Skip to main content

Ik krijg bij het versturen aan verschillende andere e-mailproviders vanuit mijn KPN e-mail steeds vaker een foutmelding.

Mijn mail vanuit KPN wordt dan niet geaccepteerd door de andere provider. Dit komt omdat KPN bij de overdracht van de e-mail alleen oude onveilige transportprotocollen ondersteunt, maar nog steeds geen actuele veilige TLS 1.2 verbinding ondersteunt.

Dit is bijvoorbeeld een foutmelding die ik ontvang, waarbij duidelijk is dat KPN geen veilige TLS 1.2 gebruikt, maar waarschijnlijk alleen oudere en onveilige TLS 1.0 (of TLS 1.1) verbindingen:

Diagnostic-Code: smtp;523 5.7.1 Up-to-date encryption needed as requested by recipient, try TLS 1.2 or above with STARTTLS or DANE for transport”

Ik ben niet de enige. Zie ook:

Wanneer wordt dit eindelijk opgelost door KPN, zodat ik weer kan mailen met alle andere e-mailprovider? KPN vindt de security van de e-mail van haar klanten toch ook belangrijk?

Kan deze melding bevestigen. Kan ook geen mail ontvangen. Zit bij Posteo*. Kennelijk hoort KPN bij het trieste klasje van 5% wereldwijd dat zijn beveiliging voor mail nog steeds niet op orde heeft:

* As the majority of senders nowadays support modern encryption (TLS 1.2 and 1.3) as a standard, you will usually not notice the receiving guarantee in everyday life. The rate of insecure servers is already below 5% (Posteo survey May 2021). Spammers and a few newsletter distributors account for the largest share (>90%) of unencrypted contact attempts. Sending emails that are not encrypted in transit is no longer considered adequate. If they contain personal data such as names and addresses, it is also illegal. In this way, data can simply be tapped on the way through the internet.

 


Wij zijn momenteel bezig met een migratie van het uitgaande mail platform welke dit op zal lossen. overigens is het niet zo dat er geen encryptie gebruikt word maar slechts een verouderde versie. Niet optimaal, absoluut, maar iets totaal anders dan totaal unencrypted.

 

Waar Posteo het vandaan haalt dat dit illegaal is heb ik geen idee van en lijkt me een “beetje” een ruime interpretatie van de AVG.


Ik denk dat dit niet een ruime interpretatie is, maar eerder een zorgvuldige naleving en beveiliging van e-mail van klanten door e-mail providers die hun klanten wel serieus nemen.

Vanuit de AVG is het verplicht om data goed te beschermen. E-mail wordt (helaas) nog steeds veel gebruikt om gevoelige gegevens te versturen door klanten. De "gaten" in TLS 1.0 en TLS 1.1 zijn al enkele jaren bekend. De Internet Engineering Task Force (IETF) heeft reeds in 2019 expliciet aangegeven dat TLS 1.0 en TLS 1.1 niet meer gebruikt mogen worden. Alle grote e-mailproviders gebruiken al geen TLS 1.0 en TLS 1.1 meer vanaf maart 2020.

Het feit dat KPN eind juli 2021 nog steeds verouderde onveilige protocollen gebruikt is dus laakbaar en inderdaad illegaal volgens AVG, want hiermee beschermt KPN de gegevens van hun klanten niet volgens huidige beveiligingsnormen.

Feitelijk zegt KPN dus ook tegen klanten: jullie kunnen helaas nog even niet mailen met een groot aantal e-mailproviders die security wel serieus nemen en wel tijdig stappen hebben genomen om TLS 1.0 en TLS 1.1 uit te faseren.

Ook het feit dat twee factor identificatie bij Mijn KPN nog steeds niet mogelijk is, terwijl hierin een groot aantal persoonlijke gegevens van klanten zichtbaar zijn, geeft een indruk hoe serieus KPN beveiliging neemt. Ik zie wel stappen dat TFA op Mijn KPN mogelijk wordt gemaakt, maar dan via SMS, wat ondertussen al door een groot deel van internet weer wordt uitgefaseerd als tweede factor....

Verder hoop ik wel dat KPN meteen TLS 1.3 gaat gebruiken en niet eerst TLS 1.2 voor hun e-mailservers?

Wanneer is de migratie van het uitgaande mailplatform afgerond zodat klanten weer veilig kunnen mailen?


Ik kan niet specifieker zijn dan dat het geplanned staat voor in de loop van dit jaar.


Ook het National Institute of Standards and Technology heeft reeds in 2019 aangegeven dat deze onveilige verbindingen niet meer gebruikt mogen worden:

https://csrc.nist.gov/News/2019/nist-publishes-sp-800-52-revision-2

Volgens mij kunnen KPN klanten nu niet heel makkelijk schadevergoeding eisen van KPN indien hun e-mail op straat belandt als gevolg van onvoldoende beveiliging, ook kunnen alle KPN klanten een deel van hun abonnement terugvragen omdat e-mail niet meer gebruikt kan worden om te e-mailen met een groot aantal providers. Hoe gaat KPN hier mee om?

Even terugkomend op mijn eerdere niet beantwoordevraag: hopelijk wordt er wel meteen TLS 1.3 gebruikt?