Czy odbiorca e-mail wie gdzie jestem?

Dzisiaj miałem napisać o czymś innym, ale przypomniało mi się pytanie sprzed kilku miesięcy od znajomej osoby: „Czy odbiorca e-mail wie gdzie jestem?”.
Na początku chciało mi się śmiać, bo wydało mi się idiotyczne, aby serwery pocztowe udostępniały nasze prywatne dane, jakim jest chociażby adres IP odbiorcy…

Ale zanim dam jednoznaczną odpowiedź postanowiłem sam sprawdzić jak sprawy się mają, bo to poważna sprawa. Na podstawie adresu IP jakim się posługujemy można ustalić naszą lokalizację, często z dokładnością do dzielnicy, a prawie zawsze miasta.
Jednym ze znanych sposobów ustalania geolokalizacji na podstawie adresu IP jest projekt IP2Location, który udostępnia płatne i bezpłatne bazy danych (korzystałem np. w PHP tworząc serwis do szukania najbliższych kościołów w stosunku do własnej lokalizacji).

WP/O2, Onet, Interia

To zweryfikujmy najpierw polskich operatorów. Loguję się przez przeglądarkę (webmail), jak również za pomocą klienta (korzystając bezpośrednio z protokołu do wysyłki SMTP) i wysyłam wiadomość na inną skrzynkę pocztową.
Niestety wysyłając za pomocą klienta pocztowego (np. Outlook) zostawiamy ślad jakby automatyczny (uzupełniane jest pole Received w nagłówkach wiadomości). Ale o wiele gorzej jest gdy korzystamy z przeglądarki internetowej – tutaj wprost dodawany jest adres IP komputera, z którego wiadomość za pomocą przeglądarki internetowej została wysłana:

  • WP/2 pole: X-Originator
  • Onet pole: X-Onet-PMQ
  • Interia pole: X-Originating-IP

WP (czyli również O2) przez webmail:

WP (czyli również O2) przez SMTP:

Onet przez webmail:

Onet przez SMTP:

Interia wysłane przez webmail:

Patrząc na powyższe wycinki nagłówków ze źródeł wiadomości NIE POLECAM korzystać z usług polskich operatorów, chyba że korzystacie z VPN-a. W innym wypadku byle odbiorca zdobędzie informacje o naszym operatorze ISP (np. jaka sieć komórkowa) czy przybliżonej lokalizacji.

Yahoo, gmail, ProtonMail, Hotmail/Outlook Live

Google (gmail) i ProtonMail nie zostawiają żadnego śladu przy korzystaniu z webmail. Natomiast Yahoo nie dodaje do nagłówków wiadomości co prawda naszego adresu IP, ale za to informuje odbiorcę z jakiej przeglądarki internetowej korzystamy (a tym samym systemu operacyjnego).
Microsoft oferujący usługę Outlook Live (Hotmail) o dziwo nie zdradza nas w żaden sposób, tak samo jak Google i ProtonMail. Nie ma informacji o adresie IP wysyłającego, jak również informacji o przeglądarce, z jakiej skorzystaliśmy.

Podsumowanie

Jestem zaskoczony. Nie wiem dlaczego polscy operatorzy zdradzają naszą lokalizację (adres IP), ale zdradzają. Jak do tej sytuacji mają się przepisy o RODO?
Z tego powodu radzę korzystać z zagranicznej konkurencji i jeśli nie posiadamy usługi VPN to wyłącznie robić to z poziomu przeglądarki – wtedy dzielimy się naszymi danymi tylko z operatorem, a nie odbiorcą (lub operatorem odbiorcy).