Omgaan met klantgegevens, het kan ook zo

Wil je die hostnamen hier met ons delen?
Dan kunnen wij dat ook blokkeren.

Gaat wat offtopic.
Let wel op dat je daarmee niet (zo ja gebruikt) de Firefox-browsersynchronisatie — Firefox kwijtraakt.
//–//
Vaak zou ik willen dat Freedom centraal een (privacy schendende?) site blokkade functionaliteit zou bieden die werkt op de eigen aansluiting.

Het daarmee niet nodig is om elk apparaat - zo ja dat al kan - individueel af te richten. Iemand bv in het MijnFreedom-portaal een in/uitgaand dergelijk lijstje kan maakt en/of die naar andere user(s) kan delen.
User A en B maken bv hun eigen white/blacklist(s) en lurkende user C kan die naar eigen keuze - simpel vinkje - als instelling toepassen.
Op FF niveau zijn er overigens diverse add-ons die qua browser iets dergelijk doen en dan allerhande lijstjes gebruiken die weer ergens op het internet worden bijgehouden.

Het lastige van onbekende lijstjes elders, is met wat voor de één het doel vormt, dit voor de ander juist ongewenst kan zijn.

Hoi

Een aantal zaken staat in Firefox zelf uit, dus het lijstje is niet
compleet;

*.o.lencr.org
services.addons.mozilla.org
detectportal.firefox.com
ads-img.mozilla.org  
contile.services.mozilla.com
content-signature-2.cdn.mozilla.net
firefox-settings-attachments.cdn.mozilla.net
firefox.settings.services.mozilla.com

Thunderbird:

addons.thunderbird.net
live.thunderbird.net
notifications.thunderbird.net
services.addons.thunderbird.net
start.thunderbird.net
thunderbird-settings.thunderbird.net
versioncheck-bg.addons.thunderbird.net

Div Google:

*.r72.cf5.rackcdn.com
fundingchoicesmessages.google.com
pagead2.googlesyndication.com
partner.googleadservices.com
ssl.google-analytics.com
themes.googleusercontent.com
www.google-analytics.com
www.googletagmanager.com
accounts.google.com
adds.google.*
*.alexametrics.com
*.saawsedge.com
*.gvt1.com
fonts.googleapis.com
fonts.gstatic.com
cast.google.com
firebaselogging-pa.googleapis.com   
jnn-pa.googleapis.com

En nog tig andere entries.

Daarnaast heb ik een RBL;

xbl.spamhaus.org

En DIY op basis van deze files;

https://www.spamhaus.org/drop/drop.txt
https://www.spamhaus.org/drop/edrop.txt
https://www.spamhaus.org/drop/dropv6.txt

In de mailserver;

bl.spamcop.net 
dbl.spamhaus.org
sbl.spamhaus.org
xbl.spamhaus.org

Vr.Gr,
Rob

Ik krijg graag tips van Freedom over hoe ik het beste met het bombardement aan fishing mail kan omgaan? En hoe ik moet omgaan met het bombardement aan mails dat zogenaamd uit mijn naam de wereld in gaat. Gewoon concrete stap voor stap uitleg.

Ik vrees dat Freedom daar niet al te veel over wil/kan/gaat zeggen, anders dan in algemeen mogelijk wat 'tips" bieden waar je concreet weinig aan hebt.

Geen direct verwijt maar Freedom biedt wel privacy mogelijkheden maar feitelijk geen (toegericht) gereedschap of platform om een “valselijk gebruik” te beheersen en/of te beheren. Als gebruiker zou je willen dat Freedom een stukje “zorg” overneemt wanneer bv meerdere users last hebben van aanvallen die uit dezelfde bron komen.

Zelf zou ik bekijken of er iets is te doen mailregels, zodat en mits mogelijk; valselijk gebruikte mail naar een in te richten de spam box of indicatie gaat.

Je hebt in totaal 5 mailboxen en mogelijk is er nog een mailslot vrij die je dan stap voor stap gaat gebruiken om een nieuwe identiteit mee in te richten. Wanneer je klaar bent en alle instanties/contacten je nieuwe identiteit kennen, verwijder één (of uiterlijk twee) jaar later, je gecompromitteerde mailbox. Desnoods voer je die verwijdere mailboxnaam weer op als “alias” waarop je dan makkelijk met mailregels kan filteren.
(een mail adres dat meer dan een jaar niet is gebruikt, wettelijk bewaartermijn is twee, heeft wmb geen waarde. Dat kan anders liggen met mailadressen die een meer historische betekenis of gebruik hebben.)

Let ook hier op je bvk geen mailadres of userid vrijgeeft die onlosmakelijk is verbonden met jouw als gebruiker. Voor mail naar bedrijven die daar niet terug zullen communiceren, kan je eventueel de sinenomine faciliteit (zie Freedom Internet) gebruiken.

NB: Ik zou zelf niet veel tijd steken om op (deze privacy schaal) een uitgelekt mailadres proberen te herstellen. Beter dan de krachten inzetten om via nieuwe mailbox(naam), de boel opnieuw op- en af te gaan richten.

Ik moet zeggen dat het mij nogal meevalt, ik heb maar 1 mail zien binnenkomen op het adres waarop Odido mij kende de afgelopen maand.

Nu gebruik ik al vele jaren voor iedere toko zoals dit een ander email-adres, maar Freedom geeft dus die sinonime adressen uit (zoals Larry schrijft), die je daar dus prima voor zou kunnen gebruiken volgens mij. Wel lastig natuurlijk als je geen wachtwoord manager gebruikt en je met email/ww moet inloggen, maar volgens mij is dat dus nog een stap waar je anno nu dus echt naartoe moet werken. Lastigste daarbij is om er een te vinden die voor je werkt, en gesynchroniseerd is met alle apparaten die je gebruikt. Ik weet dat Freedom hier nooit iets mee (wil doen/)doet, maar vaultwarden als service zou denk ik veel mensen een hoop opweg helpen.

Inloggen met soort van “DigiD” of mijn part “EiN” met in die keuze, dan daarop ^{naar keuze} 2FA toepassen. Toegang verkrijgen tot een geleverde dienst zou wmb niet belegd moeten worden bij (alleen) de provider.

Technisch niet heel moeilijk dat wanneer je inlogt, (altijd naar naar keuze) een vertrouwde instantie dat valideert en vervolgens daarmee een aanvraag deels of geheel honoreert.
Dan is ook (naar, altijd de keuze) gelijk het (digitale) machtigingsprobleem opgelost en zichtbaar wie er allemaal wanneer, vanwaaruit een poging daartoe heeft gedaan.

Uitdaging is natuurlijk, hoe krijg je (al) die swapperende eilandjes op elkaar en het niet moet zijn dat de gebruiker verplicht wordt bepaalde elitaire (hardware)technologie en laat staan dure smartphones te moeten aanschaffen, zoals sommigen dat voor zich zien met weer hun xFA tunneloplossing. Een losse tokenizer van €3,95 met pincode doet het dan ook prima.
Kortom zonder ook maar (nauwelijks) iets bij je te hebben zou je altijd naar keuze/wens met mijn part een (desnoods ontetime/geolokatieve) pincode je moeten kunnen autoriseren tot de eigen data. Hierin is dan weer - als keuze - een pinrotatieschema te bedenken, waarbij een foute pincode bepaalde mogelijkheden uitsluit, die beperkt of (stille misbruik) waarschuwingen activeert.

Single point of failure?
En er bestaan geen “vertrouwde” instanties.
Uiteindelijk is alles “lek”…

Je kunt het ook niet willen en dan moeten vertrouwen op ieders (eigen)wijze van vertrouwen.

Die vertrouwde instantie kan ook bij iemand zelf thuis zijn en als ik ervoor moet kiezen, zou ik DigiD of desnoods mijn Bank best als mijn vetrouwde instantie zien; en dan prima mogelijk om ergens een fallback te hebben met desnoods een (eenmalige) pincode in een wallet.

Waar het mij om gaat dat de hele sector naar een sso systeem toe moet werken dat dit (centraal naar keuze authenticeren) mogelijk maakt en je dan bij de provider kan bepalen welke autorisaties dan (daarmee) gelden of mogelijk zijn.

hebben we nu niet juist geleerd dat je dingen decentraal moet houden?

Dan mis je het punt dat naar keuze, de decentraal* opgestelde authenticatie wordt gescheiden van de beherende autorisatie en zo mogelijk; identificatie in de toepassing zelf.
*Die authenticatie naar keuze van de kiezende gebruiker kan bv plaatsvinden via 2FA tokenizers, eigen pincode, mijn partwachwoord of - in mijn denken - kunnen worden gedelegeerd aan een in te stellen instantie waar iemand zelfs Google voor kan verkiezen .

Stel je voor dat je bij je provider in keuze kunt aangeven hoe toegang tot een gebruiksomgeving daar en dan door wie, waarmee wordt geauthenticeerd ?
De provider in deze kent de gebruiker systeemtechnisch alleen als één van haar legitieme UUID’s en de autorisatie tot een gebruik daarvan, elders opgesteld; “weet” weer niet welke UUID’s dat daar zijn. Authenticatie is de simpele methode, wanneer het UUID positief wordt geauthenticeerd, de provider daarmee dingen verder tot gebruik kan autoriseren.

Eenmalig wordt die “vertrouwde” koppeling gelegd, waarna een gebruiker die - naar keuze al of niet gedelegeerd en desnoods bepaalde tijdsduur - kan (laten) toepassen.

Zo kan het ook niet…

Ik mag hopen en stellen dat medewerkers bij Freedom en stuk alerter zijn dan dit security bedrijf. Altijd handig natuurlijk omdat mensen die bij een security bedrijf, een account hebben; doorgaans wat van hun waarde hebben te beschermen. Benieuwd of ze gaan betalen…

Voor de mailboxen van Freedom zie handleidingen,

Voor de mail wasserij bij een eigen server:
TLS verkeer, DNS forward EN reverselookup leveren dezelfde naam/nummers op (IPv4 en IPv6).
mailserver heeft de juiste naam (HELO, 220 prompt)
SPF klopt
DKIM klopt
DMARC klopt en wordt op een gegeven moment op blocking gezet.

Daarnaast een ingress filter die ook op bovenstaande aspecten controleert, en dat met bv. amavis of rspamd doet. (frameworks om spamassassin heen).
Blacklists zoals @sput noemt zijn daar ook een onderdeel van. (Fail2ban kon ook helpen).

Verder geen mailadressen op websites etc. en dan nog. Van de 80K mail per maand is 60+ al geblokkeerd door IP validatie en IP blacklists.
En dan nog zijn er spam mails die door komen en random adressen op geldige domeinen gebruiken.

Filtering op bv. taal gebieden kan dan ook helpen. Maar dat KAN bijten. (Ik krijg blijkbaar veel duitstalige spam, maar een blokkade van DE taal, blokkeerde ook gewenste mail van Nitrokey.
Dus bij verregeaande blokkades moet je ook aan whitelisting denken!.

Goed, vooral technisch, verhaal voor wie dingen zelf doet; dat helaas niet tot nauwelijks helpt waneer iemands identiteit eenmaal ergens in een spamloop is opgenomen.

Het manco van o.a. white/blacklists en filtering instellen, via/bij Freedom, is dat dit zeer omslachtig verloopt via het webpaneel waar geen gebruik kan worden gemaakt andermans te importeren/exporteren (de)blokkadelijsten. Dit nog even los dat het MijnFreedom wmb onnodig - zeker de laatste tijd - traag respondeert en zwaar is opgetuigd.

Kortom, in de ronkende folder kan zg. alles dat in de praktijk nauwelijks een nuttig werkende betekenis heeft en de gebruiker het zelf maar moet uitzoeken.

Dat is niet echt een manco voor Freedom, het is een vrij universele beperking. Waarbij er wat nuance verschillen kunnen zijn maar er zijn veel beperkingen omdat zaken “op schaal” snel kunnen exploderen.
Om die reden heb ik dan ook m’n eigen omgeving, en niet een van derden waarbij ik maar 1, 2, 5 of zo adressen kan aanmaken. Ik denk dat er inmiddels een 200 in omloop zijn, waarvan er een 60 tal gegarandeerd spam adressen zijn.

Er is geen oplossing voor elders verkeerd ingestelde servers (die van alles accepteren en doorsturen), helaas, er is ook geen oplossig voor mailadressen die al in omloop zijn.
Om die reden heb ik ook geen algemeen enkelvoudig e-mail adres. Maar voor elke andere partij een eigen adres. Dan is ook duidelijk waar iets gelekt is. Het is ook eenvoudig om dan een andere adres te geven aan die partij wanneer ze de zaak wel weer op orde hebben (odido…?).
dan kan de mail op het foute adres gelijk door naar de “gegarandeerd” spam melders.

Ik weet ok zeker dat het bij enkele partijen tot nadenken gestemd heeft. Ergens waar ik een email adres afgaf met de bedrijfsnaam erin zij dat is grappig onze naam staat erin… bij de uitleg waarom (herverspreiding van adressen) was de opmerking Ohhh… (geschrokken), met name dat als het adres hergebruikt was voor andere doeleinden, dat daarna alle mail voortaan naar een spam blackhole verzonden zou worden. Een bedrijf heeft de uitdaging aanvaard en daar gaat de mail dan ook gewoon als “positieve” spam naar spamhaus en DCC.

SPAM is een vooralsnog onoplosbaar probleem omdat er geen duidelijke afzender is. het is gewoon een wapenwedloop waarbij er meer en meer defensieve maatregelen worden genomen die ook steeds weer na enige tijd minder effectief worden.
De maatregelen zelf zorgen ook voor een mijnenveld waar nauwelijks normaal door te manouvreren is. Ronkende folders zijn net zoveel waard als SPAM…, niets.

Laat ik hier nou eens een positieve ervaring delen met een winkelier die zich netjes aan de wet hield, maar mijn privacy optimaal wilde bewaken.

Ik wilde bij mijn favouriete tabakswinkel online een voorraadje sigaren kopen. Na wat heen en weer praten over regels (leeftijd) en privacy was de winkelier simpel: stuur mij een kopietje id en scherm daar alles af behalve je geboortejaar.

Positief leuk natuurlijk waarbij die winkelier sws niet jouw data mag bewaren cq verwerken.
De winkelier heeft een zg vergewisplicht ^{(juridische uitleg)} en niet zozeer de keuze/plicht tot identificatie (dat wat anders is) of daarin een taak cq recht tot bewaren cq verwerken van iemands (geboorte)data.

Heel strikt genomen dient een consument iedere keer weer de winkelier laten vaststellen dat die gerechtigd is tot aankoop van leeftijdsgebonden producten. Een kopie, van een vorige keer of van 5 minuten geleden is hier n.v.t. en onvoldoende.
Los hiervan is inmiddels een markt ontstaan die op passende(r) wijze iemands meerderjarigheid op grond van identificatie vaststelt ^{(bijvoorbeeld Leeftijdscanners Q2 – 2026 – Leeftijdscanner )}

Iets wat mogelijk in de markt zou moeten zijn: YIVI (voorheen IRMA).

Issue is dat je daarvoor weer - relatief complexe - technologie nodig hebt die de gebruiker daarvan afhankelijk en daarin kwetsbaar maakt.

Ik juich - technisch gezien - ontwikkelingen als Yivi toe maar zal er zelf geen enkel gebruik van willen (hoeven) maken. De manier moet sws altijd een eigen keuze zijn zonder dat die iemand daarmee dan ergens beperkt.

Interessant om te weten wat een winkelier/bedrijf allemaal moet of (niet) mag mbt mijn privacy. Maar de praktijk is helaas weerbarstig, bedrijven maken er simpelweg een rotzooitje van, meer is altijd beter, better safe than sorry (naar de overheid, niet naar mij natuurlijk). Dus ik ga voor alle bedrijven (uitgezonderd een enkele die zich op privacygebied bewezen heeft, bv freedom) uit van het slechtste en alles wat ze van me willen hebben komt uit mijn hele lange mouw.

Coolblue: Pietje Puk, is dat echt uw naam ?
Me: jazeker, mankeert er wat aan?
Coolblue: maar het adres dat u opgeeft is ons adres …
Me: dat klopt, ik slaap hier voor de deur
…