Skip to main content

Via internet.nl kun je controleren in hoeverre bijvoorbeeld jouw e-mail voldoet aan de voorwaarden die in ons land gesteld worden aan e-mailverkeer.

Het valt mij op dat voor de @xs4all.nl e-mailadressen geldt dat zij voor 78% voldoen aan deze opgestelde en algemeen aanvaardde veiligheidseisen. 

Zo is een @xs4all.nl adres NIET bereikbaar voor IPv6, zijn niet alle echtheidskenmerken tegen phishing geïmplementeerd (DMARC policy is niet voldoende strikt) en ondersteunen de verzendende mailservers niet allemaal TLS 1.3. Ook ondersteunen de mailservers een of meer ciphers die de status UIT TE FASEREN hebben. Daarnaast ondersteunt tenminste één van de mailserver onvoldoende veilige  Diffie-Hellman sleuteluitwisseling. En tot slot is er tenminste één mailserver die  GEEN TSLA-record voor DANE bevat.

Als KPN /XS4ALL één van ons lands grootste internet bedrijven zich niet aan deze algemeen geadviseerde veiligheidsregels conformeert, waarom is dat dan zo? Waarom voldoet een kleinere internet provider als bijvoorbeeld Freedom internet WEL aan al deze veiligheidskenmerken???

Wanneer gaat KPN/XS4ALL aan al deze Veiligheidskenmerken voldoen????

Voor uw informatie: @xs4all.nl voldoet voor 78% aan de vastgestelde veiligheidskenmerken,

@kpnmail.nl voldoet voor 74% en @kpn.nl (personeel neem ik aan?) voldoet voor 100% aan deze eisen.

Kortom de klanten lijken minder belangrijk dan het eigen personeel, in ieder geval lijkt het e-mailverkeer minder belangrijk, immers, anders zou KPN toch ook voor hun klanten de 100% willen halen.
 

Hallo @Gvdnberg ,

Ik vind het natuurlijk goed dat er websites zijn om bepaalde zaken te testen, maar als je ze gebruikt is het ook wel belangrijk om de testresultaten goed te interpreteren.

Via internet.nl kun je controleren in hoeverre bijvoorbeeld jouw e-mail voldoet aan de voorwaarden die in ons land gesteld worden aan e-mailverkeer.

….

voldoen aan deze opgestelde en algemeen aanvaardde veiligheidseisen.

 

Er zijn geen eisen/regels die gesteld worden. Iedere mailprovider/mailhost heeft nog altijd zelf in de hand op welke manier zij dingen inrichten. Wanneer het aankomt op internetveiligheid heb je soms afwegingen te maken, omdat meer veiligheid automatisch betekent dat er minder gebruiksvriendelijkheid is. Omdat we te maken hebben met klanten die niet allemaal een afgeronde ICT-studie hebben, zullen we daar soms keuzes in moeten maken.

Zo is een @xs4all.nl adres NIET bereikbaar voor IPv6

 

Dat is een verkeerde conclusie.

 

DMARC policy is niet voldoende strikt

 

Zoals gezegd, we bepalen zelf hoe strikt het is, en zeker in een omgeving waarbij er veel klanten zijn die het maildomein gebruiken moet je hier nu eenmaal voorzichtig mee zijn

 

Als KPN /XS4ALL één van ons lands grootste internet bedrijven zich niet aan deze algemeen geadviseerde veiligheidsregels conformeert, waarom is dat dan zo?

 

Omdat het niet hoeft, en omdat er diverse redenen zijn waarom we de keuzes die we gemaakt hebben, gemaakt hebben. Waarom bepaalde keuzes precies gemaakt zijn en welke er precies gemaakt zijn, doen we normaalgesproken geen uitlatingen over.

 

Waarom voldoet een kleinere internet provider als bijvoorbeeld Freedom internet WEL aan al deze veiligheidskenmerken???

 

Dat is niet aan ons om die vraag te beantwoorden waarom een andere provider andere keuzes gemaakt heeft. Wat ik wel weet is dat Freedom een iets ander soort doelgroep heeft dan KPN, daardoor hebben zij ook een ander soort klanten. Dat kan er zeker mee te maken hebben.

 

@kpn.nl (personeel neem ik aan?)

 

Dat is een foutieve aanname, kpn.nl wordt niet gebruikt voor mail.

 

anders zou KPN toch ook voor hun klanten de 100% willen halen.

 

Nee, dat willen we zeer zeker niet, omdat we het ook werkbaar willen houden voor klanten.


Goedemorgen Raymondt,

Allereerst bedankt voor je reactie! Jammergenoeg begrijp ik niet waarom een provider niet kiest voor de up to date standaarden ter voorkoming van malafide acties. De site internet.nl is tot stand gekomen dankzij een collectief van een flink aantal instellingen, waaronder de Nederlandse overheid,  die gezamenlijk het Platform Internetstandaarden vormen. 

Het Platform stelt zich ten doel om nieuwere en slimmere standaarden te gaan gebruiken, zodat misbruik via de oudere standaarden (soms uit de jaren ‘70 en ‘80) zoveel mogelijk wordt uitgebannen. Deze nieuwe standaarden zijn reeds beschikbaar, dus waarom zouden we die dan niet gaan gebruiken.

Uit eigen ervaring merk ik dat na de min of meer gedwongen overgang van XS4ALL naar KPN de hoeveelheid SPAMMAIL nog nooit zo groot is geweest, zodat ik mij afvraag of KPN wel dezelfde strikte voorwaarden hanteert als destijds XS4ALL. Als dat niet zo is, betreur ik dat.

Via mijn werk constateer ik dat de domeinen die ik daar gebruik (@apotheeksprundel.nl en @saturnusapotheek.nl) volledig voldoen aan de e-mail standaarden die de site internet.nl aangeeft. Ook een eigen domein via mijndomein.nl nadert de 100% score op internet.nl. Tevens merk ik geen enkele beperking in het e-mailverkeer via deze domeinen. De domeinen die 100% voldoen aan de moderne kenmerken worden op de site internet.nl in de Hall of Fame gezet en daar zie ik een aanzienlijke lijst met honderden domeinen die aan al deze moderne kenmerken voldoen. Daarom vind ik het teleurstellend dat KPN voor zijn eigen label KPNMAIL en voor het XS4ALL label niet voldoet aan die kenmerken, terwijl dat toch zeker mogelijk moet zijn, waardoor in mijn optiek het e-mailverkeer een stuk veiliger kan worden en misbruik bestreden wordt. En dat is mijns inziens nogal belangrijk in deze moderne tijd met flink wat malafide internet-gebruikers.

Met vriendelijke groet,

Gert van den Berg


Hallo @Gvdnberg 

Ik ben bekend met de website en ik snap het doel ook zeker, en als security expert juich ik het initiatief ook toe. Laten we dat vooral voorop stellen. De informatie die de website geeft is alleen niet zo zwart/wit als dat ie mogelijk geinterpreteerd kan worden.

 

Uit eigen ervaring merk ik dat na de min of meer gedwongen overgang van XS4ALL naar KPN de hoeveelheid SPAMMAIL nog nooit zo groot is geweest, zodat ik mij afvraag of KPN wel dezelfde strikte voorwaarden hanteert als destijds XS4ALL. Als dat niet zo is, betreur ik dat.

 

Natuurlijk streven we er altijd naar om de hoeveelheid spam zo laag mogelijk te houden, maar het wel of niet voldoen aan deze standaarden staat daar volledig los van.

Wat je zal moeten begrijpen is dat het aantal e-mailgebruikers van KPN vele malen groter is dan het aantal e-mailgebruikers van de apotheek in sprundel. Dat maakt het makkelijker om bepaalde zaken stricter in te stellen, omdat je je eindgebruikers makkelijker bereikt en beter kan helpen met het inrichten van hun software op de nieuwe situatie.

Omdat wij ons eigen mailplatform beheren, kunnen we hier ook bepaalde statistieken uit halen, zoals wie op welke manieren allemaal verbinding maakt met het platform, en wie welke beveiligingsniveaus gebruikt. Heel simpel uitgelegd: wanneer bepaalde zaken ingeschakeld, of juist uitgeschakeld worden, kunnen we zien hoeveel klanten tegen problemen aan gaan lopen, en als dat aantal nogal hoog is, kan dat een afweging zijn om bepaalde zaken (nog) niet te willen. Daarnaast is het natuurlijk wel zo dat er meerdere afdelingen binnen KPN actief zijn, die continu de omgevingen in de gaten houden op veiligheid en misbruik. Dat is ook iets wat enorm bijdraagt aan de veiligheid, en die een website die een analyse doet je niet kan vertellen. Het is ook tevens iets wat niet aanwezig zal zijn bij de eerder genoemde apotheek, en zodoende kun je die 2 partijen ook niet met elkaar vergelijken.

Kortom, een website als internet.nl geeft een redelijk beeld, maar het geeft zeker geen totaalbeeld in hoe veilig het platform achter een bepaald domein is, en daarnaast: hoe groter je groep gebruikers is die je domein gebruikt voor mailen (en dat aantal loopt nogal op als je een provider bent zoals kpn of ziggo, nog veel meer als bij een provider als freedom of een kleiner bedrijf in een andere branche), hoe belangrijker de rol van gebruiksvriendelijkheid ook is. Mensen willen natuurlijk veilig kunnen mailen, maar most of all: ze willen kunnen mailen.

Mijn belangrijkste boodschap samenvattend: internet.nl geeft een aardig beeld, maar kan niet een 100% beeld geven over hoe veilig een domein is, en met de 24/7 monitoring die er plaatsvindt op ons  mailplatform kan ik met een gerust hart zeggen dat het niet onveilig is. Kan het beter? Altijd natuurlijk, en ook daar zijn we doorlopend mee bezig.


Hallo Raymondt,

Voor een deel kan ik uw uitleg begrijpen, maar wat voor mij bijzonder blijft is het feit dat in mijn beleving mensen niet alleen willen mailen, maar juist vooral VEILIG willen mailen.

Ik ben ervan overtuigd dat KPN afdelingen heeft die toezien op de veiligheid van al het verkeer, maar daarmee is het juist onbegrijpelijk dat er sinds de overgang van XS4ALL naar KPN juist meer ongewenste mail binnenkomt. Dat lijkt mij tegenstrijdig. 

Voorts lijkt het mij dat bij het ontwerpen van wereldwijde standaarden voor gebruik van mail en internet juist deze standaarden voor een zo groot mogelijk publiek of aantal gebruikers geschikt moet zijn. Daarom denk ik dat juist de grote providers hun klanten moeten wijzen op de onvolkomenheden bij hun klanten en daarbij adviseren en meewerken om de meest up-to-date veiligheids adviezen te implementeren. Immers als een grote provider dat doet is dat veel effectiver dan wanneer kleine providers dat doen. KPN heeft mijns inziens een voorbeeldfunctie.

Tot slot vind ik in de genoemde Hall of Fame toch een aantal domeinen die met grote hoeveelheden individuele adressen werken, dus waar veel mailverkeer over en weer gaat.

Met vriendelijke groet,

Gert van den Berg


Hallo Gert,

 

Voor een deel kan ik uw uitleg begrijpen, maar wat voor mij bijzonder blijft is het feit dat in mijn beleving mensen niet alleen willen mailen, maar juist vooral VEILIG willen mailen.

En in mijn vorige antwoord heb ik uitgelegd dat dat ook gewoonweg het geval is.

Ik ben ervan overtuigd dat KPN afdelingen heeft die toezien op de veiligheid van al het verkeer, maar daarmee is het juist onbegrijpelijk dat er sinds de overgang van XS4ALL naar KPN juist meer ongewenste mail binnenkomt. Dat lijkt mij tegenstrijdig.

Ik snap dat dat zo voelt, maar ten eerste is de hoeveelheid spam die er binnen komt niet alleen afhankelijk van hoe het spamfilter functioneert, maar ook tot in hoeverre een bepaalde groep mensen op een bepaald moment doelwit is van spamruns. Ten tweede is dit natuurlijk een individuele waarneming, die af kan wijken van de waarneming die er overall is, gemeten op alle mailboxen.

Daarom denk ik dat juist de grote providers hun klanten moeten wijzen op de onvolkomenheden bij hun klanten en daarbij adviseren en meewerken om de meest up-to-date veiligheids adviezen te implementeren.

Dat doen we ook wel, maar wat ik geprobeerd heb uit te leggen is dat dat simpelweg lastiger gaat als je zo'n grote provider bent zoals wij dat zijn. Als ik nu op het mailplatform een aanpassing doorvoer die ervoor zorgt dat 20.000 mensen met hun huidige mailinstellingen problemen krijgen, dan staat binnen een half uur de telefooncentrale van onze klantenservice te roken, dus dat soort dingen moet je anders aanpakken, en die uitdaging is nu eenmaal groter als je gebruikersbase groter is. Je hebt dan meer tijd nodig om dingen in goede banen te leiden.

Tot slot vind ik in de genoemde Hall of Fame toch een aantal domeinen die met grote hoeveelheden individuele adressen werken, dus waar veel mailverkeer over en weer gaat.

De lijst is groot dus ik heb hem niet helemaal door kunnen nemen, maar van het overgrote deel (misschien zelfs wel alles) heb ik het idee dat het appels met peren vergelijken is. De communicatie tussen provider en klant is toch anders dan de communicatie tussen werkgever en werknemer.


Hallo Raymondt,

Nogmaals bedankt voor uw uitleg en informatie. Ik vrees dat er in deze discussie toch nog steeds verschillende gezichtspunten zijn en dat we in een communicatie als deze daar niet uit zullen komen. Dat hoeft ook niet omdat ik inmiddels mijn zorgen en vragen heb kunnen stellen en ik daarbij ook de mening en uitleg van KPN, met u als vertegenwoordiger daarvan, heb kunnen lezen. 

Ondanks dat ik van de uitleg sommige aspecten niet begrijp, hecht ik er waarde aan u te bedanken voor de moeite die u neemt om mijn vragen en zorgen serieus te nemen, ik hoop toch dat het KPN gaat lukken om meer van de meest up-to-date kenmerken te implementeren waarbij ik begrijp dat dit morgen niet geregeld is.

Ik wens u voor straks een fijn weekeinde en als ik weer eens vragen heb, weet ik dat ik deze hier kan stellen.

 

Met vriendelijke groet,

Gert van den Berg