Vraag
Reacties
Aankondigingen
Nieuw op de Community? Laat ons in 3 minuten weten wat je verwacht van je bezoek. Vul nu de vragenlijst in.
Lampi1
Level 2

poort 587 blokkeert voor uitgaande mail ziggo

Email wordt rechtstreeks verstuurd via websites. Hierbij worden de gegevens,  zoals aan,cc,onderwerk en inhoud gestuurd naar smtp.ziggo.nl poort 587 met correct gebruikersnaam en wachtwoord. 

Sinds 3-4 weken werkt dit na tientallen jaren niet meer. 

Ik heb telnet geprobeerd en die kan verbinding maken met ziggo en poort 587, maar zodra ik mijn gebruikersnaam en wachtwoord intyp wordt ik eruit gegooid. 

 

Ik heb dit ook getest via andere kanalen, dus hoeft niet bij ziggo te liggen, maar verandering van een protocall of zoals een monteur aangaf in de firewall van het modem. Iets voorkomt dat de mail wordt verstuurd via poort 587 of 465 met gebruikersnaam en wachtwoord

 

VRAAG: Mogelijk is er iets in de tls verandert, waardoor dit niet meer werkt. 

 

0 Kudos
e-mail meldingen
Aan Uit
Uitgelicht
Richard G.
Level 16

@Lampi1"k heb dat zelf niet in de dns gezet maar yourhosting . Volgens mij staat dat er al langer en verklaart niet waarom er geen response mail kan worden verstuurd ."

Dat is dus wat ik zeg. Een -all is een strikte SPF. Dan mag alleen diegene mail versturen die daarin genoemd wordt. Verstuurd jij dus voor boxline.nl een mail via de Ziggo smtp server, dan zul je ook de Ziggo spf in die spf regel vermeld moeten hebben. Yourhosting moet dat ook weten.
Bij het versturen van een responsemail wordt het SPF record gecontroleerd door de mailserver, op zijn minst door de ontvangende mailserver en dan kan de mail daardoor geweigerd worden.
Bij Boxline staat geen spf van Ziggo er bij. Dus de Ziggo SMTP is niet geauthenticeerd om mail van jouw boxline.nl domein te versturen. Daar begint het probleem al.

"De oplossing moet liggen in iets dat sinds 4 weken is verandert ! "
Dat heb ik eigenlijk uitgelegd, poort 25 is gefaseerd dicht gezet en de authenticatie via 587 verloopt anders dan via 25. Verder strengere controle op SPF en DKIM.

Yourhosting zou dit veel sneller moeten kunnen onderzoeken wat er mis gaat.

Want ik zie zo vlug niet waarom je geen mail zou kunnen versturen via je tcsempervirens.nl domein.
Het beste is om gewoon eens mail-tester.com te bezoeken. Daar krijg je een adres. Verstuur vanaf je tcsepervirens.nl een mailtje naar dat opgegeven @mail-tester.com adres en post eens de resultaten als je die krijgt.


Verlengen van https via cname zou men ook niet moeten doen eigenlijk. Voor belangrijke zaken kan men beter gewoon A records gebruiken. Maar dat terzijde.

1 Kudos
20 Reacties 20
Bert
Level 21
T.E.A.M.

"Email wordt rechtstreeks verstuurd via websites."

Als de mail via de websites verstuurd wordt, dan heeft je firewall van het modem er niets mee te maken.

Hoe werkt dat via de websites?

0 Kudos
efok
Level 17

Vanaf websites zou je de mailserver moeten gebruiken die bij de websites hoort ipv de Ziggo server. Werkt het wel als je gewoon zelf met een mailprogramma inlogt? Via Telnet zal het lastig gaan omdat STARTTLS wordt gebruikt.

Lampi1
Level 2
Topicstarter

@efok dank dan kunnen we dat uitsluiten. Feit blijft dat e-mail gestuurd naar 587 er niet uitgaat. Wat blokkeert dan de poort. Het modem regelt poorten, maar verleen eerder toegang door ze open zetten, maar kan ook iets blokkeren of omleiden. Het leek mij een logische mogelijkheid. Een website draait op een server. (Eigen). Deze stuurt net als je vroeger een fax via de computer naar buiten kon sturen via het Mac adres , doe je dat nu via een poort . Als ik print zet ik een poort open op mijn printer (AirPrint) en kan die dan benaderen. Ik stuur nu via het web  via smtp iets uit. Het lukt niet als de poort door bv de provider die poort wordt geblokkeerd, maar hetzelfde krijg ik als ik 587 gebruik in relatie tot Gmail of waar ik de website host. Ik krijg geen fout melding, het resultaat zie ik wel. Zo dacht ik dat het werkte maar ben geen expert 

0 Kudos
Lampi1
Level 2
Topicstarter

dank dan kunnen we dat uitsluiten. Feit blijft dat e-mail gestuurd naar 587 er niet uitgaat. Wat blokkeert dan de poort. Het modem regelt poorten, maar verleen eerder toegang door ze open zetten, maar kan ook iets blokkeren of omleiden. Het leek mij een logische mogelijkheid. Een website draait op een server. (Eigen). Deze stuurt net als je vroeger een fax via de computer naar buiten kon sturen via het Mac adres , doe je dat nu via een poort . Als ik print zet ik een poort open op mijn printer (AirPrint) en kan die dan benaderen. Ik stuur nu via het web  via smtp iets uit. Het lukt niet als de poort door bv de provider die poort wordt geblokkeerd, maar hetzelfde krijg ik als ik 587 gebruik in relatie tot Gmail of waar ik de website host. Ik krijg geen fout melding, het resultaat zie ik wel. Zo dacht ik dat het werkte maar ben geen expert . Stuurde bericht eerder naar efok. 

0 Kudos
Lampi1
Level 2
Topicstarter

@efok @Sorry gaf net jou de reactie op Bert. Met mijn e-mail programma wel zo te zien. Het standaard Gmail gebruikt maar als via telnet ik response krijg via ziggo, moet dat ook werken. Dat getest en dat doet het ook. Sommige website hebben geen e-mail account op dat domeinnaam. En werkt al 15 jaar zo via ziggo. Nu opeens niet meer. 
Heb er geen verstand van maar ik moet onafhankelijk van info van de provider kunnen vaststellen of een poort open of dicht staat. Op het modem zit ik zelf aan de poortknoppen, mAar uitgaand niet. Daar adresseer ik naar een poort. Waarom stopt deze bij startls na invoeren gebruikersnaam en paswoord. Want ik moet ergens kunnen nagaan waar de oorzaak ligt, door checks uit te voeren. Als iets ruim 15 jaar werkt en zonder foutmelding gaat de mail er niet uit, dan is er iets gewijzigd. 
bv je moet sinds gisteren middag op deze site een code gebruiken. IIS van Microsoft geeft echter geen foutmelding en dan wordt het moeilijk ontdekken 

0 Kudos
efok
Level 17

je kan met openssl testen of het werkt.

 

openssl s_client -starttls smtp -connect smtp.ziggo.nl:587

 

Bert
Level 21
T.E.A.M.

@Lampi1 "Het modem regelt poorten, maar verleen eerder toegang door ze open zetten, maar kan ook iets blokkeren of omleiden."

Van binnen naar buiten zijn alle poorten altijd open, behalve een paar poorten die een veiligheidsissue kunnen zijn en poort 25.

Naar binnen zijn alle poorten altijd dicht door je firewall, behalve voor de poorten waarmee vanuit binnen, naar buiten een verbinding is gelegd, die mag antwoord geven naar binnen, verder blijft alles geblokt vanuit buiten.

0 Kudos
Lampi1
Level 2
Topicstarter

@Bert BIj mij staan dus poort 80 en 443 voor de websites open. EN deze poorten verwijzen door naar het ip-adres van mijn server.  Bedoel je dat ik poort 587 open moet stellen, dat heb ik de afgelopen 15 jaar niet gedaan? Wat maakt het dat het nu wel zou moeten?

0 Kudos
Bert
Level 21
T.E.A.M.

Poort 587 hoef je niet open te zetten.

Je verzend mail via een website, welk afzender adres / domein gebruik je daarvoor?

0 Kudos
Lampi1
Level 2
Topicstarter
  1. @efok moet ik deze regele precies in voeren
0 Kudos
Lampi1
Level 2
Topicstarter

...@ziggo.nl        plus ww s mtp.ziggo.nl 587 tls=true 

Ik host  dus gebruik vele domeinen.  Heb uiteraard geprobeerd via domein te versturen en wordt dan yourhosting als smtp met bijbehorende gebruikersnaam en wachtwoord en dat maakt geen verschil. Ik werk zo al 15 jaar. Het is voor mij gewoon een mail vanaf een domeinnaam naar een poort doorsturen van een account van een provider met die gegeven

 

**Moderator: Mailadres weg gehaald**

0 Kudos
Richard G.
Level 16

Even een stukje uitleg.

Vroeger werkte het als je dus gewoon een of andere willekeurige domeinnaam nam of email adres en dan smtp.ziggo.nl via poort 25 als smtp gebruikte. Dat is niet volgens RFC, maar zolang je maar vanaf het Ziggo netwerk verstuurde, was dit mogelijk.

Nadeel is dat dit ook malware heel eenvoudig mogelijk maakte om namens allerlei namen via het Ziggo netwerk te spammen.

 

Wat is er veranderd? Poort 25 uitgaand is dichtgezet voor klanten sinds korte tijd. Je bent dus verplicht om poort 587 te nemen.

Echter dit kan ook -niet- meer zonder authenticatie. Dus probeer je nu op diezelfde manier maar dan via poort 587 van andere domeinen je mail te versturen dan gaat dat niet werken.

 

Er zijn dan 2 oplossingen.

1.) De methode volgens de RFC's en dat is de SMTP van je eigen domein gebruiken via poort 587 of 465 afhankelijk van wat de hoster adviseert.

2.) Wil je per sé nog via de SMTP van Ziggo zul je 2x moeten authenticeren. In de e-mail client betekent dit dat je voor je externe domeinnaam je usernaam en wachtwoor moet instellen zoals dat gebruikelijk is. Echter bij de geavanceerde instellingen op het SMTP tabblad zul je jouw gebruikersnaam en wachtwoord van je Ziggo mail adres moeten invoeren om verbinding te kunnen/mogen maken via de Ziggo SMTP server.

 

Dat laatste heb ik al enkele maanden geleden getest en dat werkt. Echter aangezien Ziggo (terecht) meerdere beveiligingen is gaan gebruiken zoals SPF en DKIM, loop je de kans dat je berichten toch in spamfolders aan komen of zelfs geweigerd worden.

Zeker als je eigen domeinen ook (strikte) SPF gebruiken. Een oplossing daarvoor is om de spf van Ziggo in de spf van je externe domein op te nemen.

Dat heeft echter wel weer als nadeel dat elke Ziggo gebruiker jouw extern domein kan gaan lopen spoofen. Zal niet snel gebeuren, maar theoretisch is het mogelijk.

 

Beste optie dus, via je hoster(s) versturen. Ik leest dat het met yourhoster ook niet lukt, maar die hebben wat extra's. Bij Yourhoster moet je bijvoorbeeld Wachtwoord verificatie vereist (SPA) / identiteitscontrole ook activeren. Dat is bij de meesten niet nodig.

Dus dat het met alleen poort 587 daar niet lukt, kan dan wel kloppen, vinkje extra zetten is hier nodig.

Lampi1
Level 2
Topicstarter

@Richard G. 

Bedankt voor de uitleg. 
1. ik gebruik al jaren en jaren geen poort 25, dus 587 of 465 met e-mailadres = gebruikersnaam en paswoord tls is true . 
2. de 2e optie, zoals ik dat lees, is voor instellen van bv Outlook, anders werkt het nooit. Zo haal en verstuur ik ook mail van en naar elk domein. Dus boxline.nl loopt niet via ziggo, dus gebruik die gebruikersnaam en wachtwoord, ik dan dan 3 zaken kiezen voor smtp, die van ziggo, die van de website als ik daar een e-mailaccount heb en Gmail. Zo werkt het ook. 

Ik kan dit gebruiken en die dat ook als workaround omdat het vanaf de website niet werkt, 

 

case: jij wilt een week boeken naar zee of mee dien moet een wedstrijd, met iemand wisselen etc . Je logt in op een van mijn websites en je krijgt normaal een bevestiging terug of documenten etc. Dat laatste werkt niet meer. Niet via smtp van ziggo maar ook niet vanaf de andere smtp. Dat moet automatisch want kan er niet elke keer typisten gaan zitten en heb niet voor elke website een e-mail account. Voor het organiseren van een tuintjes waar Max 50 leden zijn is dat niet nodig, daar weten ze wie ik ben en kan dat dus ook zonder de afzender is dan niet bv boxline.nl maar Lampi. 

zo moet het ook kunnen werken. Voorheen was 587 gebruikersnaam en wachtwoord nodig , nu ook tls

het moet dus ergens in die hoek zitten, daarom is jouw inbreng zo interessant voor mij. 

Ik de k dus dat ik iets moet toevoegen wat sinds een maand is aangepast . Ik zal eens gaan kijken naar spf (= spoofing) . Daar wil ik meer over weten . Suggesties zijn welkom. Hier zit wat in ! 

 

0 Kudos
Bert
Level 21
T.E.A.M.

Mogelijk geeft dit ook meer inzicht in de andere mail instellingen zoals DKIM en DMARC:

(Dieper weet ik de details niet.)

DKIM, SPF en DMARC verkleinen de kans op phishing | Cybersecurity | SIDN

0 Kudos
Richard G.
Level 16

"Dat moet automatisch want kan er niet elke keer typisten gaan zitten en heb niet voor elke website een e-mail account."

In dat geval zou je gmail kunnen proberen, maar dan moet je tegenwoordig een apart app password hebben om de smtp van Gmail te kunnen gebruiken.

 

Voor zover mij bekend kun je vanaf een ander netwerk, geen mails versturen vanaf een ander domein via Ziggo. Kan het mis hebben maar volgens mij kun je dan alleen de door Ziggo geauthenticeerde domeinen versturen. Andere domeinen kan alleen vanaf het Ziggo netwerk als ik me niet vergis. Vroeger ging dat allemaal wel.

 

SPF is niet de afkorting voor spoofing maar voor Sender Policy Framework, zie link van Bert.

 

Met TLS implementatie op de website zal hopelijk iemand je kunnen helpen. Dat is niet mijn afdeling.

Lampi1
Level 2
Topicstarter

@Richard G. Voor elk .nl die ik host en een email account heb staat in de dns bij yourhosting een txt record met spf gedefinieerd , maar bij de andere ( geen e-mailaccount ) niet. 
Echter ik pas zelf altijd het IP-adres aan naar mijn server. Dus als iemand bv boxline.nl of tcsempervirens.nl intypt dan komt die bij mij terecht en ik heb poort 80 en 443 openstaan. Ik mail dus niet vanaf een ander domein maar vanuit ziggo. Immers mijn server zit in het ziggo netwerk op het www. Belangrijk dat ik dat goed zie. Daarom werkte het ook 15 jaar. 
In het txt record binnen DNS staat echter naast spf ook -all en dat zou impliceren dat bij verzenden van de email in de meta info staat dat de mail afkomstig moet zijn van yourhosting . Ik heb dat zelf niet in de dns gezet maar yourhosting . Volgens mij staat dat er al langer en verklaart niet waarom er geen response mail kan worden verstuurd . Ik heb dat ook daar neergelegd. In de hoop dat ik het snap dus ook een oplossing of workaround vind . 
host niemand bij ziggo zelf een website en verstuurd responsie mail op een reservering of intake formulier? Kan het mij niet voorstellen ! 
De oplossing moet liggen in iets dat sinds 4 weken is verandert ! 
Er staat in de dns via yourhosting ook een cname smtp imap ed voor elk account ook al heb ik geen email account dus cname smtp boxline.nl , dat snap ik want kan mail versturen als info@boxline.nl  

maar niet als info@tcsempervirens.nl   

omdat yourhosting die settings beheerd heb ik die vraag ook daar neergelegd. Als ze dat recentelijk hebben gedaan, dan zou dat een verklaring kunnen zijn. Ik kom alleen in de dns als ziggo mijn iP adres aanpast of als ik via cname mijn HTTP’s moet verlengen ter verificatie, dat is meestal in de zomermaanden . Als analist weet ik dat de sleutel als iets niet werkt … wat is er verandert, alleen weet niemand dat ooit in een organisatie, omdat ze er niet bij stilstaan, veel systeem problemen hebbik zo weten op te lossen. 
als er iets staat wat niet klopt …. Zeg het , want een analist neemt dan verkeerde zaken aan en zit op een fout spoor. 

 

0 Kudos
Richard G.
Level 16

@Lampi1"k heb dat zelf niet in de dns gezet maar yourhosting . Volgens mij staat dat er al langer en verklaart niet waarom er geen response mail kan worden verstuurd ."

Dat is dus wat ik zeg. Een -all is een strikte SPF. Dan mag alleen diegene mail versturen die daarin genoemd wordt. Verstuurd jij dus voor boxline.nl een mail via de Ziggo smtp server, dan zul je ook de Ziggo spf in die spf regel vermeld moeten hebben. Yourhosting moet dat ook weten.
Bij het versturen van een responsemail wordt het SPF record gecontroleerd door de mailserver, op zijn minst door de ontvangende mailserver en dan kan de mail daardoor geweigerd worden.
Bij Boxline staat geen spf van Ziggo er bij. Dus de Ziggo SMTP is niet geauthenticeerd om mail van jouw boxline.nl domein te versturen. Daar begint het probleem al.

"De oplossing moet liggen in iets dat sinds 4 weken is verandert ! "
Dat heb ik eigenlijk uitgelegd, poort 25 is gefaseerd dicht gezet en de authenticatie via 587 verloopt anders dan via 25. Verder strengere controle op SPF en DKIM.

Yourhosting zou dit veel sneller moeten kunnen onderzoeken wat er mis gaat.

Want ik zie zo vlug niet waarom je geen mail zou kunnen versturen via je tcsempervirens.nl domein.
Het beste is om gewoon eens mail-tester.com te bezoeken. Daar krijg je een adres. Verstuur vanaf je tcsepervirens.nl een mailtje naar dat opgegeven @mail-tester.com adres en post eens de resultaten als je die krijgt.


Verlengen van https via cname zou men ook niet moeten doen eigenlijk. Voor belangrijke zaken kan men beter gewoon A records gebruiken. Maar dat terzijde.

Richard G.
Level 16

P.s. Ik zie zojuist dat je IIS server op tcsempervirens.nl een error 500 geeft.

 

0 Kudos
Lampi1
Level 2
Topicstarter

@Richard G. Bedankt … nu niet meer http leidt naar https maar in de web.config mistte dd bevoegdheid … aangepast 

0 Kudos