• Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!

Mail controle met SPF, DKIM en DMARC (Uitgelegd)


PetervdM

Forum Gebruiker
Lid geworden
27 nov 2008
Berichten
441
Ziggo
Alles in 1
Gebied
fZiggo
Zo'n expert behoort zich te realiseren dat zo'n verzend IP kan veranderen en moet dan eigenlijk helemaal geen fail instellen voor die klant die er zelf geen verstand van heeft.
zo'n expert zou dan beter a:<domeinnaam> of kortweg a gebruiken ipv ip4:<ip-adres> of ip6:<ip-adres>. moet er natuurlijk wel een a record van die uitgaande mailserver in de dns bestaan. het mx record is voor de binnenkomende mailserver.
 
Laatst bewerkt:
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.122
Ziggo
Alles in 1
Gebied
fZiggo
Nee, ook dat is niet altijd genoeg omdat mail somt via een omweg gestuurd wordt. Gewoon een neutral instellen, zodat je altijd veilig zit.

Ik krijg b.v. mail van een klant die een account heeft bij een kleine internet provider "assendorp.net" (Een wijk in Zwolle die nog een zelfstandige kabel heeft)

Als ik de header bekijk dan staat er een Authentication-Results in die niet van mijn server komt. In het proces, gaat de mail eerst naar een 2e server die spamchecks op uitgaande mail toepast en blijkbaar ook nog de authenticiteit controleert. En dat is de server die de mail bij mij aflevert.
Authentication-Results: premiumantispam.nl; auth=pass smtp.auth=91.142.241.0/20@hostingserver.nl
De spf check gebeurd echter bij assendorp.net want dat is nog steeds de enveloppe afzender.

Received-Spf: softfail (assendorp.net: Sender is not authorized by default to use 'xxxx@assendorp.net' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=xxxx; identity=mailfrom; envelope-from="xxxx@assendorp.net"; helo=filter11.premiumantispam.nl; client-ip=193.93.174.216
a:<domeinnaam> zou hier ook niet geholpen hebben omdat het niet vanaf dat IP binnenkomt op mijn server.

Sterker, het spf record van assendorp.net is "v=spf1 a:spf.mijnplinq.nl ~all". Bij dat domein horen 10 IP adressen, maar niet het gebruikte adres. En dat loopt nu al ruim een jaar mis (sinds hun uitgaande mail via premiumantispam.nl loopt), zonder dat iemand bij assendorp.net dat corrigeert. Dus bij al hun klanten gaat dat al een jaar mis. Je zou verwachten dat daar toch een iemand is die wel eens in een mailheader kijkt en dit ziet?

Als ze dmarc ingesteld hadden, kregen ze dagelijks een rapport met alle vanuit hun domein verstuurde mail. Ze hadden dan snel gezien dat 100% van hun mail een spf fail kreeg. Wat dat betreft is dmarc ook een goede methode om je eigen mailbeleid te controleren.
 
Laatst bewerkt:

PetervdM

Forum Gebruiker
Lid geworden
27 nov 2008
Berichten
441
Ziggo
Alles in 1
Gebied
fZiggo
ik zei al eerder dat het van belang is dat je alle adressen in beeld hebt van waaruit je mail wordt verstuurd. dat onderzoek kan best wel tijdrovend zijn en is of was hier dus kennelijk niet goed uitgevoerd. ik weet uiteraard te weinig van dit specifieke geval, maar ik zou me kunnen voorstellen dat het spf record iets is in de trant van:
"v=spf1 a a:spf.mijnplinq.nl include:premiumantispam.nl -all" met ~all zeg je eigenlijk tegen de ontvanger "zoek het maar uit, ik weet het zelf ook niet", en daar heeft die ontvanger natuurlijk niks aan. dan kun je net zo goed "v=spf1 ~all" of zelfs "v=spf1 +all" gebruiken.
 
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.122
Ziggo
Alles in 1
Gebied
fZiggo
Ik zie net een phishing mailtje binnenkomen in mijn spamfolder. Zogenaamd van de ABN-Amro bank, voor het ophalen van nieuwe betaalpassen. Dus direct even gekeken hoe Ziggo dit tegenwoordig registreert:
Authentication-Results: ⁨mail.iss.as9143.net;
spf=fail (188.40.92.25;firenze.tosc.cgil.it);
dkim=none (nosigs);
dmarc=none header.from=firenze.tosc.cgil.it (dis=no_record);⁩

X-Spam-Action: ⁨folder Spam⁩
Het afzender domein "firenze.tosc.cgil.it" was direct al fout. Is niet van mijn bank. Nog erger, dat domein bestaat helemaal niet. Blijkbaar laat ziggo ook een "spf=fail" zien als het domein niet bestaat. En geen 'none' om aan te geven dat er geen spf gedefinieerd is.
 

J. de Boer

Forum Gebruiker
Lid geworden
18 okt 2005
Berichten
2.400
Ziggo
Alles in 1
Gebied
fUPC
Reuze interessant allemaal. Ik heb dit topic dan ook opgeslagen onder "te onthouden".
Overigens heb ik tot nu toe bij spam-mail nog nooit enige twijfel gehad, dus echt nodig zal ik het niet hebben, hooguit om iemand er op te wijzen. Ik ontvang niet zo veel spam, maar wat er in het gewone postvak binnen rolt is op grote afstand als zodanig herkenbaar, althans zo ervaar ik het. Overbekend zijn zulke berichten van Amro-Rabo over betaalpasjes die geblokkeerd zouden zijn etc. terwijl ik bij die bank totaal geen connecties heb. Geen haar op mijn hoofd dat dan ook overweegt "hun" daarop te wijzen.

Kortom, los van dat deze uiteenzetting bij heel veel mensen boven de pet gaat, boven alles gaat nog altijd gewoon nuchter verstand. Je hoeft geen wetenschapper te zijn om dat te begrijpen.

Edit:
Nog nooit eerder beleefd, ik ontving dit bericht ook via e-mail. Komt dit door een speciale status ervan?
 
Laatst bewerkt:
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.122
Ziggo
Alles in 1
Gebied
fZiggo
Ik ben wel klant van deze bank, maar deze mail was zo'n slechte imitatie dat ik mijn bank er niet eens een beetje in herkende.
Dit was ook geen persoonlijk gestuurde mail, maar een via het BCC veld verstuurde mail. Ik moest echt in de header kijken naar welk van mijn e-mail adressen dit gestuurd was. En inderdaad, naar een van mijn ziggo alias adressen.

De controle is er niet alleen voor nepmails, maar juist ook om de laatste twijfel weg te halen bij echte mails. Door al die valse mails weet je soms niet meer of iets echt is, of een zeer goede vervalsing.
Ik krijg b.v. een dagelijkse nieuwsbrief van mijn bank met linkjes naar relevante nieuwsartikelen. Die linkjes wil ik wel kunnen vertrouwen.
 
Laatst bewerkt:

PetervdM

Forum Gebruiker
Lid geworden
27 nov 2008
Berichten
441
Ziggo
Alles in 1
Gebied
fZiggo
Het afzender domein "firenze.tosc.cgil.it" was direct al fout. Is niet van mijn bank. Nog erger, dat domein bestaat helemaal niet. Blijkbaar laat ziggo ook een "spf=fail" zien als het domein niet bestaat. En geen 'none' om aan te geven dat er geen spf gedefinieerd is.
de fqdn ( in dit geval de mailserver ) firenze.tosc.cgil.it heeft geen a record ( "bestaat niet" ), maar dit is ook niet verplicht - maar niet handig!
het subdomein tosc.cgil.it bestaat wel, en heeft een spf record: "v=spf1 include:_spf.tosc.cgil.it -all"
_spf.tosc.cgil.it heeft ook een spf record: "v=spf1 ip4:194.243.35.46 ip4:194.243.35.45 -all"
abnamro.nl heeft ook een spf record: "v=spf1 a:spf.bitlibre.net include:spf.messagelabs.com include:spf.mwm2.nl -all"
ziggo kijkt naar dit laatste record - ik heb de includes verder niet onderzocht - en kennelijk komt het subdomein tosc.cgil.it of het ip adres 188.40.92.25 daar niet in voor. het maakt voor de beoordeling van het spf record niet uit of deze bestaan, er wordt alleen gekeken of de aangeboden (sub-)domeinnaam of ip adres overeenkomt met het volledig uitgewerkte spf record.
overigens hebben al deze records -all, zoals het hoort.