E-mail (op alias van eigen domein) komt niet aan

Een aantal aliassen van mijn domein leveren af in de mailbox.
Als ik vanaf b.v. een outlook account een mail naar de alias verstuur komt hij binnen.

Een verificatie e-mail van ICS cardservices komt echter niet binnen. Ik heb ICS gebeld en zij kunnen inderdaad zien dat vandaag diverse mails verstuurd zijn van mijn verificatie pogingen.
Andere mails van ICS op die alias kwamen drie dagen terug wel binnen. Er zit niets in de Spammap, spamscore op de box had ik al op max (15) gezet.

Vorige week kreeg ik ook al een bericht van mijnpensioencijfers.nl dat zij mij niet per mail konden bereiken (andere alias in dezelfde mailbox). Zij raadde aan het mailadres te controlen, maar die was oké en ik kreeg wel andere mails van hen daarop.

Het lijkt er wel op dat er iets in het mailsysteem gewijzigd is waardoor kritische systemen hun mail niet kunnen afleveren.

Hebben meer mensen een soortgelijke ervaring?

DMARC policy staat op reject.
Dat zorgt er voor dat mail met fouten in het niets verdwijnen.

Als ik een mail stuur naar een niet bestaand adres bij freedom.
Vanaf een adres bij freedom.
Dan komt de foutmelding in de spam map van de beheerder, in plaats van bij mij.
Spamscore 15

Je zou de domeinen van de instanties op de Whitelist kunnen zetten in mijn.freedom.

Een DMARC reject policy laat de mail alleen weigeren indien SPF niet matcht met de versturende mailserver EN er geen geldige DKIM sleutel meegestuurd wordt. Als minimaal 1 van de 2 wel in orde is (wat bij legitieme
mail vrijwel altijd het geval is) zal de mail gewoon doorkomen (mits deze verder niet als spam wordt aangemerkt). Meestal (beetje afhankelijk van hoe het mailproces is ingericht) heeft het verhogen van de drempel (spam score) of whitelists geen enkel nut als de mail geweigerd wordt door DMARC/SPF/DKIM-controles, DMARC/SPF/DKIM zit meestal veel eerder in het mail verwerkingsproces, dus nog voordat SpamAssassin aangeroepen wordt en die spam score en whitelists van belang wordt.

2 likes

Ik heb voor mijn domein een CATCHALL E-MAILACCOUNT ingesteld, dus mail aan niet bestaande aliassen zouden op die box moeten binnenkomen.

Heeft een whitelist dan ook invloed op de DMARC policy?
Dat is toch voor als iets onterecht in de spam komt?
(Update: @WoSp geeft het eigenlijk al aan.)

Wel zot als je van reguliere NL partijen er niet eens zeker van kan zijn dat je daar mail van kan ontvangen. Dan gaat er toch iets niet goed.

Meestal niet, maar dat kan eventueel aangepast zijn door de beheerder van de mailserver. De whitelist zorgt er eigenlijk voor dat de anti spam software (bijv. SpamAssassin) mails vanaf die afzender negeert, hoeveel punten deze ook scoort in de spam check.

Checks op DMARC/SPF/DKIM zijn veel minder belastend voor de server dan verwerking door de anti spam software. Bovendien wordt heel veel spam en phishing al tegen gehouden door DMARC/SPF/DKIM checks en die mails hoeven dan dus niet meer door de (veel meer resources kostende) anti spam software. De mails die op het eerste oog geen spam zijn (want verzonden door een legitieme mailserver), worden vervolgens nog door een SpamAssassin heen gehaald waar echt naar de inhoud wordt gekeken of iets als spam aangemerkt wordt. Voor dat deel is je spam score en whitelists van toepassing. Een lagere spam score is een strenger filter. Een mail krijgt een X aantal punten voor bepaalde kenmerken. Komen de totale punten aan een e-mail toegewezen boven je ingestelde spam score, wordt de mail aangemerkt als spam. Een hoge spam score zorgt er daardoor voor dat mail niet snel als spam wordt aangemerkt. De standaard waarde is 5 en vrij veilig zodat legitieme mail niet snel als spam aangemerkt wordt.

Er vanuitgaande dat er geen storingen zijn bij Freedom/Soverin is het niet binnenkomen van mail vooral de schuld van de verzender. Helaas hebben heel veel partijen hun configuratie niet op orde waardoor hun mails al snel als spam worden gezien.

Nou heb ik begrepen dat mail wel ergens kan blijven hangen en het langer kan duren, terwijl we dat eigenlijk niet meer gewend zijn. Ik denk dat mijn toets om te mailen vanaf een MS server wel een goede controle of er mail van buiten geaccepteerd wordt. Je zou dan verwachten dat mail van anderen ook net zo snel moeten aankomen. Tenzij er iets afwijkends tussen zit vermoed ik.

Ik ben dan wel op zoek aan welke kant het dan niet goed gaat. Je krijgt namelijk bij die grote partijen niet echt voor elkaar dat zij naar hun systemen gaan kijken zonder enige onderbouwing. Die vinden een eigen domeinnaam al vreemd.

Ik kreeg zojuist de mailtjes van vanmiddag alsnog binnen. Ze zijn bijna 5 uur onderweg geweest. Helaas was de verificatiecode maar 10 minuten geldig…
Een nieuwe verificatiesessie gestart en kreeg nu wel vrij vlot de mail binnen.

Kennelijk heeft iemand de plug uit de pijpleiding getrokken. :slight_smile:

Mocht het door Freedom gedaan zijn, bij deze veel dank daarvoor!

2 likes

Nop, DMARC heeft een policy voor SPF en DKIM (reject, quaranteen or none) en daarnaast een mode voor SPF en DKIM die strict or relaxed kan zijn. Als de policy reject is en de mode strict voor beide (default), dan komt de mail bij een mismatch op SPF al niet door, dkim doet daar niets aan.

En is een harde and, beide moeten kloppen wil de mail doorkomen.

Soms heb je dingen, waaraan Freedom ook niets doen kan.

1 like

Sorry, maar nope. Klopt niet wat je schrijft. De policy van DMARC is voor het gehele DMARC record (p=), voor SPF en DKIM geef je alleen een strict of relaxed “identifier alignment” op in het DMARC record. DMARC is een extra uitbreiding bovenop SPF en DKIM, geen “tool” om te bepalen hoe strikt/relaxed SPF en DKIM checks en de uitkomst daarvan behandeld moet worden.

De DMARC identifier alignment gaat er, bij SPF en er vanuit gaande dat je SPF-check zelf succesvol was, om dat je envelope-from adres (het deel achter het @'je) exact moet matchen met het header-from adres (strict) of dat alleen een match op de domeinnaam zelf (“organization domain”) ook een pass oplevert (relaxed). Stel dat je envelope-from adres piet.janssen@bedrijf.nl is en je header-from adres is piet@afdeling.bedrijf.nl. Bij een “aspf=s” (strict) in je DMARC-record zal DMARC-SPF in dit voorbeeld niet “in alignment” zijn en dus daarop een fail geven. Bij een “aspf=r” (relaxed) zal DMARC-SPF in dit voorbeeld wel “in alignment” zijn (en een pass geven), want ze delen hetzelfde “organization domain” (bedrijf.nl). Bij DMARC-DKIM (“adkim=s” of “adkim=r”) is eigenlijk hetzelfde van toepassing. Indien de DKIM-check zelf succesvol was en het header-from adres (het deel achter het @'je) exact matcht met de domeinnaam die meegestuurd wordt met de DKIM key (d=), voldoe je daaraan met een strict, een relaxed staat ook een subdomeinnaam toe onder dezelfde domeinnaam (organization domain). Doe je dus niks met mail vanaf subdomeinen, dan kan je sowieso de strict “identifier alignment” voor zowel SPF als DKIM in je DMARC record gebruiken.

Met de “identifier alignment” (strict/relaxed) stel je dus niet in hoe strikt er bijvoorbeeld naar het SPF record gekeken moet worden en welke actie daarop dan moet worden genomen. Dat kan je overigens wel in het SPF-record zelf aangeven d.m.v. een hard fail (-) of soft fail (~). Een DKIM key die niet overeenkomt (of ontbreekt), komt simpelweg niet overeen (of ontbreekt) en daarmee kan dan de legitimiteit van de mail gewoon niet geverifieerd worden d.m.v. DKIM.

Voor DMARC is, zoals ik al eerder schreef, alleen een pass op SPF óf DKIM voldoende (zie bijv: All you need to know about SPF, DKIM and DMARC | OnDMARC Help Center):

M.a.w. als één van de twee (SPF of DKIM) een fail geeft, is er dus niks aan de hand voor wat betreft DMARC (die geeft dan gewoon alsnog een pass). Dit gaat er uiteraard wel vanuit dat je zowel SPF als DKIM gebruikt. Gebruik je alleen SPF, dan is alleen een mismatch op SPF al een fail voor DMARC, want DKIM levert dan altijd een fail op, aangezien deze niet gebruikt wordt/geconfigureerd is.

1 like

Zou hier niet de verklaring van mogen zijn. Als verkeer niet via AMS-IX afgehandeld kan worden, zoekt het (via BGP) een nieuw route over een andere exchange of transits. Dat gaat geen uren vertraging opleveren van een mail (dat is seconden werk). Tenzij er geen andere verbindingsmogelijkheden zijn tussen de betrokken partijen, maar dat is in de praktijk nooit zo.