Grote plaag op het internet

Vijftig procent van alle e-mail is spam

De helft van alle e-mailverkeer bestaat tegenwoordig uit ongevraagde reclame, die mede in stand wordt gehouden door naïeve consumenten die erop ingaan. In Nederland klinkt steeds luider verzet tegen spampraktijken.

Vraag een internetgebruiker naar spam en hij zucht: «Ik krijg verdorie steeds meer van die troep.» Vraag een marketeer naar de mogelijkheden die internet biedt en hij wordt lyrisch: «Zoveel nieuwe mogelijkheden om mensen te bereiken!» Maar haast niemand wíl op deze manier worden bereikt: mensen ergeren zich meer aan ongevraagde massamail dan aan andere vormen van reclame. Uit een onderzoek van Interview-NSS uit december 2002 bleek dat ongevraagde reclame door maar liefst 85 procent van de ontvangers als hoogst irritant wordt gezien. Spam neemt onderwijl schrikbarend in volume toe.

Spam is spotgoedkoop voor de adverteerder, dat is een deel van het probleem. Voor reclame in andere media moet flink worden betaald; folders, advertenties en spotjes zijn duur. Massamail daarentegen kost haast niets. Iedereen met een computer en een internetverbinding — en steeds meer mensen en bedrijven hebben beide — kan spammen voor zijn site of product. Het kost je als verzender hooguit je account (en je reputatie). Professionele spamruns worden al vanaf 129 dollar aangeboden: voor dat bedrag koop je een mailing naar 5 tot 28 miljoen e-mailadressen.

Een belangrijk verschil tussen gewone reclame en spam is dat waar advertenties tijdschriften en zenders voor de consument betaalbaar houden, de kosten van spam worden afgewenteld op internet zelf — en dus op de gebruikers. Providers hebben nu al gemiddeld twee keer zoveel mailservers nodig vanwege spam: de helft van alle e-mailverkeer bestaat tegenwoordig uit ongevraagde reclame (aan het begin van dit jaar was dat nog veertig procent). Abuse desks maken overuren, providers moeten zich in bochten wringen om e-mail beheersbaar te houden.

Spam werkt, dat is het tweede deel van het probleem. Al gooit bijna iedereen zulke mail geërgerd weg, als een promille van alle geadresseerden positief reageert, doet de spammer al goede zaken. Wired publiceerde deze maand de uitgelekte verkoopcijfers van een Viagra-spammer: in vier weken tijd bestelden zesduizend mensen een of meer verpakkingen. De omzet in die ene maand behelsde ruim een half miljoen dollar. Zolang er eens per dag een koop wordt gesloten, is spammen lucratief, juist omdat de kosten zo laag zijn. Anders gezegd: de overlast wordt mede in stand gehouden door naïeve consumenten die op spam ingaan.

Spam is ondertussen een dusdanig groot probleem geworden dat sommigen denken dat e-mail als medium eraan ten onder zal gaan. Provider MSN blokkeert dagelijks een slordige tweeëneenhalf miljard spammails. Zelf krijg ik tegenwoordig bijna honderdvijftig spams per dag, waarin mijn echte mail bijna verzuipt. Het is alsof er dagelijks honderd reclamefolders in mijn brievenbus worden gepropt.

Xs4all, een provider die zich meer dan gemiddeld met spambestrijding bezighoudt, gebruikt in zijn typologie van spammers de volgende indeling:

Hardcore spammers. Die gebruiken elke legale en illegale methode om hun massamail te lozen. Elke voorzichtige aanpak is zinloos, aangezien deze categorie onder andere systematisch andermans machines misbruikt. Dat doen ze onder meer via open proxi’s en open relays, oftewel onbeveiligde computers, en via spam trojans: virussen die andermans computer ombouwen tot open relay. Doorgaans is volstrekt onduidelijk wie er achter zit. Het bijhouden en gebruiken van zwarte lijsten van misbruikte IP-nummers is een vrij effectieve (maar arbeidsintensieve) remedie tegen deze groep spammers.

(Elke computer die met internet is verbonden, heeft een uniek IP-nummer; via dat IP is de bron van spam en de locatie van een website te achterhalen. Via diezelfde IP-nummers kunnen providers spammers blokkeren: hun eigen mailservers raadplegen de zwarte lijst, en zodra het om een «fout» IP gaat dat mail wil afleveren, weigeren ze die of markeren ze hem als spam.)

Mainsleaze spammers. Die zijn even onverbeterlijk, maar gedragen zich technisch in verhouding tot de hardcore spammers netter: ze misbruiken tenminste andermans computers niet. Het betreft meestal organisaties uit de direct-marketingsector of bedrijfjes die hen faciliteren. Ook tegen hen is het gebruik van zwarte lijsten redelijk effectief; daarnaast kunnen ze, omdat ze víndbaar zijn, bij herhaald wangedrag eventueel worden afgesloten, afhankelijk van de gedragscode van de provider.

Opportunistische spammers. Die hebben ofwel niet goed door wat spam is, wat er verkeerd aan is en hoe hinderlijk het is, ofwel weten niet hoe slecht spammen is voor hun reputatie. Deze categorie is redelijk opvoedbaar, hoewel die educatie vaak een tijdrovende kwestie is en soms «naming and shaming» vergt.

Zowel de hardcore- als de mainsleaze-categorie spamt beroepsmatig. Ze gebruiken speciale programma’s om massamail te versturen en adressen van het net te oogsten, en handelen veelal in adressenbestanden. Beide categorieën maken een afweging tussen hun winst en hun reputatie: zolang het nettorendement van een spamrun of van een marketingopdracht voor een klant de nadelen overstijgt, blijven ze doorgaan. Het is immers hun broodwinning.

Voor de opportunistische categorie is spam een goedkope manier om mensen op hun site of product te attenderen. Zodra ze ontdekken dat hun reputatie erdoor wordt geschaad, zijn ze gewoonlijk genegen hun leven te beteren.

In april is een meldpunt voor Nederlandse spam opgericht. Nu Spamvrij.nl een paar maanden functioneert en een ruime hoeveelheid in Nederland uitgevoerde spamruns heeft gedocumenteerd, is het mogelijk om na te gaan hoe de verhoudingen in Nederland liggen.

In de categorie die werkelijk alles uit de kast haalt om massamail in ieders mailbox te dumpen en daarbij illegale handelingen niet schuwt, is er in Nederland maar één kandidaat: Cyberangels. Deze organisatie, gerund door Martijn Bevelander (mede-eigenaar en directeur van de ISP Megaprovider, die onlangs om die reden door de branchevereniging NLIP werd geschorst), is een berucht spamhaus. Een van haar klanten, de Argentijnse groep SuperZonda, was alleen al goed voor twintig à dertig miljoen spammails per dag.

Vanaf de IP’s van Cyberangels zijn duizenden portscans verricht, bedoeld om open proxi’s te vinden waarvandaan kon worden gespamd. Soms werd andermans computer gekraakt om de spamvertised websites te hosten; onder meer British Airways werd daar slachtoffer van.

Nadat commotie ontstond over de rol die Bevelander in dit spamhaus speelde, dumpte Cyberangels het domein cyberangels.nl. Spamvrij.nl wist het domein binnen een half uur te bemachtigen. Dat had als neveneffect dat Spamvrij.nl plots ook alle mail ontving die voor dat domein werd bezorgd. De eerste dag dat Spamvrij.nl over het domein beschikte, kwamen er bijna zesduizend e-mails voor Cyberangels binnen.

Elders heeft Spamvrij.nl een analyse van die mail gepubliceerd. Wat mij daarbij opviel was dat er tussen de krap zesduizend e-mails die in de loop van de eerste dag bij Spamvrij.nl werden bezorgd, slechts 371 klachten zaten: 225 over spam waarin websites werden geadverteerd die op het Cyberangels-netwerk stonden, 146 over portscans vanaf door Cyberangels beheerde IP-nummers.

Met SuperZonda’s geschatte spamoplage van twintig tot dertig miljoen per dag in het achterhoofd, zijn 225 klachten over spam een te verwaarlozen percentage. Nu werd veel van SuperZonda’s mail al voor aflevering geblokkeerd — dat is precies het nut van blacklists; aan de hand daarvan beslis je als provider welke afzender je liever niet aan de deur hebt — maar toch. Kennelijk bestaat er grote gelatenheid over spam: gewoon maar weg mieteren, niet klagen. Anderzijds zijn 146 klachten over portscans op een dag er absurd veel; dat levert een goede indicatie op van de hoeveelheid illegaal verkeer die van het Cyberangels-netwerk vandaan kwam.

Nederlands eerste mainsleaze spammer was AbFab. Dat bedrijf maakte zichzelf eind 2001 in een klap gehaat bij Nederlandse internetters door vijftigduizend massamails voor NRC Handelsblad te versturen. De spam belandde bij de duvel en z’n ouwe moer: niet alleen bij bestaande abonnees maar ook bij technische (beheer)adressen. Veel mensen ontvingen hem bovendien vaker dan een keer.

Marie-José Klaver, freelancer voor die krant, schreef boos in haar column: «Zelf heb ik ongeveer twintig aanbiedingen voor proef abonnementen gekregen op de verschillende e-mailadressen die ik gebruik. (…) De reputatie van NRC Handelsblad als kwaliteitskrant is zwaar beschadigd. Wie vijf spamberichten heeft ontvangen, is voorlopig niet meer bereid te geloven dat NRC Handelsblad door intelligente mensen wordt gemaakt.»

NRC Handelsblad voelde zich genoopt publiekelijk excuses aan te bieden en werd vergeven; AbFab niet. Die had geen spijt betuigd en had NRC Handelsblad belazerd door ordinair te spammen, vermoedelijk tegen forse betaling. Bovendien blééf het marketingbedrijf ongevraagde reclame rondsturen, wat uiteindelijk zelfs tot een rechtszaak leidde die AbFab pas in hoger beroep won, hoofdzakelijk omdat de Nederlandse wet (nog) geen regels tegen spam kende. AbFab ging in januari 2003 failliet.

AbFabs onbetwiste troonpretendent is First Impressions, een direct-marketingbedrijf geleid door Rob de Heus. Spamvrij.nl ziet tegenwoordig zo’n twee tot drie spamruns van De Heus per week. Naar eigen zeggen heeft De Heus de beschikking over twee miljoen Nederlandse e-mailadressen en stuurt de firma wekelijks honderdduizenden mails rond. De Heus beweert alleen met «permissie» en gericht e-mail te sturen, de klassieke tegenwerping van alle direct marketeers. In werkelijkheid zendt het bedrijf ook willekeurige mensen ongevraagde reclame, zodat eenpersoonshuishoudens reclame voor Romac bedrijfsreinigingsmachines in hun inbox aantreffen of platgemaild worden over Frama frankeermachines — met alle gevolgen voor de reputatie van die bedrijven incluis.

Waar De Heus, in tegenstelling tot veel andere spammers, wél netjes in is, is dat wie zich bij hem uitschrijft inderdaad gewoonlijk van de lijst wordt afgehaald. Maar mensen schijven zich zelden uit bij ongevraagde massamail. Deels omdat sommige spammers een verzoek tot uitschrijving beschouwen als bewijs dat het misbruikte adres daadwerkelijk in gebruik is en het vervolgens voor goed geld verder verkopen, deels omdat er te veel (ook Nederlandse) spammers zijn die verzoeken tot uitschrijven botweg negeren. Bovendien: waarom zou je je uitschrijven voor iets waarvoor je je nooit hebt ingeschreven? Zo blijft het e-mailbestand van De Heus onveranderd groot, een «prestatie» die het bedrijf als aanbeveling jegens zijn klanten gebruikt.

Spamvrij.nl heeft een aantal bedrijven voor wie De Heus heeft gespamd benaderd met de vraag of zij weten dat hun mail ook naar ongeselecteerde adressen gaat. Eén bedrijf reageerde geschrokken en zei meteen alle banden te zullen verbreken; een ander zei wel wat klachten te hebben ontvangen, doch vooral positieve reacties, maar niettemin voortaan af te zien van de diensten van De Heus en First Impressions «omdat het een relatief dure vorm van reclame is». Of zijn klanten er veel beter van worden is de vraag, maar De Heus verdient goed geld. Een spamrun uitvoeren kost hem immers vrijwel niets.

Momenteel worden bij Spamvrij.nl elke dag twee tot vier Nederlandse spamruns aangemeld. (Nederlandse spammers houden zich overigens goeddeels aan de arbeidstijden: er wordt weinig in het weekend of in de avond uren gespamd, en ook dat het vakantie was, was te merken. We zijn en blijven een gereguleerd land.) Het aantal meldingen groeit gestaag; eerder dit jaar ging het nog om één tot twee runs per dag — maar de toename kan hem ook zitten in de toenemende bekendheid van de organisatie. We krijgen gaandeweg immers ook meer meldingen per spamrun.

De lijst van Nederlandse bedrijven die ooit hebben gespamd wordt zodoende wekelijks langer. De meeste ervan zijn geen hardcore spammers maar opportunistische spammers die een goedkoop reclamemedium denken te hebben ontdekt. Gelukkig verdwijnen er ook bedrijven van de lijst: die hebben beterschap beloofd. Boze providers helpen daar goed bij, net zoals het openbaar maken van namen, zoals Spamvrij.nl doet.

Te vaak blijkt het nodig bedrijven de principes van nette mailinglijsten uit te leggen. «We hebben onze mailing alleen gestuurd aan geselecteerde adressen», zegt een spammer dan, er geheel aan voorbijgaand dat het de ontvanger is die zou moeten bepalen wat hij aan reclame wil krijgen, niet de verzender, omdat zijn mailbox anders geheel vol zou lopen, en omdat de gebruiker betaalt voor het ontvangen van zijn mail. Of: «Maar ze kunnen zich toch uitschrijven?» Zich niet realiserend dat het op internet precies andersom hoort: pas na een inschrijving stuur je iemand massamail.

Opvoeding helpt. Bedrijven moet eindeloos en met veel geduld worden uitgelegd hoe het wel moet. Wat bepaald niet helpt is dat marketeers gouden bergen blijven beloven en zelf ondertussen te vaak de regels grof schenden. Zoals E2ma bijvoorbeeld, dat een compleet adressenbestand van een Nederlandse zoekmachine overnam en zestigduizend adressen lustig bespamde met reclame voor financiële producten van de DSB Groep. DSB kon er niet veel aan doen, maar E2ma had absoluut beter moeten weten: andermans adressenbestanden overnemen mag simpelweg niet. Niettemin deed E2ma of het van de prins geen kwaad wist.

De Heus heeft al diverse keren van provider moeten wisselen: spammen wordt niet overal getolereerd. Na een paar van zulke gedwongen verhuizingen vindt een massamailer gewoonlijk een provider die wél coulant is jegens spam en klachten niet honoreert. Er ontstaat een tweedeling tussen internet providers: spammen is een nichemarkt geworden, en er zijn providers die — zoals Cyberangels ook deed — zich hoofdzakelijk op die markt richten.

Providers die al te soepel omgaan met spammers en open proxi’s, komen uiteindelijk zelf op zwarte lijsten te staan. Dat leidt ertoe dat ook nette klanten uiteindelijk moeite krijgen hun mail afgeleverd te zien, en hetzij massaal weglopen, hetzij massaal protesteren. Chello en LaDot hebben daar eerder de vingers aan gebrand; beide bedrijven hebben hun beleid inmiddels herzien.

Wanneer (vermoedelijk) eind oktober de regels voor elektronische reclame worden aangepast na de herziening van de Telecommunicatiewet, wordt spammen iets moeilijker. Bedrijven moeten volgens die nieuwe voorstellen ofwel expliciete toestemming van de geadresseerde hebben om massamail op te sturen, ofwel een eerder zakelijk contact met hem hebben gehad. Een bedrijf als De Heus komt onder die nieuwe regelgeving in de problemen, reden waarom hij en andere direct marketeers momenteel zwaar lobbyen bij het parlement om de toch al niet heel strenge voorstellen verder te versoepelen.

Het grootste probleem bij de aanstaande wet is dat er geen sancties op overtreding staan. Spammen wordt een economisch delict. Maar hoe kun je als ontvanger een zaak gaan voeren? Het is immers zelden die ene e-mail van dat ene bedrijf dat de ontvanger financiële schade berokkent: het is juist het totale volume dat hinder en nadeel oplevert. Mogelijk kunnen providers gezamenlijk een zaak aanspannen (zoals xs4all eerder tegen AbFab heeft gedaan) of kan een consumentenorganisatie een proefproces voeren.

De hardcore en de mainsleaze spammers verdwijnen echter waarschijnlijk naar het buitenland. Het net is immers internationaal. Spammen ook.