Ja leuk idee. Totdat de database met anti-phishing codes uitlekt natuurlijk. Gelukkig houdt iedereen de naam van z'n huisdier of favoriete gerecht goed geheim!

Ik zie twee problemen:
1) schaalbaarheid: je moet met iedere partij (PostNL, maar ook bv. je bank) een code afstemmen: is niet praktisch, want hoe weet je nu welke code bij welk bedrijf hoort? Uit je hoofd leren? Als je het op je telefoon of laptop hebt staan, kan een hacker er weer achter komen (en hebben we een password manager nodig)erachter komen. En als je steeds dezelfde code gebruikt, tja, welke zekerheid heb je dan?
2) als zo'n bedrijf gehacked wordt, worden dat soort codes ook verhandeld. Dan krijg je phishing mailtjes met de juiste code, die toch fout zijn...

Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056

Precies! Je kunt idd beter een fatsoenlijke provider nemen. Eigenlijk zouden die providers gewoon gedwongen moeten worden om de juiste standaarden te implementeren en geen e-mail te accepteren van ongeauthenticeerde MTA's. Als dan ook nog de backbone providers de juiste filtering youden implementeren (moet wel gezamelijk) dan wordt dit verkeer al bij de bron gestopt.
Technische mogelijkheden genoeg maar we volgen ze helaas niet (idem in mobiele netwerken waar we ook berichten van foute sms-c systemen blijven accepteren).

Is zeker niet nieuw bij PostNL, want de anti-phising code is al een tijdje actief.
Ook bij de accounts van de Fritzbox (AVM) is overigens een anti-phishing code in te stellen.

Het is ook nooit goed volgens sommige hier,maar zie het gewoon als een extra barrière i.p.v.zonder deze methode inloggen.

Beter is het om de code even te checken bij HIBP.
https://haveibeenpwned.com/Passwords

Kwam er achter dat mijn anti-phishing code in de database van Have I been Pwned werd gevonden.
Misschien toch even een code kiezen die de hackerswereld nog niet kent...

Dit probleem voor e-mail was al in de jaren negentig opgelost door ene Phil Zimmermann in de vorm van PGP. En in alle eerlijkheid, zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.

Ik denk niet dat oudere mensen dit leuk gaan vinden, dan word het nóg ingewikkelder voor ze, maar aan de andere kant is het wel een stuk veiliger.

Het gaat al fout bij 'postNL account'. Waarom zou ik in vredesnaam een account hebben bij een bedrijf wat pakketjes en brieven berzorgt??

Precies dat. Alleen is het zo jammer dat sommige bedrijven je mail adres doorgeven aan dat derderangs postnl.

Zimmermann gebruikt zelf geen pgp meer ivm omslachtig.

Leuk die technische mogelijkheden die alleen maar beschermen tegen domeinvervalsing. Dus ik maak een domein aan postnI-mail.nl, Daarop implementeer ik de juiste standaarden waardoor mijn mails worden geaccepteerd door de providers en voila: een mooie phishing campagne. Of ik hoef niet eens dat domein te gebruiken. pietjeiscool.nl is ook prima, als m'n FROM: maar zo is opgemaakt: PostNL <postnl@pietjeiscool.nl>. Dat deel van de ontvangers die een mailclient gebruikt waarbij het e-mail adres standaard niet wordt weergegeven heeft het niet in de gaten, en dat is je doelgroep ook. De domme gebruiker, die overigens ook niet zo'n phishingcode gaat instellen.

Hoe meer wij het phishers moeilijk maken, hoe meer de phisher z'n best doet om het allemaal echt te laten lijken. Met ChatGPT verleidelijke teksten genereren in foutloos nederlands. En gebruik maken van https://obfuscator.uo1.net/ om teksten ongezien de filters te laten passeren.

Het verschil tussen nep en echt is soms niet te onderscheiden, en als we argeloze gebruikers beschermen tegen 99% van de phishingmails, dan komt er een moment dat er wel een phishingmail doorkomt. Dan is de argeloze gebruiker niet getraind om de phishingmail te herkennen en klikt op de link in het mailtje.

Die public key staat al lang op PostNL.nl. Maar in dit geval gebruikt voor het signeren via de dkim handtekening. Ik kijk altijd naar die ondertekening van belangrijke mail. Jammer dat dit niet publieksvriendelijker gemaakt wordt door mailcliënten.

Bij GMail in de webversie was dit een tijdje te zien via een pulldown menu bij de afzender. Maar blijkbaar begrepen mensen dit niet en heeft google besloten dit weer weg te halen i.p.v. te investeren in betere voorlichting hierover.

Waarom dit houtje-touwtje systeem? SPF + DKIM + DMARC en een reject policy helpen toch veel beter, zonder dat de gebruiker door hoepeltjes moet springen?

Het feit dat een DKIM handtekening klopt, zegt alleen iets over de authenticiteit van de afzender. Daarbij moet je dus ook de afzender zelf controleren. Als mailclients een groen vinkje zetten als mailtje een goede handtekening heeft, kan een verkeerd gevoel van veiligheid geven. Want een groene vinkje op zich nog steeds niet of iets phishing is, of echt. Dat zou je dan wel moeten koppelen aan bekende veilige domeinen.

Het is natuurlijk helemaal prima dat ze iets proberen maar dit is alles behalve waterdicht. Veel mensen gooien ook alles gewoon op sociale media waardoor dit soort codes relatief eenvoudig goed te gokken valt.

Je moet dus ook niets gebruiken waar je nu over praat. Een prima alternatief voor de naam van je huisdier is je eerste woonadres. Daar heeft niemand het over. Dus straatnaam en huisnummer waar je als baby woonde. En mocht dat echt nog hetzelfde zijn als waar je nu woont: gebruik de naam van je kleuterjuf of iets dergelijks.