Sinds gisteren krijg ik ook steeds mail van de postmaster dat een mail om een bepaalde reden niet bezorgd kan worden en op hetzelfde moment komt de mail wel gewoon binnen???!!!
Kan KPN bij Abuse even navragen wat er aan de hand is?
Admin: afgesplitst, eigen topic voor je bericht aangemaakt
Beste antwoord door Dennis ABD
Dit klinkt als een gevalletje forward. Specifiek:
Mail komt binnen waarop wij een SPF en DKIM check doen. SPF is goed, DKIM echter niet maar, volgens de DMARC standaard, hoeft maar een van de checks goed te zijn voor e mail om DMARC alligned te zijn. Gevolg is dus dat de mail gewoon binnenkomt.
Vervolgens gaan wij de mail proberen door te sturen, waarop wederom een DMARC check plaatsvind (wij doen een DMARC check op alle uitgaande mail). DKIM is nog steeds fout, dat was al vast gesteld, nu zijn wij echter opeens de verzender waardoor SPF ook faalt. Gevolg is dat de mail niet meer DMARC alligned is en wij weigeren deze door te sturen.
Door een recente (maand of 6) wijziging is het wel zo dat het email adres wat de mail doorstuurt de foutmelding krijgt, in plaats van de originele verzender. Dit zodat het duidelijk is dat mail niet doorgestuurd kan worden in plaats van “verdwijnt”.
De oplossing is de originele verzender hun DMARC, en specifiek DKIM, implementatie te laten nakijken daar deze niet goed is of lijkt te zijn. Er zijn ook situaties denkbaar waarop het een bewuste keus is om automatisch forwarden van berichten moeilijker te maken, dat is echter niet iets wat wij kunnen zien uiteraard.
Sinds gisteren krijg ik ook steeds mail van de postmaster dat een mail om een bepaalde reden niet bezorgd kan worden en op hetzelfde moment komt de mail wel gewoon binnen???!!!
Kan KPN bij Abuse even navragen wat er aan de hand is?
Waar treed het issue bij jou op, met meerdere e-mail adressen of naar één specifieke. Je had het over Co-op?? Wat ik wel eens zie is dat bij organisaties e-mail adressen wel eens met forwarders worden gebruikt, d.w.z.:
info @ bedrijfsnaam {punt} nl
Waar dit e-mail adres dan naar allerlei andere E-Mail adressen wordt doorgestuurd. Als een medewerk(st)er dan vertrekt wordt de lijst soms niet meteen bijgewerkt maar wel het e-mail adres gedeactiveerd. Gevolg? De e-mail aan info @ bedrijfsnaam {punt } nl wordt naar iedereen verzonden incluis het niet langer bestaande e-mail adres wat dus een foutmelding geeft.
Als het dus gaat om een bedrijfsemail adres, dan moet de maintainer het e-mail adres van de vertrokken persoon verwijderen.
Wat voor soort melding krijg je precies?
In principe zou er iets moeten staan in de trant van "“recipient '*********' not known”” of een ander soort foutmelding.
Hallo
De mail van vandaag kwam binnen op een alias ….@kpnmail.nl
Die laatste mail kwam van de SNS-bank met een aankondiging van een automatische incasso, werkt al jaren goed zo, nu ineens een melding over DMARK o.i.d.
Een ontvangende mailserver kan de DMARC-policy gebruiken om te bepalen hoe om te gaan met een e-mail met jouw domein als verzender waarvan de authenticatie met zowel DKIM als SPF faalt, en de ontvangende mailserver kan je e-mailadres uit het DMARC-record gebruiken om je feedbackrapporten over het authenticatieresultaat te sturen. Het hebben van meer dan één DMARC-record op hetzelfde domein is niet geldig en zorgt ervoor dat het domein voor de test faalt. Let op: DMARC vereist dat het SPF-domein (envelope sender, d.w.z. return-path dat terugkomt in
MAIL FROM) en het DKIM-domein (d=) gelijk zijn aan het verzenddomein in het mailbericht (From:).
Bron: Internet.NL
Ik weet wel - sinds 2 weken - dat ze bij de SNS druk bezig zijn met allerlei zaken zoals o.a. met een nieuwe app, verbeteringen in e-mail en website etc.
Bij DMARC meldingen (bij e-mails verzonden door andere partijen) kan KPN Abuse als het goed is niet heel veel omdat KPN geen invloed heeft op de mailserver-configuraties van die partijen. Misschien heeft
Hallo
Hmmm, als het dan willekeurig gebeurt dan lijkt het erop dat er misschien bij de mailserver van KPN het één en ander dan misschien niet snel genoeg geresolved wordt o.i.d.
Ik krijg het sowieso niet gereproduceerd, hopen dus dat Raymondt hier misschien iets van terug kan vinden in de logs.
Vandaag weer 2 DMARK-meldingen en tegelijkertijd komen de mails alsnog binnen.
Een niet juiste DMARC verificatie betekent niet per definitie dat e-mails niet worden afgeleverd, het zelfde geldt voor SPF. Op deze website een mooi voorbeeld m.b.t. kpnmail.nl:
v → DMARC versie
p → Bepaald wat er gebeurt als de DMARC niet juist is, in dit geval none (het wordt gewoon afgeleverd), q ben ik eigenlijk nooit echt tegengekomen en reject betekent dat de e-mail niet zal worden afgeleverd.
….
rua → Informeer afhankelijk van p (dacht ik) contactpersoon genoemd achter mailto:
Dat zelfde geldt trouwens ook voor spf-records, wanneer het IP-Adres, of MX-Record niet overeenkomt kan er strikt -all of non-strikt ?all worden gehanteerd. Bij -all wordt e-mail vaak als spam gemarkeerd of geweigerd (afhankelijk van hoe de ontvangende mailserver is geconfigureerd) bij ?all wordt alle mail doorgelaten (en eveneens afhankelijk van hoe de ontvangende mailserver is geconfigureerd) worden gemarkeerd als spam.
Bij Ziggo kan het trouwens ook nog wel eens zijn dat iemand gebruik maakt van gmail of een andere gratis cliënt en hier de mails vandaan versturen. Dan komen DMARC en SPF ook niet overeen (die vermeld staan bij ziggo.nl, ziggomail.nl of hoe ze het er ook noemen).
Als ik nu {mijnmail} @ kpnmail.nl gebruik als e-mail adres en de e-mail verstuur via mijn server, dan krijgen mensen die mijn e-mail ontvangen dezelfde melding.
Hallo
Ik heb liever dat KPN het gewoon oplost.
Ik ben niet geïnteresseerd in de techniek achter hoe mail werkt, maar dat het werkt.
+7Dit klinkt als een gevalletje forward. Specifiek:
Mail komt binnen waarop wij een SPF en DKIM check doen. SPF is goed, DKIM echter niet maar, volgens de DMARC standaard, hoeft maar een van de checks goed te zijn voor e mail om DMARC alligned te zijn. Gevolg is dus dat de mail gewoon binnenkomt.
Vervolgens gaan wij de mail proberen door te sturen, waarop wederom een DMARC check plaatsvind (wij doen een DMARC check op alle uitgaande mail). DKIM is nog steeds fout, dat was al vast gesteld, nu zijn wij echter opeens de verzender waardoor SPF ook faalt. Gevolg is dat de mail niet meer DMARC alligned is en wij weigeren deze door te sturen.
Door een recente (maand of 6) wijziging is het wel zo dat het email adres wat de mail doorstuurt de foutmelding krijgt, in plaats van de originele verzender. Dit zodat het duidelijk is dat mail niet doorgestuurd kan worden in plaats van “verdwijnt”.
De oplossing is de originele verzender hun DMARC, en specifiek DKIM, implementatie te laten nakijken daar deze niet goed is of lijkt te zijn. Er zijn ook situaties denkbaar waarop het een bewuste keus is om automatisch forwarden van berichten moeilijker te maken, dat is echter niet iets wat wij kunnen zien uiteraard.
+7Indien je de mail wil kunnen doorsturen middels een forward, inderdaad.
Indien je de mail wil kunnen doorsturen middels een forward, inderdaad.
Hallo
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
