image

Juridische vraag: Mag een mail gatewaydienst verdachte e-mails zonder aankondiging weggooien?

woensdag 7 maart 2018, 16:31 door Arnoud Engelfriet, 13 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze dienst mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?

Antwoord: Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel mag, juridisch gezien.

In beginsel zijn bedrijven onderling vrij om hun dienstverlening in te richten zoals hen goeddunkt. Het filteren of controleren van e-mail is voor de wet gewoon een dienst als alle andere, en als de klant het goed vindt dat de dienstverlener verdachte zaken direct weggooit zonder te melden, dan is dat een zakelijke keuze.

Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen. Dat is hinderlijk en kan de relatie schaden tussen hem en het bedrijf dat de gatewaydienstverlener ingeschakeld heeft. Maar volgens mij is het niet verboden.

In theorie zou je nog op de AVG kunnen wijzen: de mail gateway verwerkt immers persoonsgegevens door de mail te scannen en door te sturen dan wel weg te gooien. Daarmee geldt er een informatieplicht voor het bedrijf dat de gateway inzet, en de afzender heeft dan een basis voor een claim dat zijn persoonsgegevens ongewenst zijn verwerkt.

Ik denk dat dat in de praktijk niet gaat vliegen. Het scannen van mail en het weggooien van verdachte mail is een relatief bekende praktijk. Daarnaast kan het (zo weet iedereen) altijd gebeuren dat mails spontaan kwijtraken. Je moet er dus sowieso altijd rekening mee houden dat een mail niet aankomt of niet gelezen wordt. Eisen dat de ontvanger je informeert over een blokkade, kan ik dus ook onder de AVG niet hard krijgen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
07-03-2018, 17:04 door Anoniem
Het scannen en weggooien, danwel niet accepteren van e-mail is voor de meeste bedrijven een noodzaak om met spam om te gaan. Ik vind het echter een interessantere vraag of een algemene e-mail provider zoals GMail of de je internet provider hiermee niet de net neutraliteit aantast.
07-03-2018, 18:23 door bowietje
Door Anoniem: Het scannen en weggooien, danwel niet accepteren van e-mail is voor de meeste bedrijven een noodzaak om met spam om te gaan. Ik vind het echter een interessantere vraag of een algemene e-mail provider zoals GMail of de je internet provider hiermee niet de net neutraliteit aantast.
Hierbij laat ik weten dat ik helemaal achter U sta, als je goede Security software op je PC hebt staan, dan mag het toch geen probleem zijn ?
07-03-2018, 19:26 door Anoniem
Op het moment dat het bedrijf een dergelijke dienst (mail gateway) afneemt zal er overleg geweest zijn met de dienstverlener om te begrijpen wat de dienst in houdt. Die dienstverlener zal dit in de dienstbeschrijving hebben staan.

Aan vraagsteller: werk je bij de IT afdeling, of ben je een andere werknemer?
- Als je bij de IT afdeling werkt zou je moeten weten wat de dienstverlener aan biedt
- Als je niet bij IT werkt, lijkt me dit een vraag die je bij je interne helpdesk kan stellen

Zoals Arnoud al aangeeft: het betreft bedrijfsemail, dus je bedrijf mag van alles afspreken, bij wijze van spreke een regel dat maar 1 op de 3 mailtjes wordt afgeleverd en de rest weggegooid. Niet handig maar wel toegestaan...
07-03-2018, 19:49 door Anoniem
Mag dat zomaar?

Dat hangt toch af van de contractuele afspraken welke je zelf maakt met een leverancier ? Ik zou zeggen, overleg met je leverancier over de mogelijkheden. Bevallen de mogelijkheden niet, stap over naar een andere partij.

Dit zijn ook zaken waar je van te voren bij stil moet staan, en waarover je je moet informeren voordat je de stap neemt om de mail extern onder te brengen. Typisch een gevalletje van eigen verantwoordelijkheid.

De wet schrijft niet voor hoe jij dit met je leverancier moet regelen.

Hierbij laat ik weten dat ik helemaal achter U sta, als je goede Security software op je PC hebt staan, dan mag het toch geen probleem zijn ?

De meeste bedrijven willen vandaag de dag toch ook goede spam/malware filtering op de (interne of externe) mail server. Het zal ze ook niet gaan om het feit dat ze deze dienst niet willen, maar om de details hoe dit werkt. Vervelend als mails van of aan klanten bijvoorbeeld ongemerkt in het niets verdwijnen.
07-03-2018, 19:53 door Anoniem
Ik vind het echter een interessantere vraag of een algemene e-mail provider zoals GMail of de je internet provider hiermee niet de net neutraliteit aantast.

LMFAO. Je zou eens moeten zien hoeveel spam e.d. je binnen krijgt wanneer ze deze filtering *niet* aan zouden hebben staan. Zouden mensen steen en been klagen. Veel belangrijker is de vraag hoe strikt de filtering is, om de kans op false positives zo laag mogelijk te houden. Verder kies je zelf voor een email dienst met of zonder spam filtering, antivirus filtering en dergelijke. Waar is je eigen verantwoordelijkheid bij het maken van keuzes ?
08-03-2018, 09:22 door Anoniem
Er is nog een reden waarom de mail misschien wordt weggegooid die hier onbelicht is gebleven. Als de verzender SPF en/of DKIM (fout) heeft ingeregeld en een DMARC-record heeft met een REJECT-policy, dan gooit de ontvanger, volgens wens van de verzender, de mail ook weg.

De SPF/DKIM instellingen kunnen ook 'breken' als gevolg van constructies met forwarding, bijvoorbeeld als gevolg van het sturen naar een mailinglist.
08-03-2018, 09:41 door Anoniem
Door bowietje:
Door Anoniem: Het scannen en weggooien, danwel niet accepteren van e-mail is voor de meeste bedrijven een noodzaak om met spam om te gaan. Ik vind het echter een interessantere vraag of een algemene e-mail provider zoals GMail of de je internet provider hiermee niet de net neutraliteit aantast.
Hierbij laat ik weten dat ik helemaal achter U sta, als je goede Security software op je PC hebt staan, dan mag het toch geen probleem zijn ?

Volgens mij heb jij geen idee van de hoeveelheid spam die dagelijks weggegooid wordt, dat kan je mailbox niet eens aan, en jij zou er gek van worden. Het is niet alleen een kwestie van goede security software, alhoewel ik denk dat je dan toch nog meer risico gaat lopen.
08-03-2018, 10:04 door Briolet
Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen.

Hij kan er wel wat aan doen door zijn mail betrouwbaarder te maken.

Ik heb het zelf gehad bij een leverancier waarvan de mail nooit aankwam op mijn normale adres. De ontvangende mailserver gaf aan dat de DKIM handtekening niet geldig was en liet de mail stilletjes vervallen. Bij hem lag het aan zijn mail provider die de mail ondertekende met een extreem korte sleutel. OpenDKIM verwerpt dergelijke mails bij de default settings. GMail liet dergelijke mails wel door, maar gaf wel aan dat DKIM een onveilige sleutellengte gebruikte.
08-03-2018, 10:24 door Anoniem
Door Briolet:
Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen.

Hij kan er wel wat aan doen door zijn mail betrouwbaarder te maken.

Ik heb het zelf gehad bij een leverancier waarvan de mail nooit aankwam op mijn normale adres. De ontvangende mailserver gaf aan dat de DKIM handtekening niet geldig was en liet de mail stilletjes vervallen. Bij hem lag het aan zijn mail provider die de mail ondertekende met een extreem korte sleutel. OpenDKIM verwerpt dergelijke mails bij de default settings. GMail liet dergelijke mails wel door, maar gaf wel aan dat DKIM een onveilige sleutellengte gebruikte.

Interessant, hoewel ietwat kort door de bocht. Er zijn een hoop slecht geconfigureerde mail severs in omloop en rejecten enkel op DKIM lijkt excessief, verstandiger is taggen. Uiteraard word dit anders als DMARC ook gebruikt word met een p=reject en SPF gaat ook fout.
08-03-2018, 11:36 door Anoniem
Ook al verwijderd de dienstverlener malafide inkomende berichten is het hun goed recht om dat te doen, sterker nog dat is waarom ze gecontracteerd zijn als ik het artikel zo lees.
Zij beschermen de organisatie door deze inkomende berichten te weren.

Te lang Niet Gelezen:
> scan mijn inkomende mails voor malafide berichten
> huurt gatewaydienst in
> inkomende mail: "I'm the Nigerian prince"
> gatewaydienst: "You shall not pass!"
> -bericht weggejorist-
> Geen malafide mails
08-03-2018, 11:50 door Anoniem
De RFC's verbieden in principe dat mail wordt weggegooid. Maar voor spam maken genoeg mail servers uitzonderingen.
09-03-2018, 08:21 door Anoniem
Nu blijkt dat deze dienst mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?

Het staat vast wel in een logfile.
Als je alle spam in een spamfolder plaatst, houd dan rekening met soms tot ca. 500 mails per dag in die box. Dat je die nooit hebt gezien klopt meestal wel: de meeste spam wordt door de meeste providers al buiten de deur gehouden.
Meestal blijven er van die 500 maar een paar over waar het systeem nog over twijfelt: die staan nu in je 'spam'/'junk' box.

Overigens kunnen eigenaren van domeinnamen beïnvloeden wat er gebeurd met die mail, door bijvoorbeeld P=Reject in te stellen in DMARC. Dan is het verzoek aan de ontvanger om de mail weg te gooien als er iets niet klopt. Of zelfs die niet kloppende mail terug te krijgen in de systemen van de eigenaar van de domeinnaam (over privacy gesproken!).
12-03-2018, 15:05 door Anoniem
Ik zie diverse reacties met de terminologie "Reject". Reject houdt volgens mij nog altijd in dat je de verzendende mailserver informeert dat je de betreffende mail niet wilt accepteren om reden xxxxx. Bijvoorbeeld een "Foei, je staat op blacklist x. Ga hier heen om je er af gehaald te krijgen" of een "het SPF record zegt dat dit niet geldig is - go fix or be gone!"

Door Anoniem: De RFC's verbieden in principe dat mail wordt weggegooid. Maar voor spam maken genoeg mail servers uitzonderingen.
Deze stelling is in het kader van een groot deel van de spam bestrijding m.i. niet relevant. De mail wordt bij blacklisting, SPF, DKIM en DMARC-filtering inhoudelijk namelijk in het geheel niet geaccepteerd op basis van de informatie op de doos. De bezorger kan het pakketje gewoon niet bij mij afleveren. Als weigerende instantie kan ik echt niet verantwoordelijk worden gehouden voor wat de bezorger er vervolgens mee doet. Als die netjes is, dan stuurt hij het pakket weer terug naar de verzender met een "hij willem nie heb nie", maar als het pakketje dan maar op de grote hoop gaat en door de shredder wordt gehaald... Tsja, maar als ontvangende mailserver gooi ík niets weg.

Sterker nog, je wilt niet eens dat jouw mailserver actie onderneemt. Wie kan hij raadplegen? De afzender? 9 van de 10 keer is dat een vervalst adres, vaak ook nog niet eens bestaand. Degenen die wel bestaan krijgen naar aanleiding van zo'n spamrun anders allemaal non-deliverables. Fijn.
De ontvanger? bijna net zo irritant om 2000 "we hebben mogelijk spam gevonden" berichtjes te ontvangen als wanneer de berichten er daadwerkelijk doorheen zouden zijn gekomen.


Wanneer het vervolgens om content filtering gaat (met andere woorden, het pakket is geaccepteerd en open gemaakt, en oei, er zit een tikkende wekker in) dan is het een ander verhaal, en moet deze apart worden gezet (quarantaine) en onschadelijk gemaakt worden (virus scan/clean). Het lijkt me vrij logisch dat als de EOD er bij is gehaald, de geadresseerde toch minimaal gewaarschuwd wordt dat iemand hem/haar onheil wilde berokkenen, danwel dat de lokale autoriteiten (beheerders) even worden geinformeerd dat er een boos oog naar hun ingezetenen was gericht. Laten alle redelijke anti-spam systemen dat toch allemaal kunnen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.