Computerbeveiliging - Hoe je bad guys buiten de deur houdt

mails ten onrechte als spam verklaard, klopt verklaring KPN

24-06-2021, 19:28 door harrydasdd, 20 reacties
Laatst bijgewerkt: 24-06-2021, 19:28
Het (helaas) automatische spam filter van KPN heeft belangrijke mails als SPAM beoordeeld nota bene mails van een officiële instantie, ik heb een klacht hierover ingediend en kreeg vervolgens de volgende onderstaande verklaring, Vraag is dit een smoesje van KPN en is deze informatie inderdaad waar en relevant en zo ja kan iemand mij uitleggen meer gedetailleerd wat ze bedoelen.

bedankt Harry

--------------------------------MAIL KPN-----------------------------------------------------------------------------
Geachte heer, mevrouw,

Bedankt voor uw bericht. U geeft aan dat e-mailberichten van een bepaalde afzender in de spamfolder van de ontvanger(s) terechtkomen.

De oorzaak van dit probleem ligt bij de wijze waarop het e-mailbericht is beveiligd. De verzender maakt daarvoor gebruik van DKIM. Deze beveiliging staat niet toe dat er wijzigingen in het bericht worden gedaan, nadat deze is verstuurd. Dit is in de desbetreffende berichten echter wel het geval.

Wij verzoeken u dit te onderzoeken, of dit bij de verzender aan te geven.
Reacties (20)
24-06-2021, 19:53 door Anoniem
Door harrydasdd: Het (helaas) automatische spam filter van KPN heeft belangrijke mails als SPAM beoordeeld nota bene mails van een officiële instantie, ik heb een klacht hierover ingediend en kreeg vervolgens de volgende onderstaande verklaring, Vraag is dit een smoesje van KPN en is deze informatie inderdaad waar en relevant en zo ja kan iemand mij uitleggen meer gedetailleerd wat ze bedoelen.

bedankt Harry

--------------------------------MAIL KPN-----------------------------------------------------------------------------
Geachte heer, mevrouw,

Bedankt voor uw bericht. U geeft aan dat e-mailberichten van een bepaalde afzender in de spamfolder van de ontvanger(s) terechtkomen.

De oorzaak van dit probleem ligt bij de wijze waarop het e-mailbericht is beveiligd. De verzender maakt daarvoor gebruik van DKIM. Deze beveiliging staat niet toe dat er wijzigingen in het bericht worden gedaan, nadat deze is verstuurd. Dit is in de desbetreffende berichten echter wel het geval.

Wij verzoeken u dit te onderzoeken, of dit bij de verzender aan te geven.

Google weer kapot ? Je kunt zoeken op sleutelwoord DKIM .

DKIM is een handtekening op de mailheader (afzender, ontvanger etc).
Als die veranderd wordt , of niet klopt is dat een heel grote indicatie dat de mail spam is , en zal de mail dus in je spam folder komen.
(en andersom, een kloppende dkim handtekening geeft pluspunten dat de mail waarschijnlijk geen spam is ).

Een niet-kloppende DKIM handtekening kan een paar oorzaken hebben .

Vaak is dat doorsturen . Als je de mail feitelijk ontvangt op een ander domein en daarvan 'alles' laat doorsturen naar je kpn adres is dat het probleem.

Het kan ook een configuratie fout bij de afzender zijn.
24-06-2021, 19:59 door Anoniem
Harry, als je doet wat KPN aangeeft: het probleem melden bij de verzender, dan kan het worden opgelost.

DKIM is een manier om een bericht te signeren en daarvoor mag de inhoud niet worden aangepast.

Dat gezegd hebbende, je kunt als internet provider niet zomaar mail als spam beschouwen als DKIM niet klopt. Het komt namelijk vaak voor dat DKIM niet klopt en de oorzaak heeft niets met spam te maken. Als een bericht opnieuw wordt verzonden vanuit een mailing list dan klopt de signatuur vaak niet meer met de inhoud. Het bericht is dan aangepast. Bijvoorbeeld door de Subject/Onderwerp aan te passen.
24-06-2021, 20:00 door Anoniem
Stuur jij die mails door via een andere mailserver? Bijv je hebt ergens een domein geregistreerd met mail doorstuur service en die stuurt het dan vervolgens weer door naar je mail adres bij KPN?
Zo ja, dan krijg je vaak van dit soort problemen, een beetje afhankelijk van hoe de doorstuurservice is ingericht.
Dat is dan geen smoesje ofzo.

Zoals wel vaker met computers: wat vroeger goed werkte dat gaat tegenwoordig fout omdat iedereen maar vanalles aanpast "omdat het zo beter is" zonder rekening te houden met bestaand gebruik. Het is niet anders.
24-06-2021, 20:10 door Anoniem
Dit kan prima waar zijn.

Meestal is het een gevolg van onjuiste configuratie bij de verzender

In je mailheaders staat vaak de exacte oorzaak beschreven en internet.nl geeft vaak ook al hints.
24-06-2021, 20:27 door Anoniem
Door Anoniem:
Dat gezegd hebbende, je kunt als internet provider niet zomaar mail als spam beschouwen als DKIM niet klopt.
Wel als de afzender met een DMARC policy aangeeft dat ie dat wil. En dat doen banken etc vaak wel.
Die willen ook niet dat een mail door een mailinglist heen gaat.
Waar het fout kan gaan (zie boven) is een "eigen domein mail doorstuur service".

Eigenlijk kun je stellen dat het vandaag de dag niet meer mogelijk is om een mail doorstuur service te gebruiken als je
bestemming een mailserver is waar je geen controle over hebt (bijv zoals die van KPN) en je doorstuur service heb je ook
niet in de hand (zodat je kunt zorgen dat ie de DKIM niet verpest).
Je zult dan over moeten naar een volledig eigen server voor je eigen domein, dus niet meer alleen "doorsturen".
24-06-2021, 23:09 door Briolet
Door Anoniem:…DKIM is een handtekening op de mailheader (afzender, ontvanger etc).
Als die veranderd wordt , of niet klopt [n]is dat een heel grote indicatie dat de mail spam is [/n], en zal de mail dus in je spam folder komen.

Waarom zou een DKIM ondertekening bij spam vaker fout zijn? Als een spammer DKIM toepast zal hij ook een correcte ondertekening maken.

Op zich zou forwarden van mail de DKIM geldig moeten houden. Je moet de mail natuurlijk veranderen bij het forwarden en daar kan het inderdaad mis gaan.

Een ander probleem waar ik bij één provider tegenaan liep is dat ze een te korte, onveilige public key gebruikten. De Belgische provider skynet.be gebruikte jaren lang een 512 bit key terwijl alles onder de 1024 al tijden als onveilig beschouwd wordt. GMail schrijft dit als waarschuwing in de header.

Onze mailserver weigert zelfs deze mail te accepteren en die kwam dan niet eens aan. Een minimum lengte van 1024 bit is de default van OpenDkim. Na elke update van de mailserver wordt die 1024 bit weer terug gezet en moest ik er steeds aan denken dat ik het minimum weer op 512 zet. Een belangrijke klant gebruikt skynet en ik heb al vaak gezegd dat ze eens contact moeten opnemen met hun provider, die de DKIM toevoegd, maar ik kreeg niet de indruk dat ze er echt achteraan zaten. Pas na jaren heeft skynet het een jaar geleden opgelost met een nieuwe selector.
Het meest saillante detail is dat selector met de onveilige public key de naam "securemail" had. (-:
24-06-2021, 23:18 door Briolet
Door Anoniem: Dat gezegd hebbende, je kunt als internet provider niet zomaar mail als spam beschouwen als DKIM niet klopt.

Als de DKIM niet klopt, houdt dat in dat er met de mail geknoeid is. Ik vind zelfs dat zulke mail geblokkeerd kan worden. Waarom beveilig je de mail als afzender anders met een checksum. Ik had een jaar of 5 geleden zelfs de ervaring dat de Ziggo mailserver dergelijke mail ook op serverniveau weigert.
Toen betrof het een geforwarde mail uit een maillinglist. Onze serrver was ingesteld om tracking pixels te verwijderen. Maar hij deed dat voordat de mail geforward werd. Deze mail ging niet naar de spambox van het ziggo account maar kwam gewoon niet aan. In het log van de server zag je ook duidelijk dat hij door ziggo geweigerd werd.
24-06-2021, 23:54 door Anoniem
Door Briolet:
Door Anoniem: Dat gezegd hebbende, je kunt als internet provider niet zomaar mail als spam beschouwen als DKIM niet klopt.

Als de DKIM niet klopt, houdt dat in dat er met de mail geknoeid is. Ik vind zelfs dat zulke mail geblokkeerd kan worden. Waarom beveilig je de mail als afzender anders met een checksum. Ik had een jaar of 5 geleden zelfs de ervaring dat de Ziggo mailserver dergelijke mail ook op serverniveau weigert.
Toen betrof het een geforwarde mail uit een maillinglist. Onze serrver was ingesteld om tracking pixels te verwijderen. Maar hij deed dat voordat de mail geforward werd. Deze mail ging niet naar de spambox van het ziggo account maar kwam gewoon niet aan. In het log van de server zag je ook duidelijk dat hij door ziggo geweigerd werd.

Gaat dat niet over DMARC? Als dat werkelijk zo is dat een niet positief verifieerbare DKIM wordt geweigerd, moet Ziggo dat niet doen. Een aanzienlijk deel van mails ontvangen via diverse onder IT professionals veel gebruikte mailing lists zul je op die manier missen. Dat is een bekend feit. Best practice is om te markeren en te bezorgen. Het is wel goed om spam direct te weigeren, dat voorkomt bounce berichten naar gefakete afzenders.

Maar er gebeuren veel slechtere dingen in email country. Microsoft past routinematig vrijwel alle ingekomen berichten aan, o.a. links worden onderschept (en dus ook klikgedrag en links die niet voor Microsoft's ogen en ongewenste en ongevraagde bezoeken bedoeld zijn), daardoor kunnen ze nooit meer achteraf worden gecontroleerd op DKIM, behalve in de headers van Microsoft. Microsoft voegt overigens een idiote hoeveelheid headers toe. Het lijkt wel of ieder nieuw aangenomen programmeur zijn eigen headers verzint.

SPF wordt ook steeds onbruikbaarder door grote mailers zoals Microsoft. Als half corporate Nederland volgens SPF namens jou mag mailen, wat stelt SPF dan nog voor?
24-06-2021, 23:54 door Anoniem
Misschien een hele gekke gedachte, maar ben jijzelf niet verantwoordelijk om af en toe de spam-map te controleren?

Niet bedoeld om af te zeiken, lijkt steeds meer dat mensen minder zelfredzaam worden en gelijk de schuld elders leggen.
25-06-2021, 00:51 door Anoniem
Door Briolet:
Door Anoniem:…DKIM is een handtekening op de mailheader (afzender, ontvanger etc).
Als die veranderd wordt , of niet klopt [n]is dat een heel grote indicatie dat de mail spam is [/n], en zal de mail dus in je spam folder komen.

Waarom zou een DKIM ondertekening bij spam vaker fout zijn? Als een spammer DKIM toepast zal hij ook een correcte ondertekening maken.

Ok, wat erg kort door de bocht. Maar gespoofde mail van een domein dat met DMARC aangeeft wel DKIM te gebruiken zal om die reden gedropped of in elk geval omlaag gemarkeerd worden.

Ik heb al tijden niet meer gekeken hoe technisch netjes spam mail eruit ziet - maar historisch was het vaak prutswerk .
Ik zou niet vreemd opkijken van botweg een DKIM header kopiëren - of de mail uit-relayen op een manier die DKIM kapot maakt.

Een spammer zou op zich inderdaad correcte dkim signatures van z'n correcte domein en afzender kunnen sturen.

Anyway - een kapotte DKIM signature waar een correcte verwacht/vereist wordt is hoe dan ook een erg normale reden om mail als SPAM of anderszins 'verdacht' te markeren .

Waar en waarom de mail die TS wilde zien een kapotte DKIM heeft opgelopen is speculatie .
25-06-2021, 16:35 door Anoniem
Door Anoniem: Misschien een hele gekke gedachte, maar ben jijzelf niet verantwoordelijk om af en toe de spam-map te controleren?

Niet bedoeld om af te zeiken, lijkt steeds meer dat mensen minder zelfredzaam worden en gelijk de schuld elders leggen.

Ik zou mensen juist willen oproepen om nooit* in hun spambox te kijken. Mijn provider heeft die zelfs zo goed verstopt dat je er alleen naar gaat kijken als je echt mail mist en zelfs dan zie je alles in plain-text en met alle informatie waarom zij het foute boel vinden zodat je dat ook kunt teruggeven als je vragen krijgt erover. En op m'n werk moet ik serieus de IT helpdesk bellen om erin te kunnen kijken.

Waarom? Omdat het niet voor niets in je spambox staat. Zie het als een bak vol afval, daar ga je niet in graaien.

Het is aan verzenders om te zorgen dat hun legitieme e-mail daar niet komt en aan jouw provider om de filtering zo goed te krijgen dat dit ook zo werkt. En bv. gmail heeft het ook echt zo goed voor elkaar dat dat ook gewoon de werkelijkheid is.

*) na een korte periode waarin je het adres in gebruik neemt of tenzij je echt weet dat je iets had moeten ontvangen en het niet hebt (en je dus aanleiding hebt even heel voorzichtig in je afvalzak te kijken of daar je speelgoedje niet in is gegaan, maar maak vooral je handen niet vies).
25-06-2021, 18:48 door Anoniem
Ik heb al tijden niet meer gekeken hoe technisch netjes spam mail eruit ziet - maar historisch was het vaak prutswerk .
Ik zou niet vreemd opkijken van botweg een DKIM header kopiëren - of de mail uit-relayen op een manier die DKIM kapot maakt.

Het is jarenlang zo geweest dat spammers - met name de spammers die via 'wingames' e.d. aan adressen komen - vaker DKIM gebruikte dan legitieme verzenders. In de VS zijn dat soort spammers de grootste. Botnetspammers doen niet aan DKIM. Soms vind je DKIM als open mailers worden misbruikt. En natuurlijk spammers die via Google spammen.

DKIM is geen onderscheidend middel voor spam. DKIM gecombineerd met een nieuw domein was en is juist een sterk spamsignaal.
25-06-2021, 22:59 door Briolet - Bijgewerkt: 25-06-2021, 23:00
Door Anoniem: DKIM is geen onderscheidend middel voor spam. DKIM gecombineerd met een nieuw domein was en is juist een sterk spamsignaal.

Klopt. Bij ons draait Spamassassin als spam scanner en die geeft b.v. voor een recent mailtje van de Hanos:

0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily valid
0.1 DKIM_INVALID DKIM or DK signature exists, but is not valid

De aanwezigheid van DKIM handtekening verhoogt daar juist de spamscore met 0.1 punt. Wat me wel steeds verbaast is dat ook een ongeldige DKIM bijna geen verhogend effect heeft op de spamscore. De DKIM is overigens wel geldig, maar er zit hier een bug in het gebruikte mailserver pakket. Het pakket verwijderd trackingpixels en roept daarna spamassassin aan die de DKIM check herhaalt als onderdeel van de spamcheck.
26-06-2021, 10:18 door Anoniem
Door Briolet:Wat me wel steeds verbaast is dat ook een ongeldige DKIM bijna geen verhogend effect heeft op de spamscore.
Waarom verbaast je dat? DKIM en SPAM hebben NIKS met elkaar te maken, het zijn orthogonale aspecten.
DKIM is voor het beveiligen tegen spoofing en om te voorkomen dat mail onderweg kan worden aangepast, en die functie vervult het goed blijkt wel (een programma wat zit te harken in de mailbody wordt betrapt).
Een foute DKIM signature moet niet de spamscore beinvloeden maar een signaal geven in het mailprogramma dat de mail wellicht vervalst is, wat de bekende (web)mailprogramma's ook inderdaad doen.
26-06-2021, 22:07 door Briolet
Door Anoniem:
Door Briolet:Wat me wel steeds verbaast is dat ook een ongeldige DKIM bijna geen verhogend effect heeft op de spamscore.
Waarom verbaast je dat? DKIM en SPAM hebben NIKS met elkaar te maken, het zijn orthogonale aspecten.…

Je hebt gelijk dat er geen echte reden is waarom het zwaar als spam moet meetellen. Maar terug naar het startbericht. De verklaring van KPN dat de mails als spam aangemerkt worden, is juist de foute DKIM.
27-06-2021, 13:01 door Anoniem
Door Briolet: Maar terug naar het startbericht. De verklaring van KPN dat de mails als spam aangemerkt worden, is juist de foute DKIM.
Daar gaan we nooit achterkomen, want de vraagsteller heeft zich niet meer gemeld en we gaan alleen af op vermoedens.
30-06-2021, 11:29 door Briolet
Door Briolet: Ik had een jaar of 5 geleden zelfs de ervaring dat de Ziggo mailserver dergelijke mail ook op serverniveau weigert.

Ik begon toch te twijfelen aan mijn bewering omdat ik recentelijk een mail op het Ziggo account binnen kreeg met defecte DKIM. Ik had nu nog eens de forward aangezet van 5 jaar geleden, waarbij ik weet dat de DKIM stuk gaat, en nu het log uitgebreid bestudeerd.

postfix/cleanup[19226]: 26097B5DBA: to=<xxx@ziggo.nl>, relay=none, delay=0.52, delays=0.52/0/0/0, dsn=5.7.0, status=bounced (bad DKIM signature data)

Ik ben blijkbaar op het verkeerde been gezet door de 'bounced' status. In het log vind ik niet terug dat er een verbinding richting Ziggo opgezet wordt. Het is ook het 'cleanup' proces en niet het 'smtp' proces dat dit logt. Het is dus puur de eigen mailserver die het forwarden met de foute DKIM blokkeert.
30-06-2021, 15:22 door Anoniem
Vraag is dit een smoesje van KPN

Onmogelijke vraag om te beantwoorden, aan mensen op een forum. Je vraagt mensen om koffie dik te kijken. Immers ontbreekt iedere informatie, op basis waarvan je deze vraag inhoudelijk kan beantwoorden.
09-07-2021, 09:57 door kees jansen - Bijgewerkt: 09-07-2021, 09:58
kpn doet dit goed, das veiligheid wat het systeem doet.
gewoon af en toe je ongewenste berichten lezen en de goede als niet onveilig aanvinken.
Ik had in uw geval mijn energie niet erin gestopt door te mailen naar kpn .
11-09-2021, 15:50 door Anoniem
Zelfs de eigen nieuwsbrief van KPN wordt gezien als spam. Het spamfilter werkt gewoon niet goed. Van KPN verwacht je kwaliteit, het huidige spamfilter ziet te veel reguliere mail als spam. Zelfs hun eigen nieuwsbrief komt automatisch in de spamfolder. Dit is geen werken zo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.