E-mail kan niet worden bezorgd bij Gmail, foutmelding over SPF en/of DKIM probleem. Waar gaat het mis?

Als je met je mailaccount van KPN via de app GMail mail wilt verzenden, is sinds augustus vorig jaar, om veiligheidsredenen, authenticatie c.q. verificatie verplicht bij het verzenden van mail.

Dus je kunt bij de SMTP instellingen controleren of daar alles goed staat en actief is @Mark Nutchville 

Zie ook onderstaande link:

https://forum.kpn.com/kennisbank-e-mail-135

Dit gaat mis bij de afzender (en deels bij Gmail). Gmail accepteert al een tijdje alleen e-mail van servers die gebruik maken van SPF of DKIM. Zonder in details te willen verzanden zijn SPF en DKIM methoden om vast te stellen of e-mail van servers afkomstig is die geautoriseerd zijn om e-mail van het betreffende afzender adres te verzenden. Het is een methode om spam te verminderen.

De afzender moet ervoor zorgen dat:

1. De SMTP server die hij/zij gebruik om mail te verzenden ook daadwerkelijk gerechtigd is om die e-mail voor het domein te verzenden;
2. De beheerder van de SMTP server moet ervoor zorgen dat de server SPF en/of DKIM ondersteunt.

Waarom is deels Gmail het probleem? Welnu, het is de keuze van Gmail om te eisen dat SPF or DKIM geïmplementeerd is. Het is geen standaard van het SMTP protocol. Er zijn echter steeds meer service providers die dergelijke eisen stellen.

Dank voor de uitleg. Alles staat aan verzender kant goed ingeregeld. Ik kan ook diverse andere Gmail adressen benaderen. Toch blijft de melding komen bij dit ene specifieke gmail adres. Kan het dan toch ook aan de ontvangers kant liggen?

In principe niet. De door jou gequote tekst wijst daar ook keurig op: “Gmail eist dat afzenders (bedoeld wordt mail servers van het domain van de afzender) zich authenticeren door middel van SPF of DKIM.”

Ik ben wel enigszins benieuwd waar het misgaat bij de afzender. Je kan zelf onderzoek doen, door bijvoorbeeld gebruik te maken van internet.nl.  Vul bij ‘test your e-mail’ eens het domain van de afzender in?

Dan wordt er getest op SPF en DKIM (en DMARC, en heel veel andere testen). Indien die tool in ieder geval SPF of DKIM records vindt die geldig zijn voor het domain, dan moet de afzender er slechts voor zorgen ook daadwerkelijk de SMTP servers te gebruiken van dat domain.

beste Optimist, dat is een stapje verder via internet.nl. Dat laat zien dat er een aantal zaken idd niet kloppen. De vraag is waar ik dat kan corrigeren en aanpassen. KPN helpdesk is er niet meer.. Resultaat van test: https://internet.nl/mail/planet.nl/1128477/#control-panel-4

Vraag is nu hoe en waar aanpassen? 

Er zijn redelijk wat zaken niet op orde, dat klopt. Het goede nieuws is dat er wel degelijk een SPF record is (maar met een policy die ik nooit zou gebruiken), en ook DKIM.

Het SPF record:

v=spf1 include:spf.ews.kpnxchange.com ?all

Verwijst naar:

jonkj@Jeroens-MacBook-Pro-2 ~ % dig -t txt spf.ews.kpnxchange.com

 

; <<>> DiG 9.10.6 <<>> -t txt spf.ews.kpnxchange.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3863

;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

 

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 1232

;; QUESTION SECTION:

;spf.ews.kpnxchange.com. IN TXT

 

;; ANSWER SECTION:

spf.ews.kpnxchange.com. 300 IN TXT "v=spf1 ip4:195.121.94.160/27 ?all"

 

;; Query time: 18 msec

;; SERVER: 10.2.0.1#53(10.2.0.1)

;; WHEN: Tue Jan 23 13:55:53 CET 2024

;; MSG SIZE  rcvd: 97

Een IPv4 IP range die geautoriseerd is om mail af te leveren (195.121.94.161 - 190). Nu kan je waarschijnlijk in het bericht van Google zien vanaf welk IP adres er daadwerkelijk mail wordt aangeboden. Grote kans dat het een IP adres is die niet in die range voorkomt.

Als dat zo is, dan is het eigenlijk alleen op te lossen door de beheerder van de DNS van planet.nl (door de SPF record aan te passen).

Kan jij zien vanaf welk IP adres de mail aangeboden wordt aan Google?

Je kunt je vraag ook voorleggen aan abuse@kpn.com , daar zitten zeer kundige mensen op dat gebied en verwijs je naar dit topic @Mark Nutchville 

Het lijkt erop dat het domain planet.nl niet echt goed meer onderhouden wordt. Doe eens een test op internet.nl voor kpnmail.com domain. Dan zie je dat alles keurig in orde is. Het kan dus wel.

Het domain planet.nl moet door KPN geüpdated worden zodanig dat dit soort ellende niet voorkomt. Zolang KPN de eigenaar is van het domain en z’n klanten een goede service wil geven!

Ja, als je de test uitvoert op een domein waarop geen e-mail actief is, dan is het vrij makkelijk om het e-mailgebeuren op orde te krijgen voor zo'n domein. 😁

Zoals ik onlangs al uitgebreid beschreef in een ander topic, laten we de resultaten van een website als internet.nl wel even in een juist perspectief bekijken. Het is goed dat dergelijke tools er zijn om dingen te testen, maar het is dan wel belangrijk dat je de uitkomsten van de test begrijpt en die juist kunt interpreteren. Dat zie ik hier wederom verkeerd gaan.

Dat was dan ook de reden van mijn vraag aan de topic starter om het IP adres kenbaar te maken (of te controleren) waarvan de mail aangeboden werd.

Mwah… ik vind het nogal bijzonder dat TLS 1.0 of 1.1 blijkbaar nog ondersteund wordt door mx.kpnmail.nl als ik de test mag geloven. Is er nog echt een noodzaak om dat te ondersteunen of zou het beter zijn om als minimum TLS 1.2 te vereisen met een voldoende sterke cipher?

Die oude TLS versies zijn inmiddels door middel van RFC 8996 deprecated verklaard en zouden niet meer gebruikt moeten worden. Ook NCSC is kort en duidelijk over TLS 1.0 en 1.1 (zie Infosheet Transport Layer Security).

Heb geprobeerd achter ip adres te komen maar kom daar niet uit. Ik heb slechts een gmail adres.

Kan je een screenshot van je email instellingen maken, het gedeelte voor de @ verbergend om privacy redenen?