Kan geen mail afleveren via AmazonSES (5.7.1)?

tldr; hoe 5.7.1. Spam mail op en van eigen mailadres rejected op te lossen ?

Het lijkt op wat eerder is aangekaart Kan correcte mail niet doorsturen: wordt als spam gezien

De securoty policy van Freedom verbiedt kennelijk om eigen mail van buitenaf naar mijzelf te versturen, dat ik nu dus doe via Amazon Simple Exchange Service (amazonses via geverifieerde from & to adressen).
Verstuur ik een mail met legitiem freedom-adres, krijg ik een 5.7.1. als respons waarbij Freedom Amazon kennlijk verteld dat de mail niet mag/kan worden afgeleverd. Gebruik ik een andere afzenderdomein (bv adres1@nietfreedom.nl) komt de mail gewoon door.

Ik snap niet goed wat en waarom Freedom het boeit en verbiedt om toegestane mail af te leveren. Betrokken mailadressen zijn qua spam-instellingen gewoon toegestaan. Het lijkt erop dat Freedom mij verbied om namens mijzelf, een mail naar mijzelf te versturen.

Vraag is waarom zou ik mijzelf niet op mijn eigen mailadress als mijzelf naar mijzelf mail mogen versturen en hoe kan ik dat in/bij Freedom oplossen ?

Ik krijg dus van Amazon de volgende foutboodschap

An error occurred while trying to deliver the mail to the following recipients: [adres1@mijnfreedomein.nl](mailto:adres1@mijnfreedomein.nl)

Reporting-MTA: dns; a7-35.smtp-out.eu-west-1.amazonses.com Action: failed Final-Recipient: rfc822; [adres1@mijnfreedomein.nl](mailto:adres1@mijnfreedomein.nl) Diagnostic-Code: smtp; 554 5.7.1 Spam message rejected Status: 5.7.1

Amazon zegt tegen mij, terecht dat zij niet gaan over de security policy van Freedom en als Freedom mail afwijst (met die 5.7.1.) ik mij bij Freedom moet vervoegen.

NB: Ik zelf begin inmiddels wat genoeg te krijgen van al die opgelegde veiligheden die het mij(n werk) onmogelijk begint te maken om status & monitoring mail via Freedom account te kunnen verwerken. De reden dat ik AmazonSES gebruik is omdat Freedom sinds februari alleen nog TLS1.3 certifcaten accepteert die mijn embedded industriezooi niet kan en ooit zal gaan ondersteunen.
Ik kan inmiddels zonder & buiten Freedom mijn ding blijven doen maar zou graag mijn externe statusmail binnen Freedom gaan doen & houden. Ander kan ik net zo goed die mailaccounts daarvoor, opzeggen.

Freedom heeft een spf1 policy, niet specifiek maar een redirect naar soverin.net. Die heeft een leuke lijst IP adressen die email mag versturen volgens het domein en ik weet zeker dat die daar amazonses niet tussen heeft staan.

Je loopt hier tegen een anti spam regel aan, je mag geen email versturen namens een domein als dat domein expliciet gespecificeerd heeft dat mail vanaf het domein alleen vanaf specifieke adressen verstuurd mag worden en het gebruikte adres niet gespecificeerd is.

Vrij vertaald, je mag je niet voordoen als freedom.nl email gebruiker als je mail niet vanaf een van die adressen komt. Aangezien soverin de spf1 gespecificeerd heeft is het ook meer dan logisch dat ze die ook afdwingen nindien een domein dit specificeerd. Dat doe ik prive en zakelijk namelijk ook. Als het goed is kan je ook geen email aan jezelf afleveren via amazonses als je een adres in koffie.nu verzint. (Ik ben eigenlijk wel benieuwd of ik daar een rapportering van krijg, goede test om te zien of de DMARC policy echt werkt)

De enige oplossingen voor het ‘geen TLS 1.3 willen’ issue dat ik weet te verzinnen zijn:

  • andere provider die wel nog aan TLS 1.2 ondersteuning doet (google b.v.)
  • zelf een domein registreren en mail omgeving opzetten

De laatste stap levert echter wel andere uitdagingen op, o.a. google is een zeikerd wat email betreft en markeerd al snel email als spam zodra je geen (stricte) SPF1 + DMARC en DKIM hebt ingestelt voor je domein.

Je freedom adres buiten het freedom netwerk om gebruiken is effectief onmogelijk gemaakt, zoals je hebt gemerkt. Daar ben ik eigenlijk wel blij om, lopen ze niet de kans om als spam domein aangemerkt te worden, al zijn de hergebruikte ip reeksen nog wel een uitdaging, maar dat trekt nu aardig bij.

2 likes

Het is toch mooi dat mail, na al die jaren toch een beetje veiliger wordt.
We hebben vroeger wel veel gelachen, omdat ieder adres te faken was.

Duidelijk dat het ongewenst is dat iemand zich een andere indentiteit aanmeet om mail te versturen waarbij ik dan inbreng dat het mijn eigen - geverifieerde - identiteiten zijn. Amazon legt mij - na verificatie - hier niets meer in de weg en het is juist Freedom die (braaf jongentje) welbewust zaken blokkeert. De reden, anders dan om dat zij dat kan (opleggen), ontgaat mij volledig.

Het blijft en is ridicuul dat je als gebruiker niet mag & kan beschikken over de gebruiksregels van eigen mailadres(sen) en domeinen. Dat dit zg. veiliger zou zijn, is dan weer een kortgesloten perceptie van (de eigen & welgevallige) overtuiging.
Ik begrijp ook niet waarom vrijheidsminnende gebruikers zich met hand en tand verzetten tegen de keuze die een ander wil kunnen maken.
De veiligheidssituatie van tegenstanders voor de andere keuze, wijzigt namelijk niet noch worden zijzelf daarin beperkt. Wanneer ik mijzelf of door anderen wil - laten - spammen, moet ik dat toch zelf weten ?

Ook hier(in) pleit ik juist dat dit - eigen veiligheid - altijd een keuze moet zijn. Het is niet aan de proivider noch aan haar andere gebruikers om te bepalen wat goed voor het betrokken individu is.
Dat situaties iemand niet belemmerd of zelf goed uitkomt, mag niet maken dat andersdenkenden in hun privédomein ook daartoe worden gedwongen.

Het argument dat “als je het niet bevalt moet je maar naar elders” is een welbekende drogreden van machtsdenkers om de discussie met minderheden niet te hoeven voeren. Waar het mis gaat is dat Freedom kennelijk bepaalt wat iemands vrijheid zou (moeten) zijn.
Dat ik weg en naar elders kan - gaan - is juist iets dat ik wil voorkomen omdat ik Freedom een meer dan warm hart toedraag.

Hamvraag is nu hoe krijg ik de zelfbeschikking (van een technische keuze) tussen de oren van Freedom’s vrijheid ?

Tja, het is juist freedom die niet kan garranderen dat het gebruikte from adres klopt, want het komt vanaf de verkeerde kant van hun servers (van buiten)

Als het gaat om mail te kunnen versturen van je oudere hardware naar freedom, dan is het het handigste om een gmail adres aan te maken voor die spullen, die bij amazonses te verifieren en dat gmail adres als from te gebruiken.

Als je gebruik wil maken van de spullen van een leverancier dan moet je je schikken naar de regels van die leverancier. Als je dat niet wil, dan heb je de verkeerde leverancier. Internet gebruik is geen recht, net zo min als (mobiele) telefonie, autorijden,… allemaal luxe.

Freedom is niet de enige provider, je hebt alternatieven, dat is je recht om te kiezen, tussen providers. Gebruik je recht tot zelfbeschikking, zet je eigen mailserver op. Kan zelfs intern zodat je antieke spullen daarheen kunnen emailen en daarna door kunnen koppen naar de freedom server. (je komt dan vanaf een interne server) Als je dat niet wil is er helaas 1 andere optie, een provider zoeken die wel bij ej eisen past. (voor zolang het duurt, iedereen gaat geforceerd over naar tls 1.3 met de huidige aanvallen op de infrastructuur)

Het is wel degelijk Freedom, die bepaalt wat ze willen verkopen.
Als jij de enigste bent met dit soort wensen, maak je weinig kans.

Zelfs vrijheid, is voor iedereen anders.

Zoals Kris Kristofferson zei: “Freedom’s just another word for nothing left to lose”

Dat Freedom niet kan bepalen of een mail oneigenlijk wordt verstuurd, kan ik indenken en waar zij zich (netneutraliteit) dan ook niet mee moet bemoeien als iemand dat zelf wel helemaal prima vindt.

Ik stel juist dat iemand zelf moet kunnen bepalen of die een zg. oneigenlijk mail wil ontvangen; en niet dat Freedom dat “gemakshalve” op eigen houtje, voor die persoon gaat beslissen.

Technisch niet zo heel moeilijk en zelfs een USP om dan die “5.7.1.” afweging even langs de ingestelde spamlijst van een mailbox te leggen. Datzelfde geldt wmb ook voor opleggen van ssl/tls transport aan eigen gebruikers voor mail op/in/naar hun eigen mailbox.

En dat ik Google/gmail kan doen of mij dus naar elders kan vervoegen, is een valse insteek om de (andersdenkende) “internetvrijheid” discussie niet te (hoeven) voeren.
Ik wil juist graag bij Freedom blijven die dat dus - ik hoop, onbedoeld - zo onmogelijk lijkt te (willen?) maken.
Nogmaals dat ik het anders zie & wil (en wmb technisch prima zou kunnen) maakt verder niet dat mensen die dat zelf niet wensen, daardoor een risico gaan ondervinden. De gedachte dat een ander anders is of doet, kan natuurlijk wel als bedreigend worden ervaren.

Kortom Freedom is dan in ddat beleid geen haar beter met waarin zij zichzelf wil onderscheiden van anderen. Het kleurtje en logo is dan alleen anders verbeeld.

NB: Ik probeer Freedom niet te zien als commercieel bedrijf maar als een organisatie die staat voor -en opkomt voor (internet)vrijheden, ook als die andersdenkenden niet bevalt.
Dat Freedom commercieel kiet moet draaien binnen de gestelde mogelijkheden, is wat anders dan macht of winst, als neoliberaal oogmerk najagen.

Laten we niet vervallen in tegeltjeswijsheden van niets toevoegende one-liners want het opentrekken van een quoteblik lijkt mij niet de manier om een inhoudelijke discussie te kunnen voeren.
Moeten we (ik) het toch maar doen met wat Freedom vindt, biedt en verder ons gemak houden ? Zo ja, dan biedt Freedom niets meer dan het eigen lot te verliezen.

De hamvraag is - voor mij - hoe kunnen wij of ik dan met/bij Freedom in gesprek om zaken anders (in) te stellen en te (herover)wegen* ?

*Dit aanhangig maken, speelt wmb ook op/voor andere onderwerpen.

Probeer eens jouw idee, heel duidelijk te stellen.
Doe dat in maximaal 4 korte regels.
Maak dan hier een poll aan.(zit onder het tandwiel)
Dan ben ik benieuwd, hoeveel gebruikers dit ook wensen.

Hellend vlak. Ik wil - bewust - geen generieke forumpoll doen om "meer of minder"heden te verwerven voor een stellingname die dan in een zwart gat verdwijnt.

Het nut van een poll hier is pas wanneer Freedom daarin ook als partij optreedt en dan duidelijk is welke criteria en voorwaarden zij(zelf) aan een eventuele uitkomst verbindt.
Anders krijg je zoiets als stemmen wie wil er (geen) belasting betalen en de uitkomst dan eenzijdig zou bepalen wat het (niet) gaat worden. Los daarvan kan je niet laten stemmen over keuzes die een ander wil maken.

Dat kan, zet een mailserver op in je interne netwerk, sluis poort 25 door naar die machine en je krijgt alle onveilige email die je maar wil (en alle die je niet wil). Freedom blokkeert die poort niet. (meld mijn firewall in elk geval :wink: )

Als je de mailserver can freedom wil gebruiken dan heb je je aan hun voorwaarden te houden, wil je dat niet dan moet je of elders zoeken of het zelf doen. De keuze is reuze.

Je herhaalt het slikken of stik er zelf maar in.

Het gaat om niet techniek - have the T-shirts - maar dat faciliterende organisatie(s) niet de almacht moeten (kunnen) hebben om gebruikers haar eenzijdige zienswijze op te leggen. Indien Freedom die redeloze insteek kiest, is zij wmb geen haar beter dan al die andere machten waarvan zij zich zegt te distantiëren.

Wanneer ik mijzelf naar, op -en/of in mijn mailkbox wil wat anderen zien als spam, moet Freedom daar hooguit voor waarschuwen maar zeker geen stokje voor willen steken.
Keuze is dan reuze om jezelf uit te leven.

Voor alle duidelijkheid, ik heb mijn inhoudelijk probleem elders opgelost maar voelt mij niet goed dat ik daarvoor o.a. “mailheadertrucjes” moet uithalen die wmb niet nodig zouden moeten zijn.

E-mail is niet meer de anarchie die het lange tijd terug was. Vroeger kon je echt alles uithalen en had ook jouw constructie zonder problemen gewerkt. In de strijd tegen spam zijn er security mechanismen toegevoegd (oa. SPF waarvan de kans groot is dat het je nu in de weg zit).

Je maakt gebruik van een dienstverlening van een andere partij en die dienstverlening wordt gedeeld door alle klanten van die partij. Het lijkt me logisch dat die partij zelf bepaald wat ze wel of niet toestaan.

De weg met de minste kosten is misschien om een extra domein de registeren (zie tip hieronder) en die als afzender te gebruiken van de email die je via amazon stuurt. Als je van dat domein zorgt dat de SPF, DKIM en DMARC klopt zou er niemand (inclusief freedom) moeten zijn die je e-mail tegenhoudt.

Tip: Onder .nl.eu.org kan je gratis een subdomein krijgen, zie www.nl.eu.org

1 like

NB: Ik heb mijn probleem met (trucjes) opgelost en dat stoort mij omdat het niet nodig zou moeten hoeven zijn.

Ik ga toch stellig aannemen dat Freedom wel degelijk een eigen koers voor ogen heeft en dat wil hebben.
Bedoel je dat Freedom, niet anders “kan” omdat zij de partij Soverin “moet” volgen ?

Als een partij al die policies wil verplichten, vraag ik mij af wat de onderliggende redenen kunnen zijn om een ander inhoudelijk gebruik te willen verbieden ?
Is het een overwogen keuze, structureel beleid of (naar ik vooral denk) niet over nagedacht ?
Iemand mag en moet toch zelf weten of die als gebruikseigenaar, SPAM en andere vunzigheden van zichzelf ongefilterd mag ontvangen in/op de eigen mailbox. ?

Nee, ik herhaal het ‘als je het anders wil dan de leverancier heb je opties’. Die omvatten naast zelf doen ook elders zoeken.

Zelf doen, maar dan creatief. Check.

Dat krijg je als je oudere hardware in gebruik wil houden, dan moet je creatief worden als er dingen ineens niet meer werken door nieuwe technieken.

Klopt, dat hebben ze, een veilige en met privacy rekening houdende internet koppeling leveren voor de klanten die daar de voorkeur aan geven boven ‘de goedkoopste’.

Als ik het me goed herinner heeft Soverin Freedom aangeboden om bij de start de mail omgeving te leveren en het beviel dus ze zijn gebleven. Het is veilig en voldoet aan de wensen van nagenoeg alle klanten.

Ik heb zo het donkerbruine vermoeden dat Freedom niet anders “wil” en daarom de partij Soverin “zal” volgen. Veiligheid en privacy is een keuze, die Freedom bewust heeft gemaakt.

Overigens verdedig ik niet de mail omgeving, maar Freedom’s keuzes. Zelf mail ik al sinds '98 vanuit mijn eigen omgeving. De ‘provider’ is voor mij niets meer dan een leverancier van een lijn naar internet. De provider email heb ik alleen voor de communicatie naar de provider. Het ‘email onafhankelijk van je provider’ waar Freedom opties voor levert heb ik dus al 25 jaar en ik kan je verzekeren, het bevalt uitermate goed.

De ultime zelfbeschikking is zelf doen en zo min mogelijk afhankelijkheden van anderen. (zoals je gemerkt hebt)

1 like

Jij verwacht dat Freedom zich aan past aan jouw oude meuk.
Dat gaat niet samen met privacy en veiligheid.
Ik denk dat ze ook alles doen om een 100% score op internet.nl te houden.
Die ene MX server die TLS 1.0 kan, is nu nog een waarschuwing.

Ik had laatst ook zo’n smart home apparaatje.
Was niet te combineren met een moderne WiFi
Ik heb het ding in de vuilnisbak gedaan, weg ermee.

1 like

Dat is niet helemaal waar ik op doelde. Met “andere partij” doelde ik op Freedom, dat Freedom dat vervolgens van Soverin afneemt is hierin niet waar ik op doelde. Het woord “andere partij” heb ik vooral gebruikt om te duiden dat het iemand anders is dan jijzelf.
In andere woorden bedoelde ik: Als je bij iemand een dienst afneemt bepaalt die het (beveiligings)beleid van die dienst. Ben je het niet eens met dat beleid dan heb je volgens mij verschillende opties:

  1. De dienstverlener proberen ertoe te bewegen zich aan de passen aan jouw wensen. In dit geval zou dat via de Freedom helpdesk gaan denk ik.
  2. Naar een andere dienstverlener gaan die wel voorziet in jouw behoefte.
  3. Zelf doen. Hierbij heb je de grootste flexibiliteit om het aan jouw wensen aan te passen, maar ook het meeste werk.

Jouw amazon oplossing valt ergens tussen 2 en 3 heb ik de indruk.

Ik neem aan (maar ja, aannames :slight_smile: ) dat Freedom danwel Soverin hier over nagedacht heeft, al is het maar om tot de conclusie te komen dat ze aan alle best practices willen voldoen of hoog willen scoren op een bepaalde ranking ofzo. Ze claimen security en privacy belangrijk te vinden en dit zijn dan typisch dingen waar je je op kan onderscheiden.
De enige die die vragen echt kan beantwoorden is natuurlijk iemand van Freedom.

2 likes

Wat je doet is (mij/n spullen) diskwalificeren. Ik verwacht niet dat een organisatie zich aanpast maar dat iemand anderen vrijlaat in een te maken keuze.
Die aanpassing, mits goed uitgevoerd, zal voor andersdenkenden geen verschil maken voor hun keuze.

Wat maakt het jou uit dat iemand (volgens jouw normen) onveilig wil mailen door simpelweg op de eigen mailbox de check op ssl/tls en/of spf, achterwege te laten ?

Mij maakt het niets uit wat je op je eigen mail omgeving uitspookt.

In dit geval wil je de veiligheid van de mailomgeving van de provider verminderen. Daar heb ik een mening over, al is die net zo irrelevant als de jouwe, aangezien het de mail omgeving van de provider is waar zij verantwoordelijk voor zijn, niet jij, ik of wie dan ook.

‘Jouw’ mailbox is niet van jou, maar van de provider en is je ter beschikking gesteld gedurende de duur van je abonnement. Wil je echt een eigen mailbox, dan mag je aan het werk met domein registraties, mailserver opzetten e.d.

Met een huurhuis mag je ook niet alles uitspoken wat je maar wil, als je meer dan dat wil moet je kopen en zelf regelen.

1 like

Met dank aan alle lol-broeken en SPAMMERs die mail grondig gesloopt hebben krijg je dit.
Tot ~1990 was het gebruikelijk, zelfs GEWENST dat mail door gestuurd werd zodat via zoveel mogelijk routes iedereen bereikbaar was.

Toen vonden een paar mensen dat daar ook best reclame mee verstuurd kon worden, de ontvangers van die bergen mail dacten daar anders over. Dus na jaren van allerlei filter technieken en nu ook verificate van LEGITIEME afzenders.

NB: Het is de ontvanger die wel of niet beslist te ONTVANGEN… en dat is gebaseerd op:

  • Welke servers mogen voor welk domein mail verzenden… Via SPF1 is dit instelbaar. (IP Adres check), maar hiermee is nog steeds spoofing mogelijk. Omdat afzender domein adressen kan instellen kan een spammer gewoon jouw IP adres in een eigen record zetten en dat als afzender doorsturen).
  • Welke servers hebben hier ook expliciet weet van … DKIM een soort van 2FA voor mail… (cryptografische bescherming van kern elementen in de mail).
  • En welke policy heeft de afzender ingesteld op het domain: DMARC… van rapporteer x% van de incidenten naar een bepaald mail adres tot Blokkeer alles wat niet legitiem is,

Het eerste wat de meest anti spam filters doen is onderscheid maken tussen mail
a) van binnen naar buiten en: check dat correct From adressen gebruikt worden, evt. virus scans etc.
b) van buiten naar binnen… The Full Monty, afkeuren als van buiten een mail komt met een eigen domain, een zekere spamscore behaald (SpamAssassin), SPF niet geldig is, DKIM niet geldig is, bepaalde Blacklist controles etc.etc.

Dit zijn de meest gebruikte en algemeen aanvaarde regels. Als mail ondanks “overtreding” van die regels geaccepteerd wordt, dan is dat tegenwoordig (helaas) een soort van open invitatie voor allerlei UCE / SPAM.

Jouw HAM vraag is dus: moet Freedom deze checks voor ALLE leden uitschakelen om voor jou iets dat erg lijkt op zoals spam toegepast wordt toe te laten.
Het probleem daarbij is dat alle brievenbussen nogal vol zullen raken. Mogelijk is er een uitweg nl. Freedom vragen om een domain in te rechten
SPAMHEMELfreedom.nl en dat domein heeft dan geen SPF en laat alleen gebruikers toe die zich daarvoor registreren.
Overigens wees er dan ook op voorbereid dat SPAMMERS dankbaar van dat soort afzender adressen gebruik maken omdat die dus op meer plaatsen gebuikt kunnen worden.

Voor jouw info: als je een mailserver inricht moet je ervan uitgaan dat 90+% van alle potentiele connecties op poort 25 malafide zijn.
Wat mij betreft staan de SPAM filters bij soverin nog wat te ruim ingesteld want er komen zeker nog spam meldingen door.
Om die reden heb ik dus ook een aantal eigen domeinen en een eigen mailserver.
Tot ik SPF & DKIM kon inrichten was het heel gebruikelijk om mail te ontvangen op mijn mail adressen met daarin het verzoek om te stoppen met het sturen van ongewenste reclame… door mensen die niet begrepen hoe makkelijk misbruik van adressen was.
Ik kreeg ook vaak SPAM Van: pietjepuk@mijndomain Aan: pietjepuk@mijndomain… juist wat jij graag wil.
Toen ik DMARC net goed ingericht had met rapportage kreeg ik nogal wat meldingen dat Google, Yahoo … etc. de nodige mail ontvangen geweigerd hadden met mijn domain erin… die ik ZEKER niet verzonden had, op dat moment ben ik overal de duimschroeven gaan aandraaien.
Als je SPAM FAN bent dan laat je alles lopen (je krijgt dan snel heel veel mail, makkelijk 50K-60K per domein per maand, als je SPAM behoorlijk afgeknepen wil zien dan ontkom je niet aan maatregelen.

Er speelt ook nog wat anders, als je behoorlijk mee werkt in anti-spam maatregelen dan wordt je ook door andere mail providers meer serieus genomen, zonder spam maatregelen is de mail al snel elders niet meer welkom omdat SPAMMERS jour niet zo goed beschermde domain graag willen lenen voor zolang dat kan.

1 like