Privacy - Wat niemand over je mag weten

porno afpersmail van jezelf

06-10-2018, 17:45 door Bitwiper, 32 reacties
De Fraudehelpdesk [1] wordt vandaag veel gebeld door mensen die een e-mail, met als afzender zichzelf, hebben ontvangen. In de mail claimen cybercriminelen dat zij webcambeelden van je hebben terwijl je masturbeert en naar porno kijkt. Zoals gewoonlijk zou je publicatie van die beelden kunnen voorkomen door een flink bedrag te betalen (in Bitcoins). Trap er niet in!

Dat je zelf de afzender van de mail lijkt te zijn, kan de indruk versterken dat de cybercriminelen toegang tot jouw computer hebben. Helaas is een e-mail afzenderadres, in de praktijk, net zo makkelijk te vervalsen (spoofen) als een geschreven adres achterop een envelop en/of bovenaan een papieren brief.

De gebruikelijke waarschuwingen "open alleen e-mails van afzenders die u vertrouwt" zijn dan ook stompzinnig. Inderdaad is het zo dat de meeste spammers niet weten wie jouw contacten zijn, laat staan wie van hen jij volledig vertrouwt en een bepaalde mail van verwacht. Maar door het grote aantal gelekte databases met persoonsgegevens (inclusief e-mail adressen), en door wat wijzelf of anderen over ons op social media publiceren, komt deze informatie steeds meer binnen bereik van cybercriminelen. Je kunt hopen dat zij niks met "big data" gaan doen, maar dat is m.i. wishful thinking.

Technische maatregelen zoals SPF, DKIM, DomainKeys en DMARC worden in veel gevallen helemaal niet toegepast, en in veel andere gevallen slechts gedeeltelijk (omdat ze soms tot problemen leiden bij legitieme e-mail). Je kunt er dus gewoon niet op vertrouwen dat een e-mail daadwerkelijk door de kennelijke afzender is verzonden!

[1] https://www.fraudehelpdesk.nl/alerts/opnieuw-afpersmails-porno-website/
Voorbeeldmail (van 19 sept. j.l. - de huidige mails kunnen afwijken): https://www.fraudehelpdesk.nl/wp-content/uploads/2018/09/Afpersing1909.jpg
Bron: https://nos.nl/artikel/2253611-telefoon-fraudehelpdesk-roodgloeiend-door-afpersmail-pornosite.html
Zie ook: https://www.rtvnoord.nl/nieuws/199725/Opnieuw-golf-aan-masturbatiemails-verstuurd
Reacties (32)
06-10-2018, 17:47 door Anoniem
Gelukkig heb ik een stickertje op mijn webcam geplakt!!
06-10-2018, 18:21 door Anoniem
Goed dat dit herhaald was. Het was begin 2018 al eens uitgemeten in het nieuws (of op TROS Radar).
06-10-2018, 18:27 door Anoniem
Het is geschreven door een tiener of een laag opgeleide persoon, de Nederlandse taal niet meester.

Een storing hier dus ik kan niet opzoeken hoeveel BTC dat adres al heeft buitgemaakt.
06-10-2018, 18:34 door Anoniem
Door Anoniem: Gelukkig heb ik een stickertje op mijn webcam geplakt!!

Wat voor een stickertje? Camerabewaking?
06-10-2018, 19:53 door Anoniem
Door Anoniem: Het is geschreven door een tiener of een laag opgeleide persoon, de Nederlandse taal niet meester.
Nog redelijk eloquent vergeleken bij de gemiddelde Nigeriaanse prins. En die doen dat kennelijk expres: Ze hebben mensen nodig die hebberiger zijn dan dat ze opletten wat ze nou eigenlijk lezen.

Dit daarentegen staat vol met techo-bla-bla ("trojanvirus om te hacken") om een sterke positie voor te spiegelen, en stuurt dus aan op een paniekreactie om tot betalen te bewegen. Wat dan weer redelijk interessant is want mensen die hierin trappen zullen niet gauw technisch onderlegd genoeg zijn om makkelijk met bitcoin in de weer gaan.

Een storing hier dus ik kan niet opzoeken hoeveel BTC dat adres al heeft buitgemaakt.
https://www.blockchain.com/btc/address/16vEasoN6q4ERQSN9eJEFJEp3G7baUAqbF

Niet gezegd dat dit het enige adres is dat in zulke emails verschijnt.
06-10-2018, 20:20 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig heb ik een stickertje op mijn webcam geplakt!!

Wat voor een stickertje? Camerabewaking?

Ja tape voor mijn webcam van mijn laptop
07-10-2018, 19:44 door Anoniem
Ik zag in de film Snowden (landverrader) dat hij een magic blanket had, dat trok hij over zijn hoofd om zijn paswoord in te voeren. Sindsdien doe ik de in de afpersmail genoemde handelingen ook alleen onder een magic blanket.
08-10-2018, 10:28 door Anoniem
Je kunt er dus gewoon niet op vertrouwen dat een e-mail daadwerkelijk door de kennelijke afzender is verzonden!

Hangt nogal van de context af. Veel echte mails zijn per direkt te herkennen, gewoon op basis van inhoud, context en logica. Nepmails net zo. Al moet je bij echt goed opgestelde nepmails in de header gaan kijken naar originating IP en dergelijke.
08-10-2018, 11:02 door Anoniem
Ik kreeg ooit ook zo'n mailtje... Om aan de inhoud te voldoen moet je dus pornosites bezoeken, een camera hebben en jezelf voor die camera bevredigen. Ik kon het mailtje veilig weggooien. Wat mij wel bezighield was dat het mailtje door of via mijn eigen mailadres leek te zijn verstuurd. Dit artikel geeft gelukkig iets meer geruststellende informatie.

Overigens kon mijn provider/host destijds geen antwoord geven op de vraag hoe het nou kon dat er een mail namens mijzelf zou zijn verstuurd. Het advies was om mijn wachtwoord(en) te wijzigen omdat het vermoeden bestond dat mijn account gehackt zou kunnen zijn. Dat was dus niet het geval.
08-10-2018, 12:06 door Anoniem
Ik kijk alleen kattenporno verkleed in mijn batman pak, via een usb stick waar een niet installeerbare Linux versie op staat en met behulp van het Tor netwerk.

Succes met een 'herkenbare' video online zetten voor blackmailing! :D
08-10-2018, 12:40 door Briolet
Door Anoniem: Overigens kon mijn provider/host destijds geen antwoord geven op de vraag hoe het nou kon dat er een mail namens mijzelf zou zijn verstuurd. …

Dan zou ik van provider wisselen. Volgens mij is algemeen bekend dat je zelf meestal elke afzender kunt invullen bij het versturen van mail. Dat behoort een provider te weten.

In mailservers kun je wel een beveiliging inbouwen die dat tegen gaat, maar een crimineel gebruikt dan gewoon een andere mailserver. In mijn mailserver kan ik dat ook instellen, maar ik kan dan direct niet meer mijn alias adressen gebruiken bij versturen.

Of was ook het afzend IP in de header van jouw en niet alleen de naam?
08-10-2018, 12:58 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig heb ik een stickertje op mijn webcam geplakt!!

Wat voor een stickertje? Camerabewaking?

Verboden te gluren:)
14-10-2018, 15:46 door Bitwiper
Gisteravond heb ik er eindelijk ook zelf een ontvangen ;-)

Hello <mail-alias-verwijderd>@

My nickname in darknet is fidelio21.
I'll begin by saying that I hacked this mailbox (please look on 'from' in your header) more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $500 is quite a fair price to destroy the dirt I created.

Send the above amount on my bitcoin wallet: 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 48 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

Headers:
Return-Path: <<mail-alias-removed>@xs4all.nl>
Delivered-To: <mailbox-identifier-removed>
Received: from imapdirector1.xs4all.net ([194.109.24.72])
    by userimap10.xs4all.net with LMTP id IEqNNbcKwlvtdwAA/xKYEg
    for <<mailbox-identifier-removed>>; Sat, 13 Oct 2018 17:09:43 +0200
Received: from mxdrop301.xs4all.net ([194.109.24.72])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
    by imapdirector1.xs4all.net with LMTP id UEMHM7cKwlt1TwAAaB62xw
    ; Sat, 13 Oct 2018 17:09:43 +0200
Received: from [103.66.79.80] ([103.66.79.80]) by mxdrop301.xs4all.net
    (8.14.9/8.14.9/Debian-xs4all~5) with ESMTP id w9DF9e5u022531
    for <<mail-alias-removed>@xs4all.nl>; Sat, 13 Oct 2018 17:09:43 +0200
From: <<mail-alias-removed>@xs4all.nl>
To: <<mail-alias-removed>@xs4all.nl>
Subject: <mail-alias-removed>@xs4all.nl was hacked
Date: 14 Oct 2018 00:30:35 +0400
Message-ID: <002401d46334$01eb6220$85c6709d$@xs4all.nl>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="cp-850"
Content-Transfer-Encoding: 8bit
X-Mailer: Microsoft Office Outlook 11
Thread-Index: Acdf21y67xblt9mbdf21y67xblt9mb==
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17514
X-CNFS-Analysis: <onleesbare-codes-verwijderd>
Envelope-To: <mail-alias-removed>@xs4all.nl

Als XS4All SPF volledig zou ondersteunen, had ik deze mail nooit gekregen. Want SPF hoort niet toe te laten dat iemand vanaf 103.66.79.80 (een IP-adres in India), een niet-XS4All IP-adres, als envelope from (AKA return-path) mijn mail adres invult. XS4all is echter duidelijk geen fan van SPF (let op de canonical name):
C:\>nslookup
Default Server: fritz.box
Address: 192.168.178.1

> set type=txt
> spf.xs4all.nl
Server: fritz.box
Address: 192.168.178.1

Non-authoritative answer:
spf.xs4all.nl canonical name = spf-considered-harmful.xs4all.nl
spf-considered-harmful.xs4all.nl text =

    "v=spf1 ip4:194.109.24.0/24 ip6:2001:888:0:108::/64 ip6:2001:888:0:125::/64 ?all"
>

En ondersteunt DMARC al helemaal niet:
> _dmarc.xs4all.nl
Server: fritz.box
Address: 192.168.178.1

xs4all.nl
    primary name server = ns.xs4all.nl
    responsible mail addr = hostmaster.xs4all.nl
    serial = 2018101400
    refresh = 28800 (8 hours)
    retry = 1800 (30 mins)
    expire = 604800 (7 days)
    default TTL = 86400 (1 day)
>

Uit https://www.abuseat.org/lookup.cgi voor 103.66.79.80:
Results of Lookup

103.66.79.80 is listed

This IP address was detected and listed 311 times in the past 28 days, and 129 times in the past 24 hours. The most recent detection was at Sun Oct 14 13:05:00 2018 UTC +/- 5 minutes

This IP is infected (or NATting for a computer that is infected) with a spam-sending botnet, most likely Gamut. In other words, it's participating in a botnet.

Much more detailed technical information can be obtained from Trustwave Gamut analysis (https://www.trustwave.com/Resources/SpiderLabs-Blog/Gamut-Spambot-Analysis/).

Gamut is mostly used in sending out "help wanted" or "get rich quick" emails.

Ik heb niet gekeken (heb er ook geen verstand van) wat de laatste "winst" is op het in de mail genoemde bitcoin adres.
14-10-2018, 16:09 door Anoniem
Door Anoniem: Ik zag in de film Snowden (landverrader) dat hij een magic blanket had, dat trok hij over zijn hoofd om zijn paswoord in te voeren. Sindsdien doe ik de in de afpersmail genoemde handelingen ook alleen onder een magic blanket.

Jij kan hem een landverrader vinden, maar hij was een gewetens persoon en vond dat bepaalde zaken en hoe ver inlichtingendiensten gaan in de privacy van andere overheden en burgers abnormaal.
Dit is iemand met een verantwoordelijksheid gevoel betreft het hacken van mensen en dit soort mensen heb je nodig om de rechten van de mens te beschermen want hij onderbouwde zelfs op basis van de rechten van de burgers van Amerika waarom hacks niet zou mogen plaats vinden.
Dus hij kwam eerder op voor de burgers van Amerika.
15-10-2018, 09:59 door Briolet - Bijgewerkt: 15-10-2018, 10:07
Door Bitwiper: Als XS4All SPF volledig zou ondersteunen, had ik deze mail nooit gekregen. Want SPF hoort niet toe te laten dat iemand vanaf 103.66.79.80 (een IP-adres in India), een niet-XS4All IP-adres, als envelope from (AKA return-path) mijn mail adres invult.

Ik heb eerder de indruk dat XS4ALL hun SPF record verkeerd heeft omdat zij een include met "?all" gebruiken. Dat is geen fail maar een neutral. En een neutral resultaat is een 'accept' en stopt verdere evaluatie.
(zie "http://www.openspf.org/SPF_Record_Syntax).

Ik zie bij een include eigenlijk altijd een afsluiting met "-all". Als een include een fail geeft, dan gaat de evaluatie verder en telt de fail uit de include niet mee.

Maar helemaal zeker ben ik hier ook weer niet omdat ik de syntax pagina van OpenSPF ook niet eenduidig vind.
15-10-2018, 10:04 door Anoniem
Door Anoniem:
Door Anoniem: Ik zag in de film Snowden (landverrader) dat hij een magic blanket had, dat trok hij over zijn hoofd om zijn paswoord in te voeren. Sindsdien doe ik de in de afpersmail genoemde handelingen ook alleen onder een magic blanket.

Jij kan hem een landverrader vinden, maar hij was een gewetens persoon en vond dat bepaalde zaken en hoe ver inlichtingendiensten gaan in de privacy van andere overheden en burgers abnormaal.
Dit is iemand met een verantwoordelijksheid gevoel betreft het hacken van mensen en dit soort mensen heb je nodig om de rechten van de mens te beschermen want hij onderbouwde zelfs op basis van de rechten van de burgers van Amerika waarom hacks niet zou mogen plaats vinden.
Dus hij kwam eerder op voor de burgers van Amerika.

Snowden was gewoon een held! Dat de NSA hem als een landverrader neerzet is niet te begrijpen, want zij hackten alles wat los en vast zat en snowden vond terecht dat dit een schending van de mensen rechten was
15-10-2018, 13:17 door Anoniem
Ik heb geen webcam dus dit soort chantage mails gaan bij mij rechtstreeks de prullebak in.
15-10-2018, 13:47 door Anoniem
Door Briolet:
Door Bitwiper: Als XS4All SPF volledig zou ondersteunen, had ik deze mail nooit gekregen. Want SPF hoort niet toe te laten dat iemand vanaf 103.66.79.80 (een IP-adres in India), een niet-XS4All IP-adres, als envelope from (AKA return-path) mijn mail adres invult.

Ik heb eerder de indruk dat XS4ALL hun SPF record verkeerd heeft omdat zij een include met "?all" gebruiken. Dat is geen fail maar een neutral. En een neutral resultaat is een 'accept' en stopt verdere evaluatie.
(zie "http://www.openspf.org/SPF_Record_Syntax).

Ik zie bij een include eigenlijk altijd een afsluiting met "-all". Als een include een fail geeft, dan gaat de evaluatie verder en telt de fail uit de include niet mee.

Maar helemaal zeker ben ik hier ook weer niet omdat ik de syntax pagina van OpenSPF ook niet eenduidig vind.

De afsluiting met ?all in de include is niet eens relevant, aangezien het record van waaruit geinclude wordt een ~all heeft (softfail) die laatste overruled de geinclude nl. ;-) (zie de rfc er maar op na )

Wat wel relevant is is dat xs4all geen DKIM, DMARC en DANE ondersteunen of geimplementeerd hebben.
15-10-2018, 14:49 door Anoniem
Door Anoniem: Gelukkig heb ik een stickertje op mijn webcam geplakt!!

dat helpt niet, want de email is helemaal niet gebasseerd op het hebben van bestaand materiaal.
15-10-2018, 14:53 door Anoniem
Door Anoniem: Het is geschreven door een tiener of een laag opgeleide persoon, de Nederlandse taal niet meester.

Een storing hier dus ik kan niet opzoeken hoeveel BTC dat adres al heeft buitgemaakt.

Net als jij?? ;))
15-10-2018, 14:58 door Anoniem
Door Anoniem: j een magic blanket had

Hoeft niet perse een "magic blanket" te zijn. Kan gewoon een doek zijn die het onmogelijk maakt voor camera's het toesenbord te filmen (en misschien het geluid dempt van de toetsaanslagen).

Maar natuurlijk wel zorgen er geen gat in je doek zit.
15-10-2018, 15:01 door Anoniem
Door Anoniem:
Overigens kon mijn provider/host destijds geen antwoord geven op de vraag hoe het nou kon dat er een mail namens mijzelf zou zijn verstuurd. Het advies was om mijn wachtwoord(en) te wijzigen omdat het vermoeden bestond dat mijn account gehackt zou kunnen zijn. Dat was dus niet het geval.

Mijn advies, van provider/host wijzigen, als die zoiets simpels niet snappen.
15-10-2018, 18:29 door Briolet - Bijgewerkt: 15-10-2018, 18:30
Door Anoniem:De afsluiting met ?all in de include is niet eens relevant, aangezien het record van waaruit geinclude wordt een ~all heeft (softfail) die laatste overruled de geinclude nl. ;-) (zie de rfc er maar op na )

Wat wel relevant is is dat xs4all geen DKIM, DMARC en DANE ondersteunen of geimplementeerd hebben.

Ik zie het nu ook in de RFC 4408 staan. Instellen van fail of neutral maakt dus bij een include niets uit. Ik vroeg me dit al een tijdje af. Nu is het me duidelijk.

DKIM had niets uitgemaakt omdat de mail geen DKIM ondertekening bevat. Dan kan xs4all hem ook niet afwijzen op grond van een foutieve ondertekening. Maar waarom heeft xs4all wel een DMARC ingesteld voor "xs4all.net" en niet voor "xs4all.nl" ? Dat laatste is toch juist hun reguliere adres voor mail?

Hun DMARC op "xs4all.net" is ingesteld om niets te blokkeren, alleen voor het rapporteren naar de provider. Met die instelling was deze mail ook gewoon nog doorgelaten.
15-10-2018, 21:49 door Anoniem
In de mail claimen cybercriminelen dat zij webcambeelden van je hebben terwijl je masturbeert en naar porno kijkt.

Kerels zetten of streamen massaal eigen verrichtingen op het web.
Plaatjes van deze zogenaamde eigenrichting zijn dus ruim en vrij verkrijgbaar.
Je hoeft er alleen nog even de juiste persoon bij te zoeken.
En aangezien het bloed even niet in de hersentjes zit zal het privacybesef bij velen voldoende afwezig zijn om daarin ook te slagen.
Zou het kunnen dat er overlap zit tussen deze slachtoffers en uploadende vrijetijds aanhangers van big data?

Kansloos dat nemen van technische maatregelen adviseren.
16-10-2018, 14:48 door Anoniem
Door Briolet:
Door Anoniem:De afsluiting met ?all in de include is niet eens relevant, aangezien het record van waaruit geinclude wordt een ~all heeft (softfail) die laatste overruled de geinclude nl. ;-) (zie de rfc er maar op na )

Wat wel relevant is is dat xs4all geen DKIM, DMARC en DANE ondersteunen of geimplementeerd hebben.

DKIM had niets uitgemaakt omdat de mail geen DKIM ondertekening bevat. Dan kan xs4all hem ook niet afwijzen op grond van een foutieve ondertekening. Maar waarom heeft xs4all wel een DMARC ingesteld voor "xs4all.net" en niet voor "xs4all.nl" ? Dat laatste is toch juist hun reguliere adres voor mail?

Hun DMARC op "xs4all.net" is ingesteld om niets te blokkeren, alleen voor het rapporteren naar de provider. Met die instelling was deze mail ook gewoon nog doorgelaten.
xs4all.nl is het klanten domein, xs4all.net niet ;-)
Klanten zijn blijkbaar niet belangrijk meer voor xs4all en email hoeft niet veilig te zijn.
En dat terwijl xs4all juist zo veel deed voor zijn klanten mbt beveiliging, ik zie er de laatste jaren steeds minder van.
16-10-2018, 15:57 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem:De afsluiting met ?all in de include is niet eens relevant, aangezien het record van waaruit geinclude wordt een ~all heeft (softfail) die laatste overruled de geinclude nl. ;-) (zie de rfc er maar op na )

Wat wel relevant is is dat xs4all geen DKIM, DMARC en DANE ondersteunen of geimplementeerd hebben.

DKIM had niets uitgemaakt omdat de mail geen DKIM ondertekening bevat. Dan kan xs4all hem ook niet afwijzen op grond van een foutieve ondertekening. Maar waarom heeft xs4all wel een DMARC ingesteld voor "xs4all.net" en niet voor "xs4all.nl" ? Dat laatste is toch juist hun reguliere adres voor mail?

Hun DMARC op "xs4all.net" is ingesteld om niets te blokkeren, alleen voor het rapporteren naar de provider. Met die instelling was deze mail ook gewoon nog doorgelaten.
xs4all.nl is het klanten domein, xs4all.net niet ;-)
Klanten zijn blijkbaar niet belangrijk meer voor xs4all en email hoeft niet veilig te zijn.
En dat terwijl xs4all juist zo veel deed voor zijn klanten mbt beveiliging, ik zie er de laatste jaren steeds minder van.

Kwaliteit is nooit leidinggevend
https://en.wikipedia.org/wiki/Videotape_format_war

De eerste 5 jaar xs en het puinruimen
1998
https://www.vn.nl/de-eerste-vijf-jaar-van-xs4all-van-freakende-hackers-tot-onderneming/
En toen de rook was opgetrokken stond daar een echte onderneming die slim gebruik maakte van het imago en de beeldvorming, want dat is wat werkelijk telt tegenwoordig, niet wat je werkelijk doet (of juist niet doet).

Bekijk xs4all eens met de ogen van Teun van der keuken (keuringsdienst van waarde) en je zal zien dat als je het etiket heel goed leest, jouw privacy niet veel beter is gewaarborgd dat bij anderen (anderen verzamelen privacydata zelf, xs4all koopt gegevens over jou in van een ander).
Kijk goed naar de al jaren dalende cijfers rondom prestaties waarvan er voldoende variabelen zijn om er altijd wel 1 uit te kunnen pikken en mee te prijken als 'best getest'.
En je snapt dat moderne bedrijfsvoering is gebaseerd op beleving en niet op basis van daadwerkelijk de beste zijn en daadwerkelijk staan voor wat je doet.

De beste heeft niet het grootste bereik.
De beste gaat niet zelden ten onder omdat ze verliest van de slimste die niet perse doet wat ze zegt.
Beleving is genoeg, niet of het waar is.
En niet de klanten tellen uiteindelijk maar de omzet.

xs4all is een marketinglabel, geel van buiten maar heeft van binnen alle commerciele kleuren van de regenboog qua bedrijfsvoering, van kpn tot telfort tot ziggo enz., loopt er allemaal rond aan ingevlogen expertise.
Een bedrijf als alle anderen waarbij vooral extra betaald wordt voor de beleving, een soort van Marqt onder de providers.
Lekker geld uitgeven voor een goed gevoel.
17-10-2018, 02:53 door Bitwiper - Bijgewerkt: 17-10-2018, 02:58
Door Anoniem: Klanten zijn blijkbaar niet belangrijk meer voor xs4all en email hoeft niet veilig te zijn.
Standaard e-mail is per definitie onveilig. Zelfs als digitaal ondertekende mail betrouwbaar zou werken, zou je afzenders en de door hen gebruikte computers volledig moeten kunnen vertrouwen.

Anyway, stel dat xs4all SPF en DMARC wel 100% voor elkaar zou hebben (met alle mogelijke klant IP-adresreeksen als criterium voor SPF), dan zouden legitieme mails met als afzender "een_willekeurige_klant@xs4all.nl" vanaf een IP-adres buiten die IP-adres reeksen worden geblokkeerd (door mailservers die de SPF en DMARC policies van xs4all zouden respecteren).. Dat levert gegarandeerd probemen op, o.a. bij forwarding.

Uitleg: Pietje Puk is onlangs gepromoveerd en werkt nu bij example.com. Omdat zijn universiteits e-mail adres op wetenschappelijke publicaties van zijn hand staat, laat hij alle mail naar zijn oude universiteitsaccount nog een paar jaar doorsturen naar zijn nieuwe e-mail adres. Stel "een_willekeurige_klant@xs4all.nl" stuurt een mail naar "pietjepuk@eenuniversiteit.edu", dan zal de mailserver van die universiteit de mail (met nog steeds als afzender "een_willekeurige_klant@xs4all.nl") doorsturen naar de mailserver van example.com. Omdat de universiteits-mailserver geen xs4all IP-adres heeft, zal example.com die mail weigeren vanwege de SPF policy van xs4all. Hetzelfde geldt voor maillijsten (zoals o.a te vinden op http://seclists.org/).

Al tijdens de introductie van SPF werd voor dit probleem gewaarschuwd, en is een truc genaamd SRS (zie https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme) ontwikkeld. Daarbij wordt "envelope-from" vervangen door een soort tijdelijk e-mail adres op de doorsturende mailserver. Dat "tijdelijke adres" is nodig om ervoor te zorgen dat, als de mail niet op de eindbestemming kan worden afgeleverd, er een NDR mail (Non Delivery Report) teruggaat naar de oorspronkelijke afzender. Probleem opgelost zul je zeggen! Niet dus, om twee redenen.

1) Beheerders van mailservers houden niet van tijdelijke accounts. Die kosten schijfruimte en kunnen tot DoS problemen leiden. Om die, maar soms ook om principiële redenen, implementeert niet elke beheerder SRS op hun mailservers met forwardende gebruikers. Vermoedelijk daarom stelt xs4all "SPF considered harmful".

2) DMARC gecombineerd met SPF maakt forwarding onmogelijk, ook al implementeert de doorsturende mailserver SRS. De reden daarvoor is dat DMARC checkt op het message-from afzender e-mail adres, en dat wordt niet "gerewrite" door de klassieke SRS. En zou je iets maken dat dit wel doet (From: "on behalf of een_willekeurige_klant@xs4all.nl" <random-bla-bla@eenuniversiteit.edu>), dan gaan spammers natuurlijk ook zulke mails verzenden.

Maillists, forwarding en waarschijnlijk ook andere legitieme en voorheen werkende scenario's gaan stuk als je SPF en DMARC goed implementeert. Dat gaat dus nooit iedereen doen, en daarom blijft het dweilen met de kraan open.

Daar komt bij dat er maar 1 device van 1 klant in 1 van de SPF IP-reeksen van xs4all "gezombieficeerd" hoeft te zijn om mails met "afzender jijzelf bij xs4all" niet te kunnen blokkeren.

Ik begrijp de gemaakte keuzes door xs4all dan ook heel goed.
17-10-2018, 10:31 door Briolet
Door Bitwiper: …Stel "een_willekeurige_klant@xs4all.nl" stuurt een mail naar "pietjepuk@eenuniversiteit.edu", dan zal de mailserver van die universiteit de mail (met nog steeds als afzender "een_willekeurige_klant@xs4all.nl") doorsturen naar de mailserver van example.com. Omdat de universiteits-mailserver geen xs4all IP-adres heeft, zal example.com die mail weigeren vanwege de SPF policy van xs4all.…

…2) DMARC gecombineerd met SPF maakt forwarding onmogelijk, …

Het ligt toch niet zo erg. Op zich werkt forwarding in combinatie met DMARC als men ook DKIM gebruikt. Voor DMARC hoeft maar één van beide (SPF of DKIM) te kloppen. De andre mag een 'fail' geven. Bij geforwarde mail, blijft de DKIM ondertekening intact. Het gaat pas mis als de mail bij forwarden ook nog veranderd wordt.

Als ik een mailing de deur uit doe, dan kijk ik vaak wat uitgebreider in de DMARC rapports die ik krijg. Bij een kwart van de mail klopt de SPF niet. (Dat zijn allen mensen die de mail forwarden naar een adres die DMARC checkt). Een fail bij DKIM heb ik nog maar 1x gezien.
17-10-2018, 16:14 door Anoniem
@Bitwiper

Hier moeten providers dus prioriteit aan geven, het is allemaal zoeken naar excuses om iets niet te doen.

Office 365 "Forward to" postvak regels werken wel i.c.m. SPF/DMARC. Ja ze kunnen SRS toepassen, maar ze kunnen de mail ook simpelweg forwarden na binnenkomst in de inbox(dus forward uit naam van het Office 365 account).

Is geen extra mailbox of account voor nodig.
18-10-2018, 17:13 door Anoniem
Door Anoniem: Gelukkig heb ik een stickertje op mijn webcam geplakt!!

Je klinkt als Dominic S. Kahn op vakantie in Ceuta in Rome ;-)
18-10-2018, 21:12 door Anoniem
Als je door jezelf wordt afgeperst wordt daar natuurlijk niemand financieel wijzer van. Of er nu betaald wordt of niet.
19-10-2018, 18:38 door Anoniem
NSA heeft alle vieze plaatjes van iedereen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.