Ik maak gebruik van een aantal doorstuuradressen voor mijn persoonlijke domein dat door Freedom wordt beheerd.
Meestal werkt het doorsturen gewoon goed maar in bepaalde gevallen niet. Ik het het idee dat het vaak fout gaat als een automatisch systeem een mail naar zo’n adres verstuurt. Bijvoorbeeld als er een eenmalige inlogcode naartoe wordt gestuurd. Dan komt de mail niet aan. Hetzelfde probleem heb ik met mijn email-groepen. Met het ‘echte’ email account dat ik heb ingesteld op mijn persoonlijke domein heb ik het probleem niet…
Kan het zijn dat als je naar die doorstuuradressen een mail stuurt in de BCC het niet werkt en als het gewoon in het aan veld of CC veld staat het wel werkt? Dat leek ik onlangs ook te hebben, maar heb er verder nog niet naar gekeken / verder mee getest….
Kan het eventueel met de mailserver te maken hebben waar je de mail naar toe laat sturen? Op heise.de lees ik bijvoorbeeld een (Duitstalig) bericht dat google hun mail vanaf het ct.de domein geblokkeerd had, met de volgende melding:
Our system has detected that this message is likely suspicious due to the very low reputation of the sending domain. To best protect our users from spam, the message has been blocked.
De emails bereikten daardoor niet eens de spamfolder, maar werden dus simpelweg geweigerd. (Uiteindeling werkte het weer, maar de oorzaak was nooit achterhaald).
Nee, helaas. Er komt regelmatig wat in de spam terecht, maar het komt ook voor dat mails is het geheel niet aankomen. Het lastige is dat ik het niet kan reproduceren. Als ik zelf vanaf bijvoorbeeld mijn werk-emailadres een mail naar het doorstuuradres stuur, dan komt hij gewoon aan. Maar het probleem lijkt dus op te treden als een automatisch proces iets naar dat adres moet sturen. Bijvoorbeeld een eenmalige inlogcode.
Het wordt doorgestuurd naar een gmail account. Ik heb geen idee of hij daar wordt geblokkeerd en hoe ik daar achter kom. Zoals gezegd, ik kan het zelf niet produceren. Als ik zelf wat stuur naar het doorstuuradres komt de mail altijd aan.
Is dat dan iets dat aan de kant van Freedom correct geconfigureerd moet worden?
Met andere woorden: doet Freedom iets niet goed bij het doorsturen van emails?
Als ik dit test, zie ik het volgende in de header.
X-Spam-Report:
* 0.0 ANTAGONIST_FCHECK1 Not antagonist.nl sender
* 0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was
* blocked. See
* http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
* for more information.
* [URIs: freedom.nl]
* -0.0 SPF_HELO_PASS SPF: HELO matches SPF record
* -0.0 SPF_PASS SPF: sender matches SPF record
* -0.7 RCVD_IN_DNSWL_LOW RBL: Sender listed at https://www.dnswl.org/,
* low trust
* [185.233.34.18 listed in list.dnswl.org]
* -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from
* author's domain
* 0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
* valid
* -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
* -0.1 DKIM_VALID_EF Message has a valid DKIM or DK signature from
* envelope-from domain
Ik heb ook nog even bij SPF Query Tool gekeken.
Ik zie op het freedom.nl domein deze mededeling.
The explanation returned was, SPF fail - not authorized
Of het nu echt goed of fout is, weet ik niet exact.
Het is niet persé Freedom dat iets niet goed doet.
Als ik het goed begrijp zijn er in de basis twee manieren om mail door te sturen. Beide hebben voor- en nadelen. Als een mail doorgestuurd moet worden die zowel SPF als DKIM “bevat”, zal op de ene manier SPF ongeldig worden, als het op de andere manier doorgestuurd wordt, zal DKIM ongeldig worden. Dus in beide gevallen zou google een reden hebben om het doorgestuurde mailtje te weigeren. DMARC kan nog een stapje verder gaan.
Met DMARC en DKIM heb ik nooit iets gedaan, maar ik kan aan de had van SPF een voorbeeld geven. De Belastingdienst legt uit dat ze er van alles aan doen om spoofing te voorkomen. Het spf record geeft aan dat de mail geweigerd moet worden (“-all”), als de mailserver niet “geregistreerd” is op belastingdienst.nl (“exists:_i.%{i}._h.%{h}._o.%{o}._spf.belastingdienst.nl”). De mailserver van freedom zal daar niet aan voldoen. Als de freedom mailserver dus een mail aanbied aan gmail met als afzender info@belastingdienst.nl (omdat die doorgestuurd moet worden), dan is gmail verplicht om de mail te weigeren. De enige manier om dat op te lossen, is de afzender aan te passen. Als de afzender niet info@belastingdienst.nl is, maar noreply@freedom.nl, dan is het SPF record van de belastingdienst niet van toepassing en zou gmail de mail kunnen accepteren. Maar dan ontvang jij dus mail van de belastingdienst met als afzender noreply@freedom.nl, wat niet helemaal lekker is. Ik neem aan dat de alarmbellen bij gmail ook gaan luiden, omdat er dus een mail binnenkomt die van de belastingdienst lijkt te zijn (de inhoud van de mail), maar met een andere afzender. Dus ook dan alle reden voor gmail om de mail te weigeren. Er zijn nog wel andere manieren om mail door te sturen (bijv. als attachment), maar die zijn ook bepaald niet elegant.
Het spf record van paypal.com is minder streng (softfail), dus je hebt een grotere kans dat mail van paypal.com wel doorgestuurd kan worden. Maar hier zou google weer strenger kunnen zijn om fraude met mail van paypal te voorkomen. En als er voor freedom een manier is om dit alles te omzeilen, hebben spammers dezelfde manier ter beschikking om dat te omzeilen.
De oplossing zou dus eigenlijk zijn om google te vragen om doorgestuurde mail van de freedom mailserver te whitelisten. Maar volgens mij is dat verzoek redelijk kansloos bij google…