1
Vraag
2
Reacties
matthys70

Level 2
  • 10Posts
  • 1Oplossingen
  • 0Likes

Hoe DMARC aggregate report te lezen?

Hallo,

 

Na het instellen van DMARC krijg ik vaak reports en vraag me af hoe ik dit moet lezen en wat nu hier de oorzaak van is.

 

Ik las ergens op die forum dat het te maken zou kunnen hebben met SPF.

Het record wat ik gebruik is "v=spf1 include:smtp.spf.ziggo.nl include:mail.ziggo.com ~all".

 

Dit is wat in het DMARC aggregate report staat (heb wel mijn domainnaam etc weggehaald):

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>XXX</org_name>
<email>noreply-dmarc-report@XXX</email>
<report_id>MIJN-DOMEINNAAM:1665007595</report_id>
<date_range>
<begin>1664921195</begin>
<end>1665007595</end>
</date_range>
</report_metadata>
<policy_published>
<domain>MIJN-DOMEINNAAM</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>212.54.42.165</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>MIJN-DOMEINNAAM</header_from>
</identifiers>
<auth_results>
<spf>
<domain>MIJN-DOMEINNAAM</domain>
<result>pass</result>
</spf>
<dkim>
<domain>MIJN-DOMEINNAAM</domain>
<result>pass</result>
</dkim>
</auth_results>
</record>
</feedback>

 

Ik heb het idee wat hij in quarantine komt vanwege de ZIggo relay (212.54.42.165).

Iemand die hier wat zinnigs op kan antwoorden? Waar word dit door veroorzaakt?

 

Thanks,

Matthijs

Oplossing

Geaccepteerde oplossingen
efok

Level 17
Expert
  • 3794Posts
  • 208Oplossingen
  • 1448Likes

Voor zover ik het interpreteer komt hij niet in de quarantaine. Er staat wel : <p>quarantine</p>
<sp>quarantine</sp> Dat betekent dat het beleid (p van policy, en sp van policy voor subdomeinen) wat je opgeeft in je DMARC record "quarantaine" is, voor als dmarc faalt. Eigenlijk is dat dit hele stuk:

 

 

<policy_published>
<domain>MIJN-DOMEINNAAM</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>

 

 

Dat is de policy in jouw dmarc reord. Het besluit wat uiteindelijk over de betreffende mail wordt genomen vind je onder disposition. Daar staat none. Dat betekent dat er geen quarantaine is toegepast. Zowel spf als dkim geven ook keurig een pass. De evaluatie van je policy staat in dit deel:

 

 

<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>

 

 

Maar begrijp ik het goed dat je een eigen domein via de Ziggo SMTP naar buiten schopt? Dan is het knap dat dit goed gaat met DKIM, of voeg je zelf al een DKIM sleutel toe voor de Ziggo SMTP, die zal dit niet doen voor vreemde domeinnamen. @matthys70 

 

Bekijk in context

8 Reacties 8
Bert

Level 21
Super Expert
  • 63532Posts
  • 4389Oplossingen
  • 16854Likes

Ik begrijp niet waarom je mail.ziggo.com benoemd.

 

Ik ben er nog niet helemaal uit hoe dit precies werkt.

Mogelijke tip over een domeinen en Ziggo smtp server: Een mail verzenden, met een ander domein als afzender verzenden, dan de Ziggo mailadressen, wordt tegenwoordig steeds meer of inmiddels geheel geblokt via smtp.ziggo.nl

 

Mogelijk helpt deze site: SPF Check & SPF Lookup - Sender Policy Framework (SPF) - MxToolBox

efok

Level 17
Expert
  • 3794Posts
  • 208Oplossingen
  • 1448Likes

Voor zover ik het interpreteer komt hij niet in de quarantaine. Er staat wel : <p>quarantine</p>
<sp>quarantine</sp> Dat betekent dat het beleid (p van policy, en sp van policy voor subdomeinen) wat je opgeeft in je DMARC record "quarantaine" is, voor als dmarc faalt. Eigenlijk is dat dit hele stuk:

 

 

<policy_published>
<domain>MIJN-DOMEINNAAM</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>

 

 

Dat is de policy in jouw dmarc reord. Het besluit wat uiteindelijk over de betreffende mail wordt genomen vind je onder disposition. Daar staat none. Dat betekent dat er geen quarantaine is toegepast. Zowel spf als dkim geven ook keurig een pass. De evaluatie van je policy staat in dit deel:

 

 

<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>

 

 

Maar begrijp ik het goed dat je een eigen domein via de Ziggo SMTP naar buiten schopt? Dan is het knap dat dit goed gaat met DKIM, of voeg je zelf al een DKIM sleutel toe voor de Ziggo SMTP, die zal dit niet doen voor vreemde domeinnamen. @matthys70 

 

matthys70
Topicstarter
Level 2
  • 10Posts
  • 1Oplossingen
  • 0Likes

@efok, Klopt, ik stuur inderdaad m'n eigen email (met eigen domeinnaam) via Ziggo SMTP naar buiten. Heb daar zowel SPF als DKIM op staan. En inderdaad alles wat eruit gaat heeft een DKIM-Signature, dus voor de relay. Het viel mij alleen op als ik naar bepaalde mensen mail ik een DMARC aggregate report krijg, terwijl ik dit voor andere niet krijg. Zelf had ik het idee dat het afhankelijk is welk relay gebruikt word van de reeks waar Ziggo gebruik van maakt.

matthys70
Topicstarter
Level 2
  • 10Posts
  • 1Oplossingen
  • 0Likes

@Bert, was inderdaad een hoop uitzoekwerk, want er staat echt heel veel geschreven over SPF. Het is al een tijd geleden dat ik dit gedaan heb, dus weet niet meer de reden dat ik ook mail.ziggo.com benoem. Zou het kunnen omdat ik oud UPC gebruiker ben? Overigens ben ik bekend met MxToolBox, erg handig. Ook handig is email sturen aan check-auth@verifier.port25.com en dan krijg je een uitgebreid rapport terug.

matthys70
Topicstarter
Level 2
  • 10Posts
  • 1Oplossingen
  • 0Likes

Aanvulling, het lijkt inderdaad allemaal OK. Ik vond deze website ook erg handig:

https://powerdmarc.com/how-to-read-dmarc-reports/

 

Blijf me alleen afvragen waarom in sommige gevallen ik een report krijg.

efok

Level 17
Expert
  • 3794Posts
  • 208Oplossingen
  • 1448Likes

Je zult in je DMARC record een rua=mail@domein.com hebben opgenomen. Mijn ervaring is dat lang niet iedere ontvangende mailserver is ingericht om DMARC reports te verzenden. Google doet het bv wel, maar veel partijen ook niet.

matthys70
Topicstarter
Level 2
  • 10Posts
  • 1Oplossingen
  • 0Likes

Klopt, in DMARC staat: "v=DMARC1; p=quarantine; rua=mailto:xxx@MIJN-DOMEINNAAM"

Maar ik ging er vanuit dat je alleen een report kreeg bij fail, maar is schijnbaar dus niet zo?

Ik ken iemand die ook gebruik maakt van DMARC (zelfde config) en hij geeft aan nooit een report te krijgen. Waarbij ik nog de opmerking maakte van "zitten ze niet in je spam folder", waarbij hij aangaf van niet.

 

PS .. het was me inderdaad al duidelijk dat niet elke mail-server een DMARC report stuurt.

En dat Google bijvoorbeeld geen DMARC Forensic (RUF) Report verstuurd, alleen Aggregate (RUA).

Richard G.

Level 15
Expert
  • 1023Posts
  • 65Oplossingen
  • 461Likes

"Maar ik ging er vanuit dat je alleen een report kreeg bij fail, maar is schijnbaar dus niet zo?"

Nee die techniek werkt inderdaad niet zo. Je krijgt van bepaalde partijen wel of niet een rapport maar het is niet alleen bij fail.
Inderdaad is het met name Google en xs4all waar je die rapporten van krijgt en soms ook van Microsoft.

 

Overigens moet je niet mail.ziggo.nl in je SPF opnemen, want dan beperk je het tot de inkomende mail.

Normaliter gebruik je namelijk smtp.ziggo.nl voor Ziggo mailservers. Daar zitten andere ip adressen in.

Wil je dus Ziggo toevoegen aan je SPF record moet je deze toevoegen:
include:smtp.spf.ziggo.nl

 

Dat heeft wel als nadeel dat elke Ziggo gebruiker die uit jouw domeinnaam gaat lopen spoofen geaccepteerd zal worden door SPF.

 

Als je een eigen domein naam gebruikt en geen eigen mailserver thuis is het gewoon altijd beter om de smtp van je hosting te gebruiken.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic