Context/Usecase: ik heb al jaren enkele (familienaam) domeinen, en stuurde dan mail door voor broers, kinderen neven en nichten.
Iedereen had dan een mailadres kees@familienaam.org o.i.d. en kon die dan blijven gebruiken ook als ze van provider wisselden.
Mijn eigen mail binnen dat domein wordt trouwens gewoon gehost door freedom/soverin/
Vooral het doorsturen van mail naar bestaande mailboxen geeft nog al eens problemen. Ik heb bv voor een schoonvader al een van mijn eigen freedommailboxen opgeofferd, maar kan/wil dat niet doen voor iedereen.
Concrete vragen: gegeven kees@familienaam.org die een mailbox heeft bij telfort of kpn, of zelfs gmail is het een idee om een help pagina te hebben waarin staat:
welke spf records moet ik aanmaken (of waar moet ik zeker vanaf blijven)
welke dmarc records moet ik aanmaken (of waar moet ik zeker vanaf blijven)
moeten ze verzenden via freedom of juist via hun eigen provider
Recent had iemand verzendproblemen: wanneer die de eigen provider (KPN/Telfort) als smtp instelde kregen we een melding “bericht kan niet worden afgeleverd omdat het een DMARC policy heeft geschonden”.
Maar als ik smtp.freedom.nl instelde (met een andere freedom login, want de persoon heeft alleen een doorstuur familienaam doorstuuradres) kreeg die: Sender addres rejected: kees@familienaam.org: Sender address rejected: not owned by iemandanders@familienaam.org
Ik heb toen wat zitten experimenteren, en kwam tot een ‘werkende’ oplossing waarvan ik me nu afvraag hoe ‘onveilig’ dit is.
Mijn oplossing: mensen sturen hun eigen providers smtp in, en bij familienaam.org heb ik de het vinkje ‘Soverin mail’ UIT gezet, zodat ik een _dmarc record kon maken met:
v=DMARC1;p=none;
Dat ‘werkt’ maar is dit ook OK? Of had ik iets aan de spf records moeten klussen?
OF is doorsturen op deze manier gewoon niet meer te doen tegenwoordig?
Voordat ik met antwoorden begin, eerst even een check om te zien of ik goed begrijp wat je wil doen:
Volgens mij heb je een familienaam.org domein, binnen dit domein wil je al je familieleden een e-mail adres geven. Een email gestuurd naar het familienaam.org-adres wordt dan doorgestuurd naar het daadwerkelijke email adres van dat familielid, en dat kan bij verschillende providers zijn.
Onderstaande schrijf ik met de aanname dat wat ik hierboven geschreven heb klopt.
Als dat daadwerkelijk je bedoeling is ben ik bang dat de tegenwoordig striktere policies op email tegen je werken, daar kan je met je eigen SPF en DMARC niets tegen doen.
Om het probleem te verduidelijken omschrijf ik een bericht wat gestuurd wordt naar een familienaam.org-adres:
Stel dat jan@example.com stuurt een email naar kees@familienaam.org. De mailserver van example.com zal hier een DKIM signature in zetten en het versturen naar de famlienaam.org mailserver. Die checkt het SPF record, en dat klopt: De mailserver voor example.com is toegestaan om emails in het domein example.com te sturen.
De familienaam.org mailserver kent het adres van kees, en gaat het bericht doorsturen naar kees@freedom.nl. De freedom.nl mailserver ontvangt dit en ziet nu een email met als afzender jan@example.com, afkomstig van de familienaam.org mailserver, hij checkt het SPF record van example.com en ziet dat dit niet mag. Afhankelijk van de instellingen van de freedom.nl mailserver en het DMARC record zal je email daar geweigerd worden.
Daar komt ook de foutmelding van KPN/Telfort vandaan: Het DMARC record verteld wat de ontvangende mailserver moet doen met een falende SPF of DKIM check.
Merk op dat in dit verhaal het SPF record van jouw familienaam.org domein geen rol heeft, daardoor kan jij hier niets aan doen.
Je zou dit op kunnen lossen door ook het verzendende adres aan te passen als de familienaam.org mailserver het bericht doorstuurt, in dit voorbeeld zou de doorgestuurde email dan kees@freedom.nl in het To veld hebben staan en kees@familienaam.org in het From veld. Waarschijnlijk is dat praktisch ongewenst omdat alle emails er dan uit zien alsof ze van dezelfde verzender af komen. Een andere oplossing zou zijn om het originele bericht dan als attachment door te sturen, maar daar wordt het ook niet echt veel mooier/gebruiksvriendelijker van.
Maar in je uitleg met example.com maak je het iets complexer, omdat ‘familienaam.org’ bij freedom staat, en de ‘mailserver’/mx record naar de normale(?) freedom/soverin servers wijzen. De " De familienaam.org" mailserver is dus de freedom server die in dit geval de mail doorzet naar de echte provider van de kees.
En de KPN/Telfort error kon ik dus (zelf) ‘fixen’ m.b.v. het “v=DMARC1;p=none;” _dmarc record.
Ik vertaal dat een beetje naar: “als er een mail aankomt aan ‘kees@kpn.com’ maar in het To veld staat kees@familienaam.org, check dan even bij familienaam.org of het wel OK is dat er mail wordt verstuurd namens familienaam.org”. En familienaam.org (via freedom DNS) zegt dan: p=none == is goed joh…
Maar misschien bgrijp ik het niet helemaal goed
Vandaar mijn vraag: maak ik het niet heel onveilig hiermee, of is alleen de kans wat groter dat familienaam.org misschien wordt ‘gebruikt’ om willekeurige mails door te sturen. Wat in mijn geval minder hinderlijk (voor ons/mij) is omdat ik geen belastingdienst/bank/kvk ben.
In de laatste C’t (computerblad) staat het verhaal dat door al dit email gedoe, de mail steeds meer centralistischer wordt, als in “gedicteerd door de Google’s en Microsoften…”. Mijn hoop is een beetje dat, dat wat ik probeer, eigenlijk nog gewoon mogelijk is, zodat mensen WEL de mailboxen van hun providers kunnen blijven gebruiken (daar betalen ze voor, EN het DEcentraliseert email) maar dat ze wel zelf het domein/identiteit kunnen kiezen volgens welke ze mailen.
En dat de Google’s en Microsoften daartegenin proberen te gaan is in hun belang. Maar het zou providers sieren als ze proberen daartegenin te gaan en/of faciliteren.
En ik zie de complexiteit en belangen wel, maar heb het gevoel (en hoop) dat de gratis providers uiteindelijk zichzelf toch in de vingers snijden.
In principe maakt dat voor het verhaal niet uit: De freedom mailserver is (volgens het SPF record van example.com) niet gemachtigd om email voor example.com te versturen. Dat hij de email aan zichzelf moet doorsturen is daarbij niet van belang.
Dat vind ik eerlijk gezegd raar. In mijn eerdere voorbeeld wordt het DMARC record voor example.com gebruikt, niet voor familienaam.org. Het zou naar mijn mening dus geen verschil mogen maken.
Met de aanname dat je deze policy onder het familienaam.org hebt ingesteld zegt je “Als je mail ontvangt van familienaam.org, al klopt er geen hout van, lever maar af bij de ontvanger.”, als je DKIM en SPF actief hebt/had maak je dat hiermee bijna ongedaan (er vanuit gaande dat de ontvangende mailserver jouw DMARC policy respecteert).
Voor jouw eigen domein heb je hiermee wel de beveiliging verlaagd inderdaad. Je hebt ook kans dat steeds meer mailservers zijn die toch moeilijk gaan doen over mails die als From: iets in familienaam.org hebben.
Helaas wordt email inderdaad steeds meer een big-tech feestje (daar vind je ook nog wel topic over op dit forum), maar daar komen deze dingen niet vandaan. Het voornaamste doel van het SPF/DKIM/DMARC trio is om spam tegen te gaan en email (wat ontworpen is toen beveiliging nog geen issue was) wat veiliger te maken, maar als ik tegenwoordig spam zie die dat allemaal goed voor elkaar heeft vraag ik me af hoe effectief het daarin is .
Er bestaat ook de mogelijkheid om Sender Rewriting Scheme (en) te gebruiken om het probleem van SPF op te heffen. Zoals bijvoorbeeld door postsrsd voor postfix te gebruiken. Maar ik verwacht niet dat freedom dit op hun servers actief heeft.
Dit heeft wel het nadeel dat de reputatie van de doorsturende e-mail server snel lager kan worden als er spam doorheen komt, omdat de doorsturende e-mail server dan als afzender van de spam gezien wordt.
