Sähköpostin seuranta näkyväksi

Sähköpostin seurannalla tarkoitetaan menetelmiä, joilla voidaan seurata sähköpostien saapumista vastaanottajilleen. Monet sähköpostimarkkinointiin tarkoitetut ohjelmistot sisältävät mahdollisuuden sähköpostin seurantaan. Seuranta on tavallisesti toteutettu samoilla menetelmillä kuin www-sivujenkin seuranta eli jäljityskuvakkeilla (web beacons). Lähetettäessä HTML-muotoisia sähköpostiviestejä seurantajärjestelmä upottaa viestien sisältöön 1 × 1 pikselin kokoisia läpinäkyviä kuvia, joilla on yksikäsitteinen URL-osoite. Kun avaat tällaisen viestin, niin jäljityskuvake noudetaan. Tämä paljastaa viestin seuraajalle milloin olet avannut viestin ja missä IP-osoitteessa se on avattu. Se voi myös paljastaa millaista laitetta käytät (PC, Mac, tabletti, puhelin), käyttöjärjestelmäsi ja sen version, käyttämäsi sähköpostiohjelman sekä kielivalintasi. Palveluntarjoajasi (ISP) ja maantieteellinen sijaintisi voidaan päätellä IP-osoitteen perusteella. Kaikki tämä tapahtuu tietämättäsi – ja mikä ehkä vielä tärkeämpää – ilman minkäänlaista ennalta antamaasi suostumusta.

Tällainen sähköpostin seuranta on paljon tavallisempaa kuin voisi luulla. Sitä käyttävät niin yksityiset ihmiset kuin tungettelevat sähköpostimarkkinoijat, roskapostittajat ja tietojen kalastelijatkin. Sen avulla voidaan varmistua siitä, että vastaanottajat todella avaavat lähetetyt viestit ja että sähköpostiosoitteet ovat toimivia. Harmillisempaa käyttöä on roskapostisuodattimien heikkouksien etsiminen tai luottamuksellisen tiedon kerääminen henkilöistä ja organisaatioista. Tämä heikentää yksityisyyden suojaasi ja mahdollistaa esimerkiksi tehokkaampien roskapostinlähetys- ja tietojenkalastelujärjestelmien toteuttamisen.

Jotta tietoisuus sähköpostin seurannasta lisääntyisi, niin tietojenkäsittelytieteen laitoksen sähköpostijärjestelmä lisää allaolevan kaltaisen varoitussymbolin kaikkiin cs.helsinki.fi-postilaatikkoihin saapuviin viesteihin, joissa havaitaan olevan seurantamekanismeja.

Jos siirrät hiiren osoittimen "pahan silmän" päälle (kokeile), niin varsinainen varoitus tulee näkyviin. Tämä toimii laitoksen webmailissä käytettäessä mitä tahansa yleistä selainta,¹ Thunderbirdissä ja monissa muissa suosituissa postiohjelmissa.² Koska sen enempää silmäsymboli kun itse varoituskaan eivät ole kuvia HTML-mielessä, niin ne tulevat näkyviin ilman, että sallit kuvien tai muun ulkoisen sisällön näyttämisen HTML-muotoisissa sähköposteissa. Varoituksessa saattaa toisinaan olla suluissa seurannan toteuttavan yhtiön nimi. Varoitusta napsauttamalla päätyy tälle sivulle. Samat varoitustiedot löytyvät myös X-CS-Test-Tracker -postiotsakkeesta.

Yritämme lisäksi pysäyttää seurantayritykset muuntamalla oletetut jäljityskuvakkeet paikallisiksi 1-pikselisiksi upotetuiksi kuviksi. Tämä estää tietojen vuotamisen seurantaa tekevälle taholle. Emme estä normien³ mukaisia palvelimien välisiä vastaanottokuittauksia emmekä vapaaehtoisia lukukuittauksia.

Koska seurannan tunnistaminen ja ehkäiseminen ei ole aukotonta, niin jotkin jäljityskuvakkeet voivat jäädä huomaamatta ja toisaalta on pieni mahdollisuus, että jotkin aivan asialliset 1-pikseliset kuvat saatetaan tulkita seurantayrityksiksi. Toisinaan viestin sisältämä HTML voi olla niin rikkinäistä, että varoituksen upottaminen siihen ei onnistu. Varoitustiedot löytyvät kuitenkin aina postin otsakkeista.

¹ Chrome, Edge, IE, Safari, Firefox tai Opera. Webmail pitää ehkä tuorestaa kerran näppäilyllä Ctrl-F5 tai vastaavalla.
² Opera Mail, Postbox, Foxmail, Mailbird, Evolution, KMail, Apple Mail, Outlook for Mac, Android Mail, iOS Mail
³ RFC 3461, RFC 3798.