Wie verzendt, ontvangt en, misschien nog belangrijker, slaat de e-mail van uw bedrijf op? Hoogstwaarschijnlijk Google en Microsoft, tenzij je in China of Rusland woont. En het marktaandeel van deze twee bedrijven blijft groeien.

Dat is de conclusie van een groep computerwetenschappers van de University of California San Diego, die de e-mailserviceproviders bestudeerden die tussen 2017 en 2021 door honderdduizenden internetdomeinen werden gebruikt.

"Ons onderzoeksteam heeft empirisch aangetoond in hoeverre e-mail is uitbesteed en geconcentreerd aan een klein aantal providers en serviceproviders", zegt Stefan Savage, een professor aan de UC San Diego Department of Computer Science and Engineering en een van de senior auteurs.

Het team presenteerde hun bevindingen op de Internet Measurement Conference 2021, die vrijwel plaatsvond van 2 tot 4 november 2021.

Deze concentratie heeft verschillende gevolgen:het vergroot de impact van servicestoringen en datalekken; en het stelt bedrijven en gebruikers buiten de Verenigde Staten bloot aan mogelijke dagvaardingen van Amerikaanse overheidsinstanties.

Een korte uitleg van het verschil tussen domeinen en serviceproviders:de tweede helft van uw e-mailadres is het domein van uw bedrijf of bureau, bijvoorbeeld ucsd.edu is het domein voor de University of California San Diego. De e-mailserviceprovider is het bedrijf dat achter de schermen de infrastructuur levert waarmee u e-mail kunt verzenden en ontvangen en uw berichten kunt opslaan. De e-mailservice van ucsd.edu wordt dus geleverd door een combinatie van de e-mailservices van Google en Microsoft.

Vanaf juni 2021 zijn Google en Microsoft de dominante aanbieders onder populaire domeinen, met respectievelijk 28,5% en 10,8% marktaandeel. Ter vergelijking:GoDaddy leidt de markt voor het leveren van diensten voor kleinere domeinen, met een marktaandeel van 29%. De auteurs stelden in de loop van de tijd ook een hogere concentratie vast:het marktaandeel van Google en Microsoft steeg sinds juni 2017 met respectievelijk 2,3% en 2,9%.

Een deel van de groei komt van kleinere domeinen die vroeger hun eigen e-mails hosten. "Terwijl zelf-gehoste domeinen overstapten naar providers in alle categorieën, veranderde meer dan een kwart van hen hun e-mailprovider naar Google en Microsoft", zegt Alex Liu, een UC San Diego informatica Ph.D. student en hoofdauteur van de paper.

Meer getroffen tijdens storingen, datalekken

Concentratie van e-mailserviceproviders heeft geleid tot veel grotere serviceonderbrekingen. In augustus en december 2020 hadden wereldwijde storingen gevolgen voor Gmail en Drive. Alleen Gmail heeft naar schatting 1,5 miljard gebruikers. Outlook had voor het laatst een storing in oktober 2021 - naar schatting 400 miljoen mensen gebruiken de service.

De concentratie van e-mailserviceproviders brengt ook meer mensen in gevaar bij een datalek. Een vaak genoemd voorbeeld is de Yahoo-datalek waarbij minstens 500 miljoen gebruikersaccounts werden blootgelegd. Onlangs is aangetoond dat een fout in een Microsoft Exchange-protocol honderdduizenden inloggegevens heeft gelekt.

Juridische impact

Google en Microsoft, de twee dominante Amerikaanse e-mailserviceproviders, lijken veel gebruikt te worden door organisaties buiten de Verenigde Staten, met name in Europa, Noord-Amerika, Zuid-Amerika, grote delen van Azië en, in mindere mate, Rusland. Zo host 65% van de Braziliaanse domeinen in de dataset van de onderzoekers e-mail met Google of Microsoft. Maar ze worden niet gebruikt in China.

Het uitbesteden van e-mailservice aan Amerikaanse bedrijven kan echter ook juridische implicaties hebben. Volgens de CLOUD Act van 2018 kunnen in de VS gevestigde providers wettelijk worden verplicht om opgeslagen klantgegevens, inclusief e-mail, te verstrekken aan Amerikaanse wetshandhavingsinstanties, ongeacht de locatie van de gegevens, of de nationaliteit of woonplaats van de klant met behulp van de gegevens.

Misschien als gevolg daarvan heeft Tencent een overweldigend marktaandeel in China, met 41%, net als Yandex in Rusland, met 32%. Beide landen hebben laten zien dat ze liever controle houden over de toegang tot data.

Daarnaast sluiten steeds meer e-maildomeinen een contract met e-mailbeveiligingsproviders, zoals ProofPoint en Mimecast. Deze bedrijven kunnen fungeren als een filter van derden voor inkomende e-mails, waardoor het niet langer nodig is om de beveiliging lokaal te beheren. Deze bedrijven hebben bijna 7% marktaandeel voor grote commerciële bedrijven; en een marktaandeel van 17,5% voor .gov-domeinen.

Het onderzoek werd gefinancierd door de National Science Foundation, de University of California San Diego, het EU H2020 CONCORDIA-project en Google.

Het onderzoek is gepubliceerd in Proceedings of the 21st ACM Internet Measurement Conference .