Kwade krachten in e-mail
Herbert Blankesteijn
Internetprovider Xs4all en het direct-marketingbedrijf Abfab zitten elkaar in de haren over spam: ongevraagde commerciële mail. Daarbij gaat het over het recht dat bedrijven al dan niet hebben om zulke mail te versturen. Aan de vraag wat spam mag doen komt voorlopig niemand toe. Spamberichten zijn geen dooie foldertjes die alleen maar in de bus vallen. Ze vertellen de afzender soms ook wat u doet.
Het geheim is: mail met opmaak. De oer-e-mail is volkomen kale, platte tekst. Geen cursiveringen, onderstrepingen of vette letters, geen fonts met kleurtjes of variabele grootte. Enkele jaren geleden kregen e-mailprogramma's de mogelijkheid om mail mèt opmaak te versturen. Daarbij is gekozen voor de standaard waarmee ook webpagina's worden opgemaakt: html, of hypertext markup language. Html zorgt ervoor dat mailtjes behalve de zojuist genoemde eigenschappen ook plaatjes kunnen hebben, en achtergronden.
Html stelt verzenders van mail bovendien in staat tot minder zichtbare en meer dubieuze trucjes. Het meest schokkend was het virus Bubbleboy begin 2000. Bubbleboy trad in werking wanneer je een besmet mailtje alléén maar las. Het zat niet in een attachment, maar in een een onzichtbaar javascript dat deel uitmaakte van een opgemaakte e-mail. Ook webpagina's kunnen javascript bevatten; de site van NRC Handelsblad is er rijk van voorzien. Zulke mini-programmaatjes zorgen voor uitklapmenu's, gedaanteveranderingen van de muiswijzer en dergelijke. Javascript komt per definitie in actie zodra de betreffende pagina op het scherm staat. Javascript op een webpagina is bijna altijd functioneel en goedaardig.
In mail wordt javascript zelden of nooit functioneel gebruikt. Toch staat de optie om javascript te gebruiken in veel mailprogramma's standaard aan, bijvoorbeeld in veel versies van Outlook, Outlook Express en Netscape Messenger.
Wat kun je daarmee, behalve virussen verspreiden? Sensationele dingen. Een javascript kan aan de afzender terugmelden dat het betreffende mailtje is gelezen, althans geopend. Nuttige kennis voor bijvoorbeeld een sollicitant. Het mailtje kan zelfs zijn eigen tekst terugmailen. Dat kan interessant zijn als een mail wordt geforward: wat de eerste ontvanger daarover dan meedeelt aan de tweede over een sollicitatie, een offerte of een projectvoorstel, komt de afzender zo te weten. En ook wie het heeft gelezen.
Reclamemakers lusten wel pap van mail met opmaak. Volgens de hierboven beschreven methode kunnen ze mailadressen verzamelen, om deze met spam te bestoken. Ook zonder javascript is er veel mogelijk (javascript is makkelijk uit te zetten in de internet-opties van Windows). Zo kan het openen van een html-mailadvertentie - technisch gesproken niets anders dan het bekijken van een webpagina - het plaatsen van een 'cookie' tot gevolg hebben, of het uitlezen door de afzender van een eerder geplaatst cookie. Een cookie is een tekstbestandje dat door een site op de harde schijf van een bezoeker wordt gezet en waar informatie in staat die bij een volgend bezoek weer wordt gelezen. Die informatie kan gaan over de beeldscherminstellingen van de bezoeker, om de weergave van de pagina's te optimaliseren, maar ook over zijn surfgedrag en over zijn al dan niet zelf doorgegeven voorkeuren. Ook cookies kun je uitzetten.
Weer een ander techniek zijn de web bugs, onzichtbare plaatjes van vaak maar één beeldpuntje groot. Deze worden van een site gehaald wanneer het mailtje of de webpagina waarin ze staan wordt geopend. Ook dit biedt mogelijkheden voor het controleren van het bereik en het effect van reclamemail.
De gevolgen hiervan zijn niet alleen maar negatief. Met dit soort middelen kunnen marketingbedrijven ervoor zorgen dat consumenten die categorisch niet reageren op spam, er voortaan van verschoond blijven. Maar wie geen zin heeft in mail vol afluisterapparatuur, kan enkele vliegen in één klap slaan door de html-weergave in zijn mailprogramma uit te zetten. Of doodgewoon geen spam openen.