Mail controle met SPF, DKIM en DMARC (Uitgelegd)

Zo'n expert behoort zich te realiseren dat zo'n verzend IP kan veranderen en moet dan eigenlijk helemaal geen fail instellen voor die klant die er zelf geen verstand van heeft.
zo'n expert zou dan beter a:<domeinnaam> of kortweg a gebruiken ipv ip4:<ip-adres> of ip6:<ip-adres>. moet er natuurlijk wel een a record van die uitgaande mailserver in de dns bestaan. het mx record is voor de binnenkomende mailserver.
 
Laatst bewerkt:
Nee, ook dat is niet altijd genoeg omdat mail somt via een omweg gestuurd wordt. Gewoon een neutral instellen, zodat je altijd veilig zit.

Ik krijg b.v. mail van een klant die een account heeft bij een kleine internet provider "assendorp.net" (Een wijk in Zwolle die nog een zelfstandige kabel heeft)

Als ik de header bekijk dan staat er een Authentication-Results in die niet van mijn server komt. In het proces, gaat de mail eerst naar een 2e server die spamchecks op uitgaande mail toepast en blijkbaar ook nog de authenticiteit controleert. En dat is de server die de mail bij mij aflevert.
Authentication-Results: premiumantispam.nl; auth=pass smtp.auth=91.142.241.0/[email protected]

De spf check gebeurd echter bij assendorp.net want dat is nog steeds de enveloppe afzender.

Received-Spf: softfail (assendorp.net: Sender is not authorized by default to use '[email protected]' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=xxxx; identity=mailfrom; envelope-from="[email protected]"; helo=filter11.premiumantispam.nl; client-ip=193.93.174.216
a:<domeinnaam> zou hier ook niet geholpen hebben omdat het niet vanaf dat IP binnenkomt op mijn server.

Sterker, het spf record van assendorp.net is "v=spf1 a:spf.mijnplinq.nl ~all". Bij dat domein horen 10 IP adressen, maar niet het gebruikte adres. En dat loopt nu al ruim een jaar mis (sinds hun uitgaande mail via premiumantispam.nl loopt), zonder dat iemand bij assendorp.net dat corrigeert. Dus bij al hun klanten gaat dat al een jaar mis. Je zou verwachten dat daar toch een iemand is die wel eens in een mailheader kijkt en dit ziet?

Als ze dmarc ingesteld hadden, kregen ze dagelijks een rapport met alle vanuit hun domein verstuurde mail. Ze hadden dan snel gezien dat 100% van hun mail een spf fail kreeg. Wat dat betreft is dmarc ook een goede methode om je eigen mailbeleid te controleren.
 
Laatst bewerkt:
ik zei al eerder dat het van belang is dat je alle adressen in beeld hebt van waaruit je mail wordt verstuurd. dat onderzoek kan best wel tijdrovend zijn en is of was hier dus kennelijk niet goed uitgevoerd. ik weet uiteraard te weinig van dit specifieke geval, maar ik zou me kunnen voorstellen dat het spf record iets is in de trant van:
"v=spf1 a a:spf.mijnplinq.nl include:premiumantispam.nl -all" met ~all zeg je eigenlijk tegen de ontvanger "zoek het maar uit, ik weet het zelf ook niet", en daar heeft die ontvanger natuurlijk niks aan. dan kun je net zo goed "v=spf1 ~all" of zelfs "v=spf1 +all" gebruiken.
 
Ik zie net een phishing mailtje binnenkomen in mijn spamfolder. Zogenaamd van de ABN-Amro bank, voor het ophalen van nieuwe betaalpassen. Dus direct even gekeken hoe Ziggo dit tegenwoordig registreert:
Authentication-Results: ⁨mail.iss.as9143.net;
spf=fail (188.40.92.25;firenze.tosc.cgil.it);
dkim=none (nosigs);
dmarc=none header.from=firenze.tosc.cgil.it (dis=no_record);⁩

X-Spam-Action: ⁨folder Spam⁩

Het afzender domein "firenze.tosc.cgil.it" was direct al fout. Is niet van mijn bank. Nog erger, dat domein bestaat helemaal niet. Blijkbaar laat ziggo ook een "spf=fail" zien als het domein niet bestaat. En geen 'none' om aan te geven dat er geen spf gedefinieerd is.
 
Reuze interessant allemaal. Ik heb dit topic dan ook opgeslagen onder "te onthouden".
Overigens heb ik tot nu toe bij spam-mail nog nooit enige twijfel gehad, dus echt nodig zal ik het niet hebben, hooguit om iemand er op te wijzen. Ik ontvang niet zo veel spam, maar wat er in het gewone postvak binnen rolt is op grote afstand als zodanig herkenbaar, althans zo ervaar ik het. Overbekend zijn zulke berichten van Amro-Rabo over betaalpasjes die geblokkeerd zouden zijn etc. terwijl ik bij die bank totaal geen connecties heb. Geen haar op mijn hoofd dat dan ook overweegt "hun" daarop te wijzen.

Kortom, los van dat deze uiteenzetting bij heel veel mensen boven de pet gaat, boven alles gaat nog altijd gewoon nuchter verstand. Je hoeft geen wetenschapper te zijn om dat te begrijpen.

Edit:
Nog nooit eerder beleefd, ik ontving dit bericht ook via e-mail. Komt dit door een speciale status ervan?
 
Laatst bewerkt:
Ik ben wel klant van deze bank, maar deze mail was zo'n slechte imitatie dat ik mijn bank er niet eens een beetje in herkende.
Dit was ook geen persoonlijk gestuurde mail, maar een via het BCC veld verstuurde mail. Ik moest echt in de header kijken naar welk van mijn e-mail adressen dit gestuurd was. En inderdaad, naar een van mijn ziggo alias adressen.

De controle is er niet alleen voor nepmails, maar juist ook om de laatste twijfel weg te halen bij echte mails. Door al die valse mails weet je soms niet meer of iets echt is, of een zeer goede vervalsing.
Ik krijg b.v. een dagelijkse nieuwsbrief van mijn bank met linkjes naar relevante nieuwsartikelen. Die linkjes wil ik wel kunnen vertrouwen.
 
Laatst bewerkt:
Het afzender domein "firenze.tosc.cgil.it" was direct al fout. Is niet van mijn bank. Nog erger, dat domein bestaat helemaal niet. Blijkbaar laat ziggo ook een "spf=fail" zien als het domein niet bestaat. En geen 'none' om aan te geven dat er geen spf gedefinieerd is.
de fqdn ( in dit geval de mailserver ) firenze.tosc.cgil.it heeft geen a record ( "bestaat niet" ), maar dit is ook niet verplicht - maar niet handig!
het subdomein tosc.cgil.it bestaat wel, en heeft een spf record: "v=spf1 include:_spf.tosc.cgil.it -all"
_spf.tosc.cgil.it heeft ook een spf record: "v=spf1 ip4:194.243.35.46 ip4:194.243.35.45 -all"
abnamro.nl heeft ook een spf record: "v=spf1 a:spf.bitlibre.net include:spf.messagelabs.com include:spf.mwm2.nl -all"
ziggo kijkt naar dit laatste record - ik heb de includes verder niet onderzocht - en kennelijk komt het subdomein tosc.cgil.it of het ip adres 188.40.92.25 daar niet in voor. het maakt voor de beoordeling van het spf record niet uit of deze bestaan, er wordt alleen gekeken of de aangeboden (sub-)domeinnaam of ip adres overeenkomt met het volledig uitgewerkte spf record.
overigens hebben al deze records -all, zoals het hoort.
 
Ik kreeg gisteren weer een echt uitziend phishing mailtje binnen:

Ziggo spam.png


Het lijkt er op dat patricia dolhuis je marktplaats account wil kapen. Maar als je dan naar de 2e link kijkt, wijst die niet naar marktplaats, maar naar een vreemde site. Verdacht.

Nu moet je niet naar spelfouten zoeken of het vals is, maar gewoon naar de header in de bronversie van de mail kijken. Daar plaatst Ziggo de authentication results.

Authentication-Results: ⁨mail.iss.as9143.net; spf=softfail (62.212.132.55;marktplaats.nl); dkim=none (nosigs); dmarc=fail header.from=marktplaats.nl (p=reject sp=reject dis=quarantine);⁩

De phisher heeft de afzender gespoofed, maar valt daardoor door de mand bij de checks. Marktplaats heeft een dmarc beleid ingesteld op hun domeinnaam, waardoor elke poging tot spoofing direct door de mand valt. Alleen jammer dat Ziggo de reject policy niet 100% volgt en de mail direct bounced inplaats van toch af te leveren.

Ik hoop dat dit voorbeeld mensen aanzet toch sneller naar de header in de bronversie van mail te kijken. Zowel bij twijfel, als bij belangrijke mail.

PS.: In dit geval was het mailtje direct verdacht omdat ook mijn mail cliënt hem als spam bestempeld had.
 
Off topic. Naar aanleiding van bovenstaande mail had ik ook een abuse bericht gestuurd naar de hoster van die phishing site. Ik kreeg net het volgende bericht terug:
Ik heb zojuist de account van de domeinhouder bekeken en ik heb geconstateerd dat het inderdaad mogelijk op phising gaat. De domeinhouder mag het uitleggen en anders bevriezen we alle diensten. We kunnen natuurlijk niet uitsluiten of iemand het opzettelijk doet of simpelweg gehackt is, om deze reden krijgt hij enkele dagen de tijd om wat stappen te ondernemen.
Netjes zo'n snelle actie. Dat voorkomt dat anderen die minder goed opletten er in kunnen trappen.
 
Waarom zetten providers deze controles eigenlijk niet veel strakker?
Met onze in huis “simpele” mail servertjes” kunnen het wel?
 
Terug
Bovenaan