• Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!

Mail controle met SPF, DKIM en DMARC (Uitgelegd)


Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.176
Ziggo
Alles in 1
Gebied
fZiggo
Ik snap het ook niet waarom dit niet strakker staat. Ziggo ziet dat de controle een 'fail' geeft. Verder is de aangegeven policy van de domeinhouder (marktplaats.nl) om de mail dan te rejecten. Ik gok dat Ziggo deze mail nu in de spamfolder gezet heeft (Ik kan niet zien of ziggo dit deed of mijn mail cliënt).

Blijkbaar is Ziggo te bang om correcte mail zoek te maken. In theorie kan dat gebeuren als de ontvanger de mail forward met de originele afzender en hierbij de mail inhoud aanpast. Dat is dan een configuratiefout bij de ontvanger, waar ziggo, in mijn optiek, geen rekening mee moet houden.

Het leuke van dmarc is dat de domein eigenaar ook dagelijks een overzicht krijgt van alle mail die uit zijn naam verstuurd is. Als we als bedrijf eens een mailing sturen, zie ik plots dat er ook heel veel mail verstuurd wordt door vreemde IP adressen met ons adres als afzender. Dat is dus allemaal geforwarde mail die een spf-fail geeft. Normaal moet de dkim checksum echter intact blijven. Ik heb in de laatste jaren nog maar één keer gezien dat ook de dkim een fail gaf. Ik kon direct zien wie die mail geforward heeft, maar konden geen reden vinden waarom die mail bij hem aangepast was. Latere mailings naar hem kwamen wel gewoon door de dmarc test.
 
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.176
Ziggo
Alles in 1
Gebied
fZiggo
Ik krijg weer exact hetzelfde phishingmailtje als eerder in de week. Wel met een ander email adres erin dat mijn account zogenaamd probeert over te nemen. Ziggo geeft weer netjes aan:

Authentication-Results: mail.iss.as9143.net; spf=softfail (62.212.130.112;marktplaats.nl); dkim=none (nosigs); dmarc=fail header.from=marktplaats.nl (p=reject sp=reject dis=quarantine);
En dus ook weer in de spamfolder.

De link wijst nu naar een andere domeinnaam, maar wel gehost door dezelfde firma als het vorige mailtje. Als ik die domeinnaam volg krijg ik het volgende:
host www.wisdva.com
www.wisdva.com
is an alias for blocked.transip.nl.
blocked.transip.nl has address 37.97.254.28
blocked.transip.nl has IPv6 address 2a01:7c8:3:1337::28
Hier heeft transip blijkbaar al gezien dat er iets niet in de haak is en stuurt de mensen die op de link klikken direct naar een waarschuwingspagina. Dat is weer een vlotte reactie van transip.
 

J. de Boer

Forum Gebruiker
Lid geworden
18 okt 2005
Berichten
2.455
Ziggo
Alles in 1
Gebied
fUPC
Nog mooier zou zijn dat ze op grond van het feit dat het absoluut zeker blijkt dat het spam is, let wel dat is vastgesteld, dat die ongein meteen van de server wordt verwijderd. Met zelf gemaakte berichtregels is dat namelijk ook mogelijk.
 

robjanssen

Product Tester
Lid geworden
24 jan 2006
Berichten
6.129
Ziggo
Alles in 1
Gebied
fUPC
@Briolet en/of @PetervdM hopelijk kan 1 van jullie mij helpen! Iemand anders mag natuurlijk ook.

Ik heb voor iemand een domein geregistreerd bij mijnhostingpartner.nl
Nu kwam de mail, die verstuurd werd vanuit dit domein, eerst in de spambox terecht.
Nu heb ik (samen met de mijnhostingpartner) DNS-entries gemaakt voor SPF, DKIM en DMARC.
Daarna kwam de mail niet meer de spam-box.
Authentication-Results: mail.iss.as9143.net;
spf=pass (84.246.4.155;mirandahonden.nl);
dkim=pass header.d=mirandahonden.nl;
dmarc=pass header.from=mirandahonden.nl (p=quarantine sp=quarantine dis=pass);

Nu maakt die persoon ook gebruik van SnelStart, en SnelStart verstuurd facturen, met als afzender dit domein.
Deze mail komen echter in de spambox terecht.
Authentication-Results: mail.iss.as9143.net;
spf=pass (167.89.85.6;email.snelstart.nl);
dkim=pass header.d=snelstart.nl;
dmarc=fail header.from=mirandahonden.nl (p=quarantine sp=quarantine dis=quarantine);

Hoe kan dit opgelost worden?
SnelStart verwijst naar deze pagina:
Mailt u niet via een eigen mailserver, maar via het SnelStart Service Platform.

Mailt u niet via een eigen mailserver, dan wordt uw mail verzonden via het SnelStart Service Platform. Hierbij doen wij er zoveel mogelijk aan om ervoor te zorgen dat de mail ook wordt afgeleverd. Gebruikt u een eigen domeinnaam (bijvoorbeeld ‘uwbedrijf.nl’), dan kunt u het systeem een handje helpen: vraag de beheerder van uw domein om in de DNS-registratie een SPF-entry aan te maken voor ‘spf.mailservice.snelstart.nl’. Hierdoor kan de ontvangende e-mailserver zien dat het SnelStart Platform namens u e-mail mag versturen. Meer hierover kunt u lezen op https://en.wikipedia.org/wiki/Sender_Policy_Framework
Hiervoor heb ik het SPF-record aangepast naar: v=spf1 a mx ip4:84.246.4.155 include:spf.mailservice.snelstart.nl -all
Maar dit maakt geen verschil, mail komt nog steeds in de spambox terecht, met dezelfde Authentication-Results

Dus de vraag is: Wat dient er ingesteld/aangepast te worden, zodat de mail wel aan komt?
 
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.176
Ziggo
Alles in 1
Gebied
fZiggo
dkim=pass header.d=snelstart.nl;
dmarc=fail header.from=mirandahonden.nl (p=quarantine sp=quarantine dis=quarantine);
Dat is niet simpel op te lossen. Het hele idee van de DMARC beveiliging is het voorkomen dat anderen mail in jouw naam gaan versturen. En snelstart wil dat juist doen.

snelstart moet kunnen 'bewijzen' dat zij jouw toestemming hebben door met jouw private sleutel de dkim ondertekening te doen. Nu ondertekenen ze met "d=snelstart.nl" en niet met jouw domeinnaam. De vraag is of snelstart hun systeem zo ver op orde heeft dat ze ook met andere dkim-sleutels kunnen ondertekenen, want dan hadden ze jou die optie wel geboden.

-----

Op zich moet het nog steeds goed gaan als het SPF record klopt. Als ik naar hun spf record kijk, zie ik:
$ host -t txt spf.mailservice.snelstart.nl
spf.mailservice.snelstart.nl is an alias for sendgrid.net.
sendgrid.net descriptive text "v=spf1 ip4:167.89.0.0/17 ip4:208.117.48.0/20 ip4:50.31.32.0/19 ip4:198.37.144.0/20 ip4:198.21.0.0/21 ip4:192.254.112.0/20 ip4:168.245.0.0/17 ip4:149.72.0.0/16 ~all"
Uit je bericht zie ik dat ze de mail via een correct IP adres versturen.
spf=pass (167.89.85.6;email.snelstart.nl);
Dat behoort een geldige DMARC te geven want je hebt hun lijst correct in jouw domeinnaam staan.
 
Laatst bewerkt:

robjanssen

Product Tester
Lid geworden
24 jan 2006
Berichten
6.129
Ziggo
Alles in 1
Gebied
fUPC
@Briolet Maar waarom failt de DMARC dan? Want ik lees in je eerdere berichten dan als de SPF en/of de DKIM een "pass" heeft, dat de DMARC dan ook een "pass" krijgt, maar dat is in dit geval niet.

En wat is het verschil tussen een "a:" en een "include:"?
Want ik gebruik een "include:" voor de SPF-records van snelstart.nl
Maar ik ben ook voorbeelden tegengekomen waar ze een "a:" gebruiken.
 

René

Moderator
Lid geworden
13 okt 2001
Berichten
8.556
Ziggo
Internet & Televisie
Gebied
fUPC
Mailt u via een eigen mailserver.
U kunt in SnelStart gebruik maken van uw eigenmailserver, echter wanneer deze niet correct ingesteld is komt de mail ook niet aan bij de klant. In deze situatie raden wij u aan om contact op te nemen met uw systeembeheerder/internetprovider voor de correcte gegevens.
Dat doet vermoeden dat je bij snelstart ook je eigen mailserver kunt instellen, dus die van mijnhostingpartner.nl. Je zal dan ergens de smtp server username/ww moeten instellen.
Als dat lukt ben je ook van het probleem af @robjanssen
 
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.176
Ziggo
Alles in 1
Gebied
fZiggo
@Briolet Maar waarom failt de DMARC dan?
DMARC is strenger dan een losse SPF of DKIM test. De gewone SPF test gebeurd met het 'afzender enveloppe adres" dat in de mailheader staat. Dat kan afwijken van het 'From' adres dat de gebruiker ziet. Dat enveloppe adres is in dit geval snelstart. Die is geldig. Een mail kan ook meerdere DKIM ondertekeningen bevatten. Deze mail wordt door snelstart ondertekend. Die ondertekening is ook geldig.

DMARC maakt de boel strenger door te eisen dat het afzenderdomein dat de gebruiker ziet in het From veld, de geldige test moet opleveren. De SPF is in jouw geval goed geïmplementeerd via de 'include'. Er zit echter geen DKIM ondertekening in door jouw domein. Ziggo zet er wel twee passes in, maar het domein waar tegen getest is, staat er achter en dat is niet jouw domein.

Ik denk dat hier toch wat mis gaat bij Ziggo omdat slechts één van beide testen hoeft te kloppen voor een geldige DMARC test en SPF klopt in jouw geval ook bij jouw domein. Maar in zijn algemeenheid breekt een SPF test bij forwarden en een DKIM test niet. Dus bij gebruik van DMARC moet je er egenlijk altijd voor zorgen dat de mail ook een geldige DKIM heeft die met jouw privé sleutel aangemaakt is en niet met die van snelstart.

In jouw geval zou ik de DMARC policy gewoon op "none" zetten als snelstart niet met jouw sleutel wil/kan ondertekenen. DMARC zal dan nog steeds een fail geven, maar de ontvanger behoort er dan niets mee te doen. Die mail zou dan wel in de inbox terecht moeten komen.
 
Laatst bewerkt:
Topicstarter
Topicstarter
Briolet

Briolet

Forum Gebruiker
Lid geworden
14 aug 2012
Berichten
3.176
Ziggo
Alles in 1
Gebied
fZiggo
En wat is het verschil tussen een "a:" en een "include:"?
Ik zou altijd de include gebruiken. Jij hoeft dan niet zelf bij te houden vanaf welke mailserers snelstart hun mail verstuurt. Als zij iets veranderen passen ze hun afzenderlijst aan en via het "include" blijf jij de aangepaste lijst van snestart gebruiken.
 

robjanssen

Product Tester
Lid geworden
24 jan 2006
Berichten
6.129
Ziggo
Alles in 1
Gebied
fUPC
Dat doet vermoeden dat je bij snelstart ook je eigen mailserver kunt instellen, dus die van mijnhostingpartner.nl. Je zal dan ergens de smtp server username/ww moeten instellen.
Als dat lukt ben je ook van het probleem af @robjanssen
@René, dit heb ik nu gedaan, en nu werkt het wel goed, maar nu gaat het dus via de smtp-server van mijnhostingpartner.nl en niet via de smtp-server van SnelStart.