VERRADERLIJKE VOLGSPOT OP E-MAIL
Neulevel, bekend van de registratie van .biz-domeinen, heeft de PostMinder ontwikkeld, een webdienst waarmee u precies kunt zien hoe laat uw verstuurde e-mail door wie is gelezen. Ideaal om na te gaan welke werknemer dat ene vertrouwelijke document naar de pers heeft gelekt, bijvoorbeeld.
PostMinder is in twee smaken verkrijgbaar: de betaalde versie kost 49 dollar per jaar, maar geïnteresseerde gebruikers kunnen ook een gratis variant proberen.
Hoe werkt deze dienst in de praktijk?
Een e-mail die via PostMinder is verstuurd, is gemakkelijk te herkennen aan de volgende button:
Zodra u erop klikt, gaat een bevestiging naar de ontvanger:
The message you sent on (datum en tijdstip) regarding (onderwerp) has been displayed by (ontvanger).
Maar ook als u er niet op klikt, weet de ontvanger dat u zijn bericht heeft gelezen. In dat geval krijgt die een Read Notification met o.a. de volgende gegevens over de ontvanger:
- hoe laat het bericht is gelezen,
- de Windows-versie van de ontvanger,
- een deel van het IP-adres, bijvoorbeeld xxxxxxxxxxxxx.adsl.xs4all.nl,
- op welk e-mailadres het bericht is gelezen.
Als de ontvanger het bericht weer doorstuurt naar anderen, is het afgelegde tracé precies te reconstrueren. Zo ziet u dus precies of een van de ontvangers uw vertrouwelijke document naar collega's of naar de pers heeft gelekt. Dit alles gebeurt zelfs als de betreffende gebruikers Return receipts of vergelijkbare opties in hun e-mailprogramma's hebben uitgeschakeld.
PostMinder kent nog veel meer controversiële kunstjes. Zo is gemakkelijk na te gaan op welke links de ontvanger in het bericht heeft geklikt. Het is zelfs mogelijk om een bericht weer in te trekken nadat het is verstuurd. De ontvanger kan het bericht dan niet meer opnieuw bekijken.
Inlichtingendiensten
Dat PostMinder slecht is voor de privacy van de geadresseerde, zal duidelijk zijn. Maar ook de verzender moet oppassen. Wie via PostMinder een e-mail naar bijvoorbeeld redactie@netkwesties.nl wil sturen, moet daarvoor het adres redactie@netkwesties.nl.postminder.biz opgeven. Hieruit valt op te maken dat alle e-mails via de server postminder.biz lopen. Deze server staat in de Verenigde Staten.
Neulevel krijgt dus in principe alle vertrouwelijke e-mails onder ogen. Wordt daar iets van bewaard? Op het moment dat deze Netkwesties verschijnt, heeft Neulevel (nog) niet gereageerd op onze vragen, die wij natuurlijk via PostMinder hadden ingediend. Het privacybeleid van PostMinder verzekert wel dat Neulevel geen gegevens aan andere partijen verkoopt.
Even verder staat echter dat PostMinder alle IP-adressen en sessiegegevens logt. De gelogde gegevens worden alleen onder bijzondere omstandigheden doorgegeven, zoals: to comply with legal process. Deze formulering doet vermoeden dat als de FBI bij Neulevel zou aankloppen om gegevens over een verdachte te verkrijgen, Neulevel dat verzoek zonder morren zal inwilligen.
Wat is het uiteindelijke gevolg? Neulevel prijst PostMinder aan als een beveiligingsmaatregel voor bedrijven om er zeker van te zijn dat e-mails altijd aankomen en gelezen worden. Dat is op zich een legitieme doelstelling.
Maar juist door het gebruik van PostMinder blijft het e-mailverkeer tussen werknemers niet binnen het lokale netwerk, maar wordt minstens een deel ervan omgeleid via een Amerikaanse server. Uit beveiligingsoogpunt is dat op zich al dubieus, maar bovendien komen bedrijfsgevoelige gegevens zo ook nog eens binnen handbereik van Amerikaanse inlichtingendiensten.
HTML-mail
Een deelnemer van de discussielijst Politech wist te achterhalen hoe PostMinder precies werkt. Het venijn blijkt vooral in bovenstaande bevestigingsknop te zitten. Met speciale HTML-codes wordt de knop zichtbaar gemaakt, maar tegelijkertijd worden gegevens over de ontvanger teruggestuurd naar de centrale server.
Deze truc is al jaren bekend in de internetwereld en wordt alom gezien als een van de grote risico's van HTML-mail. Wat Neulevel dus in feite doet is een bekend beveiligingsprobleem van HTML-mail commercieel exploiteren.
Declan McCullagh, redacteur van Wired en beheerder van Politech, reageerde op zijn lijst met afschuw: 'From now on, I'm only going to use /usr/bin/Mail or maybe tail -100 from the mail spool...'. Voor wie Unix niet kent: deze commando's lezen e-mail direct vanaf de harde schijf, zonder tussenkomst van een e-mailprogramma.
Gelukkig is er een minder drastische manier om de PostMinder-voyeur buiten de deur te houden: zet de instellingen van uw e-mailprogramma op Text-only of No HTML allowed. Gebruikers van Eudora dienen de optie Use Microsoft's viewer weg te vinken.
Ook Neulevel beseft dat niet iedere ontvanger gediend is van PostMinder, zo valt op te maken uit het privacybeleid op de site. Uit punt 6 blijkt dat er wordt gewerkt aan een opt out-mogelijkheid.
[WZ, 30 mei 2002]
