Skip to main content
Vraag

Mail als spam bestempeld ondanks geldige SPF, DKIM en DMARC

  • November 29, 2022
  • 12 reacties
  • 211 keer bekeken
wjb
Superuser

Met enige regelmaat komt het voor dat mails van grote partijen, zoals bijvoorbeeld AD en PostNL, als spam bestempeld worden terwijl ze volledig voldoen aan SPF, DKIM en DMARC en ook geen rare inhoud bevatten.

Zo werd vandaag de onderstaande mail in mijn spamfolder geplaatst.

Mijn vraag is dan ook op basis waarvan dit gebeurt en of het mogelijk gaat worden om een whitelist op te stellen om mails die voldoen aan SPF, DKIM en DMARC en afkomstig zijn van een afzender uit die whitelist nooit als spam te bestempelen.

Ik hoop dat @Raymondt of @Dennis ABD hier zijn licht eens over wil laten schijnen.

Be positive, avoid negativity, enjoy life and stay healthy!
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een eigen topic.

12 reacties

Dennis ABD
KPN medewerker
Forum|alt.badge.img+8
  • Dennis ABD
  • KPN Abuse
  • November 29, 2022

Spam filtering gaat altijd op basis van meldingen welke onze anti spam leverancier ontvangt, niet alleen van gebruikers bij KPN mar bij alle partijen waarbij ze actief zijn. Wel zijn wij aanvullende stappen aan het nemen op false positives als deze tegen te gaan.

 

Overigens is DMARC geen anti spam maar een anti spoofing oplossing. Nog voordat banken er mee begonnen was er al perfecte DMARC alligned spam.

wjb
Jan van KPN
wjb
Superuser
  • wjb
  • Auteur
  • November 29, 2022

Dank je voor jouw snelle antwoord.

Je zult je wel niet (te veel) uit mogen laten over de aanvullende stappen waarmee jullie bezig zijn om false positives tegen te gaan maar ik ben wel zeer benieuwd.

Ik denk dat jullie heel wat wrevel bij abonnees weg kunnen nemen als het aantal false positives sterk verminderd wordt. Het is best vervelend om telkens weer mails van een bepaalde afzender uit de spamfolder te moeten plukken. 

Ik weet dat DMARC geen anti spam maar anti spoofing oplossing is maar als de SPF, DKIM en DMARC checks succesvol zijn dan mag je er toch vanuit kunnen gaan dat de mail verzonden is via de mailserver van de echte afzender en dat je best zou mogen zeggen dat als je die afzender vertrouwt (whitelist) je die mail nooit als spam zou moeten betitelen. En door de DKIM check weet je ook dat die mail onderweg niet veranderd is en dus hetzelfde bevat als dat door de verzender verzonden is.

Be positive, avoid negativity, enjoy life and stay healthy!
Raymondt
KPN medewerker
Forum|alt.badge.img+10
  • Raymondt
  • KPN Abuse
  • November 29, 2022

Je zult je wel niet (te veel) uit mogen laten over de aanvullende stappen waarmee jullie bezig zijn op false positives tegen te gaan maar ik ben wel zeer benieuwd.

Begrijpelijk ja, maar je eerste conclusie is helaas wel correct :)

Ik weet dat DMARC geen anti spam maar anti spoofing oplossing is maar als de SPF, DKIM en DMARC checks succesvol zijn dan mag je er toch vanuit kunnen gaan dat de mail verzonden is via de mailserver van de echte afzender en dat je best zou mogen zeggen dat als je die afzender vertrouwt (whitelist) je die mail nooit als spam zou moeten betitelen. En door de DKIM check weet je ook dat die mail onderweg niet veranderd is en dus hetzelfde bevat als dat door de verzender verzonden is.

 

Klopt helemaal. Het punt is (en we merken dat mensen dat soms over het hoofd lijken te zien, wat begrijpelijk is als je niet zo thuis bent in de materie) is dat als je ziet dat mails gecheckt zijn op DMARC, SPF, DKIM etc, dat het dan niet perse mail is die afkomstig is van een legitieme afzender. Voorbeeldje: stel ik ben een spammer en ik wil ING klanten gaan phishen, en ik registreer daarvoor een domein als ing-bank-nederland.com (wat dus overduidelijk niet het domein van de ING is), dan kan ik op dat domein gerust bovengenoemde beveiligingen instellen, en als ik je dan een mailtje stuur, dan zul je ook zien dat die 3 dingen dik in orde zijn, terwijl het nog steeds phishing betreft. Bovengenoemde beveiligingsmethodes zijn dus goed om op te letten, maar je moet je er niet blind op staren.

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
wjb
Superuser
  • wjb
  • Auteur
  • November 29, 2022

Ik weet dat DMARC geen anti spam maar anti spoofing oplossing is maar als de SPF, DKIM en DMARC checks succesvol zijn dan mag je er toch vanuit kunnen gaan dat de mail verzonden is via de mailserver van de echte afzender en dat je best zou mogen zeggen dat als je die afzender vertrouwt (whitelist) je die mail nooit als spam zou moeten betitelen. En door de DKIM check weet je ook dat die mail onderweg niet veranderd is en dus hetzelfde bevat als dat door de verzender verzonden is.

Klopt helemaal. Het punt is (en we merken dat mensen dat soms over het hoofd lijken te zien, wat begrijpelijk is als je niet zo thuis bent in de materie) is dat als je ziet dat mails gecheckt zijn op DMARC, SPF, DKIM etc, dat het dan niet perse mail is die afkomstig is van een legitieme afzender. Voorbeeldje: stel ik ben een spammer en ik wil ING klanten gaan phishen, en ik registreer daarvoor een domein als ing-bank-nederland.com (wat dus overduidelijk niet het domein van de ING is), dan kan ik op dat domein gerust bovengenoemde beveiligingen instellen, en als ik je dan een mailtje stuur, dan zul je ook zien dat die 3 dingen dik in orde zijn, terwijl het nog steeds phishing betreft. Bovengenoemde beveiligingsmethodes zijn dus goed om op te letten, maar je moet je er niet blind op staren.

Vandaar dat ik het dus ook heb over een whitelist. @ing-bank-nederland.com staat niet in die whitelist en daarmee kan die dus nog wel als spam gezien worden, @ing.nl staat echter wel in en kan altijd doorgelaten worden indien de SPF, DKIM en DMARC voldoen.

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Wijsgeer
Forum|alt.badge.img+25
  • Nick83
  • Wijsgeer
  • November 29, 2022

Dat SPF, DKIM en DMARC kloppen is nog geen garantie dat de mail geen spam is. Ook mail met geldige SPF, DKIM en DMARC kan spam zijn. Als maar genoeg mensen de mail van postnl als spam kwalificeren, dan is het spam. Bij wijze van spreken. 

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Superuser
  • wjb
  • Auteur
  • November 29, 2022

Dat SPF, DKIM en DMARC kloppen is nog geen garantie dat de mail geen spam is. Ook mail met geldige SPF, DKIM en DMARC kan spam zijn. Als maar genoeg mensen de mail van postnl als spam kwalificeren, dan is het spam. Bij wijze van spreken. 

En precies dat zou met zo’n whitelist voorkomen kunnen worden.

Afzender *.postnl.nl wordt dan in zo’n whitelist geplaatst en als de mail in die situatie voldoet aan SPF, DKIM en DMARC dan zou deze dus nooit als spam gekenmerkt mogen worden, ook niet als duizenden mensen die mails als spam bestempelen.

Dus:

✔ SPF

✔ DKIM

✔ DMARC

✔ WHITELIST

NO SPAM!

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Wijsgeer
Forum|alt.badge.img+25
  • Nick83
  • Wijsgeer
  • November 29, 2022

Je zou je eigelijk beter af kunnen vragen waarom 1000en mensen de mail van postnl als spam rapporten...

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Superuser
  • wjb
  • Auteur
  • November 29, 2022

Je zou je eigelijk beter af kunnen vragen waarom 1000en mensen de mail van postnl als spam rapporten...

Omdat het best zou kunnen zijn dat hun eigen mailserver of die van hun provider geen SPF, DKIM en DMARC controle doet en zij wel echte spam ontvangen van een gespoofd postnl.nl adres. 

Be positive, avoid negativity, enjoy life and stay healthy!
wjb
Superuser
  • wjb
  • Auteur
  • November 29, 2022

Zucht...

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Wijsgeer
Forum|alt.badge.img+25
  • Nick83
  • Wijsgeer
  • November 30, 2022

Of deze:

Geen geldige DKIM? Bij mail van KPN zelf? Of nou ja... Seaters, waar KPN mee samen werkt... 

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Superuser
  • wjb
  • Auteur
  • November 30, 2022

Kan jij de broncode van één van die mails hier eens posten?

Wel jouw eigen emailadres even wegpoetsen.

Be positive, avoid negativity, enjoy life and stay healthy!
Dennis ABD
KPN medewerker
Forum|alt.badge.img+8
  • Dennis ABD
  • KPN Abuse
  • December 1, 2022

Of deze:

Geen geldige DKIM? Bij mail van KPN zelf? Of nou ja... Seaters, waar KPN mee samen werkt... 

 

Dat kan, zeker als deze niet via ons verstuurd is. Overigens zie ik geen  recente berichten van deze partij waarbij DKIM verkeerd is gegaan.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaardenAccessibility statement