Roger63

Level 2
  • 3Posts
  • 0Oplossingen
  • 5Likes

Aanpassing vereist bij doorsturen e-mail

Veel Ziggo-klanten laten hun e-mail doorsturen naar een ander e-mailadres (bv. ...@gmail.com of ...@outlook.com). Dit gaat bij fout als het afzenderdomein DMARC heeft geconfigureerd.

 

Oorzaak is dat Ziggo de oorspronkelijke afzender van de e-mail als SMTP Envelope From gebruikt bij het doorsturen (in het MAIL FROM commando). Gevolg is dat een ontvanger die DMARC respecteert (bv. GMail of Outlook.com) de mail weigert omdat de Ziggo mailserver volgens het SPF-record van het afzenderdomein geen toegestane zender is.

 

Dit probleem zal de komende jaren snel groter worden naarmate meer domeinen DMARC configureren met p=enforce (dit is de norm).

 

De oplossing is simpel: pas het SMTP Envelope From adres aan bij het doorsturen van e-mail. Een mogelijkheid is SRS (Sender Rewriting Scheme), maar het is eenvoudiger om het e-mailadres van de doorsturende Ziggo-mailbox te gebruiken (dit is wat o.a. Microsoft doet). Er moet dan wel goed worden gekeken naar de waarde van de Return-Path: header in de doorgestuurde mail.

 

In het belang van jullie klanten adviseer ik Ziggo om dit z.s.m. te implementeren.

 

Uitgelicht
Alex
Community Moderator
Community Moderator
  • 8992Reacties
  • 1059Oplossingen
  • 4003Likes

Hi @Roger63,

 

Er is intern navraag gedaan om de situatie wat helderder te krijgen. Bij partijen die strikt zijn op SPF en DMARC kunnen er inderdaad soms issues ontstaan bij het doorsturen. Een oplossing staat ook op onze wensenlijst, maar het is helaas nog niet te zeggen wanneer dit concreter wordt en/of iets aangepast gaat worden. Helaas dus niet veel meer informatie op dit moment. Voor het complete verhaal is het wel goed om erbij te vermelden dat het uiteraard ook door andere manieren mis kan gaan bij doorsturen (zaken als reputatie van het brondomein).

5 Reacties 5
Rikst
Community Moderator
Community Moderator
  • 5181Posts
  • 488Oplossingen
  • 1663Likes

Hi @Roger63,

Bedankt voor het delen van de uitgebreide info. Ik ben zelf niet zo thuis in deze materie dus moest even op onderzoek uit. Ik heb je advies doorgestuurd naar mijn collega's die hiervoor verantwoordelijk zijn. Over eventuele opvolging kan ik geen toezeggingen doen vanaf hier.

Roger63
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 5Likes

Bedankt voor het doorsturen! Het is geen alledaagse materie (ik moest ook even zoeken voordat ik begreep waarom ik DMARC failure reports kreeg van Google) en het is ook niet iets wat je zomaar even verandert. Belangrijk is dat dit nu jullie aandacht heeft. Ik zou het op prijs stellen als je hier laat weten hoe jullie hiermee verder gaan.

Alex
Community Moderator
Community Moderator
  • 8992Posts
  • 1059Oplossingen
  • 4003Likes

Hi @Roger63,

 

Er is intern navraag gedaan om de situatie wat helderder te krijgen. Bij partijen die strikt zijn op SPF en DMARC kunnen er inderdaad soms issues ontstaan bij het doorsturen. Een oplossing staat ook op onze wensenlijst, maar het is helaas nog niet te zeggen wanneer dit concreter wordt en/of iets aangepast gaat worden. Helaas dus niet veel meer informatie op dit moment. Voor het complete verhaal is het wel goed om erbij te vermelden dat het uiteraard ook door andere manieren mis kan gaan bij doorsturen (zaken als reputatie van het brondomein).

Roger63
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 5Likes

Bedankt voor het navragen! Goed te horen dat dit jullie aandacht heeft.

 

De DMARC specificatie laat ontvangende partijen die DMARC implementeren geen keuze of ze wel of niet strikt zijn op SPF. DMARC is immers juist bedoeld om dat af te kunnen dwingen. "Of iets aangepast gaat worden" kan daarom geen vraag zijn, hoogstens wanneer (er moet tenslotte ongetwijfeld schaarse engineering- en testcapaciteit voor worden ingepland).

 

Saillant detail: Ziggo heeft zelf als DMARC policy p=reject geconfigureerd en gaat er daarmee van uit dat andere partijen forwarding correct doen. Wat mij betreft terecht.

 

In mijn opening post stond overigens een pijnlijk foutje: p=enforce moet uiteraard p=reject zijn.

 

happy

Level 8
  • 226Posts
  • 8Oplossingen
  • 49Likes

Ik denk zelf dat e-mail berichten doorsturen een slechte oplossing is voor een niet bestaand probleem.

 

Email Forwarding Is Bad - NoWhere Hosting

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic