DMARC policy KPN aantasting privacy

Als XS4ALL klant was ik gewend om voor diverse organisaties te werken, elk met eigen e-mail adressen (domein namen) en eigen IMAP en SMTP servers. KPN heeft nu een DMARC policy ingevoerd, waardoor ik alleen nog maar hun SMTP servers kan bereiken vanaf mijn aansluiting. Vervolgens moet ik op hun server alle domeinen die ik gebruik bekend maken en in die domeinen de KPN SMTP server als MX-record instellen. Uiteraard is dat niet mogelijk voor domeinen die niet van mij zijn en waar ik alleen maar een e-mail adres heb. Even afgezien van de gedeeltelijke onmogelijkheid en de enorme overhead die het instellen en beheren veroorzaakt is het ook een aantasting van mijn privacy: KPN heeft nu toegang tot alle metadata van de e-mails die vanaf mijn aansluiting worden verstuurd, ongeacht in wiens naam ik opereer.
Hoe kan ik hier tegen protesteren, met kans op succes. Kan Freedom internet hier wellicht stampij over maken?

Kans op succes acht ik klein omdat je (helaas) eerst moet gaan uitleggen aan een organisatie (of rechter) wat er nu precies technisch gebeurd. Telco’s zijn (opper)machtig in het eenzijdig bepalen wat technisch wel en niet hun uitkomt.
Voordat dit voor consumenten (r)echt is ingedaald, laat staan iemand dat gaat (cq wil begrijpen) ben je wel jaren verder.
Organisaties zoals hier KPN pogen om door en zg een technische muur te poneren daarmee te forceren dat zij dus bepalen hoe en op welke wijze een internetaansluiting wordt toegepast.
Deels verzaakt de overheid flagrant omdat zij controle en toezicht op technische gebruik bij providers neerlegt die vervolgens dat potje er van kunnen maken.

Het zou best raar zijn wanneer bv Tennet, Liander laat staan een energieleverancier inhoudelijk toezicht moet gaan houden waarvoor de afgenomen energie wordt gebruikt. Dat zij dan bepalen dat iemand’s Tesla niet mag worden opgeladen of wanneer iemand in ‘hun’ ogen of naam der ‘wet’, oneigenlijk zou zijn. Ik zeg maar wat stroom gebruiken om iets controversieel tot stand te brengen.
Ik denk (hoop ik dan) dat menig burger in verzet zal komen wanneer NLPost de briefpost inhoudelijk gaat monitoren en besluit dat zij alleen nog post accepteert van een geïdentificeerde gebruikers.

Freedom en m.n. BoF’s zijn steeds imo bezig met internetvrijheid dat als concept verder gaat dan een modem of cookie vrije toegang.
Helaas ‘snapt’ een groot deel van de bevolking (nog) niet dat ISP’s hier wmb geen enkele taak horen te hebben in (elk) toezicht of regulatie van het inhoudelijk internetgebruik.
Hoe zeer dat sommigen (gevoelsmatig terecht) logisch vinden omdat het met internetdata “makkelijk” wel kan dat met energiegebruik (nu nog tenminste) onmogelijk is. Alhoewel ik het in geval van bv energie tzt niet uitsluit dat men straks via de slimme meter per dag naar moment zal worden geprijsd. Dat je dan eerst toestemming moet hebben voordat je de goedkeurde (DMARC) kachel mag aanzetten.

Mijn Freedom DSL aansluiting loopt ook via KPN maar ik kan gewoon vanaf mijn @drschrisjacobs.nl email naar mijn @gmail email en terug mailen. Ik heb zelf niets met DMARC gedaan.
Ik zie wel dat het probleem ook op forum.kpn.com wordt vermeldt. Daar wordt het email adres abuse@kpn.com genoemd, ga daar eens klagen :slight_smile:

Ik ben bang dat het eerst erger gaat worden dan het nu is.
Vodaphone (die van Ziggo…) is in Duitsland met een profiling proef begonnen.
Waarbij alle data die van gebruikers maar verzameld kan worden afgetapt wordt en voor marketing doeleinden verkocht gaat worden.
En dit ZONDER dat de gebruiker daar iets over te zeggen heeft (US toestanden dus).

Ik snap helemaal niet wat je uberhaupt probeert te zeggen. Voor eigen domeinen en eigen mailservers heb je niets met de smtp server van kpn te maken.
Niet als klant van kpn (port 25 staat open ook bij kpn) en niet als klant van een andere provider.

1 like

Een beetje wat @jgelauff zegt. Wat probeer je precies te doen? De fout die ik op het kpn forum zie is eigenlijk best logisch. Je kan KPN van alles gaan verwijten, maar je kunt dit uitleggen als het verminderen van spam, en het opvijzelen van de reputatie van hun uitgaande mailserver. Blind relayen is nooit echt een goed idee geweest. (Dit is denk ik de hele reden dat Freedom er geen heeft. Hint Hint…)

Zeg je dat KPN poort 25 heeft geblokkeerd en je dus via hun SMTP-server moet mailen? Kun je niet gewoon een submission poort (587 ofzo) gebruiken naar je stmp-server voor je accounts? Ik neem aan dat je daar een gebruikersnaam en wachtwoord voor gebruikt. Dit is vrij standaard, en ik denk dat KPN daar ook wel vanuit is gegaan.

Bijvoorbeeld voor Freedom:
Uitgaande mailserver:
smtp.freedom.nl
Poort 465 voor SSL
Poort 587 voor TLS

Denk dat ze met de laatste STARTTLS bedoelen, en de eerste TLS, maar je ziet dat een port 25 block niet relevant is hier.

1 like

Jouw domein en Gmail heeft dan dus de (geDeMARCeerde) goedkeuring van KPN.
TLDR: DMARC is prima maar niet als ISP op grond van domeinnaam, de mail categorisch voor elke geadresseerde gaat blokkeren.
//–// verder ter discussie…
Het issue zoals ik het bezie is dat een ISP organisatie die de mail (door)stuurt, die op grond van een eigen ‘veroordeling’, bij voorbaat gaat tegenhouden.
Iets dat imo alleen voorbehouden is aan de directe ontvanger. De ontvanger waar de doorgever (hier KPN) weer mag/moet kunnen verzoeken om bepaalde mail tegen te houden.
Kortom wie staat er aan het stuur. DMARC is prima mits die onder beheer staat van de (directe) geadresseerde als belanghebbende.

Dat mensen de (blokkade) voorziening van een ISP als fijn ervaren omdat ze dan geen ‘spam’ of die onder het mom 'veiligheid´ ontvangen, is duidelijk.
Het neemt niet weg dat de postbezorger daar als taak geen bepalende taak in zou moeten (of wmb mogen) hebben.
Hoe wenselijk of verwerpelijk ook, één ‘wil’ wel spam en de ander alleen mail die de doorgevende ISP heeft goedgekeurd.
Wanneer ik een ouderwetse brief stuur zonder of met een onjuist afzend adres, heeft een ‘postnl’ daar wmb principieel niets mee te maken. Hooguit dat zij de directe geadresseerde daarop wijzen zodat die een besluit kan nemen.

Dan kan iemand stellen dat het een ISP vrijstaat te doen wat het wenselijk acht waarmee dan de deur openstaat als opleggen eisen in de vorm van modems, gebruik, authenticatie, software en wie dan daarvan dan wordt uitgesloten.

Internetvrijheid is niet alleen daar waar die iemand welgevallig is maar ook andersdenkenden daarin accepteren waarbij je zelf bepaalt of iemand jouw firewall mag oversteken.
In dit geval zou ik als geadresseerde mijn ISP moeten kunnen verzoeken dat ik geen spam wil. DMARC is daarin dan een goed hulpmiddel mits mijn ISP niet standrechtelijk mail tegenhoudt omdat een verzendend domein besmet zou zijn.

En PostNL maakt ook van iedere brief of pakje een foto.

Ja maar… HOE dan? KPN heeft niets te maken met mail die niet naar een KPN-gehost domein verwijst.

Als jij vindt dat een postnl postbode post moet doorgeven aan de dhl bezorger, omdat je niet via postnl wilde versturen, maar die toevallig makkelijker was om te gebruiken (in de brievenbus gooien), dan denk ik niet dat dat reëel is.

1 like

Mogelijk begrijp ik TS verkeerd. KPN zou en moet geen mail van ander domeinen gaan weigeren door te laten (door iets blokkeren).

KPN is juridisch wel eigenaar zijn van een maildomein en is wmb daarmee nog niet eigenaar van de communicatie(inhoud) die daarmee (of daarin plaatsvindt).
Als ik mijn Tesla aan iemand verhuur zonder rijbewijs, heeft Vattenvall noch de navigatie-software daar een sikkepit mee te maken.

Indien KPN nergens in de mail/stream/lijn zit, heeft KPN er idd niets mee te maken. Echter, ik begrijp, dat KPN wel ergens betrokken is en KPN kennelijk ergens afdwingt dat mail aan/via haar servers alleen nog via door -of bij haar geautoiseerde domeinen kan verlopen.
Indirect kan een ontvangende ISP met DMARC dan afdwingen dat iemand daarbuiten dus geen mail kan sturen naar iemand die als domein-abonnee van KPN is onderworpen aan het gestelde regime. Effectief wordt dan het versturen geblokkeerd.

Los van alles. Puur jezelf ergens - indirect - moeten identificeren of autoriseren (ongeacht reden of doel) bij een beheerder, kan al gevoelige metadata opleveren dat later dan iets kan gaan zeggen over (de privacy van) een (aanvragende of gebruikende) persoon. Een registratie zou wmb alleen technisch een noodzaak moeten hebben waarbij men niet door nieuwe techniek in te zetten dan die reden gaat veroorzaken.

Die foto heeft alleen tot functie om de postcode af te lezen.

Als xs4arnold problemen heef met KPN, en ik begrijp niet wat die problemen precies zijn, dan denk ik dat de problemen opgelost zijn als hij verhuist naar Freedom, ZELFS als zijn internet verbinding dan nog steeds over KPN loopt doordat KPN de mails dan niet meer als geheel ziet maar als een reeks IP pakketjes.

@PtrO
Ik heb geen idee hoe lang ze die bewaren, maar best wel een tijdje.
Zo hebben ze voor mij wel eens zoekgeraakte post opgezocht.
Ze zijn zichtbaar in de app.
En er komen ook regelmatig foto’s van anderen in die app, door leesfouten.

Ik hoop dat TS @xs4arnold ms wat verduidelijk wil wat het issue is. Gaat het om verzenden en/of ontvangen van mail en dan vanuit naar welke aansluting ?

Als ik het probeer te begirjpen, maak het niet uit wie de provider omdat KPN, zo ik begrijp, de domeinen die TS servicen niet toestaat waardoor (dan) de post daarvan/uit niet zal aankomen bij klenten in het KPN domein.

Mijn uitwijding is deels dat ISP’s meer en meer (ook door de overheid gedwongen) zich inhoudelijk gaan bemoeien met mail. Prima dat een ISP dat doet maar dan alleen voor gebruikers die daar voor kiezen. Wanneer iemand mail uit of met spamland wil uitwisselen, moet dat als individuele keuze mogelijk zijn.

Ja, maar dat hoeven ze niet te faciliteren met hun infrastructuur, die is daar immers niet voor bedoeld.

(Nogmaals: Freedom heeft geeneens mailservers, dit is allemaal ondergebracht bij Soverin, en die zijn nog veel ristrictiever dan KPN in dit geval, zeker als je een punt gaat maken van jezelf moeten identificeren of autoriseren zoals je eerder deed.)

Een Freedom aansluiting loopt niet via KPN, zelfs als het glas of de VDSL van KPNnetwerk wordt gebruikt.

Dat klopt, en die overgang gaat zo spoedig mogelijk plaatsvinden. Helaas kan op dit moment Freedom nog niet alles leveren wat ik bij XS4ALL in gebruik heb. Ze werken eraan, en ik heb weer een reden erbij om te hopen dat ze haast maken.

Het gaat om het verzenden van SMTP verkeer naar SMTP servers van anderen dan KPN vanaf een ex-XS4all aansluiting met een "from:"domein dat gehost wordt door de eigenaar van de betreffende SMTP-server. KPN blokkeert dat sinds zaterdag 11 juni en probeert af te dwingen dat alle uitgaande mail via hun servers verloopt.

Dus een email verzenden vanaf een smartphone verbonden via een XS4ALL aansluiting met de volgende gegevens:

  • SMTP server: smtp.freedom.nl
  • SSL port 465
  • Authentication:
    • login naam mailbox bij domein dat je via freedom hebt, noem het hier even ‘domeinfree.nl’
    • password van die mailbox
  • from: janpietklaas@domeinfree.nl (met ‘janpietklaas’ een bestaand email adres op dat domein/mailbox)

zou niet lukken? Of begrijp ik het verkeerd?

1 like

Een Freedom aansluiting loopt via Freedom en niet via KPN, zelfs wanneer het netwerk van KPNnetwerk wordt gebruikt.