Op het vlak van veiligheid worden mailinglijsten dikwijls verkeerd opgezet.
Nochtans beschikken de twee meest gebruikte softwares voor het beheer
van mailinglijsten (Listserv en
Majordomo ) over
voldoende mogelijkheden om mailinglijsten af te schermen tegen
misbruik.
Bij het opzetten van mailinglijsten moet men voorzorgen nemen
tegen een aantal mogelijke
misbruiken; hoe meer inschrijvingen op de lijst, hoe belangrijker een
juiste opzet is. Grote mailinglijsten hebben meestal een grotere bekendheid
en zullen sneller het slachtoffer worden van poging tot misbruik, en bij
grote mailinglijsten worden een grote hoeveelheid gebruikers betrokken
bij een eventueel misbruik.
Met volgende punten dient men rekening te houden bij het opzetten van
een mailinglijst:
Wie ziet dat de lijst bestaat? U kunt er eventueel voor zorgen
dat een mailinglijst niet bekend wordt gemaakt, of u kunt juist een
grote bekendheid nastreven.
Listserv geeft de mogelijkheid dat een lijst al dan
niet gevonden wordt via
een list of een list global commando
(dit zijn commando's die
per server, of voor alle listserv servers, een overzicht geven van
beschikbare lijsten).
Wie kan de ledenlijst opvragen? Het opvragen van de ledenlijst
kan beperkt worden tot de leden van de lijst zelf, of kan beperkt worden
tot de beheerders van de lijst. Het openzetten van het opvragen van
de ledenlijst verhoogt de kans dat iemand (bv. een spammer)
de ledenlijst zal misbruiken.
Wie mag iets zenden naar de lijst? Men kan iedereen toelaten
om mail te sturen naar een mailinglijst, of men kan dit beperken
tot de E-mail adressen die lid zijn van de lijst, of men kan dit
beperken tot een zeker aantal personen (de editors genoemd).
Vermits E-mail adressen vervalst kunnen worden, is het soms
aangewezen om een bevestiging te vragen van een gezonden E-mail
(E-mail call back loop scheme).
Bij mailinglijsten gebeurt de bevestiging meestal via een
cookie principe: wanneer de mailing list manager een mail
ontvangt van E-mail adres XYZ voor lijst ABC,
dan wordt het bericht voor ABC tijdelijk
opgeslagen, en wordt er een mail met een uniek nummer
teruggestuurd naar XYZ. XYZ moet deze mail dan beantwoorden via
reply, zodat de mailing list manager een mail terugkrijgt van XYZ
met het uniek nummer. Pas dan wordt het voorheen opgeslagen bericht
verzonden naar lijst ABC.
Wie kan zich inschrijven op een lijst?
Indien men toelaat dat inschrijvingen gebeuren zonder verificatie van de
afzender, dan kan een persoon A vrij eenvoudig een andere persoon B
inschrijven op de lijst, zodat persoon B ongewenst lid wordt van
de mailinglijst. Inschrijvingen gebeuren dus best na enige vorm
van identificatie van de aanvrager (bv. via het bovenvermelde cookie
principe), ofwel gebeuren de inschrijvingen via een beheerder van de
mailinglijst.
Wanneer een lijst gelogd wordt, dan kunnen de logs opgevraagd worden
via E-mail, of via een web interface die gekoppeld wordt aan de logs
van de lijst. Het opvragen van deze logs via E-mail kan eventueel
beperkt worden (bv. tot de leden van de lijst). Web interfaces
naar logs kunnen meestal niet afgeschermd worden.
The PISA-project is financed by the OSTC, Belgian Federal Office for Scientific,
Technical and Cultural Affairs (DWTC - SSTC). Project description of PISA
