Waarom krijg ik DMARC foutmelding van gmail als ik vanaf mijn domein bij Freedom/Soeverin een email stuur
host gmail-smtp-in.l.google.com[142.250.102.26] said:
550-5.7.26 Unauthenticated email from … (mijn domein bij freedom) is not accepted due to
550-5.7.26 domain’s DMARC policy. Please contact the administrator of
550-5.7.26 … (mijn domein bij freedom) domain if this was a legitimate mail. To learn
about 550-5.7.26 the DMARC initiative, go to 550 5.7.26 Control unauthenticated mail from your domain - Google Workspace Admin Help
Hoe kan dat worden opgelost?
Staat er bij Soeverin iets verkeerd?
Wat is het antwoord op:j
dig +short txt _dmarc.jouwdomain.example.org
Als je niets geregeld hebt dan verwijst die vermoedelijk naar: reject._dmarc.sover.in…
Je kan als het goed zelf in je eigen dns hier iets voor opnemen.
De Freedom DKIMs heb ik overgenomen uit mijn.freedom.nl maar nu ik ze test blijken ze niet te werken! Op mijn eigen domeinnamen heb ik de Soverin variant die wel functioneel zijn. Excuus voor de verwarring. Je SPF ziet er ook goed uit dus het zou moeten werken.
Hiermee zeg je letterlijk:
p= alles van primailre domain…
sp= alles van onderliggende domains.
Daarmee geef je aan dat je uitsltuitend 100% correct mail verwacht te verzenden vanaf dit domain… dus als er maar iets mis is, in de afvalbak zonder verdere melding waar dan ook.
1e zegt er is een DMARC… Dus OK
2e zegt dat het voldoende dat het voldoende afgedicht is… (sp=reject, p != none)…
Het had ook overly strict kunnen zeggen als ze wisten dat het de bedoeling was dat je hier mail zou willen verzenden. Helaas is (of gelukkig) kan MX-tools geen gedachten lezen.
Je kan een eigen DMARC record maken (tekst overnemen met p=quarantine oid).
Dan krijgt de ontvangende partij de mail in een spamfolder… en dan kun je ook de rapportage van de andere partij zien… in de daar ontvangen mail (je kan vragen om de mail als bijlage terug te laten sturen dan kun je de headers bekijken).
Dus de reden waarom tot dat oordeel is gekomen.
De reporting options koste meer effort omdat je niet zelf de soverin (webserver) records kan aanpassen. Je zou namelijk daar een toestemming in DNS moeten zetten om reports te ontvangen.
Over de Domainkey (DKIM) die is afhankelijk van de effectief versturende mailserver.
Dus als freedom de soverin servers gebruikt dan zijn dat de soverin keys.
Je kan wel een freedom record maken die een include van soverin doet, maar die lookups zijn beperkt tot MAX 9 stuks / message.
Er staat echt “soverin1.domainkey CNAME Soverin1.domainkey.sover.in.”
Dat heb ik er niet neergezet. Foutje van Freedom/Soverin?
Moeten ze beide aangepast worden?
Soverin1.domainkey.sover.in geeft een “This site can’t provide a secure connection”" ERR_SSL_PROTOCOL_ERROR
Soverin1._domainkey.sover.in geeft een “This site can’t be reached” DNS_PROBE_FINISHED_NXDOMAIN
Dan denk ik dat “Soverin1.domainkey.sover.in.” toch juist is. Of toch niet?
Maar aan ‘soverin1.domainkey’ twijfel ik meer gezien de hoeveelheid underscore entries in de DNS.
In de naam en de waarde van de DNS record. Zoals ik het in mijn tweede tabel heb staan zo werkt het goed voor al mijn domeinnamen bij Freedom.
Geen idee. De ontvangende mailserver zoekt de DNS record op in dit formaat: [selector]._domainkey.[from-domain]. Als de _ ontbreekt dan kan de record niet worden gevonden. Met de DMARC policy geef je aan dat al je mails een controleerbare DKIM handtekening hebben (tegen vervalsing), maar als die controle mislukt dan krijg je de foutmelding uit je start post. Iedereen die de configuratie op dezelfde manier heeft gedaan, dus zonder de _ (of de niet werkende _domainkey.freedom.nl records) zal dit probleem hebben bij ontvangende mailservers die DKIM serieus nemen.
soverin1._domainkey CNAME Soverin1._domainkey.sover.in.
(ook voor 2 en 3)
Nu lijkt de mail naar de ontvanger waar het eerder op fout ging wel te werken.
Het ging fout met een email adres can de ontvanger dat eindigde op camras.nl en doorgestuurd werd naar een gmail.com adres.
In de foutmelding stond:
Final-Recipient: rfc822; …@gmail.com
Original-Recipient: rfc822;…@camras.nl
In het positieve delivery report van wat ik net gestuurd heb, na de aanpassing in de DNS:
Final-Recipient: rfc822; …@camras.nl
Original-Recipient: rfc822;…@camras.nl
Dat schuifje kan ik niet op “aan” zetten omdat ik daarnaast ook nog een eigen mailserver thuis draai.
Dat betekent dat het oorspronkelijk bij Freedom verkeerd stond of dat er later zaken zijn veranderd zonder dat daar bericht van is geweest. Die soverin zaken heb ik nooit aangeraakt.
Maar nu kan ik dus zien hoe die instellingen moeten staan. Mooi.
Ik zie dat jullie een andere interface voor mijnFreedom hebben dan ik zelf van jullie te zien krijg. Daar staat TYPE in het midden.
Het verschil tussen Soverin’s en je eigen DMARC is dat Soverin vereist dat de hostname in de From header exact overeenkomt met de hostname in de Return-Path header (aspf=s). En ze ontvangen telemetrie over hoe ontvangende mailservers met je mails omgaan en het volume. Dat kan hen helpen om DKIM problemen op te merken.
Als je zelf geen telemetrie (rua) wil ontvangen dan kan je DMARC record een stukje korter. De attributes adkim=r, aspf=r en pct=100 zijn de defaults en sp neemt de waarde van p over als die toch hetzelfde moeten zijn, dus die hoef je niet extra te vermelden: