Door Anoniem: Klanten zijn blijkbaar niet belangrijk meer voor xs4all en email hoeft niet veilig te zijn.
Standaard e-mail is per definitie onveilig. Zelfs als digitaal ondertekende mail betrouwbaar zou werken, zou je afzenders en de door hen gebruikte computers volledig moeten kunnen vertrouwen.
Anyway, stel dat xs4all SPF
en DMARC
wel 100% voor elkaar zou hebben (met alle mogelijke klant IP-adresreeksen als criterium voor SPF), dan zouden legitieme mails met als afzender "
een_willekeurige_klant@xs4all.nl" vanaf een IP-adres
buiten die IP-adres reeksen worden geblokkeerd (door mailservers die de SPF en DMARC policies van xs4all zouden respecteren).. Dat levert gegarandeerd probemen op, o.a. bij forwarding.
Uitleg: Pietje Puk is onlangs gepromoveerd en werkt nu bij example.com. Omdat zijn universiteits e-mail adres op wetenschappelijke publicaties van zijn hand staat, laat hij alle mail naar zijn oude universiteitsaccount nog een paar jaar doorsturen naar zijn nieuwe e-mail adres. Stel "
een_willekeurige_klant@xs4all.nl" stuurt een mail naar "
pietjepuk@eenuniversiteit.edu", dan zal de mailserver van die universiteit de mail (met nog steeds als afzender "
een_willekeurige_klant@xs4all.nl") doorsturen naar de mailserver van example.com. Omdat de universiteits-mailserver geen xs4all IP-adres heeft, zal example.com die mail weigeren vanwege de SPF policy van xs4all. Hetzelfde geldt voor maillijsten (zoals o.a te vinden op
http://seclists.org/).
Al tijdens de introductie van SPF werd voor dit probleem gewaarschuwd, en is een truc genaamd SRS (zie
https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme) ontwikkeld. Daarbij wordt "envelope-from" vervangen door een soort tijdelijk e-mail adres op de doorsturende mailserver. Dat "tijdelijke adres" is nodig om ervoor te zorgen dat, als de mail niet op de eindbestemming kan worden afgeleverd, er een NDR mail (Non Delivery Report) teruggaat naar de oorspronkelijke afzender. Probleem opgelost zul je zeggen! Niet dus, om twee redenen.
1) Beheerders van mailservers houden niet van tijdelijke accounts. Die kosten schijfruimte en kunnen tot DoS problemen leiden. Om die, maar soms ook om principiële redenen, implementeert niet elke beheerder SRS op hun mailservers met forwardende gebruikers. Vermoedelijk daarom stelt xs4all "SPF considered harmful".
2) DMARC gecombineerd met SPF maakt forwarding onmogelijk, ook al implementeert de doorsturende mailserver SRS. De reden daarvoor is dat DMARC checkt op het message-from afzender e-mail adres, en dat wordt niet "gerewrite" door de klassieke SRS. En zou je iets maken dat dit wel doet (From: "on behalf of
een_willekeurige_klant@xs4all.nl" <random-bla-bla@eenuniversiteit.edu>), dan gaan spammers natuurlijk ook zulke mails verzenden.
Maillists, forwarding en waarschijnlijk ook andere legitieme en voorheen werkende scenario's gaan stuk als je SPF en DMARC goed implementeert. Dat gaat dus nooit iedereen doen, en daarom blijft het dweilen met de kraan open.
Daar komt bij dat er maar 1 device van 1 klant in 1 van de SPF IP-reeksen van xs4all "gezombieficeerd" hoeft te zijn om mails met "afzender jijzelf bij xs4all" niet te kunnen blokkeren.
Ik begrijp de gemaakte keuzes door xs4all dan ook heel goed.