Webmail

Kies je webmail

Omdat ZeelandNet ook DELTA webmail aanbiedt, vragen we je eenmalig je voorkeur op te geven.

Aankondiging

Samenvouwen
Nog geen aankondiging.

Forward mail naar Delta wordt geblocked

Samenvouwen
X
 
  • Filter
  • Tijd
  • Toon
Alles wissen
nieuwe berichten

  • Forward mail naar Delta wordt geblocked

    Mail die via een tussenliggende forwarder naar een mailbox bij Delta gestuurd wordt, wordt geblocked door de mailservers van Zeelandnet:

    (host mx1.zeelandnet.nl[217.102.255.205] said: 451-172.104.234.72 is not yet authorized to deliver mail from 451 <[email protected]> to <[email protected]>. Please try later. (in reply to RCPT TO command))

    Dit geldt voor alle bron domeinen die ik heb kunnen testen inclusief mail van Gmail en O365.
    De forwarder doet een simpele To: rewrite. Dit zal de SFP check doen falen want het IP van de forwarder is niet geauthoriseerd in het SPF record van het verzendende domain. DKIM validatie blijft echter in tact. DMARC validatie moet daarom Pass geven (SPF en/of DKIM moet slagen om DMARC te doen slagen).

    Exact dezelfde forward constructie naar eindbestemmingen bij Ziggo, Gmail, O365, ProtonMail etc. werkt prima. Het lijkt er dus op dat Delta zich strenger opstelt dan de DMARC standaard voorschrijft. Dit is behoorlijk belemmerend voor de migratie naar Delta.

    Als een mailadmin hier mee kijkt, zou je hier eens in kunnen duiken?

  • #2
    Volgens mij heeft een delta.nl mailadres helemaal geen DMARC mogelijkheid.

    Dat wordt helemaal niet gebruikt door delta/zeelandnet.

    https://internet.nl/mail/delta.nl/
    Laatst bewerkt door driepinter; 27 Nov 2022, 14:19.

    Reageer


    • #3
      Oorspronkelijk gepost door RCS42 Bekijk bericht
      Als een mailadmin hier mee kijkt, zou je hier eens in kunnen duiken?
      Scenario 1
      Er gaat hier iets fout:
      host mx1.zeelandnet.nl[217.102.255.205] said: 451-172.104.234.72 is not yet authorized to deliver mail from 451 <[email protected]> to <[email protected]>. Please try later. (in reply to RCPT TO command))

      Je stuurt e-mail uit via Linode (451-172.104.234.72). Dat is geen Gmail server. Zeelandnet ziet dat dus als een relay en blockt je e-mail. Check de/je linode server of je lokale mailclient (Gmail e-mail altijd versturen via Gmail SMTP servers).

      Scenario 2:
      Het handmatig forwarden van een Gmail e-mail (als bijlage) via een Linode account kan false-positives veroorzaken omdat elke goede mailserver naast de headers van het bericht, ook naar de inhoud van een e-mail kijkt (bijlages zijn onderdeel van die e-mail).
      Laatst bewerkt door Webkabouter; 27 Nov 2022, 14:20.
      Met twee voeten aan de grond kom je geen stap verder...

      Reageer


      • #4
        Oorspronkelijk gepost door driepinter Bekijk bericht
        Volgens mij heeft een delta.nl mailadres helemaal geen DMARC mogelijkheid.

        Dat wordt helemaal niet gebruikt door delta/zeelandnet.

        https://internet.nl/mail/delta.nl/
        Bedankt voor het meedenken. Je suggestie is echter niet relevant. internet.nl test op een DMARC policy voor uitgaande mail zoals gepubliceerd in de DNS. Het gaat hier echter om inkomende mail. Of daar een DMARC check gedaan wordt kun je aan de buitenkant niet zien. Je zou het wel kunnen zien aan de headers van een daadwerkelijk ontvangen mail. Daarin zie ja aan de Authentication-Results header dat DMARC validatie wel gedaan wordt. Vandaar de vraag aan de mailadmin

        Reageer


        • #5
          Oorspronkelijk gepost door Webkabouter Bekijk bericht

          Scenario 1
          Er gaat hier iets fout:
          host mx1.zeelandnet.nl[217.102.255.205] said: 451-172.104.234.72 is not yet authorized to deliver mail from 451 <[email protected]> to <[email protected]>. Please try later. (in reply to RCPT TO command))

          Je stuurt e-mail uit via Linode (451-172.104.234.72). Dat is geen Gmail server. Zeelandnet ziet dat dus als een relay en blockt je e-mail. Check de/je linode server of je lokale mailclient (Gmail e-mail altijd versturen via Gmail SMTP servers).

          Scenario 2:
          Het handmatig forwarden van een Gmail e-mail (als bijlage) via een Linode account kan false-positives veroorzaken omdat elke goede mailserver naast de headers van het bericht, ook naar de inhoud van een e-mail kijkt (bijlages zijn onderdeel van die e-mail).
          Bedankt voor het meedenken. Je hebt alleen het scenario niet helemaal helder voor ogen ben ik bang. Mailreay door het rewriten van de enveloppe from header is prima mogelijk, mits de ontvangende mailserver DMARC goed implementeert. Dat lijkt bij Delta niet het geval. De scenario's die je beschrijft zijn niet van toepassing.

          De vraag is aan de community of andere mailadmins dit gedrag herkennen, en de vraag aan een mailadmin van Delta om hier eens in te duiken.

          Reageer


          • #6
            Oorspronkelijk gepost door RCS42 Bekijk bericht

            Bedankt voor het meedenken. Je hebt alleen het scenario niet helemaal helder voor ogen ben ik bang. Mailreay door het rewriten van de enveloppe from header is prima mogelijk, mits de ontvangende mailserver DMARC goed implementeert. Dat lijkt bij Delta niet het geval. De scenario's die je beschrijft zijn niet van toepassing.

            De vraag is aan de community of andere mailadmins dit gedrag herkennen, en de vraag aan een mailadmin van Delta om hier eens in te duiken.
            Tot je dienst maar dit is een klantenforum, admins komen hier enkel bij toeval. Je bereikt (mail)admins sneller via de klantenservice of [email protected]
            Afgezien daarvan heb ik nog niet vaak succes geboekt met het voor schut zetten van mensen die willen helpen

            Reageer


            • #7
              Oorspronkelijk gepost door Koeba Bekijk bericht

              Tot je dienst maar dit is een klantenforum, admins komen hier enkel bij toeval. Je bereikt (mail)admins sneller via de klantenservice of [email protected]
              Afgezien daarvan heb ik nog niet vaak succes geboekt met het voor schut zetten van mensen die willen helpen
              tx. Bladerend door het form kreeg ik al het idee dat er weinig (geen?) Delta medewerkers actief zijn hier. Maar had stiekem toch de hoop dat er net als bij xs4all destijds medewerkers meekijken om de community te peilen en wellicht interessante topics intern door te zetten. Ik zal het nogmaals via de klantenservice proberen, maar die route is tot dusver weinig succesvol.

              btw, niemand staat voor schut. Elke reactie wordt gewaardeerd, maar als er onwaarheden in staan of de case wordt verkeerd geïnterpreteerd, dan is een reactie uit respect op zijn plaats. Dat heet een dialoog

              Reageer


              • #8
                @RCS42 Voor vragen over e-mail kun je terecht bij de klantenservice van DELTA. We verlenen via dit forum geen support. Dit is puur een klant-helpt-klant forum.

                Reageer


                • #9
                  Je probleem is volgens mij dat je tegen greylisting aanloopt en dat je mailserver de mail daarna waarschijnlijk niet nogmaals aanbiedt. Daarnaast zal mail welke vanaf een Linode IP adres komt en een from adres [email protected] zeer waarschijnlijk ook op SPF checks gaan falen aangezien dat Linode IP niet in de SPF records van gmail.com staan.

                  Reageer


                  • #10
                    Degene die de mail doorstuurt moet de headers 'herschrijven' oftewel rewriten, om te voorkomen dat de volgende partij (Delta in dit geval) het bericht weigert.
                    Ik heb ditzelfde probleem bij Antagonist gehad.

                    Zie ook https://forums.cpanel.net/threads/ho...emails.567451/

                    Reageer


                    • #11
                      Oorspronkelijk gepost door Jeroen Bekijk bericht
                      @RCS42 Voor vragen over e-mail kun je terecht bij de klantenservice van DELTA. We verlenen via dit forum geen support. Dit is puur een klant-helpt-klant forum.
                      Bedankt Jeroen voor de bevestiging. De klantenservice had geen idee en verwees me door naar de zakelijke servicedesk. Die is alleen nogal onbereikbaar vooralsnog, maar ik zal het nogmaals proberen.

                      Reageer


                      • #12
                        Oorspronkelijk gepost door Deuntje Bekijk bericht
                        Je probleem is volgens mij dat je tegen greylisting aanloopt en dat je mailserver de mail daarna waarschijnlijk niet nogmaals aanbiedt. Daarnaast zal mail welke vanaf een Linode IP adres komt en een from adres [email protected] zeer waarschijnlijk ook op SPF checks gaan falen aangezien dat Linode IP niet in de SPF records van gmail.com staan.
                        Deuntje , dit lijkt idd op greylisting. De forwarder probeert de mail nog een paar keer af te leveren vanuit de defered queue, maar telkens met hetzelfde resultaat. SPF failt absoluut (by design). Dat is ook waarom SPF op zichzelf niet voldoet als anti-spam control en additionele controls nodig zijn zoals DKIM, DMARC en meer recent ARC. Met name die laatste moet alle problemen met forwarding en voorwal mailinglists oplossen is de belofte. Helaas is het nog niet overal geïmplementeerd. Bij Delta ook niet lijkt, gezien het afwijkende gedrag van andere grote mail providers (Gmail, Ziggo etc).

                        Reageer


                        • #13
                          Oorspronkelijk gepost door GoeRoe Bekijk bericht
                          Degene die de mail doorstuurt moet de headers 'herschrijven' oftewel rewriten, om te voorkomen dat de volgende partij (Delta in dit geval) het bericht weigert.
                          Ik heb ditzelfde probleem bij Antagonist gehad.

                          Zie ook https://forums.cpanel.net/threads/ho...emails.567451/
                          Bedankt GoeRoe . De link die je geeft beschrijft idd keurig het probleem. Er zijn op het Internet ontelbaar veel van dit soort cases te vinden. Zoals een comment op het cPanel forum uit je link ook zegt lijkt er niet een standaard 'out of the box' oplossing te zijn. Verzenders (en forwarders, mailingslist ops e.d.) zijn dus afhankelijk van de policy van de ontvanger, maar daar hebben we helaas geen invloed op of inzicht in. ARC zou in de toekomst veel van deze problemen kunnen oplossen, maar vooralsnog is dat niet breed geïmplementeerd.

                          Ben je benieuwd naar je oplossing. Kun je die op hoofdlijnen delen?

                          Voor wie er meer over wil weten; de IP Journal heeft veel artikelen over dit probleem. bv deze: https://ipj.dreamhosters.com/wp-cont...07/231-ipj.pdf

                          Reageer


                          • #14
                            Het probleem is vooralsnog 'opgelost' (omzeild eigenlijk) door de forwarder alles te laten relayen via authenticated SMTP naar Delta. Dus ook mail met andere eindbestemmingen dan Delta. Dit is geen constructie die je zou moeten willen, maar het kan vooralsnog niet anders gezien de niet-standaard Delta policy op normale SMTP. Tijdelijk (hopelijk) totdat er een meer structurele oplossing is.

                            Bedankt voor jullie reacties en meedenken.

                            Reageer


                            • #15
                              Oorspronkelijk gepost door RCS42 Bekijk bericht
                              Dit is geen constructie die je zou moeten willen, maar het kan vooralsnog niet anders gezien de niet-standaard Delta policy op normale SMTP. Tijdelijk (hopelijk) totdat er een meer structurele oplossing is
                              Fijn dat het is opgelost. We denken maar mee met z'n allen.

                              De meest structurele oplossing is volgens mij toch authenticated SMTP omdat daar de hele validatieprocedure mee begint. DMARK, SPF en DKIM is voor server-2-server verkeer dat daarop volgt.
                              Niet van toepassing op deze thread, maar bijgaand voordeel is dat het een extra beveiligingslaag toevoegt aan uitgaande e-mail en het mobiele gebruikers die van hosts wisselen de mogelijkheid geeft om dezelfde mailserver te gebruiken zonder dat ze telkens de instellingen van hun mailclient moeten veranderen.
                              Met twee voeten aan de grond kom je geen stap verder...

                              Reageer

                              Om te reageren, moet je eerst .

                              verwerken...
                              X