Nederlandse spampraktijken

Vraag een internetgebruiker naar spam en hij zucht: ‘Ik krijg verdorie steeds meer van die troep.’ Vraag een marketeer naar de mogelijkheden die internet biedt en hij wordt lyrisch: ‘Zoveel nieuwe mogelijkheden om mensen te bereiken!’ Maar haast niemand wil op deze manier worden bereikt: mensen ergeren zich meer aan ongevraagde massamail dan aan andere vormen van reclame. Uit een onderzoek uit december 2002 bleek dat ongevraagde reclame door maar liefst 85% van de ontvangers als hoogst irritant wordt gezien. 1 Spam neemt onderwijl schrikbarend in volume toe.

Spam is spotgoedkoop voor de adverteerder, dat is een deel van het probleem. Voor reclame in andere media moet flink worden betaald: folders, advertenties en spotjes zijn duur. Massamail daarentegen kost haast niets. Iedereen met een computer en een internet- verbinding – en steeds meer mensen en bedrijven hebben beide – kan spammen voor zijn site of product. Het kost je als verzender hooguit je account (en je reputatie). Professionele spamruns worden al vanaf 129 dollar aangeboden: voor dat bedrag koop je een mailing naar 5 tot 28 miljoen e-mail adressen. 2

Een belangrijk verschil tussen gewone reclame en spam is dat waar advertenties tijdschriften en zenders voor de consument betaalbaar houden, de kosten van spam worden afgewenteld op het internet zelf – en dus op de gebruikers. Providers hebben nu al gemiddeld tweemaal zoveel mailservers nodig vanwege spam: de helft van alle e-mailverkeer bestaat tegenwoordig uit ongevraagde reclame (aan het begin van dit jaar was dat nog 40%). Abusedesks maken overuren, providers moeten zich in bochten wringen om e-mail beheersbaar te houden.

Spam werkt, dat is het tweede deel van het probleem. Al gooit bijna iedereen zulke mail geërgerd weg, als een promille van alle geadresseerden positief reageert, doet de spammer al goede zaken. Wired publiceerde deze maand de uitgelekte verkoopcijfers van een Viagra-spammer 3: in vier weken tijd bestelden 6000 mensen een of meer verpakkingen. De omzet in die ene maand behelsde ruim een half miljoen dollar. Zolang er eens per dag een koop wordt gesloten, is spammen lucratief, juist omdat de kosten zo laag zijn. Anders gezegd: de overlast wordt mede in stand gehouden door naïeve consumenten die op spam ingaan.

Spam is ondertussen een dusdanig groot probleem geworden dat sommigen denken dat e-mail als medium eraan tenonder zal gaan. Provider MSN blokkeert dagelijks een slordige 2,5 miljard spammails. Zelf krijg ik tegenwoordig bijna 150 spams per dag, waarin mijn echte mail bijna verzuipt. Het is alsof er dagelijks honderd reclamefolders in mijn brievenbus worden gepropt.

Hardcore, mainsleaze en opportunisten

XS4all, een provider die zich meer dan gemiddeld met spambestrijding bezighoudt, gebruikt in haar typologie van spammers de volgende indeling 4:

  • Hardcore spammers, die elke legale en illegale methode gebruiken om hun massamail te lozen. Elke voorzichtige aanpak is zinloos, aangezien deze categorie onder meer systematisch andermans machines misbruikt. Dat doen ze onder meer via open proxies en open relays, oftewel onbeveiligde computers, en via spam trojans: virussen die andermans computer ombouwen tot open relay. 5 Doorgaans is volstrekt onduidelijk wie erachter zit. Het bijhouden en gebruiken van zwarte lijsten van misbruikte IP-nummers is een vrij effectieve (maar arbeidsintensieve) remedie tegen deze groep spammers. (Elke computer die met internet is verbonden, heeft een uniek IP-nummer; via dat IP is de bron van spam en de locatie van een website te achterhalen. Via diezelfde IP-nummers kunnen providers spammers blokkeren: hun eigen mailservers raadplegen de zwarte lijst, en zodra het om een ‘fout’ IP gaat dat mail wil afleveren, weigeren ze die of markeren ze hem als spam.)
  • Mainsleaze spammers, die even onverbeterlijk zijn, maar zich technisch in verhouding tot de hardcore spammers netter gedragen: ze misbruiken tenminste andermans computers niet. Het betreft meestal organisaties uit de direct-marketingsector of bedrijfjes die hen faciliteren. Ook tegen hen is het gebruik van zwarte lijsten redelijk effectief; daarnaast kunnen ze, omdat ze vindbaar zijn, bij herhaald wangedrag eventueel worden afgesloten, afhankelijk van de gedragscode van de provider.
  • Opportunistische spammers, die ofwel niet goed doorhebben wat spam is, wat er verkeerd aan is en hoe hinderlijk het is, ofwel niet weten hoe slecht spammen voor hun reputatie is. Deze categorie is redelijk opvoedbaar, hoewel die educatie vaak een tijdrovende kwestie is en soms ‘naming and shaming’ vergt.

De hardcore en de mainsleaze-categorie spammen beroepsmatig. Ze gebruiken speciale programma’s om massamail te versturen en adressen van het net te oogsten, en handelen veelal in adressenbestanden. Beide groepen maken een afweging tussen hun winst en hun reputatie: zolang het netto rendement van een spamrun of van een marketingopdracht voor een klant de nadelen overstijgt, blijven ze doorgaan. Het is immers hun broodwinning.

Voor de opportunistische categorie is spam een goedkope manier om mensen op hun site of product te attenderen. Zodra ze ontdekken dat hun reputatie erdoor wordt geschaad, zijn ze gewoonlijk genegen hun leven te beteren.

In april is een meldpunt voor Nederlandse spam opgericht. Nu Spamvrij.nl een paar maanden functioneert en een ruime hoeveelheid in Nederland uitgevoerde spamruns heeft gedocumenteerd, is het mogelijk om na te gaan hoe de verhoudingen in Nederland liggen. Hoe ziet spammend Nederland eruit?

20 tot 30 miljoen spams per dag

In de categorie die werkelijk alles uit de kast haalt om hun massamail in ieders mailbox te dumpen en daarbij illegale handelingen niet schuwt, is er in Nederland maar één kandidaat: Cyberangels. De organisatie, gerund door Martijn Bevelander (mede-eigenaar en directeur van de ISP Megaprovider, die onlangs om die reden door de branchevereniging NLIP werd geschorst (6), is een berucht spamhaus. Een van hun klanten, de Argentijnse groep SuperZonda, was alleen al goed voor 20 à  30 miljoen spam mails per dag.

Vanaf de IPs van Cyberangels zijn duizenden portscans verricht, bedoeld om open proxies te vinden van waaraf gespamd kon worden. Soms werden andermans computer gekraakt om de spamvertised websites te hosten; onder meer British Airways werd daar slachtoffer van 7.

Nadat commotie ontstond over de rol die Bevelander in dit spamhaus speelde, dumpte Cyberangels hun domein cyberangels.nl. Spamvrij.nl wist het domein binnen het half uur te bemachtigen. Dat had als neveneffect dat Spamvrij.nl plots ook alle mail ontving die voor dat domein werd bezorgd. De eerste dag dat Spamvrij.nl over het domein beschikte, kwamen er bijna 6000 mails voor Cyberangels binnen.

Elders heeft Spamvrij.nl een analyse van die mail gepubliceerd 8. Wat mij daarbij opviel was dat er tussen de krap 6000 mails die in de loop van die eerste dag bij Spamvrij.nl werden bezorgd, slechts 371 klachten zaten: 225 over spam waarin websites werden geadverteerd die op het Cyberangels-netwerk stonden, 146 over portscans vanaf door Cyberangels beheerde IP-nummers.

Met SuperZonda’s geschatte spamoplage van 20 tot 30 miljoen per dag in het achterhoofd zijn 225 klachten over spam een te verwaarlozen percentage. Nu werd veel van SuperZonda’s mail al voor aflevering geblokkeerd – dat is precies het nut van blacklists; aan de hand daarvan beslis je als provider welke afzender je liever niet aan de deur hebt – maar toch. Kennelijk bestaat er grote gelatenheid over spam: gewoon maar weg mieteren, niet klagen. Anderzijds zijn 146 klachten over portscans op een dag er absurd veel; dat levert een goede indicatie op van de hoeveelheid illegaal verkeer die vanaf het Cyberangels-netwerk vandaan kwam.

“Wij gaan zorgvuldig met e-mail marketing om”

Nederlands eerste mainsleaze spammer was AbFab. Dat bedrijf maakte zichzelf eind 2001 in één klap gehaat bij Nederlandse internetters door 50.000 massamails voor NRC Handelsblad te versturen. De spam belandde bij de duvel en z’n ouwe moer: niet alleen bij bestaande abonnees maar ook bij technische (beheer)adressen. Veel mensen ontvingen hem bovendien meermalen. Marie-José Klaver, freelancer voor die krant, schreef boos in haar column: ‘Zelf heb ik ongeveer twintig aanbiedingen voor proefabonnementen gekregen op de verschillende e-mailadressen die ik gebruik. [..] De reputatie van NRC Handelsblad als kwaliteitskrant is zwaar beschadigd. Wie vijf spamberichten heeft ontvangen, is voorlopig niet meer bereid te geloven dat NRC Handelsblad door intelligente mensen wordt gemaakt.’ 9

NRC Handelsblad voelde zich genoopt publiekelijk excuses aan te bieden en werd vergeven; AbFab niet. Die had geen spijt betuigd en had NRC Handelsblad belazerd door ordinair te spammen, vermoedelijk tegen forse betaling. Bovendien bleef het marketingbedrijf ongevraagde reclame rondsturen, wat uiteindelijk zelfs tot een rechtszaak leidde die AbFab pas in hoger beroep won, hoofdzakelijk omdat de Nederlandse wet (nog) geen regels tegen spam kende 10. AbFab ging in januari 2003 failliet.

AbFabs onbetwiste troonpretendent is First Impressions, een direct marketingbedrijf geleid door Rob de Heus. Spamvrij.nl ziet tegenwoordig zo’n twee tot drie spamruns van De Heus per week. Naar eigen zeggen heeft De Heus de beschikking over 2 miljoen Nederlandse e-mail adressen en stuurt de firma wekelijks honderdduizenden mails rond. De Heus beweert alleen met ‘permissie’ en gericht mail te sturen, de klassieke tegenwerping van alle direct marketeers. In werkelijkheid zendt het bedrijf ook willekeurige mensen ongevraagde reclame, zodat eenpersoons-huishoudens reclame voor Romac bedrijfsreinigingsmachines in hun mail treffen of platgemaild worden over Frama frankeermachines – met alle gevolgen voor de reputatie van die bedrijven van dien.

Waar De Heus, in tegenstelling tot andere spammers, wel netjes in is, is dat wie zich bij hem uitschrijft inderdaad gewoonlijk van de lijst wordt afgehaald. Maar mensen schijven zich zelden uit bij ongevraagde massamail. Deels omdat sommige spammers een verzoek tot uitschrijving beschouwen als bewijs dat het misbruikte adres daadwerkelijk in gebruik is en het vervolgens voor goed geld verder verkopen, deels omdat er teveel (ook Nederlandse) spammers zijn die verzoeken tot uitschrijven botweg negeren. Bovendien: waarom zou je je uitschrijven voor iets waarvoor je je nooit hebt ingeschreven? Zo blijft het e-mailbestand van De Heus onveranderd groot, een ‘prestatie’ die het bedrijf als aanbeveling jegens zijn klanten gebruikt.

Spamvrij.nl heeft een aantal bedrijven voor wie De Heus heeft gespamd benaderd met de vraag of zij weten dat hun mail ook naar ongeselecteerde adressen gaat. Eén bedrijf bedrijf reageerde geschrokken en zei meteen alle banden te zullen verbreken; een ander zei wel wat klachten te hebben ontvangen, doch vooral positieve reacties, maar niettemin voortaan af te zien van de diensten van De Heus en First Impressions ‘omdat het een relatief dure vorm van reklame is.’ 11 Of zijn klanten er veel beter van worden is de vraag, maar De Heus verdient goed geld. Een spamrun uitvoeren kost hem immers vrijwel niets.

“Maar dit waren geselecteerde adressen!”

Momenteel worden bij Spamvrij.nl elke dag twee tot drie Nederlandse spamruns aangemeld. (Nederlandse spammers houden zich overigens goeddeels aan de arbeidstijden: er wordt weinig in het weekend of in de avonduren gespamd, en ook de vakantie was te merken. We zijn en blijven een gereguleerd land.) Het aantal meldingen groeit gestaag; eerder dit jaar ging het nog om een tot twee runs per dag – maar de toename kan ‘m ook zitten in de toenemende bekendheid van de organisatie. We krijgen gaandeweg immers ook meer meldingen per spamrun.

De lijst van Nederlandse bedrijven die ooit hebben gespamd wordt zodoende wekelijks langer. De meeste ervan zijn geen hardcore spammers maar opportunistische spammers die een goedkoop reclamemedium denken te hebben ontdekt. Gelukkig verdwijnen er ook bedrijven van de lijst: die hebben beterschap beloofd. Boze providers helpen daar erg bij, net zoals het openbaar maken van namen, zoals Spamvrij.nl doet.

Te vaak blijkt het nodig bedrijven de principes van nette mailinglijsten uit te leggen. ‘We hebben onze mailing alleen gestuurd aan geselecteerde adressen,’ zegt een spammer dan, er geheel aan voorbijgaand dat het de ontvanger is die zou moeten bepalen wat hij aan reclame wil krijgen, niet de verzender, omdat zijn mailbox anders geheel vol zou lopen, en omdat de gebruiker betaalt voor het ontvangen van zijn mail. Of: ‘Maar ze kunnen zich toch uitschrijven?’, zich niet realiserend dat het precies andersom hoort: pas na een inschrijving stuur je iemand massamail.

Opvoeding helpt. Bedrijven moet eindeloos en met veel geduld worden uitgelegd hoe het wel moet. Wat bepaald niet helpt is dat marketeers gouden bergen blijven beloven en zelf ondertussen te vaak de regels grof schenden. Zoals E2Ma bijvoorbeeld, dat een compleet adressenbestand van een Nederlandse zoekmachine overnam en 60.000 adressen lustig bespamde met reclame voor financiële producten van de DSB Groep. DSB kon er niet veel aan doen, maar E2ma had absoluut beter moeten weten: andermans adressenbestanden overnemen mag simpelweg niet. Niettemin deed E2ma of ze van de prins geen kwaad wist.

Regulering en wetgeving

De Heus heeft al diverse malen van provider moeten wisselen: spammen wordt niet overal getolereerd. Na een paar van zulke gedwongen verhuizingen vindt een massamailer gewoonlijk een provider die wel coulant is jegens spam en klachten niet honoreert. Er ontstaat een tweedeling tussen internet providers: spammen is een niche-markt geworden, en er zijn providers die – zoals Cyberangels ook deed – zich hoofdzakelijk op die markt richten.

Providers die al te soepel omgaan met spammers en open proxies, komen uiteindelijk zelf op zwarte lijsten te staan. Dat leidt ertoe dat ook de nette klanten van zulke ISPs uiteindelijk moeite krijgen hun mail afgeleverd te zien. en hetzij massaal weglopen, hetzij massaal protesteren. Chello en LaDot hebben daar eerder de vingers aan gebrand; beide bedrijven hebben hun beleid inmiddels herzien. Wanneer (vermoedelijk) eind oktober de regels voor elektronische reclame worden aangepast na de herziening van de Telecommunicatiewet, wordt spammen iets moeilijker.

Bedrijven moeten volgens die nieuwe voorstellen hetzij expliciete toestemming van de geadresseerde hebben om massamail op te sturen, hetzij een eerder zakelijk contact met hem hebben. Een bedrijf als De Heus komt onder die nieuwe regelgeving in de problemen, reden waarom hij en andere direct marketeers momenteel zwaar lobbyen bij het parlement om de toch al niet heel strenge voorstellen verder te versoepelen.

Het grootste probleem bij de aanstaande wet is dat er geen sancties op overtreding staan. Spammen wordt een economisch delict. Maar hoe kun je als ontvanger een zaak gaan voeren? Het is immers zelden die ene mail van dat ene bedrijf dat de ontvanger financiële schade berokkent: het is juist het totale volume dat hinder en nadeel oplevert. Mogelijk kunnen providers gezamenlijk een zaak aanspannen (zoals XS4ALL eerder tegen AbFab heeft gedaan) of kan een consumentenorganisatie een proefproces voeren.

De hardcore en de mainsleaze spammers verdwijnen echter waarschijnlijk naar het buitenland. Het net is immers internationaal. Spammen ook.

Noten:

  1. Interview-NSS, ‘Ongevraagde E-mailreclame meest irritante reclame’, 16 december 2002.
  2. Op http://202.63.201.239/promotional werden in juli 2003 spamruns voor die prijs aangeboden. Een discussie erover staat op groups.google.com.
  3. Brian McWillams, ‘Swollen orders show spam’s allure’, in Wired, 6 augustus 2003.
  4. De indeling is van Vincent Schönau, medewerker Abuse Team XS4ALL, in een lezing bij de Megabit Spamcarroussel, 26 juli 2003. De toelichting op elk van de categorieën is van mij.
  5. De werking van een zo’n spam trojan, Proxy-Guzu, wordt beschreven in Kevin Poulsen, ‘Rise of the Spam Zombies’, The Register, 27 april 2003.
  6. Persverklaring NLIP d.d. 8 juli 2002, ‘NLIP schorst lid’.
  7. BBC-journalist Andrew Bomford beschreef hoe SuperZonda onder meer een site waar Russische postorderbruiden werden aangeboden in het netwerk van British Airways wist te parkeren. ‘Spam peddlers hijack computers’, 1 juli 2003.
  8. ‘Analysis of incoming cyberangels.nl mail’, 7 juli 2003, www.cyberangels.nl.
  9. Marie-José Klaver, ‘Wordt e-marketeer! Vandaag nog!’, NRC Handelsblad, 26 oktober 2001.
  10. XS4all spande een zaak tegen AbFab aan, won in kort geding en verloor in hoger beroep. XS4all is in cassatie gegaan.
  11. Romac in een reactie aan Spamvrij.nl op 15 juli 2003.

Aantal reacties: 2

  1. nijland ≡ 07 Jul 2009 ≡ 17:52

    Geachte mevrouw Spaink,

    ik heb totaal geen verstand van computers,alles wat ik denk te weten maakt mij huiverig voor het medium.
    Soms komt bij mij een golf van spam binnen gestroomd. Ik neem dan de moeite de afzenders 1 voor 1 toe te voegen aan mijn lijst van “geblokkeerde afzenders”. Volgens mij werkt dat. maar zorg er wel voor dat ik de mail niet heb geopend en volgens mij lukt dat ook aardig. Omdat ik wel al wat tekst kan lezen terwijl het envelopje nog dicht is; ik noem dat “onder water lezen”. Ik hoop van u te vernemen of dit een goede handelswijze is van mij. Ik hoop van wel want zoals eerder aangegeven weet ik niet zoveel van computers en wordt het al gouw te ingewikkeld voor mij. Met vriendelijke groet EON.

  2. Spaink ≡ 07 Jul 2009 ≡ 18:45

    Beste EON
    De afzenders zijn vaak vals, en de lijst te verzinnen afzenders is (uiteraard) eindeloos, dus het is een strategie die niet veel oplevert. U bent wellicht beter af met een provider die een goed spamfilter levert.

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *