Met enige regelmaat komt het voor dat mails van grote partijen, zoals bijvoorbeeld AD en PostNL, als spam bestempeld worden terwijl ze volledig voldoen aan SPF, DKIM en DMARC en ook geen rare inhoud bevatten.Zo werd vandaag de onderstaande mail in mijn spamfolder geplaatst.Mijn vraag is dan ook op basis waarvan dit gebeurt en of het mogelijk gaat worden om een whitelist op te stellen om mails die voldoen aan SPF, DKIM en DMARC en afkomstig zijn van een afzender uit die whitelist nooit als spam te bestempelen.Ik hoop dat @Raymondt of @Dennis ABD hier zijn licht eens over wil laten schijnen.

Mail als spam bestempeld ondanks geldige SPF, DKIM en DMARC

Spam filtering gaat altijd op basis van meldingen welke onze anti spam leverancier ontvangt, niet alleen van gebruikers bij KPN mar bij alle partijen waarbij ze actief zijn. Wel zijn wij aanvullende stappen aan het nemen op false positives als deze tegen te gaan.

Overigens is DMARC geen anti spam maar een anti spoofing oplossing. Nog voordat banken er mee begonnen was er al perfecte DMARC alligned spam.

Dank je voor jouw snelle antwoord.

Je zult je wel niet (te veel) uit mogen laten over de aanvullende stappen waarmee jullie bezig zijn om false positives tegen te gaan maar ik ben wel zeer benieuwd.

Ik denk dat jullie heel wat wrevel bij abonnees weg kunnen nemen als het aantal false positives sterk verminderd wordt. Het is best vervelend om telkens weer mails van een bepaalde afzender uit de spamfolder te moeten plukken.

Ik weet dat DMARC geen anti spam maar anti spoofing oplossing is maar als de SPF, DKIM en DMARC checks succesvol zijn dan mag je er toch vanuit kunnen gaan dat de mail verzonden is via de mailserver van de echte afzender en dat je best zou mogen zeggen dat als je die afzender vertrouwt (whitelist) je die mail nooit als spam zou moeten betitelen. En door de DKIM check weet je ook dat die mail onderweg niet veranderd is en dus hetzelfde bevat als dat door de verzender verzonden is.

Je zult je wel niet (te veel) uit mogen laten over de aanvullende stappen waarmee jullie bezig zijn op false positives tegen te gaan maar ik ben wel zeer benieuwd.

Begrijpelijk ja, maar je eerste conclusie is helaas wel correct :)

Ik weet dat DMARC geen anti spam maar anti spoofing oplossing is maar als de SPF, DKIM en DMARC checks succesvol zijn dan mag je er toch vanuit kunnen gaan dat de mail verzonden is via de mailserver van de echte afzender en dat je best zou mogen zeggen dat als je die afzender vertrouwt (whitelist) je die mail nooit als spam zou moeten betitelen. En door de DKIM check weet je ook dat die mail onderweg niet veranderd is en dus hetzelfde bevat als dat door de verzender verzonden is.

Klopt helemaal. Het punt is (en we merken dat mensen dat soms over het hoofd lijken te zien, wat begrijpelijk is als je niet zo thuis bent in de materie) is dat als je ziet dat mails gecheckt zijn op DMARC, SPF, DKIM etc, dat het dan niet perse mail is die afkomstig is van een legitieme afzender. Voorbeeldje: stel ik ben een spammer en ik wil ING klanten gaan phishen, en ik registreer daarvoor een domein als ing-bank-nederland.com (wat dus overduidelijk niet het domein van de ING is), dan kan ik op dat domein gerust bovengenoemde beveiligingen instellen, en als ik je dan een mailtje stuur, dan zul je ook zien dat die 3 dingen dik in orde zijn, terwijl het nog steeds phishing betreft. Bovengenoemde beveiligingsmethodes zijn dus goed om op te letten, maar je moet je er niet blind op staren.

Ik weet dat DMARC geen anti spam maar anti spoofing oplossing is maar als de SPF, DKIM en DMARC checks succesvol zijn dan mag je er toch vanuit kunnen gaan dat de mail verzonden is via de mailserver van de echte afzender en dat je best zou mogen zeggen dat als je die afzender vertrouwt (whitelist) je die mail nooit als spam zou moeten betitelen. En door de DKIM check weet je ook dat die mail onderweg niet veranderd is en dus hetzelfde bevat als dat door de verzender verzonden is.

Klopt helemaal. Het punt is (en we merken dat mensen dat soms over het hoofd lijken te zien, wat begrijpelijk is als je niet zo thuis bent in de materie) is dat als je ziet dat mails gecheckt zijn op DMARC, SPF, DKIM etc, dat het dan niet perse mail is die afkomstig is van een legitieme afzender. Voorbeeldje: stel ik ben een spammer en ik wil ING klanten gaan phishen, en ik registreer daarvoor een domein als ing-bank-nederland.com (wat dus overduidelijk niet het domein van de ING is), dan kan ik op dat domein gerust bovengenoemde beveiligingen instellen, en als ik je dan een mailtje stuur, dan zul je ook zien dat die 3 dingen dik in orde zijn, terwijl het nog steeds phishing betreft. Bovengenoemde beveiligingsmethodes zijn dus goed om op te letten, maar je moet je er niet blind op staren.

Vandaar dat ik het dus ook heb over een whitelist. @ing-bank-nederland.com staat niet in die whitelist en daarmee kan die dus nog wel als spam gezien worden, @ing.nl staat echter wel in en kan altijd doorgelaten worden indien de SPF, DKIM en DMARC voldoen.

Dat SPF, DKIM en DMARC kloppen is nog geen garantie dat de mail geen spam is. Ook mail met geldige SPF, DKIM en DMARC kan spam zijn. Als maar genoeg mensen de mail van postnl als spam kwalificeren, dan is het spam. Bij wijze van spreken.

En precies dat zou met zo’n whitelist voorkomen kunnen worden.

Afzender *.postnl.nl wordt dan in zo’n whitelist geplaatst en als de mail in die situatie voldoet aan SPF, DKIM en DMARC dan zou deze dus nooit als spam gekenmerkt mogen worden, ook niet als duizenden mensen die mails als spam bestempelen.

Dus:

SPF

DKIM

DMARC

WHITELIST

NO SPAM!

Je zou je eigelijk beter af kunnen vragen waarom 1000en mensen de mail van postnl als spam rapporten...

Omdat het best zou kunnen zijn dat hun eigen mailserver of die van hun provider geen SPF, DKIM en DMARC controle doet en zij wel echte spam ontvangen van een gespoofd postnl.nl adres.