Beantwoord

Mail van een of enkele afzenders komt niet aan. DMARC protocol?

  • 25 januari 2019
  • 36 Reacties
  • 4122x Bekeken

Goedemorgen community,

Laat ik beginnen met zeggen dat ik gewoon mail kan verzenden en ontvangen. Ik krijg geen foutmeldingen en (de meeste) berichten die naar mij verzonden worden krijg ik binnen.

Waarom dan toch een bericht hier? Nou, per toeval kom ik er achter dat sommige berichten mijn mailbox NIET bereiken. Had onlangs contact met iemand en die zou me mailen, maar niks ontvangen. Dus even gebeld. 'Ja, toch echt verstuurd naar je.' Mailadres was juist getypt, mail stond ook bij verzonden items en er was geen bouncemelding ontvangen.

Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me.

Ik zou er niet wakker van gelegen hebben als ik niet van iemand waar ik heel regelmatig mail van ontving, plots ook geen berichten meer kreeg. Bij navraag daar, blijkt dat zij wel berichten verzonden hadden... Nu maak ik me ongerust. Hoeveel mail loop ik inmiddels mis?

Is iemand bekend met het DMARC-protocol (heb er wel wat over gelezen. Is een soort van extra beveiliging voor email) en kan het zijn dat dit er voor zorgt dat berichten mij niet meer bereiken?

Voor de volledigheid: ik heb enkele email-aliassen die ik laat verwijzen naar mijn ziggo mailbox. Dat werkt eigenlijk prima en ik zoek dus eigenlijk ook geen oplossing waarbij ik die aliassen zou moeten opgeven.

Benieuwd naar reacties en (hopelijk) goede oplossingen.

Vriendelijk dank,
Renato.
icon

Best beantwoord door efok 25 januari 2019, 16:56

Ik zal het proberen uit te leggen, dit is complexe materie.
Omdat de spam tegenwoordig de spuigaten uitloopt zijn technieken bedacht om te identificeren of de afzender van een e-mail wel legitiem is. Spammers verzonden immers vaak mail zogenaamd afkomstig van bijvoorbeeld je bank.

De eerste methode is een zogenaamd SPF record aan je domein toevoegen. Hierin word bepaald welke mailservers mail mogen versturen voor een bepaald domein (bijv pietje.nl). Mailservers die niet op de SPF lijst staan mogen geen mail verzenden van pietje.nl. Gebeurt dat toch, dan kan deze mail dus gefilterd worden. Deze records staan op de DNS server voor dat domein, en zijn dus door iedereen op te vragen.

De tweede methode is DKIM. Daarmee wordt een digitale handtekening/sleutel aan je mail gehangen, waarvan de echtheid valt te controleren. De digitale handekening wordt eveneens gevalideerd aan de hand van een DNS record van je domein. Deze handtekening kan alleen door de echte mailserver voor bv pietje.nl juist worden gegenereerd.

Deze 2 methodes zijn relatief jonge toevoegingen aan het mailprotocol. Wat is dan DMARC? DMARC is een policy, zeg maar een beslisregel. Het verzendede domein bepaalt hier mee wat de ontvanger met de mail moet die niet aan SPF/DKIM voldoet. Verder kan DMARC een check doen op zogenaamde alignment. https://en.m.wikipedia.org/wiki/DMARC

DMARC zou kunnen bepalen dat een ontvangende mailserver een mail die niet aan de voorwaarden voldoet in quarantaine plaatst (policy=quarantaine) Daarop volgt geen bounce-bericht, want de mail is immers geaccepteerd door de ontvangende server. De ontvangende partij isoleert bij quarantaine de mail voor de ontvanger, totdat bijvoorbeeld de beheerder van de mailserver besluit deze alsnog vrij te geven, of in het geval van spam, te deleten.

DMARC kan ook definiëren om een mail domweg door de te laten die niet aan de voorwaarden voldoet (policy=none), of juist om zo’n mail te verwerpen (policy=reject). In het laatste geval hoeft ook niet altijd een bounce bericht te komen. Immers als de mail niet aan de voorwaarden voldoet, zal het afzender adres wel fake zijn. Het heeft geen nut daar naar toe te bouncen, omdat de bounce dan bij iemand terecht kan komen, die de spam mail niet zelf heeft verstuurd. Het verzendende domein geeft met zijn DMARC policy dus aan wat de ontvanger het beste met mail die niet aan de voorwaarden voldoet kan doen.

Hoe zorg je nu dat je mail door deze filtering heen komt? door de te zorgen dat je SPF en DKIM goed zijn geconfigureerd voor het domein waarvandaan je verzendt. Is het je eigen domein, dan is dat je eigen verantwoordelijkheid of die van je hoster. Verstuur je met @ziggo.nl via de ziggo mailserver dan is dat de verantwoordelijkheid van Ziggo. Ziggo doet dat sinds enige tijd netjes, dus ik vermoed dat we hier niet over een ziggo mail adres praten. Misschien kan @SixtySpecial nog toelichten hoe dat zit.

Het verzenden van een @pietje.nl mail via de smtp van ziggo kan bijvoorbeeld voor problemen zorgen als pietje.nl de ziggo mail server niet in zijn SPF record heeft geautoriseerd.

Je kan je DMARC natuurlijk minder streng afregelen maar daarmee verliest het zijn kracht. Je moet gewoon zorgen dat je verzonden mail via de juiste server, met de juiste configuratie wordt verzonden.
Bekijk origineel

36 Reacties

Even los van DMARC details. Er moet een Bounce komen als om wat voor reden dan ook aflevering niet kan plaatsvinden. Dat klopt dus niet. En het is buitengewoon vervelend te moeten constateren dat er zomaar berichten in een afvalputje terecht kunnen komen., zonder dat iemand daar iets van merkt.
Gr Han
Hallo Hanh,

Dank voor je reactie. Ik ben niet zo'n techneut, maar weet wel dat er eigenlijk altijd wel iets van een bounce melding hoort te komen. Heb die vraag ook gesteld aan de afzenders. Maar tot nu toe lijkt het niet zo te zijn. En ja, dat maakt me inderdaad bezorgt, want hoe kan ik er nu nog van overtuigd zijn dat alle mail die aan mij gestuurd wordt, ook daadwerkelijk aan komt...
Reputatie 7
Badge +26


Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me.


Renato.


Welke provider is dit, daar zullen hun klanten toch wel meer problemen mee ervaren.


"want hoe kan ik er nu nog van overtuigd zijn dat alle mail die aan mij gestuurd wordt, ook daadwerkelijk aan komt... "

Tsja, als een provider het tegenhoudt dan stopt het, Dan moet je iedereen een brief per snail mail versturen dat je een email verstuurd hebt.
Ze moeten natuurlijk aangeven aan de verzender dat mail niet verstuurd wordt .
Hoi Steefb,

Dank voor je reactie. Op zich klopt het wel wat je zegt, maar als je in de overtuiging leeft dat jouw mails wél zijn verstuurd en dat dat wordt ondersteund door het feit dat de mail bij anderen wel aankomt (omdat die antwoorden bijv.) dan wordt het lastig.

Ik ben met name benieuwd naar dat extra beveiligingsprotocol en of iemand kan bevestigen dat dit problemen veroorzaakt of kan veroorzaken. Nu lijkt het er op dat het probleem bij mij zit, maar ik weet niet waar ik moet zoeken.
Ben geen specialist op dit terrein. DMARC wordt gebruikt om te bepalen
of de afzender nog klopt met het domain waar een Email van afkomstig is.
SPAMMers herschrijven dat adres om anoniem te kunnen blijven.
Daar is het een remedie tegen.
Volgens mij is Ziggo verantwoordelijk voor de controle en de beslissing wat te doen
als een bericht niet aan de eisen zou voldoen.
Er kunnen fouten in de controle sluipen.
Die fout hoeft niet per se bij Ziggo te liggen maar kan ook aan een niet correct DNS record liggen dat voor DMARC wordt onderhouden door de verzendende partij.
Je hebt de Email Header nodig om meer te weten over hoe het gegaan is, maar daar heb je het bericht voor nodig. Dat is weg.

Hoe dan ook: Ziggo zou vlgs mij een Bounce moeten geven.
Correct me if I'm wrong.

Het probleem ligt niet aan jou.
Gr Han

https://en.wikipedia.org/wiki/DMARC
Reputatie 7
Badge +26
@hanh Volgens mij heeft TS het niet over Ziggo als verzendende provider

"Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me. "
@hanh Volgens mij heeft TS het niet over Ziggo als verzendende provider

"Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me. "

Dat klopt en dat weet ik.
In wat ik schreef gaat het over Ziggo als ontvangende partij, die controle uitvoert op een binnengekomen bericht voor een klant en na controle niet aflevert en ook geen Bounce geeft, wat m.i wel zou moeten.
Gr Han
Dank heren, voor de inmenging...

Ik heb wel het originele bounce-rapport kunnen krijgen van de dame in kwestie. Ik maak er uit op dat inderdaad het DMARC protocol er mee te maken heeft, maar kan er verder geen zinnig antwoord uit destilleren. Jullie misschien?

--
This is the mail system at host outbound1.mail.transip.nl.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The mail system

: host mx.mnd.mail.iss.as9143.net[212.54.34.8] said: 554
5.2.0 MXIN603 DMARC validation failed.
;id=aFAfgERxOaZUbaFAfgMYxM;sid=aFAfgERxOaZUb;mta=mx1.mnd;d=20181221;t=082433[cet];ipsrc=149.210.149.72;
(in reply to end of DATA command)
--
(Die ### heb ik er neergezet. Geloof niet dat mijn mailadres van belang is voor het bedenken van een mogelijke oplossing 😉
Hm. Niet helemaal goed.
en ook geen Bounce geeft, wat m.i wel zou moeten.


Dat kan moeilijk op een afzendadres dat vlgs Ziggo al dan niet terecht niet kan kloppen.
Hoe voorziet DMARC hierin. Geen idee.
@efok
Werp 'ns wat licht in de duisternis, alsjeblieft.

Gr Han
Ik meen hier net de bounce melding gepost te hebben, maar zie die niet terug. Het deel waarin ik beweerde dat er geen bounce melding volgde klopt dus bij nader inzien niet. Maar dat een bounce volgt als gevolg van DMARC is denk ik voor velen nog onbekende materie.

Mag je hier overigens wel bounce meldingen plakken?
Ik zal het proberen uit te leggen, dit is complexe materie.
Omdat de spam tegenwoordig de spuigaten uitloopt zijn technieken bedacht om te identificeren of de afzender van een e-mail wel legitiem is. Spammers verzonden immers vaak mail zogenaamd afkomstig van bijvoorbeeld je bank.

De eerste methode is een zogenaamd SPF record aan je domein toevoegen. Hierin word bepaald welke mailservers mail mogen versturen voor een bepaald domein (bijv pietje.nl). Mailservers die niet op de SPF lijst staan mogen geen mail verzenden van pietje.nl. Gebeurt dat toch, dan kan deze mail dus gefilterd worden. Deze records staan op de DNS server voor dat domein, en zijn dus door iedereen op te vragen.

De tweede methode is DKIM. Daarmee wordt een digitale handtekening/sleutel aan je mail gehangen, waarvan de echtheid valt te controleren. De digitale handekening wordt eveneens gevalideerd aan de hand van een DNS record van je domein. Deze handtekening kan alleen door de echte mailserver voor bv pietje.nl juist worden gegenereerd.

Deze 2 methodes zijn relatief jonge toevoegingen aan het mailprotocol. Wat is dan DMARC? DMARC is een policy, zeg maar een beslisregel. Het verzendede domein bepaalt hier mee wat de ontvanger met de mail moet die niet aan SPF/DKIM voldoet. Verder kan DMARC een check doen op zogenaamde alignment. https://en.m.wikipedia.org/wiki/DMARC

DMARC zou kunnen bepalen dat een ontvangende mailserver een mail die niet aan de voorwaarden voldoet in quarantaine plaatst (policy=quarantaine) Daarop volgt geen bounce-bericht, want de mail is immers geaccepteerd door de ontvangende server. De ontvangende partij isoleert bij quarantaine de mail voor de ontvanger, totdat bijvoorbeeld de beheerder van de mailserver besluit deze alsnog vrij te geven, of in het geval van spam, te deleten.

DMARC kan ook definiëren om een mail domweg door de te laten die niet aan de voorwaarden voldoet (policy=none), of juist om zo’n mail te verwerpen (policy=reject). In het laatste geval hoeft ook niet altijd een bounce bericht te komen. Immers als de mail niet aan de voorwaarden voldoet, zal het afzender adres wel fake zijn. Het heeft geen nut daar naar toe te bouncen, omdat de bounce dan bij iemand terecht kan komen, die de spam mail niet zelf heeft verstuurd. Het verzendende domein geeft met zijn DMARC policy dus aan wat de ontvanger het beste met mail die niet aan de voorwaarden voldoet kan doen.

Hoe zorg je nu dat je mail door deze filtering heen komt? door de te zorgen dat je SPF en DKIM goed zijn geconfigureerd voor het domein waarvandaan je verzendt. Is het je eigen domein, dan is dat je eigen verantwoordelijkheid of die van je hoster. Verstuur je met @ziggo.nl via de ziggo mailserver dan is dat de verantwoordelijkheid van Ziggo. Ziggo doet dat sinds enige tijd netjes, dus ik vermoed dat we hier niet over een ziggo mail adres praten. Misschien kan @SixtySpecial nog toelichten hoe dat zit.

Het verzenden van een @pietje.nl mail via de smtp van ziggo kan bijvoorbeeld voor problemen zorgen als pietje.nl de ziggo mail server niet in zijn SPF record heeft geautoriseerd.

Je kan je DMARC natuurlijk minder streng afregelen maar daarmee verliest het zijn kracht. Je moet gewoon zorgen dat je verzonden mail via de juiste server, met de juiste configuratie wordt verzonden.
@efok, dank voor je uitgebreide en heldere toelichting. Op deze manier is het voor mij ook duidelijk wat er gebeurt. Zoals ik in m'n oorspronkelijke bericht aangaf gebruik ik een paar email aliassen op een eigen domeinnaam. Deze laat ik mail afvangen en doorsturen naar mijn @ziggo.nl mailbox. Dat werkt voor mij prettig en leverde tot voor kort geen problemen. Ik snap dat dit met toenemende spam en fake adressen tricky begint te worden. Wil uiteindelijk van de aliassen ook wel mailboxen maken, maar zover is het nog niet. Tot die tijd hoop ik met de huidige configuratie te kunnen blijven werken.

Inmiddels heb ik ook mijn eigen host om advies gevraagd en zij hebben me enkele regels aan m'n dns laten toevoegen, waarmee ook de doorgestuurde mails richting Ziggo als het goed is nu als veilig, geverifieerd, bestaand (of wat ze dan ook communiceren) worden bestempeld. Het is even afwachten of daarmee mijn problemen verholpen zijn. DNS records hebben even tijd nodig om te vernieuwen en daarnaast verwacht ik vandaag geen mail meer van de adressen waarmee de 'ellende' begon. Tot zover dank allen!
@efok Thanks! Han

Noot het was voor mij de moeite waard. Maar zeker ook voor TS die met Email dingen bezig blijkt te zijn, waar we nog niks over wisten op grond van de eerste probleemstelling. Dat was ook niet nodig. Dit is simpelweg toeval.
Reputatie 2
Het probleem wordt veroorzaakt door de SPF instelling van Ziggo voor quicknet.nl.:
code:
v=spf1 include:smtp.spf.ziggo.nl -all

Een ontvangende mail server controleert of de mail is verzonden door een server die is geauthoriseerd door Ziggo. Dat staat in de include: smtp.spf.ziggo.nl:
code:
v=spf1 ip4:212.54.32.0/19 ~all

Dus een mail server met een IP adres in de reeks 212.54.nnn.nnn mag namens Ziggo mail verzenden. Als het verzendende IP adres anders is dan geeft ~all aan dat de ontvangende mail server zelf moet kijken of hij de mail accepteert maar eventueel extra spam controles moet doen.
Het resultaat van de include is dan geen "pass" maar een "misschien". Normaal wordt de mail dan nog wel afgeleverd.
Maar omdat de include geen pass geeft wordt de -all ook bekeken en de min betekent als er geen correct IP adres is gebruikt dan wordt de ontvangende mail server geadviseerd om de mail te weigeren.
Het DMARC record van Ziggo zegt nog een keer expliciet dat je een mail zou moeten weigeren als de SPF controle niet goed gaat en daarom zie je in de geweigerde mail iets over DMARC failed.

Het is de vraag of Ziggo het zo bedoeld heeft. Als je namelijk het SPF record van ziggo.nl bekijkt dan eindigt die op ~all, ofwel kijk goed maar je mag wel afleveren. Alleen bij quicknet.nl eindig je in -all. Het is ook raar om een include te doen die eindigt op ~all want die is nu niet de laatste test van de SPF.

Dit gaat dus niet fout als je een mail rechtstreeks verstuurt vanaf een quicknet.nl adres maar wel als die mail door een ander mail systeem wordt doorgestuurd. De mail server die daar weer achter zit krijgt dan een mail van de tussenliggende mail server en die verstuurt vanaf een niet Ziggo IP adres. Het gaat ook niet fout met een ziggo.nl adres omdat de SPF daar wel goed staat.

De oplossing is dus als Ziggo het SPF record voor quicknet.nl weer laat eindigen in ~all.

Verdrietig wordt je pas als je dit aanmeldt bij de Ziggo helpdesk. Je krijgt dan als antwoord dat de helpdesk dit niet ondersteund. (Huh, waar is een helpdesk dan voor?)
Je krijgt niet eens de gelegenheid om door te geven waar Ziggo een fout heeft gemaakt in hun configuratie.

Helaas moet ik zeggen uit eigen ervaring dat dit gedrag standaard is bij de Ziggo ondersteuning. Bij een overduidelijk probleem in het Ziggo netwerk waarbij een kleine groep gebruikers een storing heeft walsen ze over je heen en krijg je een eindeloze stroom monteurs die bij jou het modem vervangen, filtertje er in, filtertje er uit, kastje aan de weg vervangen, enzovoort maar niemand komt op het idee om de flap list te controleren en in het Head End iets bij te regelen.
Reputatie 7
Hi @kb1, lekkere binnenkomer heb je, welkom op onze Community en wat ben ik blij dat je je weg hierheen hebt gevonden!

Ik zet dit door naar de verantwoordelijke afdeling om jouw bevindingen te controleren en corrigeren (als dit inderdaad een fout is).
Goed gevonden.
Het is strikt genomen geen "fout". -all kan een bewuste keuze zijn. Lekker streng, waarmee je spammers de optie ontneemt om fake een quicknet adres te gebruiken. Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.

Het zal lastig worden al je gebruikers zodanig op te voeden dat ze alleen via de ziggo-servers verzenden, al zou dat wel het beste zijn. DKIM is dan ook mogelijk. Legio gebruikers verzenden waarschijnlijk via de Google smtp of weet ik wat, en dan wordt die mail er nu dus uit gefilterd. ~all is vriendelijker voor de gebruikers, maar dan wordt het voor spammers ook weer makkelijker een fake quicknet adres te gebruiken. Het is maar net welke policy je als provider wilt aanhangen.
Enige voorlichting naar de gebruikers om via de juiste smtp te verzenden is tegenwoordig eigenlijk een must, omdat bovenstaande mechanismen steeds belangrijker worden.
Reputatie 7
Goed gevonden.
Het is strikt genomen geen "fout". -all kan een bewuste keuze zijn. Lekker streng, waarmee je spammers de optie ontneemt om fake een quicknet adres te gebruiken. Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.

Maar dan zou ik verwachten dat ze diezelfde regel toepassen op de @ziggo.nl, @home.nl, @upcmail.nl en al onze andere extensies.
Wat ik uit het bericht van @kb1 begrijp is dat juist niet consequent.

Goed gevonden.
Het is strikt genomen geen "fout". -all kan een bewuste keuze zijn. Lekker streng, waarmee je spammers de optie ontneemt om fake een quicknet adres te gebruiken. Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.
Maar dan zou ik verwachten dat ze diezelfde regel toepassen op de @ziggo.nl, @home.nl, @upcmail.nl en al onze andere extensies.
Wat ik uit het bericht van @kb1 begrijp is dat juist niet consequent.

Dat klopt het is zeker niet consequent.
Reputatie 2
Als je als gebruiker van een quicknet.nl (of ziggo.nl) mail adres een mail verzendt via een server van een andere provider (gmail, hotmail, kpn of anders) kun je verwachten dat jouw mails minder goed aankomen.
Er zijn echter hele goede redenen waarom je hier toch tegenaan loopt met gebruik van de originele ziggo mail servers. In mijn geval heeft elke quicknet.nl mail die ik verzend een automatische BCC naar mijn tweede email provider die dat dan weer forward naar een volgend email adres. Zo komen mijn verzonden emails altijd consequent terug. Dat ging dus de afgelopen 20 jaar prima tot ongeveer twee weken geleden...
Er zijn vele andere gebruikers die een forward hebben ingesteld om allerlei redenen.
Ik had hetzelfde probleem tot 5 minuten geleden. Yourhosting zei dat het bij Ziggo ligt,en Ziggo zei dat het bij Yourhosting ligt. Ze probeerden me beide wel te helpen,maar er kwam geen echte oplossing. Uiteindelijk was er iemand bij yourhosting die zei dat ik het SPF record bij Ziggo moest opvragen en dat zij dit dan zouden toevoegen aan mijn DNS.
Ik ben toen mijn DNS eens gaan bekijken en toen ik de reset knop zag dacht ik *stel je voor* 🙂 En inderdaad na de reset werkt het verzenden weer normaal. Krijg geen berichten meer dat de mail onbestelbaar is. En ik heb bij de afzenders gecheckt of de mail binnen was,en dat was het geval. Dus wie weet een heel simpele oplossing.
Reputatie 7
Hey @kb1 (en @efok en @RobHotton), Ik heb een zeer uitgebreide reactie gekregen over de werking van SPF, DKIM, DMARC en ons security beleid (onder "Lees meer").

Hierin wellicht het meest van belang voor jou vraagstuk, een –all (hardfail) is geen advies om een email de droppen, maar om te kijken naar DMARC. Als beide DKIM checks slagen (ook al geeft SPF een fail) geeft DMARC een success.

Het is een bewuste keuze om –all op al onze domeinen toe te passen (in de nabije toekomst).
En dat de maatregel ook al deels teruggedraaid is kan verklaren waarom het bij jou ineens weer werkt @RobHotton.
Wat is er aangepast:
SPF van een ~all naar –all statement.
DMARC van Monitoring afgehaald en naar Reject gezet.
Alle domeinen worden DKIM signed die door onze mailserver verloopt.
* Dit is nog niet op alle domeinen van toepassing en is op dit moment deels teruggedraaid vanwege de feedback (DMARC rapportage) die we kregen. Het streven is om al onze domeinen uiteindelijk naar –all om te zetten.
* Bij Ziggo.nl staat een ~all omdat we ook derde partijen hebben die mails versturen vanaf dit domein en nog geen gebruik maken van DKIM. Deze derde partijen zullen in de toekomst vanaf ziggo.com mailen waarna op ziggo.nl ook een –all geplaatst kan worden.

Wie mag er mailen met de domeinen van Ziggo?
Dat zijn de mail servers van Ziggo zelf smtp.ziggo.nl

Welke beveiligingsmethodes zijn er?
SPF, DKIM, DMARC, DANE, etc.
Ik ga in op SPF, DKIM, DMARC is het advies wat wij geven aan ontvangende mail servers. De ontvangende mail server bepaalt zelf hoe hij omgaat met de ontvangen mail.
Ze kunnen ervoor kiezen om te droppen (discarden), markeren als spam in onderwerp, verplaatsen naar spam folder, niks ermee doen gewoon in de inbox en vele andere mogelijkheden.
Dus ook al zou Ziggo advies geven om iets te rejecten kan het zijn dat de mail gewoon aankomt in de inbox omdat de beheerder van de ontvangende mail server hiervoor kiest.
Ziggo krijgt, doordat we op alle domeinen DMARC rapportage aan hebben staan, informatie over een deel van het mail verkeer. Hierin zien we ook wat het advies is van Ziggo vanuit de checks en wat de ontvangende mail servers bepalen om te doen met de mail.
Bij afwijkingen zien wij dat en kunnen contact dan opnemen met deze partijen mochten we dat willen.

Waarom past Ziggo instellingen aan?
Ziggo werkt continue aan de beveiliging van onze domeinen. De regels over gebruik zijn niet veranderd, maar worden door deze wijzigingen strenger gecontroleerd.
Dit is nodig om de stijgende spam, phishing, fraude over de hele wereld tegen te gaan.
Dit is nodig om de klant zijn email te beschermen en ook dat we buiten ons mail platform de klant beschermen. Voorbeeld: als iemand in Rusland een mailtje stuurt naar Tokyo met de klant zijn email adres (wat geheel buiten ons platform om loopt) hebben we nog steeds invloed op om deze te laten droppen bij de ontvangende mailserver.
Helaas zorgt dit ervoor dat sommige configuraties die voorheen gewoon gewerkt hebben nu niet meer werken. De wijze van gebruik is niet veranderd, maar sommige ontvangende mailservers lieten toch de mail door omdat sommige veiligheidsinstellingen (SPF, DMARC) niet scherp stonden.

Verschil tussen ~all en –all
v=spf1 include:smtp.spf.ziggo.nl ~all = softfail. For SOFTFAIL, a debugging aid between NEUTRAL and FAIL. Typically, messages that return a SOFTFAIL are accepted but tagged.
Hier staat alleen de mailservers van Ziggo mogen mailen namens het domein. Alleen als het van een andere bron komt markeer de mail of voer zelf extra checks op de mail.
v=spf1 include:smtp.spf.ziggo.nl –all = hardfail.
Deze mailserver mag niet mailen met dit domein. FAIL. Echter we adviseren niet direct om de mail te droppen (wat veel mensen denken), maar echter om te kijken naar DMARC. Dat is het advies, aangezien DMARC gebruikt wordt.
Echter sommige partijen rejecten op basis van SPF Fail al. Dat hebben we niet in de hand.

Als mensen hun email forwarden gaat SPF altijd stuk tenzij met SRS (Sender Rewrite Scheme) gebruiken. SRS was devised in order to forward email without breaking the Sender Policy Framework (SPF)
Hier maken niet veel partijen gebruik van. Ziggo momenteel ook niet.

Dus Ziggo klant
voorbeeld@quicknet.nlmailt
pietje@eigendomein.nldaar staat een forward naar
pietje@hotmail.com.
In deze situatie ziet de ontvangende mail server (Hotmail) dat de mail afkomstig is van een mailserver bij eigendomein. Eigendomein staat niet in de SPF record van quicknet.nl en mag die mail niet versturen volgens SPF dus HARD FAIL.
Hier komt de term DKIM survival naar voren. Als de mail niet zodanig aangepast wordt overleeft de DKIM signature icm het from domein. Waardoor DKIM slaagt. Waardoor DMARC slaagt als beide DMARC DKIM checks ook slagen.

DKIM:
Versleutelen van de mail met public en private key.
Public key staat in de DNS van het verzendende domein die de ontvangende mail server opvraagt.

DMARC: (Meest belangrijke)
DMARC is bedacht om de huidige veiligheidschecks aan te vullen. Aangezien ze gevoelig waren om makkelijk te misleiden door creatief de misbruikende mail server te configureren waardoor de veiligheidschecks slaagde, maar vanuit een verdacht bron kwamen.
DMARC voert 4 checks uit. 1) SPF basic 2) SPF DMARC Alignment 3) DKIM Basic 4) DKIM DMARC Alignment
Als beide SPF checks of beide DKIM check succesvol uitgevoerd worden geeft DMARC een success. (Dus 1 & 2 OF 3 & 4)
DMARC basic checks worden gedaan door SPF en DKIM correct te configureren en te gebruiken.
DMARC controleert alleen check 1 & 3 en voert zelf 2 & 4 uit.

SPF: Kijkt naar het domein in de return-path
DKIM:kijkt naar het domein waarmee gesigned is in de DKIM handtekening
DMARC:Check 2 vergelijkt het domein op afwijkende domeinnamen in de mail. Return-Path VS FROM domein
DMARC:Check 4 vergelijkt DKIM signature domein met FROM domein.
Hierdoor vult DMARC de huidige protocollen aan met twee extra checks.
Reputatie 2
Even een samenvatting van de goede uitleg van Ziggo hierboven:
Ziggo wil spammers en andere smiegten zo veel mogelijk afknijpen en maakt de email controles strenger.

Drie controle punten:
SPF - controleert of een email verzonden namens een Ziggo mail adres (ziggo.nl, quicknet.nl) ook daadwerkelijk wordt verzonden vanaf een Ziggo mail server (ip-address). Dat gaat goed als je verzendt via Ziggo maar een mail die wordt geforward komt in principe vanaf een andere mail server (ip-address) en de SPF controle geeft een fail (of in het beste geval een softfail met ~all).

DKIM - Ziggo berekent voor emails die worden verzonden via de Ziggo mail servers een checksum over de mail headers en over de mail tekst. De ontvangende mail server berekent checksum opnieuw met gebruik van de publieke sleutel die in de Ziggo DNS is opgeslagen. De berekende checksum wordt vergeleken met de waarde die met de mail is verzonden. Als de mail tekst of headers zijn gewijzigd is er een DKIM fail. Een DKIM wordt meegestuurd als een mail wordt geforward en moet daarna ook nog kloppen, tenzij de mail onderweg is gewijzigd.

DMARC - geeft in meer detail aan wat het advies aan de ontvangende mail server is.
code:
v=DMARC1; p=reject; rua=mailto:x.dmarcian.eu; ruf=mailto:x@dmarcian.eu; fo=1; adkim=s; aspf=s;

Dit is het DMARC record op dit moment van quicknet.nl (mail adressen zijn aangepast...)
p=reject - een mail die niet passed weigeren. Ook mogelijk is p=none (vrijblijvend) of p=quarantine (zet in de spam folder).
rua= en ruf= is waar andere mail providers hun evaluaties naar toe sturen zodat Ziggo kan kijken of en waarom DMARC goed werkt. fo=1 vraagt hierbij om extra details.
adkim=s - strict - het domein van DKIM moet exact overeenkomen. Ook mogelijk is r - relaxed die meer afwijkingen toelaat.
aspf=s - strict - - het domein van SPF moet exact overeen komen. Ook mogelijk is r - relaxed.

DMARC doet naast het resultaat van de standaard SPF en DKIM controles ook zelf nog een tweetal controles vergelijkbaar met SPF en DKIM die potentieel van een ander email adres in de mail header kunnen uitgaan.

DMARC geeft een pass als de SPF of de DKIM testen een pass geven.

Bij een forward zal de SPF test falen maar de mail kan alsnog passeren als de DKIM test slaagt. Daarvoor is het nodig dat de mail server die de mail doorstuurt geen aanpassingen maakt in de mail tekst of in de mail headers die zijn opgenomen in de DKIM checksum.
Soms gebeurt dat echter toch. Dat kan bijvoorbeeld als de email een 8bit encoding gebruikt en er onderweg een mail server is die alleen 7bit encoding aan kan. Dan wordt de tekst geconverteerd naar 7bit en klopt de checksum niet meer. Het is ook mogelijk dat een mail server onderweg iets aanpast in een header die is opgenomen in de DKIM checksum, bijvoorbeeld de datum/tijd.

Mijn mails worden verzonden vanaf quicknet.nl naar mail server 2 en die doet een forward naar mail server 3.
Als ik nu een mail stuur zonder tekst wordt de mail geweigerd door mail server 3 (DMARC).
Als ik een mail stuur met een triviale tekst "aaa" komt de mail goed aan.
Sommige mails met meer tekst worden echter geweigerd.
Ik kan niet precies zien waarom de mails worden geweigerd want in de delivery notifications staat alleen DMARC failed en niet op welke test.

Ik heb daarom een delivery notification laten analyseren op mxtoolbox.com en die zegt:
SPF Alignment fail
SPF Authenticated fail
DKIM Alignment pass
DKIM Authenticated fail
Ik verwacht dat SFP failed voor een geforwarde email. De DKIM (Alignment) test is pass maar waarom is dan de DKIM Authentication fail?

Nog een tip - in mail programma Thunderbird kun je de DKIM verifier plugin installeren. Die vertelt je voor elke ontvangen email of er een DKIM aanwezig is en van welk domein en of die passed of failed.

Ziggo krijgt van de ontvangende mail servers een DMARC rapport waaraan ze kunnen zien welke mails failen en waarom. Dat zijn helaas niet alle mail servers, Google en Yahoo doen het wel maar Microsoft doet het niet en ook Ziggo zelf en KPN geven geen DMARC rapportages aan andere verzendende mail servers.

Nog even een noot over het strenger maken van de mail controles. Voor een organisatie zoals onze overheid of grote bedrijven is het belangrijk dat hun mail betrouwbaar overkomt en daar wil je de controles zo streng mogelijk maken.
Ziggo is echter naast een bedrijf die zelf email verzendt ook een service provider die namens al hun klanten mail verzendt. Het is voor de particuliere klanten van Ziggo veel belangrijker dat hun mail goed aankomt dan dat wordt voorkomen dat een smiegt misbruik maakt van hun prive Ziggo mail adres. De balans ligt dus anders dan bij bijvoorbeeld de rijksoverheid.
Reputatie 4
Badge +1
Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.

Neuh, da's niet goed. Je FROM adres moet je FROM adres zijn. Dus horen bij het domein van de mailserver die je gebruikt om je mail te versturen.
Dus Stel, onze argeloze gebruiker "piet.puk@quicknet.nl" wil graag dat je antwoord stuurt aan "pukpiet@gmail.com"
En als hij dan zijn from herschrijft naar pukpiet@gmail.com en verstuurt het bericht via z'n quicknet server, dan is hij simpelweg niet argeloos, maar doet iets wat niet mag. Geen enkele mail host (behalve open relay hosts) zal dit accepteren.

De juiste wijze voor onze Piet is dat hij het bericht verstuurt aan zijn quicknet server met
FROM:piet.puk@quicknet.nl
REPLY TO: pukpiet@gmail.com
...alleen zo gaat het lukken.

Groet van Hoot
Reputatie 2



Neuh, da's niet goed. Je FROM adres moet je FROM adres zijn. Dus horen bij het domein van de mailserver die je gebruikt om je mail te versturen.Dus Stel, onze argeloze gebruiker "piet.puk@quicknet.nl" wil graag dat je antwoord stuurt aan "pukpiet@gmail.com"En als hij dan zijn from herschrijft naar pukpiet@gmail.com en verstuurt het bericht via z'n quicknet server, dan is hij simpelweg niet argeloos, maar doet iets wat niet mag. Geen enkele mail host (behalve open relay hosts) zal dit accepteren.


Je moet eerst aanmelden met je userid en password voordat je via Ziggo mail servers kunt mailen. Vroeger had je nog wel mail servers waar je anoniem kon mailen maar die keken wel of je binnen kwam via het netwerk van de provider. Mail servers die helemaal nergens naar kijken (open relay servers) werden altijd al fout gevonden.

Je kunt prima een mail verzenden via Ziggo mail servers met een ander domein bijvoorbeeld jan@bedrijf-x.com. Ziggo zal er dan geen DKIM op zetten en de SPF en DMARC controles hangen af van de DNS instellingen van bedrijf-x.com en niet van Ziggo. Ziggo zet wel jouw eigen Ziggo of quicknet email adres als X-authenticated-sender in de mail headers zodat zichtbaar is waar je vandaan kwam.
Reputatie 4
Badge +1
Aanmelden heb je gelijk in. Vroegah kon je op multikabel zonder aanmelden versturen, omdat je in het 'trusted' netwerk zat. Dan is aanmelden de betere optie.


Als ik eraan toe kom sla ik de RFC's er op na vwb de relay functie. Tot die tijd ga ik er van uit dat je gelijk hebt 🙂 Ik zou het zeker niet zo inrichten, juist omdat je dan de teugels moet laten vieren op dkim en spf.

Thanks @kb1

Reageer