Apple har lanserat en funktion som de kallar "Dölj min e-postadress". Tanken med denna är god, syftet är att man skall kunna använda en anonym e-postadress när man skapar typ konton på internet och e-post till denna anonyma e-postadress vidarbefodrar då Apple till er riktiga e-postadress.
Problemet är då att det inte är helt säkert att all e-post kommer fram till er.
Förklaring i korthet
Det går till så att Apple skapar en iCloud adress, bara för dig och bara för kontot du skapar, t.ex trassel.murkla-9j@icloud.com. Kontot du skapar, låt säga oss Apotea skapas då med e-postadressen trassel.murkla-9j@icloud.com. Det är då den enda e-postadress som Apotea känner till om dig, de känner inte till din riktiga e-postadress. När sedan Apotea skickar e-post till dig, då skickar man till denna adress och Apple ser till att skicka vidare denna till din riktiga e-postadress. Om du svarar på brevet då anonymiserar Apple automatiskt också svaret, så att din riktiga e-postadress inte syns för mottagaren. Även detta med vidarebefodring så antagligen kommer Apotea att bortse från brevet.
Ja, vad är det för fel med detta? Kruxet är att detta bygger på vidarebefodring av e-post och innebär då de problem som vi beskrivit i andra artiklar här, t.ex. Varför kan jag inte vidarebefodra e-post till Gmail? och Varför kan jag inte vidarebefodra e-post till hotmail?. Det innebär att ni riskerar att inte få e-post från Apotea, utan de kategoriseras som spam och sorteras då bort och det är då lätt att missa dem. Breven hamnar i någon skräpkorg eller i någon karantän. I värsta fall kommer inte breven fram alls.
I korthet fungerar det så här.
- Apotea skickar ett brev till trassel.murkla-9j@icloud.com. Denna skickas således från Apoteas e-postserver, låt oss kalla den för C-mta, till Apples e-postserver, låt oss kalla den för A-mta.
- Apples e-postserver skickar sedan vidare brevet till din riktiga e-postadress på din e-postserver, låt oss kalla denna för M-mta.
För att förhindra spam använder de flesta SPF och DKIM (se Vad är SPF, DKIM och DMARC), vilket också Apotea gör.
Med SPF anger Apotea att e-post från @apotea.se bara får komma från deras server, C-mta. Din server, M-mta ser att brevet kommer från Apples server, A-mta, vilket då inte är ok. Men, detta hanterar Apple på så sätt att Apple lurar M-mta med att brevet kommer från @icloud.com, inte från @apotea.se. På så sätt uppfylls SPF i regel, men på ett mycket klumpigt sätt.
Sedan kommer vi till DKIM. Apotea signerar brevet de skickar med DKIM. Det innebär att man inte kan ändra innehållet i brevet utan att det märks. Nu är det dessvärre exakt vad Apple gör, de ändrar massor i e-postbrevet för att kunna göra vidarebefodringen, bland annat för att lösa SPF problemet ovan. När er server, M-mta, får brevet ser den det DKIM som Apotea signerat brevet med, och det stämmer då inte med innehållet i brevet, varvid brevet kategoriseras som spam eller i värsta fall avvisas.
Här har vi ett exempel på ett mail från Apotea som en av våra kunder missade pga att det hamnade i skräpkorgen.
- Detta är den riktiga mottagarens e-postadress
- Hos Apotea har kunden, med Apple "Dölj min e-postadress" uppgivit adressen trassel.murkla-9j@icloud.com och det är också dit brevet skickats av Apotea.
- Här ser man hur Apple skriver om From från @apotea.se till @icloud.com för att SPF skall uppfyllas.
- För att svara Apotea och inte avslöja riktigamottagare@foo.se använder men Reply-To: så att svaret går till Apple som i sin tur vidarebefodrar det till Apotea. Sannolikt kommer dock Apotea att kategorisera det som spam och strunta i brevet.
- Då kommer vi till DKIM. Apotea använder Amazon SES för att skicka sin e-post. Här ser man att Amazon signerar brevet man skickar.
- Här ser man nu hur Apple också signerar brevet, efter att man gjort alla ändringar i brevet. Vi har således 2 DKIM signeringar här, varav en är ogiltlig.
- Vilket också se av spamkategoriseringen. Pga av att DKIM_INVALID kategoriseras brevet upp med 3 spampoäng.
- Och utöver det kategoriseras brevet med ytterligare 2 poäng för att @icloud.com är en gratistjänst, liksom gmail, hotmail etc., och dessutom innehåller en PDF bilaga, vilket ofta används som malware.
Vidarebefodring av e-post är ett elände, det gör er e-post otillförlitlig.
Mitigera
Finns det då något jag kan göra för att minska risken att e-post inte kommer fram? Ja det kan du göra genom att sätta rätt SPF record i din DNS. Det är två parametrar i SPF som är viktiga:
- Inkludera apple som godkänd avsändare för dina mail. Det gör du genom att lägga till följande till ditt SPF record: +include:privaterelay.appleid.com
- Det är viktigt att inte ange -a i ert SPF record. Sätt istället ~a, då kommer ert SPF vara en rekommendation snarare än en absolut regel. E-post till er studsar då inte tillbaka, utan kommer fram till er, dock då möjligen taggad som spam.
Kan jag avaktivera "Dölj min e-post"?
Nej, det går dessvärre inte. Apple i sin oändliga visdom vet vad som är bäst för dig.
I regel aktiveras "Dölj min e-post" via Safari, när man skall skapa ett konto någonstans.
Detta exempel visar Expressen, om man vill skapa ett konto hos dem. Den mycket irriterande rutan "Hide My Email..." poppar då upp. Klickar ni på rutan då skapas en icloud.com adress åt er som då används av Expressen för att kontakta er. Vi rekommenderar starkt att ni INTE klickar på denna ruta.
Går det då inte att få bort denna ruta överhuvudtaget? Ja, det är många på internet som ställer sig den frågan. Sök på "macos disable hide my email" på Google.
Det finns en work-around emellertid och det är att gå in i Safaris inställningar och klicka bort "Autofill/Using information from my contacts".
Då slipper ni fortsättningsvis popuprutan med "Hide My Email....".
Här hittar ni en youtube som beskriver det lite bättre än i denna artikel.
