Mail controle met SPF, DKIM en DMARC (Uitgelegd)

Dat klopt, en is volgens mij ook de beste situatie. Nu heb je alles in eigen hand en ben je niet afhankelijk van de mailserver (en eventuele problemen) van SnelStart.

ps: leuk testje is om hier een testmail account aan te maken, en dan op te voeren in snelstart en een mail versturen. Zie je precies wat er mis is.
 
Ik kreeg deze week voor de 3e keer een "marktplaats" mailtje binnen zoals het mailtje in mijn post #18. Steeds met een link naar een ander phisching domein. Net als bij het 2e mailtje was het domein al uit de lucht gehaald toen het mailtje aankwam. Op de link klikken kon dus geen schade meer doen.

Ik blijf het echter kwalijk vinden dat Ziggo dit soort mail doorlaat. In de header heeft Ziggo de volgende resultaten geplaatst:

Authentication-Results: mail.iss.as9143.net;
spf=softfail (62.212.132.46;marktplaats.nl);
dkim=none (nosigs);
dmarc=fail header.from=marktplaats.nl (p=reject sp=reject dis=quarantine);

Ziggo heeft dus gezien dat de mail een dmarc fail oplevert, wat betekent dat de mail niet aan de vereiste controles voldoet.
Verder heeft marktplaats aangegeven dat er in dit geval een "reject' moet gebeuren. Ziggo negeert deze aanwijzingen compleet en laat de mail gewoon door. Schandalig. Wat heeft het voor nut om überhaupt mail controles te doen als je vervolgens de resultaten negeert? Dit geeft alleen een vals gevoel van veiligheid omdat Ziggo wel de indruk wekt dat ze de mail controleren.

Ik ben alleen bang dat ik hierover uren met de helpdesk kan praten en er dan nog niets gebeurd.
 
Ik vrees dat in het helpdeskteam weinig mensen zitten die sowieso enige kennis hebben van deze materie. Je zal het een niveau hoger moeten zoeken. Zoals de programmeurs van het computerprogramma dat dit regelt. Want het mag duidelijk zijn dat dit nog niet werkt zoals beoogd.
 
Ik denk dat jij daar zelf ook wel antwoord op kan geven Briolet, Als IT-ers iets veranderen zetten ze graag eerst de optie "alleen loggen" aan ipv direct een actie toe te passen. Ook kan er gekozen zijn alleen de spam of reputatie score aan te passen op basis van een fail actie.
 
Bedoel je met dat loggen die regel:
dmarc=fail header.from=marktplaats.nl (p=reject sp=reject dis=quarantine);?
Mogelijk heb je gelijk, maar de toevoeging van die authentificatieregels is er al weer een poosje. Het zou dan dacht ik maar weinig moeite kosten om het eindelijk eens te effectueren. Want ik weet bijna wel zeker dat niet iedereen dit zomaar begrijpt. Helemaal verwijderen valt dan ook veel voor te zeggen, eerst naar de spam-map lijkt me niet eens nodig, want de kans op een onterechte dmarc=fail lijkt me niet aanwezig. Alsmaar rotzooi opruimen uit de spam-map doe je namelijk ook niet voor de lol.
 
Laatst bewerkt:
@terrestrial, het klopt dat it-ers liever alleen loggen i.p.v. iets echt weggooien met het risico van iets goeds weg te gooien.

Maar dmarc is iets anders en is juist bedoeld als ultieme beveiliging tegen misbruik van iemands domeinnaam. Hier is het de domeinnaam eigenaar die aangeeft of er alleen gelogd wordt of echt verworpen.

Bij dmarc krijgt iedere domein eigenaar (marktplaats in dit geval), dagelijks mailtjes met overzichten van mail die in hun naam verzonden is [1]. In dat overzicht staat ook of het een pass was of een reject. Marktplaats zet het eerst een paar maand op loggen en als ze via die mailtjes zien dat dit goed gaat met de legitieme mail, zetten ze het op reject. Dan wil je ook dat foute mailtjes echt verworpen worden.

Ik heb zelf ook een domeinnaam met een dmarc=reject. Ik zou het zelf ook vervelend vinden dat false mail met onze naam wel aankomt. Dat zal ook voor de it-ers gelden die juist moeite doen om hun domeinnaam te beschermen.

[1]: Je krijgt de overzichten alleen van firma's die volledig meedoen aan het project en dat worden er steeds meer. b.v. bij mail naar een gmail, yahoo, xs4all, belgacom, etc
 
Onze mailserver volgt ook het beleid dat een spf hard-fail direct verworpen wordt. Dat leidt er wel toe dat soms legitieme mail niet aankomt. Maar dan zie ik het nog steeds als fout van de verzender. Zij zijn het die een hard-fail instellen en hun mail desondanks via een verkeerde smtp server versturen.
 
Zonder meer Interessant onderwerp!
Wij hebben zelf geen mailserver, dus bestempel ik ons als passieve gebruikers. Om nu wellicht ten overvloede, als zodanig een samenvattende conclusie van dit onderwerp te geven: Is het nu echt zo dat enkel op het gegeven dat die dmarc-regel een fail bevat de mailserver van Ziggo zo zou kunnen worden ingesteld dat een mail zonder enige twijfel als spam kan worden gemarkeerd? Al dan niet gepaard met plaatsen in de spam-map of meteen verwijderen. Of is er ondanks dat toch nog twijfel mogelijk?

Met de aandacht gericht op de dmarc-regel dienen dan de beide andere regels enkel als ondersteuning, maar lezen van de dmarc-regel zou ook kunnen volstaan?
 
Ja. Niet alleen dat ziggo het zonder twijfel kan verwerpen, maar ziggo moet het verwerpen. Dat is de hele bedoeling van de dmarc beveiliging.
In dit geval is het marktplaats die regels opstelt waaraan hun mail moet voldoen. Vervolgens geven ze aan dat als mail niet aan hun regels voldoet er een reject moet plaats hebben. Dan moet je je daar als ziggo ook wat van aantrekken en hier gevolg aan geven. Als marktplaats zelf mail verstuurt die niet aan hun eigen regels voldoet, is het de fout van martkplaats zelf dat het niet aankomt.

En zo moeilijk zijn die regels niet. Legitieme mail moet van specifieke IP adressen komen of het moet door marktplaats via dkim ondertekend zijn. Het belangrijkste waar marktplaats dus op moet letten is dat ze hun mail altijd via hun eigen mailservers versturen. Dan gebeurd die dkim ondertekening vanzelf.

Dit zijn natuurlijk allemaal beveiligingen die op de achtergrond gebeuren en waar je als gewone ontvanger van mail niet op hoeft te letten.

-----

Maar nog even de dkim handtekening uitdiepen omdat Ziggo tegenwoordig ook de privé mail van gebruikers via dkim ondertekent.

Als jij een mailtje verstuurt via de ziggo smtp server (Of via webmail), dan rekent de ziggo mailserver een checksum uit over jouw mail en versleutelt deze checksum via hun private key, die ergens op hun mailserver staat. Deze versleutelde checksum plaatsen ze in de mail header en ziet er als volgt uit:

Dkim-Signature: ⁨v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=ziggo.nl; s=201809corplgsmtpnl; h=To:Date:Message-Id:Subject:Mime-Version:From; bh=AwhaUiNqHiWZVI7fl/OpmwAsLa4Zwd7j8DakbutjZ1s=; b=aXmoGg58473/a23gIMLRQTdwwR dKZEv0LG6Vbq66i1VMxWYuxLP7ajpbOmw0hlRn2juYo6an4xL6waI9rTQg9gH1Ne4PDtWnH/LhFd5 enz…

Daarnaast heeft ziggo de publieke sleutel voor het decoderen in hun domeinnaan systeem gepubliceerd. Als de ontvangende mailserver ziet dat de mail ondertekend is via dkim, dan halen ze zelf de publieke sleutel bij ziggo op en decoderen de checksum (het oranje stuk hierboven). Vervolgens rekenen ze zelf een checksum uit over de ontvangen mail. Zijn beide checksums gelijk, dan weet de ontvangende mailserver dat de mail onveranderd is, sinds de mail de ziggo server verlaten heeft. En hij weet ook dat het alleen ziggo geweest kan zijn die de gecodeerde checksum in de header geplaatst heeft. De mail komt dus legitiem bij ziggo vandaan.

Als je een gmail account hebt, moet je eens op hun webmail inloggen en het pull-down menu bij de afzender uitklappen. Daar kan een gebruiker zien of de mail correct dkim ondertekend is.
Ter overvloede: Het is niet jouw mailprogramma die de dkim ondertekening controleert, maar de mailserver waar de mail binnen komt.

En hoewel ziggo nog maar sinds kort de dkim resultaten in hun header schrijft, voeren ze de controle al heel veel langer uit. Ik heb in het verleden wel eens dkim ondertekende mail geforward, nadat de mail inhoud aangepast was. De ondertekening klopt dan niet meer en die mail werd altijd al door de ziggo mailserver geweigerd. Die kwam dus ook niet in een spambox terecht. Dus daar deden ze het wel correct, maar een dmarc fail gaat bij hun nog mis.
 
Laatst bewerkt:
Ik zie net dat Ziggo hun DMARC instelling verscherpt heeft naar ""v=DMARC1; p=quarantine;…". Hij stond al jaren op "p=none". (Alleen voor de 'x.ziggo.nl' afzenders stonden ze al een tijdje op 'p=reject'.)

Zolang hij op 'none' stond, kon je de ziggo.nl mail nog probleemloos via een andere smtp server versturen. Met deze 'quarantaine' instelling, zal dit niet meer kunnen en zal de ontvanger de mail waarschijnlijk automatisch in de spambox gooien. Het is dus nog belangrijker om ook echt de smtp server van Ziggo te gebruiken voor uitgaande mail. (wat 99% van de mensen ook zal doen)
 
Terug
Bovenaan