Waarschuwing: uw gebruikersnaam wordt blootgesteld bij het verzenden van e-mails

Hier kan je alles kwijt over EDPnet
TomMe
Plus Member
Plus Member
Berichten: 208
Lid geworden op: 24 nov 2006, 14:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 10 keer

Bericht

Onlangs heb ik ontdekt dat de gebruikersnaam van mijn e-mail account bij Edpnet met elke verzonden e-mail wordt meegestuurd naar de ontvanger (door mezelf een e-mail te sturen). Dit betekent dat aliassen bij Edpnet weinig tot geen nut hebben. Bovendien is dit een security risico. Het betreft volgende regel in de header:
(Authenticated sender: [email protected])
Indien er mensen zijn die aliassen bij Edpnet gebruiken om hun online activiteiten wat te scheiden en wat privacy te behouden, doe geen moeite... Na melding over bovenstaande kreeg ik als antwoord dat dit gedaan wordt om spam te bevechten. Na de suggestie om in de plaats hiervan een public key toe te voegen die variëert met elke e-mail kreeg ik volgende respons:
Beste

Het ziet er helaas naar uit dat de werking van onze mailboxen voorlopig niet aansluit met uw wensen op vlak van werking en security. Dit is jammer genoeg niet iets dat we per direct zomaar kunnen aanpassen of veranderen. Indien u niet tevreden bent met deze werking, lijkt het beter zoals u zelf ook aangeeft dat u voorlpig best kijkt richting een andere mailprovider.

Onze excuses voor het ongemak.
Het ziet er dus naar uit dat Edpnet geen lap om uw privacy en security geeft, ondanks de recente hack. Bij deze heb ik mijn morele plicht gedaan om andere klanten hiervan op de hoogte te stellen.
Gebruikersavatar
Patje
Elite Poster
Elite Poster
Berichten: 3613
Lid geworden op: 03 sep 2003, 17:18
Locatie: (Ledegem)West vlaanderen
Uitgedeelde bedankjes: 228 keer
Bedankt: 95 keer

Bericht

Is al vele jaren dat ik geen mail adres meer gebruik van een provider, enkel nog Gmail en hotmail.
Dus deze die een Edpnet mail gebruiken wees gewaarschuwd.
Intel® i3-10100 Quad-Core @4,10 GHZ. Ram:16 GB DDR4. SSD NVMe 500 GB || Windows 11 Home X64 || GSM Samsung Galaxy A13 @ Hey!
Afbeelding Afbeelding
Hey! LiveBox Cable Modem 150/15 Mbps* https://www.speedtest.net/nl/result/16739853024.png
TomMe
Plus Member
Plus Member
Berichten: 208
Lid geworden op: 24 nov 2006, 14:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 10 keer

Bericht

Patje schreef: 5 maanden geledenIs al vele jaren dat ik geen mail adres meer gebruik van een provider, enkel nog Gmail en hotmail.
Met Google en Microsoft heb je helaas geen greintje privacy, elke mail wordt gelezen en gescand op elke mogelijke manier en voor elke mogelijke denkbare reden.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5524
Lid geworden op: 10 maa 2010, 11:30
Uitgedeelde bedankjes: 57 keer
Bedankt: 471 keer
Recent bedankt: 3 keer

Bericht

TomMe schreef: 5 maanden geleden Onlangs heb ik ontdekt dat de gebruikersnaam van mijn e-mail account bij Edpnet met elke verzonden e-mail wordt meegestuurd naar de ontvanger (door mezelf een e-mail te sturen). Dit betekent dat aliassen bij Edpnet weinig tot geen nut hebben. Bovendien is dit een security risico. Het betreft volgende regel in de header:
(Authenticated sender: [email protected])
dat is bij veel providers (en zeker gratis ones) het geval, ongeacht of je een alias gebruikt of niet.
en een deftige webhost doet hetzelfde via webmail & contactforms om de mails te tracen.
een alias is dan ook niet zozeer "voor privacy" maar gewoon voor gemak & scheiding van mails/spam (want die dingen gebruiken nu eenmaal gewoon de from/to velden en niet de authentication headers)

ik gebruikte vroeger wel de authenticated sender header om te checken of het bericht authentiek was of "vermoedelijk spam" (indien beide niet zouden matchen, was de kans veel groter dat het om spam ging)... maar dat is ook al lang achterhaald natuurlijk.

en wat betreft je suggestie van het te veranderen met public keys... ik denk dat er geen systeem bestaat dat dit (standaard) kan, het beste wat kan denk ik dat base64 encoden van die header inhoud is...
en anders moeten ze al speciale headers gaan toevoegen die een andere identifier van je toevoegen, maar dan moeten ze dus idd hun hele mailprogramma gaan herschrijven en dat zie ik ze niet doen voor gratis mailboxjes waar ze niks aan verdienen.
(ik vermoed dat het mailsysteem van edp niet gelinkt is aan het klantensysteem, en het dus gewoon het standaard "deze user logt in, deze user mag hiermee mailen" is... en dan gaat het al een hele klus worden om die user te linken aan een klantid)

by the way: is de received header meestal niet "erger", gezien je het over privacy hebt, en die header meestal ook het IP van de verzender (dus jouw internetverbinding) bevat en doorstuurt? (of is deze bij edp niet aanwezig?)

ditzelfde systeem is trouwens ook aanwezig binnen voip (PAI/RPID headers, o.a.) om klanten en oorsprongen aan te duiden, alleen is dit in principe naar het eindtoestel gestript
ITnetadmin
userbase crew
userbase crew
Berichten: 9268
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 191 keer
Bedankt: 638 keer
Recent bedankt: 9 keer

Bericht

Ik ben ook totaal geen fan van de authenticated user mee te sturen.

Je beste oplossing is met aparte mailboxen werken, eentje voor zenden en eentje voor ontvangen; of zelfs een apart domein.

Dan zend je met domain A, maar is je ontvangende mailbox op domein B, en uiteraard gebruik je aliassen daarop (eventueel van domein C).
TomMe
Plus Member
Plus Member
Berichten: 208
Lid geworden op: 24 nov 2006, 14:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 10 keer

Bericht

Bedankt voor de info Splitter. Bij Scarlet gebeurt dit niet voor zover ik kan zien. Wat andere mailproviders betreft weet ik het niet, ik zou het eens moeten nakijken. Het IP-adres van de gebruiker is via webmail bij Edpnet volgens mij niet zichtbaar. Bovendien gebruik ik ook een VPN.
ITnetadmin schreef: 5 maanden geleden Ik ben ook totaal geen fan van de authenticated user mee te sturen.

Je beste oplossing is met aparte mailboxen werken, eentje voor zenden en eentje voor ontvangen; of zelfs een apart domein.

Dan zend je met domain A, maar is je ontvangende mailbox op domein B, en uiteraard gebruik je aliassen daarop (eventueel van domein C).
Alles begint op den duur dan wel erg complex te worden.

Het is dan misschien zogezegd om spam tegen te gaan, maar als een spammer een beetje gaat graven kan deze het oorspronkelijke e-mailadres van een gebruiker achterhalen waardoor zelfs veranderen van alias niet werkt. Het enige dat je dan kunt doen is de gebruikersnaam veranderen.

Zoals het nu is zijn de aliassen bij Edpnet in elk geval enkel cosmetisch, en dan bieden ze er nog extra aan tegen betaling ook... Een zeer jammerlijke zaak, net zoals de rest van het moderne internet.
ITnetadmin
userbase crew
userbase crew
Berichten: 9268
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 191 keer
Bedankt: 638 keer
Recent bedankt: 9 keer

Bericht

Dat is ook mijn punt met de twee aparte domeinen, eentje voor zenden waarin je ook de aliassen kan zetten, en eentje voor de mailbox.
Dan wordt vanuit extern standpunt je mailbox afgeschermd (zolang je de headers wist alvorens je een reply of forward stuurt).
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6499
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 753 keer
Bedankt: 485 keer
Recent bedankt: 9 keer

Bericht

Of je gebruikt gewoon een service die geen idiote headers gaat meesturen.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
ITnetadmin
userbase crew
userbase crew
Berichten: 9268
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 191 keer
Bedankt: 638 keer
Recent bedankt: 9 keer

Bericht

Dat kan je ook doen, uiteraard.
Maar zelfs mijn niet-gratis mailhost provider die vanop mijn domeinnaam verstuurt, stuurt deze header tegenwoordig, en eentje vinden die dat niet doet zal niet eenvoudig zijn want dat soort "features" staat zelden in de tech specs :-)
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6499
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 753 keer
Bedankt: 485 keer
Recent bedankt: 9 keer

Bericht

Was echt het eerste wat ik er van hoorde, zo'n "authenticated" header. Net nog eens getest bij mijn mail hoster, die doet dat niet ;) Maar OT.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
ITnetadmin
userbase crew
userbase crew
Berichten: 9268
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 191 keer
Bedankt: 638 keer
Recent bedankt: 9 keer

Bericht

Ik heb de mijne ook direct getest toen ik ervan hoorde, en daar zat het wel bij.
Serieus minpunt, aangezien mijn mailbox speciaal op een ander domein zat dan al mijn aliassen.