Mag een internetprovider je afsluiten bij spam?

spam-verboden.pngEen lezer (dank!) wees me op deze Tweakersdiscussie waarin iemand schrijft:

Gisteren had ik opeens geen internet meer. De lan lampjes van de modem bleven ook allen uit. “Vast een storing” en ik ging naar mijn werk. Tot mijn vader mij belde dat hij de Ziggo helpdesk had gebeld en we worden beschuldigd van het versturen van SPAM mail.

Na enige frustrerende belrondjes kwam er dan toch uiteindelijk een logbestand boven water: “Mail amount : 650”. Oftewel, vanwege 650 uitgaande mailberichten in een tijdsperiode van drie kwartier (07:46:04 tot 08:31:20) werd een automatische blokkade opgeworpen – computer says spam. Mag dat nu zomaar?

Het lijkt logisch dat een internetprovider mag ingrijpen bij geconstateerd kennelijk misbruik, en uitgaande spam is nu eenmaal een groot probleem bij consumentencomputers. Er is dan ook weinig op tegen (als het in de voorwaarden toegelicht staat), afgezien dan van netneutraliteit.

Art. 7.4a Telecomwet bepaalt dat een telecomprovider zoals Ziggo geen internetverkeer mag beperken of blokkeren, behalve in vier genoemde gevallen. Eentje daarvan gaat over spam:

om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend,

Maar dat gaat over het filteren van inkomende spam bij de provider. Dan is de enige relevante optie nog deze:

ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;

Uitgaande spam vanaf een consumentklantcomputer wijst er gewoonlijk op dat de computer geïnfecteerd is met een spamversturend virus of andere rommel, en daar ligt dan een schone taak voor de provider. Echter, in dat geval geldt nog een aanvullende eis:

[Als het probleem] wordt veroorzaakt door verkeer afkomstig van een randapparaat van een eindgebruiker, doet de aanbieder voorafgaand aan het nemen van een maatregel waarmee het verkeer wordt belemmerd of vertraagd, melding aan de betrokken eindgebruiker, zodat de eindgebruiker de gelegenheid heeft de inbreuk te staken. Wanneer dit wegens de vereiste spoed niet voorafgaand aan het nemen van de maatregel mogelijk is, doet de aanbieder zo snel mogelijk melding van de maatregel.

Oftewel, eerst bellen en de consument het zelf laten fixen, pas daarna ingrijpen aan de providerkant. Daar lijkt het hier dus mis te gaan, nu er geen overleg is geweest en al helemaal niet voorafgaand aan de blokkade.

Of je zegt, Ziggo moest wel direct blokkeren anders komen hun IP-adressen op allerlei zwarte lijsten. Daar valt wat voor te zeggen, en dan is de vereiste spoed dus aangetoond. Maar dan nog moet er worden gemeld bij de consument dat dit is gebeurt.

Zou de gedachte dan zijn, ze merken het vanzelf en dan gaan ze wel bellen, dat is handiger? Of is er een mailtje verstuurd vanaf het abuse-adres dat vervolgens (oh ironie) in de spambox terechtgekomen is?

Arnou

39 reacties

  1. Het probleem met de methode die Ziggo (en wellicht ook andere providers) hanteert, is dat het gaat om het aantal (650) verstuurde berichten. Dat aantal zegt nog helemaal niets over of het ongewenste berichten zijn.

    Zo is het in veel gevallen een apparaat die berichten stuurt naar de gebruiker. Als voorbeeld werd een webcam genoemd die een e-mail stuurt als er iets in beeld beweegt. Door een bewegend gordijn werden er e-mails verstuurd.

    Je wordt dan dus afgesloten omdat je naar jezelf e-mails stuurt en daar lijkt me geen enkele grond voor.

    1. Is het realistisch dat iemand dat wíl, 650 mails in drie kwartier? Zo niet, dan snap ik wel dat je veronderstelt dat het reclamerommel is. Iemand die twintig keer in 10 seconden een fout wachtwoord intypt kán natuurlijk een snel typende legitieme gebruiker zijn maar het kan ook het begin van een bruteforceaanval zijn, en gezien de timing voelt dat waarschijnlijker.

      1. Ik vind het realistischer dat iemand dat wil dan dat iemand z’n hele internetverbinding plat wil hebben. Als ze alleen tijdelijk(!) de SMTP server voor deze gebruiker zouden blokkeren, is het wat anders.

        Daarbij is er een verschil of het naar 650 verschillende ontvangers gaat of naar één ontvanger. Bij dat laatste kan je nauwelijks uitgaan van reclame rommel. Let wel, het gaat om het aantal verstuurde berichten en niet het aantal ontvangen berichten.

        Natuurlijk mag er een limiet zijn op het aantal e-mails dat je per uur kunt versturen maar dat moet dan het uur erna gewoon weer gereset worden en moet in de tussentijd niet je volledige verbinding plat gegooid worden maar alleen de diensten die vermeend overlast zouden veroorzaken.

        Zo wordt de verbinding van de snel typende legitieme gebruiker ook niet compleet platgelegd maar alleen naar de dienst/site waar hij verkeerd inlogt.

        1. Het hoeft geen reclamerommel te zijn. Een op hol geslagen botje is óók overlast, toch? Als ik 650 mails krijg met “Er is beweging gedetecteerd” dan word ik daar ook niet gelukkig van.

          Natuurlijk kun je ‘m na een uur weer aanzetten, maar dan gaat het spuwen ook weer verder. Dus is dat echt de meest praktische oplossing?

          1. Maar dat is toch overlast die ik mezelf aandoe? Daar heeft de provider niets mee te maken. Het verkeer wat dat veroorzaakt geeft geen overlast voor een provider dus het gaat alleen om de overlast voor mezelf.

            Ik zie daar geen taak in voor de provider en zie helemaal niet in waarom dan ook alle andere diensten gestopt worden.

            Als er daadwerkelijk spam verstuurd wordt dan kan ik nog wel begrijpen dat óók de rest van de diensten gestopt worden. Blijkbaar ben je dan geïnfecteerd en dat kan zich ook verder verspreiden via de andere dienst maar met 650 e-mails naar één adres, zie ik die noodzaak echt niet.

        2. Je hoeft natuurlijk niet rechtstreeks vanaf jouw internetverbinding een verbinging op te zetten. En bot zou eerst op een simpele manier kunnen proberen te verbinden en anders via een VPN/Tor/… connecties proberen op te zetten.

          Ook bij het versturen naar één persoon, kan het natuurlijk spam betreffen (Ziggo kan niet zomaar weten of jij dat bent).

          1. Zou ook zomaar kunnen dat er wel een bericht gestuurd is… maar deze ivm ontbrekende internetverbinding niet te zien is… of bv naar een @ziggo.nl mailadres is verstuurd, terwijl deze niet (actief) gebruikt wordt.

            Ooit eens een voorval gehad met hosting, werd ineens afgesloten (tijdens vakantie, erg fijn) waarbij er wel een mail was uitgestuurd, maar naar het mailadres wat gebruik maakte van dezelfde hosting, niet te lezen dus.

      2. Je bent bestuurslid van een club van ruim 1000 mensen, en je stuurt de nieuwsbrief rond.

        OK, dat soort mail is ook al snel spam, maar dit komt al snel in de buurt van legitiem gebruik.

        Of je runt een bedrijfje waar mensen abonnementen kunnen nemen, en je stuurt eens per maand / per jaar de rekening per e-mail naar je klanten.

        1. Dat soort mail hoor je niet vanaf thuis te versturen. Daar zijn diensten voor. Of je gebruikt een paar dikke BCC’s (geen idee wat de limiet aan het aantal adressen in een BCC/mail is). Dat het theoretisch mogelijk is, betekent nog niet dat je dat vanaf een niet-zakelijke verbinding zou moeten kunnen.

    2. Ze zijn echt verkeerd bezig. Mij is het gisteren overkomen. Ik had een nieuwe AP gekocht. Ik heb log forwarding ingesteld, maar de setting was als de logs vol raken, dan pas sturen naar email. Zo ging de AP gisteren per twee minuten een kleine email naar mijn Ziggo email box verzenden. Dag later werd complete internet verbinding afgesloten. Zelf telefoon deed het niet. Ze hebben telefoon snel hersteld, maar dag later heb ik nog steeds geen internet. Het kan nog even duren, werd mij verteld. Ziggo beweerde dat ik de emails naar verschillende adressen zou hebben verstuurd, maar dat klopt dus niet. Door hun beweringen werd ik op verkeerde pad gezet. Ik dacht zelf naar virussen op smartphone. Ik kijk bijna nooit naar Ziggo mail. Pas toen ik ging zoenen naar de mail die ze hadden verstuurd naar mijn Ziggo mail box werd het mij duidelijk. Wat een onzin, 650 text mailtjes zonder bijlage is niks. En de manier hoe ze dat doen, arrogant. Ik heb ze gelijk opgezegd, maar ze hebben wel macht positie op de kabel.

  2. In 2013 deed Telfort dat in ieder geval anders. Ik had m’n router (open-WRT TP-Link ding) verkeerd geconfigureerd waardoor er een onveilige DNS server op draaide. Ik had zelf al gemerkt dat er 10.000+ connecties op m’n router werden gemaakt. En kreeg toen dit mailtje:

    Geachte heer/mevrouw,

    LET OP : Deze e-mail bevat belangrijke informatie over een beveiligingsprobleem wat op uw Internetverbinding is aangetroffen. Leest u deze e-mail alstublieft aandachtig door.

    Wij hebben geconstateerd dat er op uw aansluiting een onveilige DNS server draait. Dit kan worden veroorzaakt doordat u een eigen server heeft aangesloten op de verbinding, of een modem gebruikt die niet (meer) door Telfort wordt ondersteund. Meer informatie over dit probleem is te vinden op de website van de SIDN, welke u kunt nalezen via https://www.sidn.nl/nl/ni…arheid-in-dns-protocol-1

    Indien u een eigen server heeft draaien, verzoeken wij u deze van de aansluiting te verwijderen, waarmee u het probleem heeft opgelost.

    Heeft u een eigen modem, verzoeken wij u de configuratie aan te passen, zodat DNS functionaliteit niet langer beschikbaar is vanaf het internet. Raadpleeg de handleiding van uw modem, of neem contact op met de leverancier. Mogelijk dient u de software van uw modem, de zgn. firmware bij te werken.

    Eventueel kunt u contact opnemen met Telfort voor het leveren van een modem in bruikleen. Deze modems worden door Telfort zelf beheerd, waardoor u zich geen zorgen hoeft te maken over het bijwerken van de modem software.

    [Nog wat contactinfo en abuse nummer; heb ik verwijderd]

    Met vriendelijke groet,

    Telfort Abuse Team xxxxx@xxxxx.nl

    Tel. 0900 xxxx (10ecpm + evt. kosten van uw mobiele aanbieder, deze vindt u op de website van uw aanbieder)

    Ik heb ze gebeld, gemeld dat ik m’n router heb gereset naar factory settings en dat daarmee het probleem was opgelost. Hierop hebben ze niet mijn internet afgesloten, wat ze normaal wel zouden doen binnen een uur na een dergelijke mail. ( gerelateerd topic op tweakers forum )

  3. Ik vind dat het terecht is dat de volledige verbinding wordt afgesloten.

    Aangenomen dat er een spambot actief is kan er een boel meer narigheid aanwezig zijn, of nog komen. Door de volledige verbinding af te sluiten beschermd de provider de klant, en mogelijk ook de eigen belangen.

    De provider zou natuurlijk een melding moeten doen, zoals Arnoud aangeeft. Maar wil jij midden in de nacht gebeld worden dat jouw internetverbinding is afgesloten (sommige mensen zijn dan juist wel actief)? Een SMSje dan? Of toch maar gewoon een mailtje (geen idee of Ziggo dat wel doet). Die kun je inderdaad niet via jouw eigen verbinding bekijken. Maar daar hebben de meeste mensen toch een mobiel voor? En als je niet bij je mail kunt bel je Ziggo maar.

    1. De vraag is of Ziggo de gehele verbinding mag afsluiten, of alleen de e-mailmogelijkheden. Art. 7.4a Tw bepaalt:

      tenzij en voor zover de betreffende maatregel waarmee diensten of toepassingen worden belemmerd of vertraagd noodzakelijk is: (..) b. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
      Het blokkeren van de gehele verbinding is disproportioneel en wordt dus niet door dit artikel gelegitimeerd. Ik heb het idee dat het opschorten van de levering van internet meer onder de reikwijdte van art. 7.6a Tw valt:
      Een aanbieder van een internettoegangsdienst aan een eindgebruiker kan de levering van deze dienst slechts geheel of gedeeltelijk beëindigen of opschorten: a. op verzoek van de abonnee; b. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee; c. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee; d. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd; e. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en f. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.
      Dit artikel staat volledige afsluiting ook niet toe in het geval waarin de gebruiker spam verstuurt.

        1. Art. 6:162 BW vereist geen mededeling voorafgaand of na opschorting. Op basis van redelijkheid en billijkheid kan de provider wel verplicht zijn om mededeling te doen, maar die mededeling hoeft bij dringende noodzaak niet vooraf plaats te vinden.

          Nu ik langer naar dit artikel kijk, vraag ik me af of je de levering van internet wel op kunt schorten. Bij een databundel zonder houdbaarheidsdatum kun je de levering opschorten, maar veelal is er sprake van een duurovereenkomst. Opschorting van een huurovereenkomst door de verhuurder is bijvoorbeeld afgewezen door de Rechtbank Arnhem (ECLI:NL:RBARN:2005:AU5965):

          Ook al betaalt de huurder de achterstallige huurpenningen, dan kan de verhuurder zijn verplichting om het gehuurde dan alsnog ter beschikking te stellen voor het verleden niet meer nakomen, zodat het middel van opschorting haar doel voorbij schiet. Er is geen sprake van uitzonderlijke omstandigheden, die tot een ander oordeel leiden.
          Dus ik denk toch niet dat het als opschorting is te kwalificeren. Dan kom je dus toch bij netneutraliteit, maar dat vereist een proportionaliteit bij het blokkeren van verkeer.

          1. Hm, je hebt gelijk (hoewel het 6:262 is en niet 6:162), mededeling hoeft niet van de wet. Maar mijn twijfel zit hem meer bij of het wel te kwalificeren is als een opschorting. Wil Ziggo wel die juridische stap nemen, of doen ze gewoon een feitelijk stapje? Volgens mij is er wel de intentie nodig “wij stoppen met levering, die klant schiet te kort” om een niet-leveren als opschorting te mogen kwalificeren.

    2. Ik vind het verre van terecht. Het is technisch prima mogelijk om slechts uitgaand poort 25 te blokkeren in het geval van spam (zoals vele datacentra bijvoorbeeld ook doen), en dit vervolgens aan de klant te melden. De huidige gang van zaken is absoluut niet proportioneel te noemen.

  4. Ik heb dit met Ziggo ook eens meegemaakt. Mijn fileserver thuis (niet voor het internet bereikbaar) stuurde waarschuwingsmailtjes naar mezelf omdat een hardeschijf foutmeldingen gaf. Dat zat binnen de kortste keren >650. De server gebruikte daar de SMTP-server van Ziggo voor omdat dat de enige server is die op poort 25 bereikt kan worden. Hele internetverbinding afgesloten.

    Dit verhaal was voor de Ziggo helpdesk wat te ingewikkeld. Toen ik vroeg de verbinding weer aan te zetten zeiden ze eerst dat ik alle virussen van m’n computer moest verwijderen. Om ze een plezier te doen heb ik ze een uur later teruggebeld met de melding dat ik een virus verwijderd had. Toen hebben ze direct m’n verbinding weer open gezet.

    En nu gebruik ik dus niet meer de SMTP-server van Ziggo… 😉 heb poort 25 uitgaand in m’n router geblokkeerd, dus dit gebeurt niet weer.

    1. Nog een aanvulling over de verplichting om te melden. Ziggo heeft me bij de blokkade wel een brief gestuurd, maar die kwam pas na 2 dagen. Toen had ik m’n verbinding allang weer laten deblokkeren. Wellicht sturen ze geen melding per e-mail, omdat ze er vanuit gaan dat je die zonder internet toch niet kunt ontvangen.

  5. Hier is een belangenafweging gemaakt. Het geobserveerde gedrag geeft inderdaad aan dat er een hoge waarschijnlijkheid (maar geen zekerheid) is van abuse. Van spamruns weten we tegenwoordig dat ze vaak gedaan worden vanaf besmette pc’s die naast de schade die spam veroorzaakt ook nog veel andere schade kunnen veroorzaken, bijvoorbeeld participeren in DDoS-aanvallen. Het belang van het internet is dus dat we bij twijfel een machine even van het net halen en onderzoeken. Natuurlijk is er ook een belang voor de klant om online te blijven. Maar voor een thuisaansluiting is dat belang wel maar relatief klein. Zeker nu je in noodgevallen ook even via 4G online kunt.

    Het belang van het netwerk als geheel om verdachte machines snel even te kunnen neutraliseren zodat ze onderzocht kunnen worden prevaleert hier mijns inziens boven het belang van die ene thuisaansluiting op een ononderbroken dienstverlening.

        1. En er zijn zelfs plekken, bijv. hier in Almere, waar je zelfs in woonwijken 2G-gaten hebt. Oftewel: daar heb je dus helemaal niks. Was onlangs nog in het nieuws, dat mensen daar helemaal naar de rand van de wijk moesten lopen om een telefoontje te kunnen plegen. En bevestigd door verslaggevers van Omroep Flevoland.

          Al met al kun je als provider er dus niet vanuit gaan dat iemand op die manier alsnog goed te bereiken is en/of zelf contact kan opnemen.

  6. Ook al is het geen spam. Stel je hebt 10 klanten per dag die een dergelijk probleem veroorzaken. als je ze niet direct afsluit maar eerst via de reguliere post een brief stuurt (zoals ze blijkbaar ook doen volgens het bericht van Maikel) en het probleem wordt dan niet direct maar pas na gemiddeld 48 uur opgelost dan betreft het zeker 160 miljoen emailtjes per jaar die ongewenst verzonden worden.

    Daarmee zou Ziggo’s SMTP server heel snel op allerlei SPAM blacklists terechtkomen.

  7. Mij lijkt dat de Telecommunicatiewet niet het enige relevante kader is. Het gaat hier immers niet om netneutraliteit en het gebod aan internetproviders om netneutraal te zijn, maar om door een klant (onbewust) niet nakomen van zijn deel van de overeenkomst voor een internetverbinding. Opschorting door de internetprovider kan in dit geval denk ook gewoon plaatsvinden met een beroep op de exceptio non adimpleti contractus van artikel 6:262 BW.

  8. Wel ‘ns meegemaakt bij XS4ALL/KPN ADSL. Toen had je nog vaste lijn via KPN, en kon ik nog inbellen met minicom, en mijn e-mail lezen met mutt. Daar las ik toen de reden waarom ik was afgesloten (had een worm/backdoor oid. op een Windows machine). Tja, hoe verwijder je dat dan wanneer je geen virus scanner kunt downloaden omdat je bent afgesloten? AV gedownload via lynx & minicom, op CD gebrand, en de kwaadaardige software van de computer halen. Toen ik belde, moest ik betogen dat ik mijn uiterste best had gedaan om het probleem op te lossen. Dat was niet mals. Vervolgens was de blokkade snel weer opgeheven. Het ironische is misschien nog wel dat ik dit alles deed vanaf dezelfde computer die geïnfecteerd was want die had dual-boot Linux/Windows…

    Ik vind het een lastige kwestie, maar ik denk dat je een klant prima kunt informeren via SMS. Je mag aannemen dat een klant zijn/haar SMS werkt. Dat werkt in dit geval betrouwbaarder dan e-mail. Sluit je niet de gehele verbinding af, dan kan het zijn dat de malware zich verder verspreid, zich aanpast/muteert, of meer schade aanricht.

    Wat overigens geweldig is bij XS4ALL is de verschillende niveaus waarop je de firewall in kunt stellen. Dat geeft de klant veel verantwoordelijkheid als hij/zij dat wil, en weinig verantwoordelijkheid als hij/zij dat niet wil/kan.

    Wat heb ik er van geleerd? Dat ik geen zin heb in dit gedoe. Dus voorkomen is beter dan genezen. Niet zo snel meer iets openen van iemand anders wanneer die ander zegt ‘het is veilig’. Zelf verifiëren.

    Ik denk dat we dit soort shit nog wel meer gaan tegenkomen met de opkomst van IPv6 en IoT.

    1. “Voorkomen dat de malware zich verder verspreidt” is eerlijk gezegd nogal een non-argument hier. De schaal waarop dit moet gebeuren om effectief te laten zijn maakt het afsluiten van een enkel systeem bijzonder nutteloos, waardoor de ‘schade’ voor de gebruiker al snel vele malen groter is dan de ‘voorkomen schade’ door het afsluiten.

      Het lijkt mij dat je dit probleem beter op andere fronten aan kunt pakken, bijv. door toekomstige software-ontwikkelaars eindelijk eens een keer aan te gaan leren dat zij ook gewoon een verantwoordelijkheid hebben m.b.v. beveiliging. Vrijwel ieder beveiligingslek is het gevolg van nalatigheid of onwil, niet slechts een ‘foutje’.

      Dit zie je ook terug in bijvoorbeeld de IoT-wereld – die hoeft helemaal niet zo onveilig te zijn, maar als niemand zijn verantwoordelijkheid neemt en de bevolking het massaal wegwuift als zijnde “nou ja, foutje kan gebeuren”, ook al is het de categorie “foutje” ver voorbij, tja…

      Even afgezien daarvan zie ik niet wat IPv6 hiermee te maken heeft. Daar heb je gewoon een end user allocation, en kun je dus gewoon een hele range als een enkele gebruiker zien. Dat is niet echt anders dan met IPv4, behalve dat je nu “sub-adressen” hebt.

      1. Je hebt helemaal gelijk. Ik denk echter dat ik wel snap waarom Jeroen IPv6 aanhaalde. Hij bedoelde waarschijnlijk dat er daardoor nog meer gebruikers bijkomen. Immers, als iedereen een IPv4 heeft en ze zijn op, dan kan er niemand meer bij. Door IPv6 kunnen er weer meer gebruikers, en dus ook potentiele spammers, bijkomen.

        1. Ik denk eerder aan het feit dat met IPv6 iedere PC zijn eigen publieke IP adres kan krijgen en je dus niet meer achter een NAT router hoeft te zitten. Laat die NAT routers nu net ook vaak de firewalls zijn van mensen die verder totaal geen sjoege van computers hebben en je hebt een potentieel drama. Miljoenen mensen met weinig tot geen verstand van beveiligign die hun PC direct aan het internet hangen…

  9. Afgelopen maanden meerdere malen het probleem gehad op mijn werk, mail kwam niet meer of vertraagd (24 uur) binnen, na uitvoerig onderzoek bleek de provider ons steeds te blokkeren als er teveel mail verstuurt werd binnen een bepaalde periode. Ook hier werd geen contact opgenomen door de provider en moesten wij eerst zelf onderzoek doen, totdat wij bij de provider uitkwamen. Uiteindelijk heeft de provider ingestemd om de limiet te verhogen en nu gaat het alweer een maand goed.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.