E-mail delivery in Europa Een white paper van Experian CheetahMail
E-mail delivery in Europa De bevoegdheden van Europese ISP’s (Internet Service Providers) zijn vanwege de geldende EU-regelgeving op het gebied van e-mailcommunicatie niet te vergelijken met die van hun collega’s in de Verenigde Staten. Dit document gaat dieper in op de diverse soorten e-mailfiltering die worden toegepast door ISP’s en op de laatste trends in deliverability in de Europese Unie. Is het filteren van spam illegaal in de Europese Unie? Conform de Europese regelgeving zijn sommige methoden voor het bestrijden van spam eigenlijk niet toegestaan. Het thema werd in 2006 grondig onderzocht door Article 29 Working Party, een werkgroep van Europese privacytoezichthouders die concludeerde dat, hoewel het filteren van spam en virussen noodzakelijk is om ISP-netwerken te beveiligen tegen misbruik, sommige vormen van spambestrijding in tegenspraak zijn met diverse bepalingen van de Europese wetgeving. Zoals bijvoorbeeld artikel 8 van het Europese verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (‘ECHR’)1 Belangrijker misschien nog is dat ‘Article 29 Working Party’ concludeerde dat de gebruiker bij ieder mogelijk filterscenario van tevoren moet worden ingelicht2 en zijn ISP toestemming moet geven om deze service te mogen uitvoeren. Hoewel er veel manieren zijn om e-mail te filteren, is iedere methode onderhevig aan één of meerdere bindende (wettelijke) regels. Voorbeelden hiervan zijn: regels met betrekking tot het onderscheppen van telecommunicatie, individuele vrijheden van expressie en privacyrechten. EU-commissaris Viviane Reding verklaarde in oktober 2009 dat, sinds de beperking op anti-spam binnen de EU van kracht is, er meer wetgeving nodig is. Ze merkte daarbij op dat deze een recht tot zelfstandig optreden voor ISP’s3 moet bevatten.
Content Filtering Voor Europese ISP’s is ‘content filtering’ één van de belangrijkste gereglementeerde gebieden. Aangezien deze manier van filteren vereist dat ISP’s de inhoud van individuele e-mailberichten analyseren, wordt deze praktijk zonder de toestemming van de ontvanger gezien als een potentiële schending van het ECHR. Als gevolg controleren steeds minder Europese ISP’s de individuele berichten op keywords, dit in tegenstelling tot hun collega’s in de Verenigde Staten, of maken gebruik van content-based Bayesian filters4.Van een paar Europese ISP’s, namelijk SFR (Neuf, Club Internet) en Ziggo, is het bekend dat zij intensief gebruik maken van contentfilters om de e-mail aan de poort tegen te houden, voor zover deze betrekking heeft op phishing en bekende spamwoorden.
1. Bron: Working Party 29 Opinie 2/2006 over privacykwesties, gerelateerd aan de levering van e-mail screening service, 21 februari 2006. 2. Kennisgeving en toestemming kunnen worden toegevoegd aan de servicevoorwaarden van de ISP. 3. Opmerkingen na de publicatie van spamonderzoek door een EU-commisie: http://ec.europa.eu/information_society/ policy/ecomm/doc/library/ext_studies/privacy_trust_policies/spam_spyware_legal_study2009final.pdf 4. In tegenstelling tot andere filtertechnieken die onderwerpregels en titels afzoeken op spamwoorden, controleert een Bayesian filter de hele context van een e-mail op woorden en/of andere kenmerken die het elektronische bericht identificeren als spam. Een ander verschil tussen een Bayesian filter en overige spamfilters is dat een Bayesian filter, naarmate het meer binnenkomende mails analyseert, leert hoe hij nieuwe spam moet herkennen. Bron: http://www.webopedia.com/TERM/B/ Bayesian_filter.html
2 - Experian CheetahMail - E-mail delivery in Europa
Er zijn echter een aantal erkende content filtering service providers en door Europese ISP’s gehanteerde blocklists. Aangezien de meeste providers voor het detecteren van spam gebruik maken van z.g. ‘fingerprints’, die van tevoren worden bepaald door klachten over misbruik of door spamtraps, is het niet meer nodig om de content van elk bericht te evalueren en aan de ISP gateway te blokkeren. Deze methode is meer privacyvriendelijk, zowel voor gebruiker als ontvanger. • Cloudmark is het grootste Europese ISP spamfilter en verwerkt de klachten van 180 miljoen gebruikers wereldwijd en neemt een fotografische momentopname, of ‘vingerafdruk’, van de content van een bericht. Een groot aantal Europese ISP’s maken gebruik van haar diensten, waaronder: Virgin, Sky, Vodafone en Swisscom. Tiscali en andere providers gebruiken Symantec Brightmail. • Symantec Brightmail is de oudste leverancier van mailbeveiligingsproducten en maakt voor de identificatie van ongewenste e-mailberichten gebruik van honeypots of andere spamtraps. De aangetroffen ‘vingerafdrukken’ worden vervolgens door een bij de desbetreffende ISP-cliënten geïnstalleerd softwareprogramma geïdentificeerd als spam. • Vade Retro is een snel groeiende filterprovider en is vooral populair bij Franse ISP’s. Deze spamscanner maakt gebruik van een voorspellingssysteem dat is gebaseerd op methodisch onderzoek van verdachte reclameberichten bij ontvangst. Dit systeem analyseert m.b.v. verschillende anti-spam methoden (keywords, links, Bayesian filters, enz.) ‘sequenties’ in berichten, die in combinatie een hoge waarschijnlijkheid vormen om opnieuw te verschijnen in andere e-mails. • SURBL & URIBL zijn twee op content gebaseerde blocklists die verschillende technieken hanteren, zoals spamtraps en klachten, voor het identificeren van domeinnamen en URL’s die in een DNSBL (domain name system real-time blocklist) worden ingevoerd. Deze methode wordt door sommige ISP’s gebruikt om verdachte afzenders in de transmission header of in de content van het bericht te identificeren. • SpamAssassin wordt nog steeds gebruikt door sommige ISP’s en is een open source anti-spam filter (en vormt tevens de basis voor Experian CheetahMail en is de content evaluation toolset van andere deliverability diensten). SpamAssassin maakt gebruik van een puntensysteem dat rekening houdt met de vele onderdelen waaruit een bericht is opgebouwd, zoals content en message headers, en die gekoppeld zijn aan een handtekening van de ISP. Als gevolg hoeven de ISP’s slechts een handtekening te identificeren in plaats van de hele inhoud, waardoor er vóór ontvangst eenvoudig kan worden gefilterd.
Experian CheetahMail - E-mail delivery in Europa - 3
Feedback loops voor klachten Terwijl bijna iedere Amerikaanse ISP met een webmailoptie het gebruik van een ‘spam’ of ‘junk’ knop als een primair mechanisme voor het herkennen van spam heeft omarmd, worden Europese ISP’s in het delen en het gebruik van deze gegevens beperkt door wettelijke bepalingen. Klachten over misbruik houden gewoonlijk de volledige transmission header in stand, die de adressen van de afzender en de ontvanger bevat. Als gevolg kunnen ISP’s die deze gegevens zonder toestemming identificeren en gebruiken in conflict komen met de Europese richtlijn voor bescherming van persoonsgegevens. Deze bepaling vereist toestemming voor het gebruik van persoonlijke informatie voor een ander doel dan dat waarvoor de gebruiker oorspronkelijk toestemming heeft gegeven. Daarom moeten Europese ISP’s, voordat zij op dezelfde wijze als hun Amerikaanse collega’s gebruik mogen maken van feedback loops, vooraf toestemming hebben van iedere subscriber voor het indienen van klachten of het leveren van uitgebreide anti-spam diensten. In samenwerking met de Franse gegevensbeschermingsautoriteit (CNIL) kunnen Franse gebruikers van Signal Spam een speciale plug-in werkbalk voor hun e-mailsoftware downloaden, waarmee zij participerende ISP’s direct van feedback over klachten kunnen voorzien om spammers te kunnen opsporen. In samenwerking met het Franse SNDC, ontvangen erkende afzenders vanaf 2008 informatie over deze klachten om zo toekomstige grieven te beperken. In de afgelopen maanden is er sprake van een groeiende tendens onder Franse ISP’s om Signal Spam te onderschrijven en te promoten en de applicatie binnen het aanbod op het gebied van webmail in te bedden. Dit zou de toepassing aanzienlijk veranderen. Voor zover wij weten is, op British Telecom na, wiens e-mail wordt gefilterd via Yahoo, het Duitse Web.de (GMX) tot op heden de enige andere Europese ISP die plannen heeft om zijn eigen feedback loop voor klachten over misbruik te installeren. We mogen niet vergeten dat iedere ISP voor het vaststellen van de reputatie van de afzender gebruik maakt van klachten over spam of misbruik die hij via zijn eigen spam/junk knoppen ontvangt. In sommige gevallen, zoals bij Free.fr, zijn er slechts een paar spamklachten nodig om een IP-adres te blokkeren. Gelukkig, zoals het geval bij Free.fr, zijn de ze IP-blocks dynamisch en heffen zichzelf binnen 24-48 uur op.
4 - Experian CheetahMail - E-mail delivery in Europa
Zwarte lijst van derden met IP-adressen Bijna iedere Europese ISP werkt met één of meerdere zwarte lijsten van derden met IP-adressen. De meerderheid van deze zwarte lijsten gebruiken voor de identificatie van onjuiste of frauduleuze afzenders verlopen of nooit gebruikte e-mailadressen als ‘spamtraps’. De rechtsgeldigheid van deze anti-spam methode werd in 2007 in Europees verband getest door een Duitse rechtbank, die oordeelde dat het gebruik van een IPzwarte lijst geoorloofd is, zolang deze wordt gebruikt in ‘uitzonderlijke gevallen’5 en dan nog exclusief voor het filteren van spam. Bovendien ‘filteren’ zwarte lijsten technisch gesproken niet, zij weigeren e-mails vóór ontvangst. Als gevolg hebben Europese ISP’s geconcludeerd dat het gebruik van zwarte lijsten geen schending is van het ECHR of de richtlijn gegevensbescherming. Evenals in de VS, is de Spamhaus Block List (SBL) de meest gebruikte zwarte lijst onder Europese ISP’s. Andere grote Europese ISP’s, zoalsTiscali en UPC, hebben bevestigd dat zij de Composite Blocking List (CBL) en UCEProtect hanteren, terwijl van ISP’s als Virgin bekend is dat zij gebruik maken van het Spam and Open Relay Blocking System (SORBS). Ook de Spam URL Block List (SURBL) en de URIBL zijn onder Europese ISP’s populair, hoewel in mindere mate dan bij hun Amerikaanse collega’s. Het is belangrijk om op te merken dat iedere ISP er ook een eigen blocklist op nahoudt en primair vertrouwt op spamtraps (vooral gerecycled uit eerdere actieve adressen), klachten over spam-/junkmail en andere mechanismen.
MARKTAANDEEL EU ISP “BLACKLIST” (GESCHAT)
70% 60% 50% 40% 30% 20% 10% 0%
Spamhaus
CBL
UCEProtect
SORBS
SURBL
5. Uitspraak van het kantongerecht Lüneburg op 27 september 2007, dossiernummer # 7 O 80/07
Experian CheetahMail - E-mail delivery in Europa - 5
Toenemend gebruik van greylisting De hedendaagse spam wordt voornamelijk verzonden via ‘botnets’, die veel meer aansluitingen maken dan de oude ‘spam cannon’ bulk e-mail softwareprogramma’s. Het beste wapen dat de meeste Europese en veel Amerikaanse ISP’s hiertegen inzetten is het z.g. ‘greylisting’. Dit is waar zij het aantal berichten of aansluitingen van een versturende IP beperken en van de afzender eisen dat hij de mails continu opnieuw blijft versturen. Experian CheetahMail beroemt zich op het bezit van gecompliceerde retry-mechanismen die dit proces vereenvoudigen. Botnets, aan de andere kant, gebruiken deze methode niet. Als gevolg zien we een aantal Europese ISP’s, zoals Neuf in Frankrijk, Orange en Freeserve in het Verenigd Koninkrijk/Frankrijk en Virgilio/Tin in Italië, dat stevig vertrouwt op dit soort filters en legitieme e-mail zelfs voor een korte periode vertraagt, zodat authenticiteit kan worden bevestigd.
Meer naar de inbox De meeste e-mail van Europese ISP’s wordt primair nog steeds geleverd aan de desktop softwareapplicaties van de gebruiker, zoals Microsoft Outlook en Outlook Express. Veel van de grotere ISP’s bieden ook een gratis webmailapplicatie aan of zijn in sommige gevallen uitsluitend op het web gebaseerd, zoals Web.de in Duitsland of Free.fr in Frankrijk.
6 - Experian CheetahMail - E-mail delivery in Europa
Postmaster websites Na alle inspanningen van Amerikaanse ISP’s, hebben de Europese collega’s zich gerealiseerd dat zij hun technische helpdesk kunnen ontzien door gebruikers en afzenders meer informatie te geven over hun acceptatiebeleid (AUP), over het tegenhouden van spam en door problemen met de levering op te lossen.
Gezamenlijke inspanningen Veel Europese ISP’s hebben in verschillende groepen samengewerkt aan het terugdringen van spam. • Messaging Anti-Abuse Working Group (MAAWG) Experian CheetahMail is als actieve deelnemer en voorzitter van de MAAWG Senders Special Interest Group blij te kunnen melden dat zij nauw met Europese ISP’s heeft samengewerkt aan de oplossing van veel voorkomende problemen tussen afzenders en Europese ontvangers. Actieve MAAWG deelnemers uit Europese ISP’s zijn Orange/Wanadoo; Tiscali, T-Mobile, Web.de/ GMX, Telefonica, Telenet en Swisscom. • Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) De OESO lanceerde in 2005 een anti-spam initiatief en de lidstaten hebben een memorandum van overeenstemming ondertekend om samen te werken op het gebied van spambestrijding. • London Action Plan In 2004 opgericht internationaal samenwerkingsverband ter bestrijding van spam met deelnemers uit 27 landen. Deze controleautoriteit is vernoemd naar de locatie van de eerste gezamenlijke bijeenkomst. • Duitse ECO De beroepsorganisatie voor Duitse ISP’s (ECO) heeft behalve talrijke inspanningen op het gebied van anti-spam ook een accreditatieprogramma gelanceerd voor afzenders: de “Certified Senders Alliance”. Dit is de enige commerciële witte lijst in Duitsland.
Experian CheetahMail - E-mail delivery in Europa - 7
Levering strategische e-mail binnen de EU - conclusies 1. Wees bedachtzaam met het versturen van e-mail op volle snelheid, aangezien sommige ISP’s de berichten met aanzienlijke vertraging doorgeven. Overweeg ter optimalisatie van de levering over toegewezen IP-adressen flow-rating (begrenzing) voor het verzenden van zeer grote volumes naar Duitsland, Frankrijk of Italië. 2. Let vooral op gebruikersklachten van mondiale ISP’s, zoals MSN/ Hotmail/ Live, Yahoo! en AOL, omdat deze grieven zich altijd vertalen in klachten over ISP anti-spam operaties of bedrijfsfilters zoals Cloudmark. Over het algemeen wordt een klacht boven de 5% door een ISP (die een webmailknop voor junkmail/spam aanbiedt) beschouwd als een hoog risico voor negatieve filteractiviteiten. 3. Houd uw gegevens up-to-speed, omdat uw legacy data, of dubieus verkregen informatie, zwarte lijsten of begrenzingen activeert. Sommige van deze ISP’s, zoals GMX/Web.de houden nauwkeurig het aantal hard bounces van specifieke IP’s bij die zich in een korte periode voordoen, om zo een uitstel te activeren. Dus een schone lijst staat in verband met de leversnelheid. 4. Gebruik internationale ranglijsten van derden, zoals Return Path Mailbox Monitor, voor de identificatie van bulk/junk/spam of zoekgeraakte leveringen aan EU-domeinen.
Meer weten?Bel 070 440 40 00 of mail:
[email protected]
8 - Experian CheetahMail - E-mail delivery in Europa
Experian Nederland Kantoorgebouw ‘t Schip Verheeskade 25 2521 BE Den Haag Postbus 13128 2501 EC Den Haag T 070 - 440 40 00 F 070 - 440 40 40
[email protected]
© Experian Limited 2009. The word “EXPERIAN” and the graphical device are trade marks of Experian and/or its associated companies and may be registered in the EU, USA and other countries. The graphical device is a registered Community design in the EU. All rights reserved.