• Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!

Mail controle met SPF, DKIM en DMARC (Uitgelegd)


Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.158
Ziggo
Alles in 1
Gebied
fZiggo
Ik snap het ook niet waarom dit niet strakker staat. Ziggo ziet dat de controle een 'fail' geeft. Verder is de aangegeven policy van de domeinhouder (marktplaats.nl) om de mail dan te rejecten. Ik gok dat Ziggo deze mail nu in de spamfolder gezet heeft (Ik kan niet zien of ziggo dit deed of mijn mail cliënt).

Blijkbaar is Ziggo te bang om correcte mail zoek te maken. In theorie kan dat gebeuren als de ontvanger de mail forward met de originele afzender en hierbij de mail inhoud aanpast. Dat is dan een configuratiefout bij de ontvanger, waar ziggo, in mijn optiek, geen rekening mee moet houden.

Het leuke van dmarc is dat de domein eigenaar ook dagelijks een overzicht krijgt van alle mail die uit zijn naam verstuurd is. Als we als bedrijf eens een mailing sturen, zie ik plots dat er ook heel veel mail verstuurd wordt door vreemde IP adressen met ons adres als afzender. Dat is dus allemaal geforwarde mail die een spf-fail geeft. Normaal moet de dkim checksum echter intact blijven. Ik heb in de laatste jaren nog maar één keer gezien dat ook de dkim een fail gaf. Ik kon direct zien wie die mail geforward heeft, maar konden geen reden vinden waarom die mail bij hem aangepast was. Latere mailings naar hem kwamen wel gewoon door de dmarc test.
 
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.158
Ziggo
Alles in 1
Gebied
fZiggo
Ik krijg weer exact hetzelfde phishingmailtje als eerder in de week. Wel met een ander email adres erin dat mijn account zogenaamd probeert over te nemen. Ziggo geeft weer netjes aan:

Authentication-Results: mail.iss.as9143.net; spf=softfail (62.212.130.112;marktplaats.nl); dkim=none (nosigs); dmarc=fail header.from=marktplaats.nl (p=reject sp=reject dis=quarantine);
En dus ook weer in de spamfolder.

De link wijst nu naar een andere domeinnaam, maar wel gehost door dezelfde firma als het vorige mailtje. Als ik die domeinnaam volg krijg ik het volgende:
host www.wisdva.com
www.wisdva.com
is an alias for blocked.transip.nl.
blocked.transip.nl has address 37.97.254.28
blocked.transip.nl has IPv6 address 2a01:7c8:3:1337::28
Hier heeft transip blijkbaar al gezien dat er iets niet in de haak is en stuurt de mensen die op de link klikken direct naar een waarschuwingspagina. Dat is weer een vlotte reactie van transip.
 

J. de Boer

Forum Gebruiker
Lid geworden
18 okt 2005
Berichten
2.435
Ziggo
Alles in 1
Gebied
fUPC
Nog mooier zou zijn dat ze op grond van het feit dat het absoluut zeker blijkt dat het spam is, let wel dat is vastgesteld, dat die ongein meteen van de server wordt verwijderd. Met zelf gemaakte berichtregels is dat namelijk ook mogelijk.