Even een samenvatting van de goede uitleg van Ziggo hierboven:
Ziggo wil spammers en andere smiegten zo veel mogelijk afknijpen en maakt de email controles strenger.
Drie controle punten:
SPF - controleert of een email verzonden namens een Ziggo mail adres (ziggo.nl, quicknet.nl) ook daadwerkelijk wordt verzonden vanaf een Ziggo mail server (ip-address). Dat gaat goed als je verzendt via Ziggo maar een mail die wordt geforward komt in principe vanaf een andere mail server (ip-address) en de SPF controle geeft een fail (of in het beste geval een softfail met ~all).
DKIM - Ziggo berekent voor emails die worden verzonden via de Ziggo mail servers een checksum over de mail headers en over de mail tekst. De ontvangende mail server berekent checksum opnieuw met gebruik van de publieke sleutel die in de Ziggo DNS is opgeslagen. De berekende checksum wordt vergeleken met de waarde die met de mail is verzonden. Als de mail tekst of headers zijn gewijzigd is er een DKIM fail. Een DKIM wordt meegestuurd als een mail wordt geforward en moet daarna ook nog kloppen, tenzij de mail onderweg is gewijzigd.
DMARC - geeft in meer detail aan wat het advies aan de ontvangende mail server is.
v=DMARC1; p=reject; rua=mailto:x.dmarcian.eu; ruf=mailto:x@dmarcian.eu; fo=1; adkim=s; aspf=s;
Dit is het DMARC record op dit moment van quicknet.nl (mail adressen zijn aangepast...)
p=reject - een mail die niet passed weigeren. Ook mogelijk is p=none (vrijblijvend) of p=quarantine (zet in de spam folder).
rua= en ruf= is waar andere mail providers hun evaluaties naar toe sturen zodat Ziggo kan kijken of en waarom DMARC goed werkt. fo=1 vraagt hierbij om extra details.
adkim=s - strict - het domein van DKIM moet exact overeenkomen. Ook mogelijk is r - relaxed die meer afwijkingen toelaat.
aspf=s - strict - - het domein van SPF moet exact overeen komen. Ook mogelijk is r - relaxed.
DMARC doet naast het resultaat van de standaard SPF en DKIM controles ook zelf nog een tweetal controles vergelijkbaar met SPF en DKIM die potentieel van een ander email adres in de mail header kunnen uitgaan.
DMARC geeft een pass als de SPF of de DKIM testen een pass geven.
Bij een forward zal de SPF test falen maar de mail kan alsnog passeren als de DKIM test slaagt. Daarvoor is het nodig dat de mail server die de mail doorstuurt geen aanpassingen maakt in de mail tekst of in de mail headers die zijn opgenomen in de DKIM checksum.
Soms gebeurt dat echter toch. Dat kan bijvoorbeeld als de email een 8bit encoding gebruikt en er onderweg een mail server is die alleen 7bit encoding aan kan. Dan wordt de tekst geconverteerd naar 7bit en klopt de checksum niet meer. Het is ook mogelijk dat een mail server onderweg iets aanpast in een header die is opgenomen in de DKIM checksum, bijvoorbeeld de datum/tijd.
Mijn mails worden verzonden vanaf quicknet.nl naar mail server 2 en die doet een forward naar mail server 3.
Als ik nu een mail stuur zonder tekst wordt de mail geweigerd door mail server 3 (DMARC).
Als ik een mail stuur met een triviale tekst "aaa" komt de mail goed aan.
Sommige mails met meer tekst worden echter geweigerd.
Ik kan niet precies zien waarom de mails worden geweigerd want in de delivery notifications staat alleen DMARC failed en niet op welke test.
Ik heb daarom een delivery notification laten analyseren op mxtoolbox.com en die zegt:
SPF Alignment fail
SPF Authenticated fail
DKIM Alignment pass
DKIM Authenticated fail
Ik verwacht dat SFP failed voor een geforwarde email. De DKIM (Alignment) test is pass maar waarom is dan de DKIM Authentication fail?
Nog een tip - in mail programma Thunderbird kun je de DKIM verifier plugin installeren. Die vertelt je voor elke ontvangen email of er een DKIM aanwezig is en van welk domein en of die passed of failed.
Ziggo krijgt van de ontvangende mail servers een DMARC rapport waaraan ze kunnen zien welke mails failen en waarom. Dat zijn helaas niet alle mail servers, Google en Yahoo doen het wel maar Microsoft doet het niet en ook Ziggo zelf en KPN geven geen DMARC rapportages aan andere verzendende mail servers.
Nog even een noot over het strenger maken van de mail controles. Voor een organisatie zoals onze overheid of grote bedrijven is het belangrijk dat hun mail betrouwbaar overkomt en daar wil je de controles zo streng mogelijk maken.
Ziggo is echter naast een bedrijf die zelf email verzendt ook een service provider die namens al hun klanten mail verzendt. Het is voor de particuliere klanten van Ziggo veel belangrijker dat hun mail goed aankomt dan dat wordt voorkomen dat een smiegt misbruik maakt van hun prive Ziggo mail adres. De balans ligt dus anders dan bij bijvoorbeeld de rijksoverheid.