Bescherm je persoonlijk emailadres

Wanneer onze gegevens lekken, denken we vaak dat het meest kwetsbare stuk informatie van zo'n lek ons wachtwoord is. Wanneer we dat wachtwoord op verschillende plaatsen gebruiken (zou je heel dringend van start moeten gaan met een password manager! 😉), is dat zeker waar, maar we kunnen stellen dat de schade beperkt blijft tot een enkel account wanneer we gebruik maken van een wachtwoordkluis (zie het artikel over de password manager). In dat geval kan er met de gelekte informatie alleen toegang verkregen worden tot dat ene gelekte account.

Ons emailadres is het volgende stukje informatie in zo'n datalek dat heel interessant is voor een aanvaller. Het is een directe communicatielijn. Een mogelijkheid om ons te bereiken, want we bekijken onze mailbox meermaals per dag. En hoewel we misschien wel over enkele verschillende emailadressen beschikken, zijn die vaak zo verweven in ons digitale leven, dat we een gelekt emailadres maar moeilijk kunnen wegwerpen. Daarnaast is dat emailadres mogelijks ook de toeganspoort tot een hele hoop andere online accounts.

Nu we gebruik maken van een password manager, wordt het tijd om de volgende stap te zetten en ook ons persoonlijk emailadres gaan beschermen tegen lekken. Dit is waar emailaliassen hun nut bewijzen.

Een emailalias, wat is dat?

Net zoals een alias een 'valse' of 'aangenomen' naam is die gebruikt wordt om je identiteit te verbergen, is een emailalias een apart emailadres dat je gebruikt om je echte emailadres te verbergen. Email die verstuurd wordt naar deze emailalias, wordt wel gewoon ontvangen door de mailbox van je echte emailadres, waardoor jij de emails nog steeds op dezelfde plek ontvangt.

Er zijn verschillende soorten emailaliassen, die elk voor verschillende doeleinden gebruikt kunnen worden. Er is ook een verschil in functionaliteit en benodigde moeite om de aliassen op te zetten.

Plus-aliassen

Een eerste voorbeeld van emailaliassen zijn de zogenaamde 'plus'-aliassen. Deze kan je standaard gebruiken bij emailproviders zoals Gmail en Outlook. Wanneer je gewone emailadres jan.janssen@gmail.com is, is jan.janssen+facebook@gmail.com een voorbeeld van een plus-alias (dit is een voorbeeld, ik moedig je niet aan om Google, Microsoft of Facebook te gebruiken 😉).

Wat je meteen ziet, is dat je met plus-aliassen jouw echte emailadres niet verbergt. Ze zijn dan ook niet heel nuttig om jouw emailadres te beschermen voor lekken. Waarvoor kan je ze dan wel gebruiken? Om gemakkelijk te identificeren welke partij jou een email stuurt of om email van een bepaalde afzender automatisch te verplaatsen naar een mapje. Zolang de tegenpartij exact het emailadres gebruikt dat jij opgeeft (of dat het door computers gebruikt wordt die het gewoon overnemen en niet interpreteren), weet jij welke tegenpartij jou probeert te bereiken, ongeacht wie de afzender van het bericht is.

Een nadeel met deze plus-aliassen: je kan niet versturen vanaf zo'n alias. Versturen gebeurt altijd vanaf je echte emailadres.

Alias 'service'

Je echte emailadres kan pas echt beschermd worden wanneer je gebruik maakt van een (aparte) service voor je emailaliassen. Proton biedt deze mogelijkheid aan als deel van Proton Pass (wat ook hun password manager is). Er wordt dan een random 'local id' gegenereerd die voor een domein geplaatst wordt dat onder beheer van Proton valt, zoals bvb: facebook.bust498@passmail.net. Achter de schermen voert Proton de nodige configuratie uit om mails, die naar deze alias verstuurd worden, in jouw inbox te laten eindigen.

In tegenstelling tot plus-aliassen, heb je met deze service wel de mogelijkheid om vanaf je alias te mailen. Je verstuurt je mail dan naar een 'tussen'-adres. Dat adres is vaak een combinatie van je alias en de bestemmeling, met het @passmail.net domein op het einde. Proton zal dan de informatie die jou identificeert verwijderen uit de email headers (de onzichtbare stukjes informatie die aan een email hangen om hem te kunnen versturen) en de mail doorsturen naar de uiteindelijke bestemming.

Een gelijkaardige service wordt geboden door Addy.io. Hier maak je een account aan, gebaseerd op een gebruikersnaam en een emailadres (niet verplicht, maar waarschijnlijk gewoon je echte emailadres). Jouw gebruikersnaam wordt deel van je emailaliassen, na het @ symbool, waardoor je een 'catch-all' mogelijkheid krijgt. Standaard kan je gebruik maken van 2 gedeelde domeinen: anonaddy.me en anonaddy.com. In combinatie met je gebruikersnaam, zou facebook@superniceusername.anonaddy.me een alias kunnen zijn die bij jou terecht komt. De 'catch-all' functionaliteit zorgt ervoor dat de 'local id' (alles wat voor het @ symbool staat) eender wat kan zijn en dat de alias automatisch aangemaakt wordt bij de eerste email die ontvangen wordt, zolang het domein-gedeelte (na het @ symbool) maar @superniceusername.anonaddy.me of @superniceusername.anonaddy.com is. Deze aanpak zorgt ervoor dat je geen aliassen op voorhand hoeft aan te maken voordat je ze kunt gebruiken.

Bij beide services krijg je de mogelijkheid om eigen domein te koppelen ook. Die worden dan alleen aan jouw account gekoppeld en daar is bij beide diensten een 'catch-all' functie mogelijk. Op deze manier komen alle aliassen die eindigen op @mijnsupercooldomein.com in jouw inbox terecht. Het gebruik van een eigen domein zorgt voor nog meer service-onafhankelijkheid. Je kan je domein namelijk altijd meenemen naar een andere service als je niet meer tevreden bent of gewoon wil veranderen. De mogelijkheid om een eigen domein te koppelen is vaak wel een betalende optie. Hou er rekening mee dat je enkele DNS-records zult moeten configureren voor jouw domein om alles werkende te krijgen. De configuratiepagina's van de providers zullen je vertellen welke records je juist moet maken.

Ultieme alias controle

Een derde optie is om je eigen mailserver of je eigen alias-service (Addy.io is gedocumenteerd om zelf te hosten, zowel op docker als 'bare' install) te draaien. Je koopt dan je eigen domein(en), zorgt voor een publieke bereikbare server en installeert en configureert alles zelf. Email naar jouw domein(en) worden afgeleverd op jouw server en jij bepaalt wat er verder mee gebeurt: blijven ze daar en gebruik je die server als een echte mailserver of stuur je ze door naar jouw emailadres dat je bij een emailprovider hebt. Het kan allemaal. Ultieme controle, maar ook ultieme verantwoordelijkheid en dus niet meteen een optie voor de minder IT-technische gebruiker.

Je eigen mailserver hosten is ook niet een operatie waar je licht over wil gaan. Mailservers zijn altijd een gewild target van aanvallers om te misbruiken voor spam-campagnes. Je moet dus wel weten wat je doet en een goede kennis hebben over de 'ins' en 'outs' van email (SPF, DKIM, DMARC... om er enkele te noemen).

Het uiteindelijke doel

Wat we uiteindelijk willen bereiken, is het beschermen van ons persoonlijk emailadres. We willen die mogelijkheid om ons rechtstreeks te contacteren limiteren tot de mensen die we vertrouwen met (een stukje van) onze persoonlijke informatie. Online accounts, forums, sociale netwerken, webshops... hoeven echt niet ons persoonlijk emailadres te hebben om hun diensten aan te bieden. Zolang we hun email kunnen ontvangen, is dat meer dan voldoende.

Een bijkomend voordeel van het gebruik van emailaliassen: zo een alias is heel gemakkelijk uitgeschakeld of verwijderd. Wanneer een van jouw aliassen deel is van een datalek kun je het wachtwoord en het emailadres van dat account wijzigen en de gelekte alias verwijderen. "Opgeruimd staat netjes." 😉

Of wanneer je die ene nieuwsbrief toch niet meer zo interessant vindt. Geen 'uitschrijven' gedoe. Gewoon de alias uitschakelen (om de nieuwsbrief te "pauzeren") of verwijderen (om voor goed uit te schrijven).

Let wel op: bij sommige services kan een alias verwijderen echt permanent zijn of kan het zijn dat de alias terug beschikbaar wordt voor andere gebruikers van de service (met alle mogelijke privacy-problemen). De service maakt hun werkwijze normaalgezien wel duidelijk. Ik zou aanraden om aliassen altijd uit te schakelen en nooit te verwijderen.

Een bijkomend voordeel van deze werkwijze is dat je nu heel gemakkelijk kan ontdekken welke serviceprovider jouw gegevens doorverkoopt of welke serviceprovider een datalek heeft, maar dat niet gemeld heeft. Krijg je plots van verzekeringsbureau xyz een email op je mijnbank@mijnsupercooldomein.com alias, dan is het misschien tijd om jouw bank eens op te bellen...

Hoe moet het nu verder?

Net zoals in het artikel over password managers en in het artikel over tweestapsverificatie is het nu tijd om te geleerde kennis toe te passen.

Het eerste wat je te doen staat, is beslissen welke service je wil gebruiken en hoe je die gaat gebruiken. Addy.io, Proton Pass, nog een andere? Bekijk hun websites en vergelijk wat je krijgt voor je geld (of wat de gratis optie al biedt). Bedenk of je een eigen domein wil gebruiken (en eventueel nog moet aanschaffen) om extra flexibiliteit te behouden.

Als je al een Proton-account hebt, zou ik je aanraden om Proton Pass eens te verkennen.

Heb je nog geen Proton-account of wil je je achterliggende mailbox gemakkelijker kunnen wijzigen, dan zou ik je aanraden om te kijken naar Addy.io.

Eens je jouw alias-oplossing gekozen hebt, raad ik je aan om wederom te werk te gaan zoals we in het artikel over password managers en in het artikel over tweestapsverificatie hebben gedaan: stap-voor-stap.

Elke keer je om jouw emailadres gevraagd wordt, geef je een nieuwe alias op. Elke keer je voor de eerste keer terug inlogt op een bestaand account, ga je naar de accountinstellingen en wijzig je je emailadres naar een nieuwe alias. Gebruik (net als bij je wachtwoorden) voor elk account een aparte, unieke emailalias.

Op die manier spreid je de benodigde tijd en moeite en uiteindelijk worden je accounts stap voor stap weer wat veiliger.

Veel succes!