Kennelijk heb je een eigen domein. Het eerste wat je doet is SPF, DKIM en DMARC eruit slopen. Dat geeft je de mogelijkheid te controleren of de problemen zich nog steeds voordoen. Het functioneel ontvangen van email gaat boven de mogelijkheid de afzender (jullie dus) te controleren.

Let op met DNS, je moet de TTL kort instellen, anders heb je bij elke poging een wachttijd van een dag door cachende name servers.

Controleer ook of je MX records goed staan en of alle servers correct mail aannemen. Stuur een email vanaf een ander domein naar alle mail servers. Dat kun je ook met de hand doen via telnet naar poort 25 waarbij je SMTP commands gebruikt, dan kun je precies zien wat er gebeurt.

Welke mail en mailbeveiligingssoftware heb je draaien en met welke instellingen?

Dyon,

De enige manier dat er een relatie tussen die twee zou kunnen liggen is als je forwards doet.
Dus:
* bedrijf X zend naar jou
* jij forward naar iets
* iets moet dit ontvangen

Bij die forward moet dan ook nog eens jouw domeinnaam worden gebruikt en worden vergeten DKIM toe te voegen.
Iets dat *echt bijna nooit* gedaan wordt. Dus zeer uitzonderlijk.


Denk dat het eerder een tegelijk geïntroduceerd spamfilter zal zijn.

Ik snap niet waarom SPF/DMARC/DKIM op jouw domein helpen tegen het probleem van veel virussen *binnen* krijgen.

SPF/DMARC/DKIM voegen een zekere authenticatie waarmee een ontvanger van mail deze kan weigeren als hij door een andere dan toegestane mailserver verzonden is.

Het kan dus wel wat helpen voor anderen die schijnbaar vanaf jouw domein virussen gemaild krijgen.

Het heeft niets van doen met binnenkomende mail - voornamelijk de afzender moet erg goed controleren (dat is : logs en tcpdump op de mailserver . Niet "Outlook sent folder" ) dat de mail ook werkelijk naar buiten gaat en wat de ontvangende server doet - reject , accept, delay .

Een mogelijke theorie is dat gmail voor domeinen die zelf dmarc/dkim/spf gebruiken ook een strakkere spf/dmarc check doet voor binnenkomende mail en mail zonder records een lage score geeft .
In dat geval hebben de leveranciers een grotere kans in de spam folder te komen.
Ik weet niet OF google dat doet.

Welnee dat hoef je niet te doen! Heeft geen invloed op dit probleem en kan weer nieuwe problemen geven.
Je moet NIET je eigen SPF enz van je eigen domain afhalen maar je moet de beheerder van je inkomende spamfilter
vragen om tijdelijk de checks op deze mechanismen uit te schakelen.
Dan weet je of het daar aan ligt.

Dat kan technisch niet waar zijn. Met SPF/DMARC/DKIM voorkom je geen spam die derden verzenden. Veel spammers gebruiken willekeurige adressen of domeinen.


Er wordt een verband vermoed, en dat is voldoende om het uit te schakelen. Dat geeft geen nieuwe problemen. Het kan ingewikkelder liggen dan jij denkt. De juiste aanpak is het probleem isoleren.


Je weet dat dit tegengestelde zendrichtingen zijn? Problemen pak je altijd aan bij de bron. FUD is niet nodig.

Er staat "na implementatie ook volledig verdwenen". Het verdwijnen van spam komt voornamelijk doordat de spammer ophoud met zenden. Je vermoeden dat iedereen een spamfilter heeft die geen mismatches in records accepteert is niet juist.

Misschien helpt het als ik een analogie geef:
Ik heb griep en gebruik een door Jomanda ingestraald homeopatisch sjhamaandrankje en ik wordt beter. De vraag is nu: wordt ik beter omdat het "medicijn" goed heeft gewerkt of was ik ook zonder medicijn beter geworden?

Zoals je het nu verwoordt, begrijpen sommige lezers het nog steeds niet... ;-)

Je bedoelt: jullie ontvingen spam van (zombie-) computers buiten jullie netwerk met daarin From: bestaande naam@jullie_domein.

Voorbeeld: stel jouw Nederlandse bedrijf heet contoso.com, gebruikt voornaam@contoso.com als e-mail adres, en de voornaam van de directeur is Satya. Stel dat spammers weten hoe jullie e-mail adressen eruit zien [1] en in LinkedIn voornamen van medewerkers hebben verzameld. Stel vervolgens dat zij spammen vanaf botnet PC's (buiten jouw netwerk) in diverse landen:

Ik ken 3 redenen om SPF+DKIM+DMARC in te zetten:

1) Zoals in bovenstaand voorbeeld, voorkomen dat ontvangers binnen jouw domein mail kunnen ontvangen met als schijnbare afzender iemand eveneens binnen jouw domein, verzonden vanaf computers buiten jouw domein;

2) Voorkomen dat legitieme derden (zoals klanten en leveranciers) mail kunnen ontvangen met als schijnbare afzender iemand binnen jouw domein, verzonden vanaf computers buiten jouw domein;

3) Voorkomen dat legitieme derden (zoals klanten en leveranciers) mail kunnen ontvangen met als afzender een medewerker van jouw schijnbare organisatie, verzonden vanaf computers buiten jouw domein.

Aandachtspunten en potentiële problemen
A) Voor punt 1 heb je in principe geen SPF+DKIM+DMARC nodig. Om open relays te voorkomen, configureren we mailservers al meer dan 20 jaar zo dat zij mail weigeren die afkomstig is van computers buiten het netwerk van jouw domein en daarbij bestemd is voor ontvangers buiten jouw domein; hierbij wordt dus naar de ontvanger gekeken.
De mailserver zou dan wellicht meteen ook naar de afzender kunnen kijken, en de in het voorbeeld beschreven spam blokkeren. In de praktijk is dit lastiger (maar niet ondoenlijk) omdat de mailserver dan From: uit de body moet inspecteren (omdat Return-Path AKA envelope-from vervalst kan worden of leeg kan zijn). Feit: mailservers houden er niet van om in enveloppen te kijken. Of er mailservers zijn die je zo kunt configureren, weet ik niet. Iemand?

B) Voor punt 2 zijn SPF+DKIM+DMARC noodzakelijk. En als je dat toch implementeert, kun je net zo goed punt 1 meepakken. Je moet jouw mailserver dan wel zo configureren dat deze niet alleen uitgaande mail van de juiste headers voorziet, maar ook binnenkomende mail checkt op SPF+DKIM+DMARC. En dat is sowieso verstandig, want ook steeds meer anderen beveiligen hun uitgaande mail tegen spoofing.

C) Voor uitgaande mail heb je niks aan SPF+DKIM+DMARC indien de ontvangende mailserver daar niet volledig op checkt en/of kennelijke vervalsingen niet blokkeert.

D) Voor uitgaande mail heb je niks aan SPF+DKIM+DMARC in het geval van een foute medewerker of een gecompromiteerde computer/BYOD aan jouw netwerk of dergelijke devices "buiten het pand", al dan niet via VPN.

E) Jouw SPF+DKIM+DMARC-enabled-MX voorkomt niet dat criminelen spam sturen met een afzenderdomein (achter From:) dat klinkt als of lijkt op jouw domein. Voorbeelden: C0NT0S0.com, contoso.co, contosoonline.com etc. Als je jouw baas ervan overtuigt dat je SPF+DKIM+DMARC moet implementeren om te voorkomen dat derden spam ontvangen die afkomstig lijkt van jullie organisatie, en dat jij daar dus tijd en geld voor nodig hebt, kon je tijdens jouw eerstvolgende beoordelingsgesprek wel een wat uit te leggen hebben. Of je krijgt een "echte" mail zoals in het voorbeeld hierboven...

F) Als je maar voor 1 (mailserver), d.w.z 1 IP-adres, SPF+DKIM+DMARC hebt geconfigureerd voor uitgaande mail, en je om de een of andere reden dat IP-adres niet meer kunt gebruiken (problemen bij een hoster of dat IP-adres belandt op blacklists), dan kun je vanuit jouw domain geen mail meer sturen naar derden. Overweeg dus ook een backup MX voor uitgaande mail! Dat hoeft niet persé een werkende mailserver te zij, het gaat om een uitwijk IP-Adres.

@TS: is er misschien sprake van een configuratiefout op jouw mailserver waardoor je nu SPF+DKIM+DMARC van alle afzenders, ook buiten jouw domein, vereist?

[1] Er zijn allerlei sites die "weten" wat het e-mail adres format is van bedrijven en organisaties.
Google: lookup company email address format