KPN Webmail Update 2021: externe en eigen domein e-mailaccounts toevoegen

Dat is mooie functionaliteit, ik heb er direct maar even gebruik van gemaakt. 

@Erik_, Hoe zit het met spf, dkim en dmarc op emailadressen voor een eigen domein?

Ik heb een mx, spf en dmarc record aangemaakt maar hoe nu dkim te configureren?

Misschien kan @Dennis ABD hier ook iets zinvols over zeggen. 

Ga ik voor je checken!

Dank je @Erik_ dat je dat voor me zal checken.

Voor mijn zakelijke domein heb ik t.a.v. dkim de onderstaande DNS entries.

Ik neem aan dat KPN ook dergelijke dkim verwijzingen beschikbaar stelt voor domeinen die bij KPN ondergebracht worden.

Dennis en onze e-mailmensen komen er (hier) bij je op terug, @wjb.

Dank je @Erik_.

Ik denk dat ik de benodigde instellingen ondertussen al gevonden heb.

Het DNS record t.a.v. DKIM voor mijn eigen domein (wjb4all.nl) heb ik als onderstaand toegevoegd.

Hiermee zijn mijns inziens alle records voor mijn eigen domein nu aanwezig.

@Dennis ABD, Staan ze zo goed voor spf, dkim en dmarc?

MXToolbox geeft in ieder geval alles groen, zelfs meer dan voor @kpnmail.nl want ik heb de dmarc quarantine/reject policy wel geactiveerd (p=quarantine) terwijl die voor @kpnmail.nl zelf niet geactiveerd lijkt te zijn (p=none). 

DMARC gaat niet echt werken indien je via ons verstuurd. DMARC kijkt voor de DKIM alignment naar de d= in het DKIM signature en vergelijkt dit met de MimeFrom (ie, de sender in de body van de email). Daar wij signeren met kpnmail.nl als d= zal dit nooit in alignment zijn met je eigen domein.

Effectief betekend dit dat het DKIM gedeelte van DMARC altijd faalt. Op zich geen probleem zo lang SPF goed is, zodra SPF echter fout gaat zal er geen DMARC allignment meer zijn. Met een policy vna none geen groot probleem, maar zodra je dat veranderd heb je dat wel.

Edit ter verduidelijking:

ie, als je mail verstuurd met wjb4all.nl moet de mail ook een DKIM signature van wjb4all.nl hebben.

Maar dat geldt dan toch ook voor de andere KPN klant domeinen zoals bijvoorbeeld @planet.nl?

Overigens krijg ik met de bovenstaande spf, dkim en dmarc records wel gewoon “passes” op dkim en spf. Zie rode uitsnedes in het onderstaande test mailtje.

Voor @planet signeren wij met een d= van planet,nl, datzelfde geld voor onze andere klant domeinen.

DMARC kijkt naar 2 zaken.

SPF: Is het SPF record in het From: domein correct. Dit wijkt af van een reguliere SPF check, daar deze nar de header sender kijkt.

DKIM: Is het D= domein gelijk aan het domein in de From: (en klopt het DKIM signature, uiteraard).

Zodra een van de twee checks goed gaan is het een DMARC pass, dit daar beide onder andere omstandigheden fout kunnen gaan en dit extra garantie biedt dat DMARC functioneerd.

Door via ons te versturen zal het DKIM signature altijd een d=kpnmail.nl hebben waardoor deze in de ogen van DMARC altijd faalt als je From: domein wjb4all.nl is. SPF klopt wel, daar er geen forwards aanwezig zijn (of andere rare constructies) en dus krijg je een DMARC pass.

Maakt dit het wat duidelijker? In mijn hoofd heb ik het allemaal goed zitten, het dan op “papier” zetten is niet mijn sterkste kant :)

Deze gaat dus goed omdat er een SPF record voor wjb4all.nl is vastgelegd.

Dus dat dkim als "passed" staat vermeld in het eerdere vermelde test bericht is niets anders dan dat de dkim signature klopt? Het domein wijkt immers af.

Beide correct.

Het DKIM signature is valid en dus een pass. Het is echter *niet* goed voor DMARC allignment.

@Dennis ABD, Betekent dit dat het vastleggen van DNS records t.a.v. dkim en dmarc feitelijk geen zin heeft en dat het vereist is om een spf record vast te leggen als ik mijn domein wil beschermen tegen misbruik door derden.

Het zou een mooie functionaliteit zijn als KPN ook tweestapsauthenticatie zou bieden. Dat doen andere providers in het voorbeeld wel (zoals Google, Yahoo) maar KPN nog steeds niet (jullie lopen in weerwil van alle goedbedoelde veiligheidstips en -uitleg hier echt mijlenver achter op de concurrentie): Waarom zou ik een mailaccount die dat wel heeft onderbrengen bij KPN die dat niet heeft? Ik zou het eerder andersom doen.

Bedoel je dan voor het inloggen in webmail?

Bij het gebruik van een mailcliënt zou zoiets wel heel vervelend zijn want dan moet je elke keer dat jouw mailcliënt start de tweestapsauthenticatie goedkeuren.

Het gaat er ook niet om dat je een emailaccount van een andere mailprovider onderbrengt bij KPN maar als je een eigen domein hebt zonder dat je daarbij een emailabonnement afgesloten hebt.

Tegenwoordig is dat met vingerafdrukherkenning heel eenvoudig. Dus ja, ik prefereer veiligheid.

Mij niet gezien, niet voor mail anders dan webmail.

En uiteraard wel voor het inloggen op mijnKPN maar dan graag niet die enorm ouderwetse methode met een smsje waarbij je een kode moet ingeven maar via een authenticator app.

Excuus voor de trage reactie. Ik had hier geen notificatie van gekregen.

Dat heeft wel zin, DKIM biedt nog steeds de gebruikelijke bescherming tegen het aanpassen van berichten onderweg, hoewel er niet veel mailbox providers naar kijken. Het zal enkel in de context van DMARC niet werken.

Ik wil mijn naam@gmail.com koppelen aan mijn naam@telfort.nl, maar daarbij krijg ik steeds de melding dat het gmail-wachtwoord onjuist is. Maar ik weet zeker dat dit goed is. Wat doe ik fout?

Dit naar aanleiding van de laatste KPN-nieuwsbrief:

*Admin: bericht samengevoegd met bestaand topic

@C.W. Smith

Misschien helpt het om bij GMail de optie “Gebruik een minder goed beveiligd wachtwoord” (ik weet de exacte bewoording niet meer.) aan te zetten ?


*Admin: reactie samengevoegd met bestaand topic

Oh, dit had ik gemist… en hier wordt ik heel erg blij van. Gelijk ook even e-mail voor een van mijn domeinen toegevoegd! Top-service!

Misschien kijk ik er overheen, maar ik heb nog een vraag over meerdere emailaccounts i.c.m. domeinnaam.

Ik kan waarschijnlijk ook 6 emailaccount met eigen (zelfde) domeinnaam maken?

Hoeveel aliassen kan ik aan een account hangen.

Is er ook een "catch all” functie voor alle overige mail adressen van mijn domein?

Je kunt in totaal 6 emailaccounts maken en naar mijn weten is er geen limiet meer voor het aantal aliassen.

Er is geen catch all funxtionaliteit.

Oké, geen catch all functie, jammer

Misschien is https://www.mijndomein.nl/producten/email dan iets voor jou.

mooie aanvullende dienst, timing ook mooi ! 

Komt mij nu dus goed uit. Ik maakte gebruik voor mail op mijn domein via Gsuite legacy.

Dat was gratis, is het niet meer en de overgangsbepalingen zijn naar mijn mening “niet gunstig”.  Daarbij komt  Google enkele eerder gedane toezeggingen ook niet na. Enfin, tijd om de mailbox van mijn domein te verhuizen !

dus ik ben aan de slag gegaan. Onder mijn account in ieder geval een aantal mailboxen aangemaakt. So far so good. Nu wil ik een eenmalige afslag maken van mijn googlemail naar KPN mailbox. Met POP3 uitlezen moet dat lukken lijkt mij, daarbij kan je een webadres aan je KPNmailbox toevoegen. 

Als dit afgerond is, dan domein koppelen en je kan met de totale mailbox verder via KPN lijkt mij. Vaker dit zo gedaan bij andere maildiensten. Verloopt normaal altijd wel soepel. 

Nu niet, na het invoeren van de instellingen en verlagen van de beveiliging bij GMAIL gaat het tergend langzaam. 
POP3 wordt benaderd. Er begint mail ingelezen te worden maar na 2 uur is er pas 80mb van mail over. Dit gaat heel langzaam door. Overschat ik de POP3 snelheid ?  of zie ik daadwerkelijk wat over het hoofd met mijn benadering ?

Mooie optie.

Heeft KPN Webmail ook de optie voor beheer van agenda en contacten zodat ik deze binnen Android ook zou kunnen synchroniseren?