Door Anoniem: Die heb ik ook gehad in mijn Gmail!!
Als je de mail nog niet hebt weggegooid, kun je dan eens kijken vanaf welk IP adres de gmail mailserver deze mail ontvangen heeft en dat IP-adres hieronder vermelden? [*]
En of er een DKIM header in zichtbaar is en zo ja, die hieronder vermelden?
[*] E-mail van "overheid.nl" wordt kennelijk verzorgd door solvinity.com (een Nederlands ICT bedrijf). Het lijk erop dat zij
alle IP-adressen waar zij mail vandaan zouden kunnen sturen (of ooit hebben gestuurd) in hun SPF records hebben gezet. Voor mail vanaf *@overheid.nl bestaan op dit moment de volgende DNS (SPF- en A-) records:
v=spf1 include:_spf_mx.solvinity.com a:mx01-koop.solvinity.com a:mx02-koop.solvinity.com -all
Die MX servers resolven momenteel in:
Name: mx01-koop.solvinity.com Address: 62.112.233.72
Name: mx02-koop.solvinity.com Address: 62.112.233.73
En de SPF include directives leiden tot:
v=spf1 ip4:62.112.237.67 ip4:62.112.237.75 ip4:62.112.226.181 ip4:62.112.226.185 ip4:62.112.233.18 ip4:62.112.233.19 ip4:62.112.250.33 ip4:62.112.250.34 ip4:62.112.250.77 ip4:62.112.250.73 ip4:62.112.226.64 ip4:62.112.224.42 ip4:62.112.224.215 ip4:62.112.236.8 ip4:62.112.224.89 ip4:62.112.249.208 ip4:62.112.249.209 ip4:94.143.213.13 ip4:94.143.208.24 ip4:94.143.208.215 ip4:62.112.250.215 ip4:62.112.250.216 -all
en:
v=spf1 ip6:2a00:1558:2801:4::2:0 ip6:2a00:1558:2801:4::3:0 ip6:2a00:1558:1801:4::2:0 ip6:2a00:1558:1801:4::3:0 ip6:2a00:1558:3801:4::2:0 ip6:2a00:1558:3801:4::3:0 ip6:2a00:1558:6801:14::2:0 ip6:2a00:1558:6801:14::3:0 ip6:2a00:1558:4801:14::2:0 ip6:2a00:1558:4801:14::3:0 ip6:2a00:1558:9801:4::2:0 ip6:2a00:1558:9801:4::3:0 -all
Als een spammer toegang tot slechts één van de systemen met genoemde IP-adressen weet te verkrijgen, of indien deze als e-mail relay werken (evt. een double mail relay waarbij een server X mail van derden accepteert en doorzet naar een mailserver met één van bovengenoemde IP-adressen - die op zijn beurt mail van X accepteert), dan kan de spammer namens overheid.nl -ongehinderd door streng op SPF, DKIM en DMARC- phishingmails verzenden.
Naast dat
heel veel ontvangende mailservers niet strikt checken op SPF, DKIM en DMARC (elke mailserverbeheerder heeft daar zo haar eigen ideeën over en/of -vaak slechte- ervaringen mee), is DMARC een halfbakken protocol
omdat ofwel SPF ofwel DKIM volstaat. Dus als één van de genoemde servers
geheel geen DKIM record toevoegt (of mogelijk, hier twijfel ik over, een DKIM record toevoegt voor een heel ander domein) wordt voldaan aan de DMARC policy.
Met andere woorden, als het een een spammer lukt van of via 1 van de genoemde IP adressen phishing mails van *@overheid.nl te versturen, zal elke ontvangende mailserver, die netjes checkt, concluderen dat de mail daadwerkelijk door "overheid.nl" is verzonden. Ook denkbaar is dat solvinity.com een speciale inbox heeft voor mails die namens "overheid.nl" moeten worden verzonden, en dus alleen door geautoriseerde overheidsdienaars zouden moeten kunnen worden aangeboden, maar dat het de spammer is gelukt om zich voor te doen als geautoriseerde ambtenaar.
Los van of dit scenario van toepassing is, vind ik het uiterst onverstandig van solvinity dat zij, juist voor zo'n gevoelige afzender als overheid.nl, zo'n onzinnig grote reeks IP-adressen toestaat om mail (namens overheid.nl) te verzenden. Het zou mij niet verbazen als daar (wellicht minder goed beveiligde) testsystemen of servers van voormalige projecten bij zitten.
Bijboorbeeld 94.143.208.192 - 94.143.208.223 is van bitbrains.nl/asp4all.nl - die ondertussen verder zijn gegaan als solvinity.nl. Servers zoals
synfra.bitbrains.nl,
gemma-synfra.bitbrains.nl en
acceptatie-gemma-synfra.bitbrains.nl resolven nog wel (niet exact tot de in de SPF records genoemde adressen, maar wel daar in de buurt) maar nemen geen https connecties meer aan. Mogelijk een voormalig project dus, en de ervaring leert dat vaak wordt vergeten om alle betrokken systemen grondig op te ruimen (klant betaalt niet meer betekent altijd low prio).