dat is zeker geen geldig argument om netneutraliteit te negeren. Er staat vast niet voor niets in de gebruiksovereenkomst dat een klant niet voor overlast mag zorgen. Hou klanten daar aan.
13-09-2017, 22:10 door Anoniem
Mijn provider (XS4ALL) geeft aan zijn gebrukers de keuze om al of niet het spamfilter te gebruiken. Mails die onder spam vallen worden in een speciale box geplaatst. Daar kun je zelf bekijken of de mail al dan niet ongewenst is.

Vind ik een hele mooie methode, zij het dat dat ik niet weet of er bij het verwijderen ook spmmails rigoreus weggegooid worden. Ik weet van het voorheen instelbare filter dat je dat kon kiezen voor bepaalde spam detectiemachines. Bijv. voor spamcop.

Die keuze is helaas verdwenen. Mijn eigengemaakte filters bestaan nog steeds, maar ik kan ze niet meer editen en zelfs niet eens verwijderen... Geen idee dus wat er in het standaard filter staat en of er iets direct weggegooid wordt ipv in de spambox te komen.

Ik moet wel zeggen dat ik nog nooit mail gemist heb, tenzij het in die spambox terecht kwam. En dan is er ook nog de mogelijkheid uitzonderingsregels te maken.

Ik vind het op zich een erg fijne methode: mijn (normale) mailboxen blijven volledig verschoond van spam. Een zeldzame keer glipt er één tussendoor, wat je dan weer kunt melden. Mooi systeem!

Ik hoop dus niet dat XS4ALL dit gaat veranderen omdat het niet 'zou mogen'. Ik zou eigenlijk niet weten waarom niet, want een ieder heeft bij deze provider de keuze om het spamfilter al of niet aan te zetten.
14-09-2017, 13:30 door Anoniem
Door Briolet:
Door Anoniem: Zeker met DMARC geeft de verzender al aan wat er met de mail moet gebeuren als deze de check niet haalt, dit lijkt me dan ook zeker niet tegen de netneutraliteit.
Klein nuance verschil: Het is niet de afzender die het aangeeft, maar de domein eigenaar. Juist bij een fail situatie heeft de firma die de DMARC ingesteld heeft, niets met het versturen te maken. En zoals gezegd zijn wet en logica soms twee verschillende zaken.

Dat is een goed punt en daar heb je volkomen gelijk in. De eigenaar van het domein is echter eigenlijk altijd wel degene die bepaald wie het domein voor mail mag gebruiken, lijkt me dus nog steeds geen probleem.
14-09-2017, 20:52 door karma4
https://www.security.nl/posting/470708/Minister+Kamp+blijft+eigen+Gmail-account+voor+werk+gebruiken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.