Mail geweigerd van aantal afzenders.

[vangolen]

Hallo,

Al eniger tijd heb ik een probleem met inkomende mail van verschillende afzenders.
Soms is een heel domein dat geweigerd wordt, anders alleen een enkel mail adres.
Heel veel mail gaat wel goed.
De afzenders zijn verschillend, veel grote bedrijven en andere klein (Technische Unie, Strukton, VolkerWessels enz)
Zowel van de grote als de kleine lokale bedrijfjes krijgen de melding dat de mail niet afgeleverd kan worden omdat het adres niet gevalideerd kan worden (weet ik niet zeker, ik heb dit alleen gehoord)

Mailserver is ingesteld dmv van mx records en heeft SPF en DKIM ingesteld staan
Volgens onze hoster zouden de instellingen goed staan.
DKIM mail._domainkey.mijnwebsite.nl

Als ik DMARC inschakel, komt er bijna geen mail meer binnen.

Het gaat om 1 domein met ca 20 mail adressen.
Alle adressen hebben hier last van.

NAS is een RS815+ met de laatste updates.
We gebruiken mailserver 1.5 en ik zag dat er weer een update is, maar die zal de oplossing niet bieden ben ik bang.

is er iemand die hier ervaring mee heeft en mij kan helpen die settings goed te krijgen, of moet ik weer overschakelen naar POP bussen (niet wenselijk ivm bereikbaarheid bedrijf)?

Alvast bedankt

André

[Karel050]

Als je Mailserver SPF controles uitvoert weigert hij mail van bedrijven die dat niet goed ingeregeld hebben.

Dan kan jij daar niets aan doen.

Probeer eens een melding van een mail te krijgen van iemand die je niet kan mailen (bijvoorbeeld door die foutmelding naar privé adres van je te laten sturen of een ander email adres waar ze die fout niet krijgen. Als het goed is staat in die foutmelding duidelijk waarom het fout gaat.

[Briolet]

Volgens onze hoster zouden de instellingen goed staan.
DKIM mail._domainkey.mijnwebsite.nl

Die hoster heeft er dan weinig verstand van, want hij had moeten weten dat dit nooit relevant kan zijn voor inkomende mail.

Het zal er meer aan liggen dat dat de afzender iets niet goed heeft staan

Code: [Selecteer]

Als ik DMARC inschakel, komt er bijna geen mail meer binnen.
Ook dit kan eigenlijk alleen aan de afzender liggen die een foutief DMARC protocol ingesteld heeft.
O

[Ds211]

gaat alle mail direct naar de nas toe en niet eerst via een andere server zoals Bv je hoster heb je zelf een spamfilter draaien
En idd wat jij met je dns doet heeft in deze geen invloed
Maar jij zou zelf ook op een zwarte lijst kunnen staan omdat je Bv een dynamisch IP-adres hebt dus blijft de mail al in de spamfilter van de zender hangen

[vangolen]

Dank allen voor de snelle reacties.

De mail komt direct binnen op de NAS, filteren doet de RS815+ zelf.
Die filter werkt wel, staat op de default zoals deze aanwezig was bij installatie (alleen actief gevinkt).
Als ik het spamfilter uitschakel, dan komt er zoveel zooi binnen, maar nog steeds niet de mails waar ik op gehoopt had.

Dat onze hoster er geen verstand van heeft, snap ik ook, daarom zullen we snel op zoek gaan naar een nieuwe die wel mee denkt.

Zodra ik een mail heb weten te bemachtigen, post ik deze.

 

[Briolet]

Heb je ook al in het interne log van de nas gekeken, via putty, op: /volume1/@maillog/maillog ?

Ik heb b.v. een klant die ook geen mail kan afleveren. In het log staat dan:

Apr 22 13:27:01 GedeeldeData postfix/cleanup[17188]: C21736442: milter-reject: END-OF-MESSAGE from mailsec109.isp.belgacom.be[195.238.20.105]: 5.7.0 DKIM signature processing failed; from=

Ik ga er van uit dat zij hun DKIM niet goed geconfigureerd hebben. In elk geval gebruiken zij tegenwoordig altijd mijn externe mailadres zodat ik niet weet of hun mail-provider het probleem opgelost heeft.
(EDIT: Zij hebben het nog niet opgelost. Mijn externe provider controleert geen DKIM, maar als ik hun recente mail via het mailprogramma thunderbird controleer, zegt thunderbird ook hun  DKIM ongeldig is.)

Ik heb ook een week of zo dat apple mail bouncede wegens verkeerde DKIM/DMARC instellingen. Daar heeft apple binnen een paar dagen zijn mail aangepast. In elk geval vind je zulke zaken in dat log terug.

[vangolen]

Zoals beloofd, een reactie uit de mailserver naar de klant toe:

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

       gebruiker@mijnwebsite.nl

Voor wat betreft putty, hier zal ik zsm naar gaan kijken.
Kan alleen in het pand waar de NAS staat (lokaal) ivm veiligheid.

[Karel050]

Ik neem aan dat er iets meer staat in die mail ;-)

Zoals de reden waarom etc.

zo niet dan kan je er niets mee. Heb nog nooit zo'n sumiere melding gezien ;-)

[vangolen]

Hallo Karel,

Dat is juist het vreemde, de gehele text heb ik gekopieerd, alleen email veranderd, maar dat moge duidelijk zijn  .

Wel heb ik inmiddels een nieuwe mail voorbij zien komen met onderin een mailto:gebruiker@mijnwebsite.nl met daarnaast een waarschuwing.
Dat is voor het eerst, dus dit moet ik ook nog eens bekijken.
Ik zal ook hier een snappie van maken morgen als ik kantoor ben.

[Briolet]

Ik zou ook in de header van de mail kijken. Dan kun je tenminste zien wie deze mail gegenereerd heeft. De mail lijkt me niet door de nas aangemaakt, maar door de mailserver van de verzender, die afleverproblemen heeft.

[Karel050]

En anders zou ik eerst de twee beveiligingen uit schakelen, (....heeft SPF en DKIM ingesteld staan).

Ik heb geen ervaring met DKIM, maar wel met SPF, dat werkt mooi, behalve in 1 situatie (verzenden van mailing vanaf een steeds variërend IP adres), maar in dat geval krijg ik daarover een duidelijke foutmelding. En het gaat maar fout bij 1% van de geadresseerden.

SPF is leuk, maar niet als je daardoor mail mist. (DKIM heb ik geen ervaring mee).

[vangolen]

Hallo Briolet,

De mail zo retour kwam van live.nl heb ik begrepen, maar volgens mij doet M$ daar best meer info bij stoppen.

Ik zal de header eens nazien morgen, bedankt voor zover

[Briolet]

…maar wel met SPF, dat werkt mooi, behalve in 1 situatie (verzenden van mailing vanaf een steeds variërend IP adres),…

Ook dan werkt SPF perfect, zoals het bedoeld is. Als het bounced, heeft de mailing verzender zijn zaakje niet op orde. 

Het is wel jammer dat je bij mailserver niet kunt kiezen om de mail bij een falend SPF in de spamforder te plaatsen. Nu bounced het altijd. Dat is soms vervelend als je mail wilt forwarden. Als geforwarde mail een SPF record heeft, zal deze mail ook bouncen. Ik forward daarom al nooit meer in mijn externe accounts, maar haal de mail op via POP3.

[Karel050]

@Briolet ik weet het, een zakelijke mailserver van KPN wisselt soms van IP adres, is gezien de terugkomende mail behapbaar, en nooit weer iets bij KPN

Maar merk dan dat van onze klanten maar iets van 1% kijkt of het IP adres bij het domein past.

[Briolet]

kpn.com heeft het volgende SPF record: "v=spf1 ?all"

Effectief is dat gelijk aan geen spf omdat deze elk IP adres accepteert. Persoonlijk vind ik dit een slechte zaak in bestrijding van mailmisbruik. Ziggo heeft gewoon een range van alle IP adressen die ze voor mail gebruiken, incl die van een aantal externe mailing organisaties.  Ze moeten dit record dan wel zelf bijhouden, als ze IP adressen veranderen, maar het limiteert misbruik. Zelf loopt mijn mail altijd via hetzelfde IP adres van ziggo. Maar omdat ziggo niet garandeert dat alles altijd via dat IP gaat, gebruik ik ook gewoon een 'include:ziggo.nl' statement in mijn SPF record.

In elk geval hoeft je mail niet op spf te bouncen als je dit goed definieert. Maar misbruik moet wel bouncen, dus een te vrijblijvende IP range, zoals kpn gebruikt, is ook niet goed.