Controleer je SPF-record

Dat gebeurd nog wel eens.

Zou je je domeinnaam eens kunnen halen langs:
1) internet.nl (e-mail check)
2) https://mxtoolbox.com/blacklists.aspx

En check even in een van de verzonden mails, bij de ontvanger, of je in de headers iets terugleest over SPF, DKIM of DMARC failure.
Komt daar al iets uit naar voren wat niet klopt?

Wat is je definitie van een microsoft cloud email account?

Hoe zit deze mail er uit?
Hoe worden deze exact verzonden?
Waar vanuit worden deze mails verzonden? Script, mail applicatie, applicatie?
Zijn alle headers aanwezig?

SPF correct aangemaakt?
DKIM aangezet?


Probeer eens een mail te verzenden naar https://www.mail-tester.com/
Deze maakt een mooie analyse van je verzonden mail.

"automatisch gegenereerde mails" en "terwijl dit geen spam is"

Of mail spam is of niet wordt door ontvangers bepaald. Te vaak krijg ik toch (soms frequent) ongewenste mails na het aanmaken van een account en in mijn profiel aangeven dat ik op geen enkele wijze "op de hoogte gehouden" wil worden, of zelfs nadat ik mij expliciet heb uitgeschreven voor dat soort meuk na deze te hebben ontvangen. Als je onzorgvuldig te werk gaat krijg je jouw verdiende loon. En misschien is een van de accounts in jouw domein gehacked geweest en hebben jullie serieus gespamd.

Ik claim niet dat dit hier speelt, maar je geeft veel te weinig informatie (zeker voor iemand die hoopt dat security professionals zijn of haar probleem even oplossen).

Internet.nl is een goed beginpunt; vul je domeinnaam in onder "test je email" en check met name "Echtheidswaarmerken tegen phishing (DMARC, DKIM en SPF)". Aangezien je hier zegt dat je Microsoft-mailaccount hebt ga ik uit van Office365/MS365.

Begin met DNS records je domein:
- staat SPF ingesteld om mail te mogen sturen vanaf O365? Als je je domein door O365 laat managen staat dit al goed, bij andere providers moet je SPF instellen om vanaf de servers van O365 te mogen mailen. Bij twijfel: begin met soft fail.
- heb je DKIM ingesteld? in de O365 portal is dat heel eenvoudig; je krijgt daar een CNAME record setup voorgeschoteld, gebruik die.
- heb je DMARC ingesteld? Dit is lastig om goed te doen, lees je vooral eerst rustig in. Maak het record aan voor "testing" mode, niet strict - dat kan later alsnog prima.

Blacklist checking (zoals hierboven gesuggereerd) si een goed idee, maar lijkt me minder waarschijnlijk aangezien de O365 cloud over het algemeen een goede reputatie heeft, anders dan mailservers op ADSL-ranges, of in Roemenie, bijvoorbeeld.

Als je serieus wilt bulk mailen vaaf je domein (bv omdat je bol.com bent en een nieuwsbrief wilt rondsturen), doe dat niet zelf. Neem een partij in de arm zoals Mailchimp/LaPosta/Mailcamp, die zijn veel beter voorbereid op bulkmailing dan jijzelf.

Wat Erik ook zegt: "Of mail spam is of niet wordt door ontvangers bepaald." Niet alleen menselijke ontvangers, maar ook mailclients doen dit. ; te vaak doen deze spamfiltering die behoorlijk ondermaats is, inclusief bv. Thunderbird.
Als ontvangers nog steeds melden dat jullie mail in spamboxen eindigt, laat jullie domein whitelisten op serverniveau als dat kan (of laat de ontvangers jullie adressen in lokaal adresboek zetten).

Succes ermee en laat nog horen hoe het gaat

Internet.nl kan helemaal niet checken of je uitgaande mail goed geconfigureerd is, daar zijn veel betere sites voor, die ook daadwerkelijk checken of je DKIM ok is, enz.

Mijn eigen ervaring met dit onderwerp is dat het probleem vaak meer ligt bij gmail en outlook.com dan bij de verzender.
Die lui hebben criteria die ze niet publiceren en die vaak ook niet erg redelijk zijn, maar ze worden aangestuurd door het fenomeen dat een enkele spam in de inbox vaak negatiever gewaardeerd wordt dan 10 false positives in de spambox.

Zelf hebben we bijv een bij Microsoft gehost mail systeem, en een applicatie elders gehost die signaalmails stuurt aan de hand van triggers. Het kan best voorkomen dat deze applicatie bij 1 trigger 50 mails stuurt aan 40 mensen in het bedrijf.
Microsoft zegt dan "te groot aantal mails per seconde, is een spammer, blocken die hap" en 30 mails worden gereject.
Niks aan te doen, whitelisten van het afzender domein helpt daar niet tegen want die stap komt pas later als de mail wel geaccepteerd is maar besloten moet worden of die in de inbox of spambox moet komen.

Bij gmail gebeuren vergelijkbare dingen. Als klant kun je er verder niks mee anders dan leven met deze servicedegradatie en gaan omzien naar andere manieren van werken. Het is niet voor niets dat men tegenwoordig dit soort signalen stuurt per whatsapp ipv per mail.

Internet.nl kan wel degelijk testen of je SPF en DMARC goed zijn ingericht - niet of je daadwerkelijk alleen van die servers mailt, wel of je records in orde zijn. DKIM kan eigenlijk alleen getest worden als je mailt en de ontvanger de key kan checken. Andere sites vind ik daar niet beter in (zoals mxtoolbox, hoewel die leuke features heeft). Er is een reden dat ik zei dat het een beginpunt is, niet een exhaustive diagnose. Zoals *ik* de mail van OP lees is een beginpunt op dit moment het belangrijkst.

klikt een beetje alsof spf en dkim al ingericht is, maar via een alternatieve smtp server verzonden wordt. Met spf gaat dat dus hardstikke mis tenzij je de smtp server erin opgenomen heb in de spf ! Check dus je spf als je via een alternatiefe smtp server je mail verzendt !