Via Reddit:
[Ik gebruik] andermans bedrijfsnaam in mijn emailadres, bijvoorbeeld: reddit@ed_random.bla. … Nu vertelde iemand mij dus dat dit niet mag en dat zo’n bedrijf hier melding van zou kunnen maken. Dat vind ik interessant, en ik ben benieuwd waar ik daar meer over kan lezen. Ik snap dat impersonatie verboden is, maar dat doe ik dus niet want ik doe mij niet voor als iemand van het bedrijf, mijn domeinnaam is niet verborgen en lijkt ook niet op die van het bedrijf.Het is een bekende truc: gebruik niet overal hetzelfde mailadres, maar varieer dit. Daarmee kun je bij een datalek of doorverkoop van je mailadres achterhalen welke partij hiervoor verantwoordelijk is.
De makkelijkste manier om dit te doen, is door de naam van de betreffende partij te gebruiken. Ik zie diverse mensen die hier reageren met een mailadres zoals “iusmentis@example.com”. Op de blog van mijn kantoor zouden ze dan “ictrecht@example.com” gebruiken, bijvoorbeeld.
Dat gaat goed als je je eigen domeinnaam hebt, want dan kun je (zoals ook de vraagsteller) het systeem zo instellen dat alle mailtjes in je eigen inbox komen, ongeacht wat er voor het @-teken staat. Als je dat niet hebt, is gebruik van het + teken een goed alternatief: wim.tenbrink+iusmentis@example.com komt bij veel mailsystemen gewoon in de mailbox van Wim.
Als die naam een merknaam is (wat voor de hand ligt), dan kan ik me voorstellen dat iemand denkt, is dat geen merkinbreuk. Zomaar iemands merk gebruiken, het zou verboden moeten worden. Maar nee, dit is echt legaal, al is het maar omdat je de merknaam alleen passief en privé gebruikt in een registratie of aanvraag.
Pas als de merknaam ergens zichtbaar is (je usernaam dus, op Reddit) dan kunnen we een juridische discussie starten of hier wellicht sprake is van inbreuk door jezelf voor te doen als (geaffilieerd aan) de merkhouder.
Arnoud
Jaren geleden vroeg ik een reisverzekering aan via mijn bank en gaf abnamro@mijnachternaam.nl op als contact email.
ABN Amro had blijkbaar ergens if “abnamro” in email_address: in haar procesafhandeling want ik kreeg vervolgens allerlei mails die begonnen met “Beste collega” in plaats van “Geachte klant”…
De + voegt niet zoveel toe omdat het door spammers eenvoudig te herkennen en te verwijderen is. De volgende stap is dat spammers de sitenaam uit alle e-mailadressen vervangen na een hack. Daarom is het nog beter om een willekeurige string aan het e-mailadres toe te voegen (dus reddittrcjm@edrandom.bla ipv reddit@ed_random.bla). Als je dan een e-mail op dat adres krijgt, weet je zeker dat er een datalek is geweest.
Ik gebruik al jaren het sitenaam@example.com systeem. Voor sites waar ik de misbruikkans van de site zelf laag acht houd ik het daarbij.
Voor sites waar ik betaalgegevens heb achter gelaten of iets anders misbruik mogelijk zou maken heb ik gedaan wat jij zegt, een viercijferige pin uniek per site toegevoegd. Dat omdat als dan Amazon mijn account gegevens lekt, eventueel met password, ze niet meteen ook mijn bol.com account weten (met overigens ook een ander password).
Ik gebruik deze truc al heel lang, maar Arnoud weet dat. Ik gebruik het namelijk ook hier. 😀 Nooit klachten over gehad, hoewel het voor sommigen best verwarrend is dat mijn email adres begint met hun bedrijfsnaam. 🙂 En ik heb er veel gemak van!
Eerst en vooral zijn al mijn online accounts dus verschillend en hoef ik minder unieke wachtwoorden te verzinnen. Het maakt het voor dataverzamelaars ook lastiger om mij online te volgen omdat bol@example.com en aliexpress@example.com niet bij elkaar lijken te horen. Ik ben dus iets anoniemer online.
Ook handig om te weten is dat ik meerdere domeinnamen gebruik zodat ik nog iets meer variatie in accountnamen heb. Mocht iusmentis@example.com dan gelekt te zijn dan verander ik het in iusmentis@example.org of zo en zet een filter op het gelekte adres.
Maar het vertelt mij ook direct welk bedrijf mijn email adressen lekt aan spammers. Als ik op een van die aliassen dan spam zie binnenkomen dan weet ik direct dat bedrijf X mijn adres heeft gelekt. Ik kan dan even navraag doen en vragen wat er aan de hand is. Of meld het even aan de ACM met daarin het spambericht en de melding dat bedrijf X mijn adres heeft gelekt.
Maar ook handig is dat ik gewoon een filter kan aanzetten op mijn adres en zo mails van belangrijke bedrijven kan markeren als “belangrijk” of zelfs kan bewaren in speciale folders, terwijl ik de onbelangrijke bedrijven kan markeren als “gelezen” zonder ze te lezen. Dat laatste is weer handig bij nieuwsbrieven.
Het is alleen lastiger als ik hen antwoord moet geven per email, omdat ik die alias dan ook moet markeren als potentieel afzender-adres. Ik kan namelijk niet zomaar emails verzenden met een ongeregistreerde alias.
Is dat zo? (eerlijke vraag)
Het kan toch ook heel gemakkelijk dat het adres bij een van de vele tussen-mailservers gelekt is? Daar kan dat bedrijf niets aan doen.
Tegenwoordig zijn er niet zoveel email forwarders meer en de communicatie tussen mailservers is als regel versleuteld met TLS.
Het grotere risico is dat een email adres opgepikt wordt via een hack bij een hulppersoon, denk bijvoorbeeld aan de pakkettenbezorger of de dienst die de nieuwsbrieven verstuurt.
Aan de andere kant, voor de bedrijven waarbij ik de methode gebruik heb ik nog geen onbevoegd gebruik waargenomen. Gerenommeerde bedrijven weten dat ze een naam hebben te verliezen!
Op mijn Freedom mailadres (en vooral op mijn extra domein daar) gebruik ik deze tactiek al enige tijd. ikke@freedom.nl wordt dan voor bv. hema: hema@ikke.freedom.nl. Alles komt terecht in de mailbox van ikke.
Wat nu als ik ineens spam ontvang van bedrijf-dat-mijn-emailadres-heeft-gelekt@ikke.freedom.nl?
En hoe zit dat dan als iemand jouw familienaam gebruikt, terwijl dat ook nog eens een bekende naam is in met name de kunstwereld? Zowel familienaam.com als .nl zijn bezet door een partij die kunstveilingen organiseerde. Let wel: organiseerDE, want de partij is niet meer ingeschreven in de KVK en de site is under construction.
In principe heb je pech, want een naam geeft geen recht op voorrang op een domeinnaam. Ik baal al een decennium dat Engelfriet punt nl van Engelfriet Elektrotechniek is en niet van mij, maar helaas voor mij.
Dank, enne .. misschien is het troostrijk dat in jouw geval de familienaam waarschijnlijk echt gedeeld wordt 😉
Guilty!
Hier nog nooit klachten over gehad. Wel de nodige vragen als “werk je ook bij bedrijfsnaam?”, of door een webshop gebeld worden of m’n mailadres wel klopt. Het levert ook gemak op. Ik zat bijvoorbeeld een paar jaar terug in het datalek van wat dierentuinen en heb die mailadressen kunnen blokkeren zodat de spam niet in m’n normale mailbox binnenkwam. Moet er daar alleen rekening mee houden dat ik de volgende keer een ander mailadres gebruik bij die dierentuinen 🙂