Ik zag in mijn freedom bij een extern domein dat ik gekoppeld heb aan freedom.nl het volgende staan:
"Volledige installatie niet voltooid voor xxxxxxx.nl
Uw domein heeft nu de minimale instellingen die nodig zijn om Freedom Internet als e-mailprovider te gebruiken en u kunt nu e-mails verzenden en ontvangen. Echter, om xxxxxxx.nl volledig operationeel te maken, raden we aan de volledige setup toe te voegen zoals aanbevolen door Freedom Internet. Voeg de relevante records toe aan uw DNS-instellingen zoals beschreven in het tabblad ‘DNS-instellingen’."
Dat is vreemd dacht ik.
Op het tabblad ‘DNS-instellingen’ zag ik 3 DKIM records betreffende Soverin met als status “Niet gevonden”.
Ik heb toen de DNS instellingen van het domein bij mijn hosting-provider bekeken en daar zag ik eveneens 3 records maar nu met de naam van mijn hosting-provider, dus niet Soverin.
Ik ben niet echt bekend met DNS instellingen dus heb ik bij het koppelen van mijn domein aan freedom.nl de instructie gevolgd die stond/staat op https://helpdesk.freedom.nl/hoe-koppel-je-een-domein en/of de instructies die ik indertijd van freedom.nl heb gekregen.
Bij mijn weten stond toen ik het domein koppelde er toen niets geschreven over DKIM- en DMARC-records. In ieder geval was/is deze info mij niet bekend.
Ik zit nu met de volgende vragen:
Wat zijn DKIM records? Er staat iets over dat je veiliger e-mailt (geen spoofing?), hoezo veiliger?
Is DKIM aan te raden?
Moet ik de DNS records bij mijn hosting-provider aanpassen dwz gelijk maken als die in mijn freedom staan?
Dus wat wordt bedoeld met “volledige setup” en “Voeg de relevante records toe aan uw DNS-instellingen zoals beschreven in het tabblad ‘DNS-instellingen’.”
Wat voor een set up en welke relevante DNS records in welke DNS-instellingen, die van freedom.nl of mijn hosting-provider?
Wie kan mij helpen met informatie hierover zodat mij eea duidelijker wordt?
tldr; registreer de volgende records in de DNS voor jouw domein bij jouw host-provider die de mail daarvan, door Freedom (aka. Soverin) wilt laten gaan afhandelen:
type
Naam
Waarde
CNAME
_dmarc
reject._dmarc.freedom.nl.
CNAME
soverin1._domainkey
soverin1._domainkey.freedom.nl.
CNAME
soverin2._domainkey
soverin2._domainkey.freedom.nl.
CNAME
soverin3._domainkey
soverin3._domainkey.freedom.nl.
NB: let op de afsluitende "." (punt)
Dit volgens Freedom: Hoe kan ik DKIM inschakelen? | Freedom Helpdesk. Kan zijn dat in de begintijd van Freedom deze “details” niet nodig, noch bekend, of waeren toegesneden op Freedom zelf. Ik kan mij ergens herinneren dat dit in het prille begin o.a. eindigend op naam van b.v. “..soverin.net.” stond ipv “..freedom.nl.”
AFAIK: DKIM biedt “verificatie” (middels onderling uitgewisselde handtekeningen) dat degene die mail aanbiedt cq doorstuurt (dwz dat jouw “domeinbeheerder” als naam) ook is wie die zegt dat die is. De ontvanger (Freedom) kan op grond daarvan een ontvangen mail daarmee kenmerken als ws. legitiem (qua verzending). DMARC is daarin een uitbreiding dat vertelt wat er moet gebeuren als dingen oneigenlijk zijn. (hier dus “..reject” (?) ). Zie verder DomainKeys Identified Mail - Wikipedia en DMARC - Wikipedia
Let op: Mail zelf is/wordt inhoudelijk niet zozeer veilig(er) maar de kans dat iemand tijdens het transport richting “Freedom” (ermee) heeft gerommeld, wordt kleiner en wint daarmee aan legitimiteit.
Er staat al een TXT record van _DMARC met waarde v=DMARC1; p=none; in de DNS bij mijn Host Provider.
Kan ik die laten staan of moet ik hem verwijderen?
Of moet ik hem verplaatsen, maw is de volgorde van DNS records van belang?
Ik vermoed dat het bestaande “_DMARC” van jouw hostprovider als actie, n.v.t. is voor Freedom/Soverin die daar hun eigen “record/formaat” wil hebben.
Zet in de DNS bij je host-provider, t.b.v. Freedom (bvk alleen & enige) het dmarc-record neer dat Freedom daar(in) voorschrijft.
tldr; TXT interpretatie van _DMARC is aan degene die het toepast
Wat Freedom precies technisch als policy/werking hanteert en haar _DMARC record inhoudelijk qua syntax allemaalmoet bewerkstelligen, is mij onbekend.
Op ooit eerdere vraag - nog bij Soverin - werd mij daarop geen bevredigend antwoord gegeven (dit ws als security by obscurity).
Uitgaande van de klare tekst “reject” vermoed ik dat ‘mail’ die niet voldoet aan vereiste verificatie(s) w.o. DKIM, dan wordt afgekeurd.
Ik stel mijzelf verder voor dat ergens (bij Soverin, die de mail feitelijk verwerkt) daarvoor een script “_dmarc_freedom” zal uitvoeren; die dan met woordje “reject” , de mail laat resulteren in een door haar bepaalde afwijzing of kenmerk.
FWIW: Andere providers werken weer met hun eigen DMARC commando syntax in TXT records en bijbehoremde doelstellingen; zoals (bijvoorbeeld): “v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r” etc.etc.
FYI: DNS records zijn bedoeld voor anderen zodat die aangaande jouw daar opgestelde domein, daarvan verwijzingen en anderen kenmerken kunnen opvragen.
Er zijn t.a.v. aantal en volgorde van TXT records geen eisen.
Of en dan in welke volgorde iets volgens welke criteria, die TXT (kunnen of zullen) worden gebruikt, is technisch aan de mailprovider (hier dus Freedom aka. Soverin) die het wil toepassen.
NB: Ik wil mij voorstellen dat Freedom alleen luistert naar haar_DMARC records die voldoen aan haar bepaalde “data” formaat t.w. xxxxx._dmarc.freedom.nl. Of dit daadwerkelijk zo is, is mij onbekend.
Of eventuele andere cq meerdere _dmarc’s dan conflicten geven, moet je dan maar proefondervindelijk gaan ervaren.
Onthou ook dat elke provider zelf mag weten wat die in een TXT record wil lezen en het aan die “lezer” is wat het daarmee dan precies gaat bewerkstelligen.
Wij hebben bv telefoonnummers in CNAME/TXT records van ons domein opgeslagen omdat DNS een prima middel is, de wereld om ons heen te (kunnen) informeren. Een andere kan er weer een key infrommelen. Met console commando dig jouwdomein.nl TXT kan je iets opvragen/selecteren.
FWIW: DMARC/DKIM is wmb meer een (handels)term dan wat het daarmee precies voorschrijft met of & hoe dat wordt geëffectueerd.
Ik heb het toegepast op DNS instelling van een domein bij mijn host provider en nu wi ik controleren of het werkt.
Op de site van mijn freedom, bij instellingen staan rechts boven 3 opties waaronder “Controleer de DNS instellingen opnieuw”. Kan ik die optie kiezen?
Ik heb/had mijn verhaal opgemaakt met TXT records in gedachten voor DKIM/DMARC wat dus CNAME moet zijn en verder hetzelfde uitwerkt. DNS technisch mogen CNAME’s voor/van/binnen een domein maar één keer voorkomen. Hiermee is/wordt ook impliciet het issue opgelost van één of meerdere _dmarc verwijzingen.
Dus wanneer de hostprovider een eigen “_DMARC” als cname op jouw topdomein heeft geplaatst, moet je die verwijzing weghalen en vervangen door die van Freedom (dus: reject._dmarc.freedom.nl.), dat daar weer verwijst naar universeel reject._dmarc.soverin.net.
Blijft grappig hoe iets in opzet eenvoudig, toch lastig kan zijn om toepasselijk in te verhalen.
SPF geeft aan welke IP adressen (al of niet na vertalingen), geautoriseerd zijn als afzender voor SMTP protocol. (als dat Freedom is, heb je hier de soverin adressen nodig, als je oude hosting provider ook bedoeld is dan heb je OOK die nodig, alle IP adressen die legitiem jouw mail mogen verzenden moeten er in staan, Je kan een combi maken dooe een SPF record te maken met include:soverin-spf-naam include:je-hosting-spf-naam…)
DKIM levert de Public key die de verschillende zenders gebruiken. Deze “selectors” worden door de mail server icm. DNS bepaald.
DMARC levert voor je domain de policy die bepaald hoe omgegaan moet worden met mail die NIET aan jouw SPF, DKIM eisen voldoet. - gewoon accepteren, quarantaine (spam folder), of hard weigeren.
(Bij gewoon accepteren kan een ander onderdeel van de ontvanger spamfilter nog steeds iets anders kiezen).
.
Blijft grappig hoe iets in opzet eenvoudig, toch lastig kan zijn om toepasselijk in te verhalen.