Sinds de Snowden-onthullingen hoor en lees ik steeds meer over het aftappen van digitale infrastructuren. Het gaat vaak over communicatiemiddelen zoals, telefoongesprekken, smsjes en e-mail, waar ik eigenlijk niks van afweet. Hoe veilig is e-mail eigenlijk?

E-mailproviders zijn niet bepaald loslippig over hun dienst. Dat blijkt wel als ik Tele2, Google en Microsoft een interviewverzoek stuur. Alleen Microsoft toont bereidheid maar heeft na een mailwisseling geen zin meer. Dus doe ik een oproep op Twitter. Ik krijg een reactie van Jeroen van der Ham.

‘Een mailtje gaat na de klik op ‘verzenden’ door een molen van software en protocollen. Het reist langs diverse servers tot het in de inbox verschijnt.’ Jeroen van der Ham geeft les aan de UvA. In het vakkenpakket van zijn masterstudenten wordt e-mail van begin tot eind uitgelegd. ‘Eén tussenstapje in die molen is een spamfilter die controleert of jij wel koosjer aan het mailen bent.’

Van der Ham opent een mail. ‘Boven de inhoud, de datum en de afzender van het mailtje staan de ‘headers’, info die is toegevoegd door servers waarlangs het bericht werd verstuurd. In de headers staat de informatie die nodig is om de mail op de juiste plek af te leveren. Wie de afzender is, met welk programma de afzender zijn e-mail heeft verstuurd en nog veel meer. Normaal zie je in je browser of mailclient, zoals Thunderbird of Outlook, alleen de afzender, de geadresseerde en het tijdstip van verzenden. Als je alle headers tevoorschijn tovert, zie je ook informatie waar de spamfilter op controleert.’

Spamfilters of email security

Martijn Grooten weet alles van spamfilters. Hij test ze dagelijks bij het bedrijf Virus Bulletin in Engeland. Vlak voor Grooten weer naar Engeland vertrekt, spreek ik hem op Schiphol. ‘De antispam-industrie heeft spam een andere naam gegeven: ‘email security’. Spam zoals het er vroeger uit zag, heeft veel van zijn effectiviteit verloren. Huidige vormen van spam zijn moeilijker controleerbaar. Inmiddels herkent een mailserver al gauw dat er sprake is van spam als er ineens een bulk e-mail wordt verstuurd vanaf hetzelfde adres. Tegenwoordig kiezen cybercriminelen veel vaker hun doelwit gericht uit en bestoken ze hen met één mailtje.’

Maar het meest schokkende komt nog: spamfilters lezen mailtjes. Ze scannen de tekst van het mailtje op dubieus taalgebruik. In theorie kan je zo’n spamfilter dus inzetten voor hele andere doeleinden dan spam blokkeren. Tot op heden zijn er volgens Grooten geen gevallen van bekend van inlichtingendiensten zoals de NSA die spamfilters op die manier gebruiken. Ook al behoort de grootste spamproblemathiek inmiddels tot het verleden, de onversleutelde inhoud van mailtjes reist als leesbare tekst met een omweg van a naar b.

Hackers weten dat. Dat merk ik wel als ik tussen Kerstmis en Oud en Nieuw in Hamburg het Chaos Communication Congress bezoek. Een terugkerend thema in veel speeches blijft: communicatie via internet moet worden versleuteld. Christopher Soghoian, een veiligheidsspecialist benadrukt met wat ironie dat versleutelingssoftware aan verbetering toe is. PGP bijvoorbeeld, een tool die je kan gebruiken om de inhoud van je mail te versleutelen, ziet er al zestien jaar hetzelfde uit is erg gebruiksonvriendelijk.

E-mailproviders maken hun eigen keuzes in beveiliging, hoeveel e-mails je mag opslaan en hoe groot de bijlages mogen zijn die je verstuurt. Ik wil spreken met iemand die daarin zijn eigen keuzes maakt. Nick Groenen, Ict’er bij een reisorganisatie, is gewoon zijn eigen e-mailprovider geworden. Zijn inbox is zo groot als hij zelf wil en hij accepteert mailtjes met bijlages van 2 Gigabyte terwijl de meeste providers zich beperken tot enkele tientallen MB’s. Ook kan hij net zoveel adressen aanmaken als hij wil. Bijvoorbeeld voor Facebook en Twitter. Als hij dan stopt met zo’n dienst, gooit hij het mailadres weg en weet hij zeker dat ze hem nooit meer bestoken met reclame.

17.000 mailtjes per dag

Ik ga ook op bezoek bij Onno Zweers, die ook zijn eigen mailserver heeft. Hij stuurt 17.000 mailtjes per dag. Eerst vanuit zijn trapkast, nu staat zijn server in datacentrum Evoswitch in Haarlem. Die duizenden mailtjes gaan naar de mensen die op followthatpage.com, zijn website, hebben aangegeven dat ze op de hoogte willen blijven van hun favoriete websites. Onno stuurt ze een mailtje zodra zijn software heeft gedetecteerd dat er tekst op een webpagina is veranderd. Toen de internetprovider van Onno, xs4all, dacht dat Onno spam aan het versturen was vanaf hun IP-adres, draaiden ze de kraan dicht. Nu staat Onno’s server in een datacentrum, waar er geen internetprovider is die het mailverkeer kan beperken wegens spammeldingen.

Duizenden mailtjes sturen, kost de processor van Zweers server nauwelijks moeite. De kosten van het mailen, zitten ’m dus niet zozeer in de stroom die de server nodig heeft om die mailtjes te sturen, maar veel meer in de opslagcapaciteit en het dataverkeer. Ruimte kost vanzelfsprekend geld. Hoe meer je opslaat, hoe meer harde schijven je nodig hebt. Dataverkeer kost geld omdat je gebruik maakt van infrastructuur die ook betaald moet worden.

Een e-maildienst wordt vaak gratis aangeboden, maar kost de provider natuurlijk wel geld. Omdat ik benieuwd ben naar dat bedrag, werk ik samen met Zweers aan een rekenmodel om erachter te komen wat een Hotmail-account ongeveer zou kunnen kosten. Dat doen we door te kijken naar hoeveel mailtjes mensen ongeveer opslaan, hoeveel ze versturen en ontvangen en wat het kost om een server te onderhouden. Zo wil ik een beeld schetsen van de kosten van een dienst.

Een maand mailen, praten en bloggen over e-mail levert heel wat inzichten op. De komende tijd wil verder ingaan op de beveiliging van e-mail. Ik wil weten wat het kost, wie het bedenkt, wie het verkoopt en hoeveel het nou uiteindelijk oplost. Ook wil ik weten hoe het adverteren in iemands inbox werkt. Waar je zoal op kunt selecteren, welke grenzen er zijn en hoeveel het oplevert. Ben je werkzaam in één van deze twee gebieden? Stuur me een mail. Dat kan naar maurits.reijnoudt@bof.nl