1
Vraag
2
Reacties
SixtySpecial

Stamgast
  • 12Posts
  • 0Oplossingen
  • 0Likes

Mail van een of enkele afzenders komt niet aan. DMARC protocol?

Goedemorgen community,

Laat ik beginnen met zeggen dat ik gewoon mail kan verzenden en ontvangen. Ik krijg geen foutmeldingen en (de meeste) berichten die naar mij verzonden worden krijg ik binnen.

Waarom dan toch een bericht hier? Nou, per toeval kom ik er achter dat sommige berichten mijn mailbox NIET bereiken. Had onlangs contact met iemand en die zou me mailen, maar niks ontvangen. Dus even gebeld. 'Ja, toch echt verstuurd naar je.' Mailadres was juist getypt, mail stond ook bij verzonden items en er was geen bouncemelding ontvangen.

Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me.

Ik zou er niet wakker van gelegen hebben als ik niet van iemand waar ik heel regelmatig mail van ontving, plots ook geen berichten meer kreeg. Bij navraag daar, blijkt dat zij wel berichten verzonden hadden... Nu maak ik me ongerust. Hoeveel mail loop ik inmiddels mis?

Is iemand bekend met het DMARC-protocol (heb er wel wat over gelezen. Is een soort van extra beveiliging voor email) en kan het zijn dat dit er voor zorgt dat berichten mij niet meer bereiken?

Voor de volledigheid: ik heb enkele email-aliassen die ik laat verwijzen naar mijn ziggo mailbox. Dat werkt eigenlijk prima en ik zoek dus eigenlijk ook geen oplossing waarbij ik die aliassen zou moeten opgeven.

Benieuwd naar reacties en (hopelijk) goede oplossingen.

Vriendelijk dank,
Renato.
Oplossing

Geaccepteerde oplossingen
efok
Expert
Expert
  • 3500Posts
  • 189Oplossingen
  • 1232Likes
Ik zal het proberen uit te leggen, dit is complexe materie.
Omdat de spam tegenwoordig de spuigaten uitloopt zijn technieken bedacht om te identificeren of de afzender van een e-mail wel legitiem is. Spammers verzonden immers vaak mail zogenaamd afkomstig van bijvoorbeeld je bank.

De eerste methode is een zogenaamd SPF record aan je domein toevoegen. Hierin word bepaald welke mailservers mail mogen versturen voor een bepaald domein (bijv pietje.nl). Mailservers die niet op de SPF lijst staan mogen geen mail verzenden van pietje.nl. Gebeurt dat toch, dan kan deze mail dus gefilterd worden. Deze records staan op de DNS server voor dat domein, en zijn dus door iedereen op te vragen.

De tweede methode is DKIM. Daarmee wordt een digitale handtekening/sleutel aan je mail gehangen, waarvan de echtheid valt te controleren. De digitale handekening wordt eveneens gevalideerd aan de hand van een DNS record van je domein. Deze handtekening kan alleen door de echte mailserver voor bv pietje.nl juist worden gegenereerd.

Deze 2 methodes zijn relatief jonge toevoegingen aan het mailprotocol. Wat is dan DMARC? DMARC is een policy, zeg maar een beslisregel. Het verzendede domein bepaalt hier mee wat de ontvanger met de mail moet die niet aan SPF/DKIM voldoet. Verder kan DMARC een check doen op zogenaamde alignment. https://en.m.wikipedia.org/wiki/DMARC

DMARC zou kunnen bepalen dat een ontvangende mailserver een mail die niet aan de voorwaarden voldoet in quarantaine plaatst (policy=quarantaine) Daarop volgt geen bounce-bericht, want de mail is immers geaccepteerd door de ontvangende server. De ontvangende partij isoleert bij quarantaine de mail voor de ontvanger, totdat bijvoorbeeld de beheerder van de mailserver besluit deze alsnog vrij te geven, of in het geval van spam, te deleten.

DMARC kan ook definiëren om een mail domweg door de te laten die niet aan de voorwaarden voldoet (policy=none), of juist om zo’n mail te verwerpen (policy=reject). In het laatste geval hoeft ook niet altijd een bounce bericht te komen. Immers als de mail niet aan de voorwaarden voldoet, zal het afzender adres wel fake zijn. Het heeft geen nut daar naar toe te bouncen, omdat de bounce dan bij iemand terecht kan komen, die de spam mail niet zelf heeft verstuurd. Het verzendende domein geeft met zijn DMARC policy dus aan wat de ontvanger het beste met mail die niet aan de voorwaarden voldoet kan doen.

Hoe zorg je nu dat je mail door deze filtering heen komt? door de te zorgen dat je SPF en DKIM goed zijn geconfigureerd voor het domein waarvandaan je verzendt. Is het je eigen domein, dan is dat je eigen verantwoordelijkheid of die van je hoster. Verstuur je met @ziggo.nl via de ziggo mailserver dan is dat de verantwoordelijkheid van Ziggo. Ziggo doet dat sinds enige tijd netjes, dus ik vermoed dat we hier niet over een ziggo mail adres praten. Misschien kan SixtySpecial nog toelichten hoe dat zit.

Het verzenden van een @pietje.nl mail via de smtp van ziggo kan bijvoorbeeld voor problemen zorgen als pietje.nl de ziggo mail server niet in zijn SPF record heeft geautoriseerd.

Je kan je DMARC natuurlijk minder streng afregelen maar daarmee verliest het zijn kracht. Je moet gewoon zorgen dat je verzonden mail via de juiste server, met de juiste configuratie wordt verzonden.

Bekijk in context

36 Reacties 36
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3459Likes
Even los van DMARC details. Er moet een Bounce komen als om wat voor reden dan ook aflevering niet kan plaatsvinden. Dat klopt dus niet. En het is buitengewoon vervelend te moeten constateren dat er zomaar berichten in een afvalputje terecht kunnen komen., zonder dat iemand daar iets van merkt.
Gr Han
SixtySpecial
topicstarter
Stamgast
  • 12Posts
  • 0Oplossingen
  • 0Likes
Hallo Hanh,

Dank voor je reactie. Ik ben niet zo'n techneut, maar weet wel dat er eigenlijk altijd wel iets van een bounce melding hoort te komen. Heb die vraag ook gesteld aan de afzenders. Maar tot nu toe lijkt het niet zo te zijn. En ja, dat maakt me inderdaad bezorgt, want hoe kan ik er nu nog van overtuigd zijn dat alle mail die aan mij gestuurd wordt, ook daadwerkelijk aan komt...
Steefb
Expert
Expert
  • 12351Posts
  • 2381Oplossingen
  • 4474Likes
SixtySpecial wrote:


Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me.


Renato.


Welke provider is dit, daar zullen hun klanten toch wel meer problemen mee ervaren.


"want hoe kan ik er nu nog van overtuigd zijn dat alle mail die aan mij gestuurd wordt, ook daadwerkelijk aan komt... "

Tsja, als een provider het tegenhoudt dan stopt het, Dan moet je iedereen een brief per snail mail versturen dat je een email verstuurd hebt.
Ze moeten natuurlijk aangeven aan de verzender dat mail niet verstuurd wordt .
SixtySpecial
topicstarter
Stamgast
  • 12Posts
  • 0Oplossingen
  • 0Likes
Hoi Steefb,

Dank voor je reactie. Op zich klopt het wel wat je zegt, maar als je in de overtuiging leeft dat jouw mails wél zijn verstuurd en dat dat wordt ondersteund door het feit dat de mail bij anderen wel aankomt (omdat die antwoorden bijv.) dan wordt het lastig.

Ik ben met name benieuwd naar dat extra beveiligingsprotocol en of iemand kan bevestigen dat dit problemen veroorzaakt of kan veroorzaken. Nu lijkt het er op dat het probleem bij mij zit, maar ik weet niet waar ik moet zoeken.
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3459Likes
Ben geen specialist op dit terrein. DMARC wordt gebruikt om te bepalen
of de afzender nog klopt met het domain waar een Email van afkomstig is.
SPAMMers herschrijven dat adres om anoniem te kunnen blijven.
Daar is het een remedie tegen.
Volgens mij is Ziggo verantwoordelijk voor de controle en de beslissing wat te doen
als een bericht niet aan de eisen zou voldoen.
Er kunnen fouten in de controle sluipen.
Die fout hoeft niet per se bij Ziggo te liggen maar kan ook aan een niet correct DNS record liggen dat voor DMARC wordt onderhouden door de verzendende partij.
Je hebt de Email Header nodig om meer te weten over hoe het gegaan is, maar daar heb je het bericht voor nodig. Dat is weg.

Hoe dan ook: Ziggo zou vlgs mij een Bounce moeten geven.
Correct me if I'm wrong.

Het probleem ligt niet aan jou.
Gr Han

https://en.wikipedia.org/wiki/DMARC
Steefb
Expert
Expert
  • 12351Posts
  • 2381Oplossingen
  • 4474Likes
hanh Volgens mij heeft TS het niet over Ziggo als verzendende provider

"Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me. "
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3459Likes
Steefb wrote:
hanh Volgens mij heeft TS het niet over Ziggo als verzendende provider

"Deze mevrouw heeft toen navraag gedaan bij haar provider en daar hebben ze het DMARC-protocol uitgezet voor haar. Sindsdien komen haar berichten weer binnen bij me. "

Dat klopt en dat weet ik.
In wat ik schreef gaat het over Ziggo als ontvangende partij, die controle uitvoert op een binnengekomen bericht voor een klant en na controle niet aflevert en ook geen Bounce geeft, wat m.i wel zou moeten.
Gr Han
SixtySpecial
topicstarter
Stamgast
  • 12Posts
  • 0Oplossingen
  • 0Likes
Dank heren, voor de inmenging...

Ik heb wel het originele bounce-rapport kunnen krijgen van de dame in kwestie. Ik maak er uit op dat inderdaad het DMARC protocol er mee te maken heeft, maar kan er verder geen zinnig antwoord uit destilleren. Jullie misschien?

--
This is the mail system at host outbound1.mail.transip.nl.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The mail system

: host mx.mnd.mail.iss.as9143.net[212.54.34.8] said: 554
5.2.0 MXIN603 DMARC validation failed.
;id=aFAfgERxOaZUbaFAfgMYxM;sid=aFAfgERxOaZUb;mta=mx1.mnd;d=20181221;t=082433[CET];ipsrc=149.210.149.72;
(in reply to end of DATA command)
--
(Die ### heb ik er neergezet. Geloof niet dat mijn mailadres van belang is voor het bedenken van een mogelijke oplossing 😉
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3459Likes
Hm. Niet helemaal goed.
en ook geen Bounce geeft, wat m.i wel zou moeten.


Dat kan moeilijk op een afzendadres dat vlgs Ziggo al dan niet terecht niet kan kloppen.
Hoe voorziet DMARC hierin. Geen idee.
efok
Werp 'ns wat licht in de duisternis, alsjeblieft.

Gr Han
SixtySpecial
topicstarter
Stamgast
  • 12Posts
  • 0Oplossingen
  • 0Likes
Ik meen hier net de bounce melding gepost te hebben, maar zie die niet terug. Het deel waarin ik beweerde dat er geen bounce melding volgde klopt dus bij nader inzien niet. Maar dat een bounce volgt als gevolg van DMARC is denk ik voor velen nog onbekende materie.

Mag je hier overigens wel bounce meldingen plakken?
efok
Expert
Expert
  • 3500Posts
  • 189Oplossingen
  • 1232Likes
Ik zal het proberen uit te leggen, dit is complexe materie.
Omdat de spam tegenwoordig de spuigaten uitloopt zijn technieken bedacht om te identificeren of de afzender van een e-mail wel legitiem is. Spammers verzonden immers vaak mail zogenaamd afkomstig van bijvoorbeeld je bank.

De eerste methode is een zogenaamd SPF record aan je domein toevoegen. Hierin word bepaald welke mailservers mail mogen versturen voor een bepaald domein (bijv pietje.nl). Mailservers die niet op de SPF lijst staan mogen geen mail verzenden van pietje.nl. Gebeurt dat toch, dan kan deze mail dus gefilterd worden. Deze records staan op de DNS server voor dat domein, en zijn dus door iedereen op te vragen.

De tweede methode is DKIM. Daarmee wordt een digitale handtekening/sleutel aan je mail gehangen, waarvan de echtheid valt te controleren. De digitale handekening wordt eveneens gevalideerd aan de hand van een DNS record van je domein. Deze handtekening kan alleen door de echte mailserver voor bv pietje.nl juist worden gegenereerd.

Deze 2 methodes zijn relatief jonge toevoegingen aan het mailprotocol. Wat is dan DMARC? DMARC is een policy, zeg maar een beslisregel. Het verzendede domein bepaalt hier mee wat de ontvanger met de mail moet die niet aan SPF/DKIM voldoet. Verder kan DMARC een check doen op zogenaamde alignment. https://en.m.wikipedia.org/wiki/DMARC

DMARC zou kunnen bepalen dat een ontvangende mailserver een mail die niet aan de voorwaarden voldoet in quarantaine plaatst (policy=quarantaine) Daarop volgt geen bounce-bericht, want de mail is immers geaccepteerd door de ontvangende server. De ontvangende partij isoleert bij quarantaine de mail voor de ontvanger, totdat bijvoorbeeld de beheerder van de mailserver besluit deze alsnog vrij te geven, of in het geval van spam, te deleten.

DMARC kan ook definiëren om een mail domweg door de te laten die niet aan de voorwaarden voldoet (policy=none), of juist om zo’n mail te verwerpen (policy=reject). In het laatste geval hoeft ook niet altijd een bounce bericht te komen. Immers als de mail niet aan de voorwaarden voldoet, zal het afzender adres wel fake zijn. Het heeft geen nut daar naar toe te bouncen, omdat de bounce dan bij iemand terecht kan komen, die de spam mail niet zelf heeft verstuurd. Het verzendende domein geeft met zijn DMARC policy dus aan wat de ontvanger het beste met mail die niet aan de voorwaarden voldoet kan doen.

Hoe zorg je nu dat je mail door deze filtering heen komt? door de te zorgen dat je SPF en DKIM goed zijn geconfigureerd voor het domein waarvandaan je verzendt. Is het je eigen domein, dan is dat je eigen verantwoordelijkheid of die van je hoster. Verstuur je met @ziggo.nl via de ziggo mailserver dan is dat de verantwoordelijkheid van Ziggo. Ziggo doet dat sinds enige tijd netjes, dus ik vermoed dat we hier niet over een ziggo mail adres praten. Misschien kan SixtySpecial nog toelichten hoe dat zit.

Het verzenden van een @pietje.nl mail via de smtp van ziggo kan bijvoorbeeld voor problemen zorgen als pietje.nl de ziggo mail server niet in zijn SPF record heeft geautoriseerd.

Je kan je DMARC natuurlijk minder streng afregelen maar daarmee verliest het zijn kracht. Je moet gewoon zorgen dat je verzonden mail via de juiste server, met de juiste configuratie wordt verzonden.
SixtySpecial
topicstarter
Stamgast
  • 12Posts
  • 0Oplossingen
  • 0Likes
efok, dank voor je uitgebreide en heldere toelichting. Op deze manier is het voor mij ook duidelijk wat er gebeurt. Zoals ik in m'n oorspronkelijke bericht aangaf gebruik ik een paar email aliassen op een eigen domeinnaam. Deze laat ik mail afvangen en doorsturen naar mijn @ziggo.nl mailbox. Dat werkt voor mij prettig en leverde tot voor kort geen problemen. Ik snap dat dit met toenemende spam en fake adressen tricky begint te worden. Wil uiteindelijk van de aliassen ook wel mailboxen maken, maar zover is het nog niet. Tot die tijd hoop ik met de huidige configuratie te kunnen blijven werken.

Inmiddels heb ik ook mijn eigen host om advies gevraagd en zij hebben me enkele regels aan m'n dns laten toevoegen, waarmee ook de doorgestuurde mails richting Ziggo als het goed is nu als veilig, geverifieerd, bestaand (of wat ze dan ook communiceren) worden bestempeld. Het is even afwachten of daarmee mijn problemen verholpen zijn. DNS records hebben even tijd nodig om te vernieuwen en daarnaast verwacht ik vandaag geen mail meer van de adressen waarmee de 'ellende' begon. Tot zover dank allen!
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3459Likes
efok Thanks! Han

Noot het was voor mij de moeite waard. Maar zeker ook voor TS die met Email dingen bezig blijkt te zijn, waar we nog niks over wisten op grond van de eerste probleemstelling. Dat was ook niet nodig. Dit is simpelweg toeval.
kb1

Gedreven Raadgever
  • 107Posts
  • 3Oplossingen
  • 69Likes
Het probleem wordt veroorzaakt door de SPF instelling van Ziggo voor quicknet.nl.:
v=spf1 include:smtp.spf.ziggo.nl -all

Een ontvangende mail server controleert of de mail is verzonden door een server die is geauthoriseerd door Ziggo. Dat staat in de include: smtp.spf.ziggo.nl:
v=spf1 ip4:212.54.32.0/19 ~all

Dus een mail server met een IP adres in de reeks 212.54.nnn.nnn mag namens Ziggo mail verzenden. Als het verzendende IP adres anders is dan geeft ~all aan dat de ontvangende mail server zelf moet kijken of hij de mail accepteert maar eventueel extra spam controles moet doen.
Het resultaat van de include is dan geen "pass" maar een "misschien". Normaal wordt de mail dan nog wel afgeleverd.
Maar omdat de include geen pass geeft wordt de -all ook bekeken en de min betekent als er geen correct IP adres is gebruikt dan wordt de ontvangende mail server geadviseerd om de mail te weigeren.
Het DMARC record van Ziggo zegt nog een keer expliciet dat je een mail zou moeten weigeren als de SPF controle niet goed gaat en daarom zie je in de geweigerde mail iets over DMARC failed.

Het is de vraag of Ziggo het zo bedoeld heeft. Als je namelijk het SPF record van ziggo.nl bekijkt dan eindigt die op ~all, ofwel kijk goed maar je mag wel afleveren. Alleen bij quicknet.nl eindig je in -all. Het is ook raar om een include te doen die eindigt op ~all want die is nu niet de laatste test van de SPF.

Dit gaat dus niet fout als je een mail rechtstreeks verstuurt vanaf een quicknet.nl adres maar wel als die mail door een ander mail systeem wordt doorgestuurd. De mail server die daar weer achter zit krijgt dan een mail van de tussenliggende mail server en die verstuurt vanaf een niet Ziggo IP adres. Het gaat ook niet fout met een ziggo.nl adres omdat de SPF daar wel goed staat.

De oplossing is dus als Ziggo het SPF record voor quicknet.nl weer laat eindigen in ~all.

Verdrietig wordt je pas als je dit aanmeldt bij de Ziggo helpdesk. Je krijgt dan als antwoord dat de helpdesk dit niet ondersteund. (Huh, waar is een helpdesk dan voor?)
Je krijgt niet eens de gelegenheid om door te geven waar Ziggo een fout heeft gemaakt in hun configuratie.

Helaas moet ik zeggen uit eigen ervaring dat dit gedrag standaard is bij de Ziggo ondersteuning. Bij een overduidelijk probleem in het Ziggo netwerk waarbij een kleine groep gebruikers een storing heeft walsen ze over je heen en krijg je een eindeloze stroom monteurs die bij jou het modem vervangen, filtertje er in, filtertje er uit, kastje aan de weg vervangen, enzovoort maar niemand komt op het idee om de flap list te controleren en in het Head End iets bij te regelen.
Mark
Oud Community Moderator
Oud Community Moderator
  • 5774Posts
  • 657Oplossingen
  • 2117Likes
Hi kb1, lekkere binnenkomer heb je, welkom op onze Community en wat ben ik blij dat je je weg hierheen hebt gevonden!

Ik zet dit door naar de verantwoordelijke afdeling om jouw bevindingen te controleren en corrigeren (als dit inderdaad een fout is).
efok
Expert
Expert
  • 3500Posts
  • 189Oplossingen
  • 1232Likes
Goed gevonden.
Het is strikt genomen geen "fout". -all kan een bewuste keuze zijn. Lekker streng, waarmee je spammers de optie ontneemt om fake een quicknet adres te gebruiken. Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.

Het zal lastig worden al je gebruikers zodanig op te voeden dat ze alleen via de ziggo-servers verzenden, al zou dat wel het beste zijn. DKIM is dan ook mogelijk. Legio gebruikers verzenden waarschijnlijk via de Google smtp of weet ik wat, en dan wordt die mail er nu dus uit gefilterd. ~all is vriendelijker voor de gebruikers, maar dan wordt het voor spammers ook weer makkelijker een fake quicknet adres te gebruiken. Het is maar net welke policy je als provider wilt aanhangen.
Enige voorlichting naar de gebruikers om via de juiste smtp te verzenden is tegenwoordig eigenlijk een must, omdat bovenstaande mechanismen steeds belangrijker worden.
Mark
Oud Community Moderator
Oud Community Moderator
  • 5774Posts
  • 657Oplossingen
  • 2117Likes
efok wrote:
Goed gevonden.
Het is strikt genomen geen "fout". -all kan een bewuste keuze zijn. Lekker streng, waarmee je spammers de optie ontneemt om fake een quicknet adres te gebruiken. Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.

Maar dan zou ik verwachten dat ze diezelfde regel toepassen op de @ziggo.nl, @home.nl, @upcmail.nl en al onze andere extensies.
Wat ik uit het bericht van kb1 begrijp is dat juist niet consequent.
efok
Expert
Expert
  • 3500Posts
  • 189Oplossingen
  • 1232Likes
Mark Ziggo wrote:

efok wrote:
Goed gevonden.
Het is strikt genomen geen "fout". -all kan een bewuste keuze zijn. Lekker streng, waarmee je spammers de optie ontneemt om fake een quicknet adres te gebruiken. Alleen daarmee ontneem je argeloze gebruikers ook de kans om met email adressen met als afzender quicknet mail te verzenden via een andere smtp server dan die van ziggo.
Maar dan zou ik verwachten dat ze diezelfde regel toepassen op de @ziggo.nl, @home.nl, @upcmail.nl en al onze andere extensies.
Wat ik uit het bericht van kb1 begrijp is dat juist niet consequent.

Dat klopt het is zeker niet consequent.
kb1

Gedreven Raadgever
  • 107Posts
  • 3Oplossingen
  • 69Likes
Als je als gebruiker van een quicknet.nl (of ziggo.nl) mail adres een mail verzendt via een server van een andere provider (gmail, hotmail, kpn of anders) kun je verwachten dat jouw mails minder goed aankomen.
Er zijn echter hele goede redenen waarom je hier toch tegenaan loopt met gebruik van de originele ziggo mail servers. In mijn geval heeft elke quicknet.nl mail die ik verzend een automatische BCC naar mijn tweede email provider die dat dan weer forward naar een volgend email adres. Zo komen mijn verzonden emails altijd consequent terug. Dat ging dus de afgelopen 20 jaar prima tot ongeveer twee weken geleden...
Er zijn vele andere gebruikers die een forward hebben ingesteld om allerlei redenen.
E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.