/dev/null - Overig

Gmail SPF of DKIM

27-12-2022, 13:02 door Anoniem, 16 reacties
https://support.google.com/mail/answer/81126?hl=en&ref_topic=7279058#auth-reqs
Important: Starting November 2022, new senders who send email to personal Gmail accounts must set up either SPF or DKIM. Google performs random checks on new sender messages to personal Gmail accounts to verify they’re authenticated. Messages without at least one of these authentication methods will be rejected or marked as spam. This requirement doesn’t apply to you if you’re an existing sender. However, we recommend you always set up SPF and DKIM to protect your organization’s email and to support future authentication requirements.

Ik was wat anders over Gmail aan het opzoeken, toen ik op deze support pagina kwam.

Ik begrijp het niet helemaal. Als SPF of DKIM op je mail toegepast worden, dan is het goed. Als het niet zo is kan je mail aangemerkt worden als spam of rejected worden. Ook kan de reputatie van mijn IP adres slechter worden bij Google. Dit wil ik natuurlijk niet.

Mijn situatie is dat ik een heel oude mailprovider heb voor een heel oud e-mail adres. Maar deze stuur ik via de mailservers van KPN (waar ik klant ben). Ik zie er DKIM op staan als ik naar mijzelf stuur, maar ik lees geen DKIM (daar bestaat wel een plugin voor in Thunderbird geloof ik).

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=kpnmail.nl; s=kpnmail01;
h=content-type:subject:from:to:mime-version:date:message-id;
bh=p[knip]k=;
b=i[knip]Q=

Ik gebruik dit oude adres om mail te versturen naar e-mail (gmail) adressen waar ik niet zo veel vertrouwen in heb dat ze goed beveiligd zijn. Als ik daardoor spam krijg is het niet zo'n probleem want het is toch een heel oud adres van mij. Mijn IP adres is natuurlijk wel zichtbaar in de headers van mijn mail.

Dus:
- Komt deze mail van mijn oude adres aan bij gmail?
- Maakt het uit als SPF en/of DKIM mislukt bij de ontvanger omdat ik smtp.kpnmail.nl gebruik? Of gaat het er alleen om dat SPF en/of DKIM bij kpnmail gebruikt worden, wat de uitkomst daarvan ook is?

Ik gebruik de SMTP server van de oude e-mail van mij niet omdat ik daar niet per ongeluk mee wil verzenden voor mijn belangrijke mail. Ik heb ook niet veel vertrouwen in die server (daarom noem ik deze ook niet). Ze zijn al een keer gehackt in het verleden.
Reacties (16)
27-12-2022, 14:00 door Briolet - Bijgewerkt: 27-12-2022, 14:02
…een heel oud e-mail adres. Maar deze stuur ik via de mailservers van KPN (waar ik klant ben).

In dit geval plaatst je kpn mailserver de dkim ondertekening en ze gebruiken een spf die naar hun server wijst. Het is dan wel geen dkim/spf die het domein van jouw oude emailadres beschermt, maar dat vraagt GMAIL niet, want anders hadden ze wel geschreven dat de mail ook een geldige dmarc authenticatie moet hebben.

Zoals het bij jou werkt, zal het geldig zijn.
27-12-2022, 14:34 door Anoniem
Mijn ervaring met Gmail is dat de mail van "new senders" vaak de spambak in gaat.
Dwz mail van jouw adres naar een @gmail adres gaat de 1e keer de spambak in.
Stuur je dezelfde mail nog een keer (al is het een minuut later) dan komt die wel door.
Dit heeft niets te maken met je reputatie, je gebruik van SPF, DMARC, DKIM of whatever, het is puur dat "new sender".
En het geld voor iedere sender-receiver combinatie, dwz zelfs als je al hele mail conversaties met talloze gmail gebruikers
gehad hebt en je stuurt dan een mail naar een gmail gebruiker die je nog niet eerder gemaild hebt dan is het standaard spam.

Sterker nog: zelfs als die mail een reply is op een mail die dezelfde gebruiker kort daarvoor aan jou gestuurd heeft!
Dus er is ook geen auto-whitelist van uitgaande adressen ofzo.
28-12-2022, 11:37 door Anoniem
@Briolet: Ik geloof dat mijn oude mailserver softfail heeft voor SPF. Op een of andere manier heb ik nslookup gemold in Windows 10 dus ik kan het niet controleren nu. Misschien komt de DMARC verplichting over een half jaar of zo, en willen ze nu zeker weten dat DKIM/SPF overal werkt.

@14:34: Toen ik de oude e-mail gebruikte bij een gmail ontvanger, kreeg ik soms reacties terug waarin mijn tijd was aangepast. Bijvoorbeeld 15 minuten na het werkelijke verzenden door mij. Dit is nu niet meer zo lijkt het. Misschien omdat ik al zo vaak gemaild heb met die persoon.

Het moet een gigantische database zijn bij Google, van wie met wie mailt voor het eerst. Ik heb daar wel eens de formule voor geweten, voor een volledig verbonden graaf. https://nl.wikipedia.org/wiki/Grafentheorie#Volledige_graaf

TS
28-12-2022, 13:13 door Briolet
Door Anoniem: @Briolet: Ik geloof dat mijn oude mailserver softfail heeft voor SPF.

Als je via kpn verstuurt en het domein van het oude mailadres gecontroleerd wordt, zal dat dan een softfail geven bij elke mail. Een softfail komt zo vaak voor dat er zelden op geblokt wordt en het slechts heel beperkt meetelt in een spamscore.
De formele methode is om de smtp server van kpn in het spf record op te nemen. Maar waarschijnlijk heb jij daar geen toegag toe.

Onze mailserver stuurt alles via de ziggo servers de deur uit. Die staan dus ook in ons spf record via een include statement
28-12-2022, 14:06 door Anoniem
Door Anoniem:
Het moet een gigantische database zijn bij Google, van wie met wie mailt voor het eerst. Ik heb daar wel eens de formule voor geweten, voor een volledig verbonden graaf. https://nl.wikipedia.org/wiki/Grafentheorie#Volledige_graaf

TS

De reden dat Google die Gmail dienst in de lucht houdt en gratis aanbiedt aan individuele gebruikers is juist dat men
die database (graph) wil construeren. Wie heeft er contact met wie. Dat kunnen ze weer in allerlei andere context
gebruiken om data mee te verrijken. Dus zullen ze er niet mee zitten dat ie groot is, dat is gewoon part of the game.
28-12-2022, 14:52 door Anoniem
Gmail test op spf en heeft zelf geen
28-12-2022, 15:47 door Anoniem
Door Anoniem: Gmail test op spf en heeft zelf geen

Huh? Hoe kom je daar nou bij?

https://mxtoolbox.com/SuperTool.aspx?action=spf%3agmail.com&run=toolpage
31-12-2022, 13:32 door Anoniem
~all is geen
Door Anoniem:
Door Anoniem: Gmail test op spf en heeft zelf geen

Huh? Hoe kom je daar nou bij?

https://mxtoolbox.com/SuperTool.aspx?action=spf%3agmail.com&run=toolpage

~all is geen. Dat krijg je als je niet nadenkt en tools gebruikt van een ander terwijl je het lokaal zelf sneller en beter kan testen.
01-01-2023, 14:35 door Anoniem
~all betekent dat er wel wordt gerapporteerd als DMARC aan staat en laat dat nou het geval zijn…
01-01-2023, 21:33 door Anoniem
~all betekent dat als de andere regels niets opleveren, automatisch softfail van toepassing is.
-all is hetzelfde, maar dan met fail in plaats van softfail.

Uit RFC 4408:
4.6.2. Mechanisms

Each mechanism is considered in turn from left to right. If there
are no more mechanisms, the result is specified in Section 4.7.

When a mechanism is evaluated, one of three things can happen: it can
match, not match, or throw an exception.

If it matches, processing ends and the qualifier value is returned as
the result of that record. If it does not match, processing
continues with the next mechanism. If it throws an exception,
mechanism processing ends and the exception value is returned.

The possible qualifiers, and the results they return are as follows:

"+" Pass
"-" Fail
"~" SoftFail
"?" Neutral

The qualifier is optional and defaults to "+".

When a mechanism matches and the qualifier is "-", then a "Fail"
result is returned and the explanation string is computed as
described in Section 6.2.

The specific mechanisms are described in Section 5.

TS
04-01-2023, 10:29 door Anoniem
Door Anoniem: ~all betekent dat als de andere regels niets opleveren, automatisch softfail van toepassing is.
-all is hetzelfde, maar dan met fail in plaats van softfail.

Uit RFC 4408:
4.6.2. Mechanisms

Each mechanism is considered in turn from left to right. If there
are no more mechanisms, the result is specified in Section 4.7.

When a mechanism is evaluated, one of three things can happen: it can
match, not match, or throw an exception.

If it matches, processing ends and the qualifier value is returned as
the result of that record. If it does not match, processing
continues with the next mechanism. If it throws an exception,
mechanism processing ends and the exception value is returned.

The possible qualifiers, and the results they return are as follows:

"+" Pass
"-" Fail
"~" SoftFail
"?" Neutral

The qualifier is optional and defaults to "+".

When a mechanism matches and the qualifier is "-", then a "Fail"
result is returned and the explanation string is computed as
described in Section 6.2.

The specific mechanisms are described in Section 5.

TS

En?

Ja dus ~all betekend email vanuit xxxxx@gmail.com verstuurd vanuit een spam cloud wordt doorgelaten, -all wordt geweigerd.

~all is een "ik weet niet precies hoe mijn eigen infrastructuur gedefinieerd is" instelling.
04-01-2023, 10:33 door Anoniem
Door Anoniem: ~all betekent dat er wel wordt gerapporteerd als DMARC aan staat en laat dat nou het geval zijn…

Dus volgens jou is bij alle ontvangende mailservers op het internet dmarc validatie aktief?

:D :D :D

spf is spf, ~all is de optie "ik weet eigenlijk niet hoe het hier allemaal geconfigureerd is"
04-01-2023, 11:48 door Anoniem
Door Anoniem:
Door Anoniem: ~all betekent dat er wel wordt gerapporteerd als DMARC aan staat en laat dat nou het geval zijn…

Dus volgens jou is bij alle ontvangende mailservers op het internet dmarc validatie aktief?

:D :D :D

spf is spf, ~all is de optie "ik weet eigenlijk niet hoe het hier allemaal geconfigureerd is"

Beter lezen: dat is een optie bij DMARC. En ja, waar het aan staat wordt een delivery report gemaakt. Verdiep je eens in DMARC, je kunt een hoop nuttigs leren. Zeker voor google is het een erg handige optie om te zien wat er allemaal met hun email gebeurt. Ik heb het ook aan staan op mijn eigen mail server. :P :P :P
04-01-2023, 12:54 door Anoniem
Door Anoniem: En?

Ja dus ~all betekend email vanuit xxxxx@gmail.com verstuurd vanuit een spam cloud wordt doorgelaten, -all wordt geweigerd.

~all is een "ik weet niet precies hoe mijn eigen infrastructuur gedefinieerd is" instelling.

Dat hangt helemaal van de ontvanger af. Uit RFC 7208 (dat is de opvolger van 4408):
8.5. Softfail

A "softfail" result ought to be treated as somewhere between "fail"
and "neutral"/"none". The ADMD believes the host is not authorized
but is not willing to make a strong policy statement. Receiving
software SHOULD NOT reject the message based solely on this result,
but MAY subject the message to closer scrutiny than normal.

The ADMD wants to discourage the use of this host and thus desires
limited feedback when a "softfail" result occurs. For example, the
recipient's MUA could highlight the "softfail" status, or the
receiving MTA could give the sender a message using greylisting
[RFC6647], with a note the first time the message is received, but
accept it on a later attempt based on receiver policy.

TS
04-01-2023, 22:26 door Briolet
Door Anoniem:~all is geen. Dat krijg je als je niet nadenkt en ...

De pot verwijt de ketel dat ie zwart ziet. De ene kan niet nadenken, de andere maar half schrijven.

Ik kan nu alleen maar aannemen dat je 'geen policy' bedoelt. En daar heb je ongelijk in. Ook een 'soft fail' instelling is een policy.

Wat GMail (en veel andere mailservers) doet is alleen kijken of er een spf policy gedefinieerd is. Of er een sterke policy gedefinieerd is, doet er hier niet toe. Vanwege de eis van veel mailservers van de aanwezigheid van een policy worden daarom dan maar de zwakke policy's toegepast.
05-01-2023, 15:29 door Anoniem
Door Briolet:
Wat GMail (en veel andere mailservers) doet is alleen kijken of er een spf policy gedefinieerd is. Of er een sterke policy gedefinieerd is, doet er hier niet toe. Vanwege de eis van veel mailservers van de aanwezigheid van een policy worden daarom dan maar de zwakke policy's toegepast.

Ja vandaag. Maar morgen kan Gmail dat beleid weer gewoon aangepast hebben en ineens een sterke SPF policy eisen.
Zo rolt het bij dat soort providers. Eisen worden opgelegd en wie er niet aan voldoet die stuurt maar geen mail. Gebruikers
lopen toch niet weg dus dit kan best.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.