DMARC validation failed.

dit is de melding:
er zitten ook bijlagen bij is dat ook nuttig?
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

xxxxx@ziggo.nl

host mx.tb.mail.iss.as9143.net [212.54.42.8]

SMTP error from remote mail server after end of data:

554 5.2.0 MXIN603 DMARC validation failed. ;id=Fz6snvPq4uzQ6Fz6snapFW;sid=Fz6snvPq4uzQ6;mta=mx12.tb;dt=2022-02-04T14:58:51+01:00;ipsrc=213.249.66.9;
 
Ik vind dit onverklaatbaar. Je stuurt mail met een [email protected] afzender via de smpt.ziggo.nl server, naar een [email protected] adres. Dan is dit mailverkeer dat geheel binnen het Ziggo mail platform blijft. Daar zou nooit een dmarc error mogen optreden.

Toevallig heb ik de DMARC beveiliging van ziggo 2 week geleden eens getest door een spoofed mailtje te sturen. Daarbij kreeg ik een identieke reply:

<xxxxx@ziggo.nl>: host mx.tb.mail.iss.as9143.net[212.54.42.8] said: 554
5.2.0 MXIN603 DMARC validation failed.
;id=9U4un1WXWqLAP9U4vnIvN3;sid=9U4un1WXWqLAP;mta=mx3.tb;dt=2022-01-17T16:37:59+01:00;ipsrc=101.99.94.116;
(in reply to end of DATA command)
Reporting-MTA: dns; emkei.cz

In mijn geval was het een testsite die vanaf IP=101.99.94.116 verstuurde en waarbij de faal dus moets gebeuren als ziggo het goed deed. Maar jouw mail komt van IP=213.249.66.9 bij ziggo en dat is ook geen IP van Ziggo maar van Metaregistrar B.v. Iets in je verhaal klopt dus niet. Hoe komt die mail bij die externe maiserver?
 
Tja, ik ben maar een leek op dit terrein. Om het concreter te maken: er is een groepsmailadres met een eigen maildomein waaraan een aantal mensen in zitten, met verschillende domeinadressen, dus ziggo (zoals ik), maar ook hotmail, gmail en nog een aantal andere. Aan dat mailadres stuur ik een bericht. Vervolgens krijg ik die foutmelding. Ik zie dus op mijn eigen mailadres dat bericht niet terug komen. Van anderen met bijv. een gmailadres hoor ik dat die het bericht als spam ontvangen, maar de meegestuurde bijlage niet kunnen downloaden. Van een ander met een ziggo adres hoor ik dat wel de mail is ontvangen, maar het bestand ontbreekt.
Ik heb geprobeerd ziggo hierover te bellen maar een emailprobleem telefonisch te bespreken, lukt gewoon niet.
Hierbij de bestanden die waren toegevoegd bij de foutmelding, misschien helpt dat. Na gebruik svp verwijderen.
 

Bijlagen

  • details.txt
    843 bytes · Weergaven: 72
  • Naamloze bijlage 00086.txt
    4,4 KB · Weergaven: 71
Je bent de mail dus toch aan het forwarden, zoals ik al verwachte. Forwarden is gewoon gevaarlijk bij een domeinnaam die de afzenders controleert.

Jij stuurt de mail blijkbaar naar één enkel mailaccount dat niet van Ziggo is. Dat mail account stuurt de mail vervolgens naar de mailinglist, maar claimt dat Ziggo de afzender is. En dat mag niet, want zij zijn geen Ziggo.

Het DMARC protocol laat dit nog toe, mits de mail onveranderd blijft, want dan klopt de DKIM ondertekening van de ziggo server nog steeds. Maar waarschijnlijk wordt de titel of het 'aan' adresveld veranderd en dan is de mail teveel veranderd om nog te kunnen vertrouwen.

De ontvanger kan nu niet meer met zekerheid zeggen of deze mail wel van ziggo.nl afkomstig is. DMARC is in 2011 geïntroduceerd en toen was al bekend dat dit problemen met mailinglists kan geven. Beheerders van maillinglists hebben dus al ruim 10 jaar de tijd gehad om het versturen aan mailing list anders te implementeren.

Edit: En waarom niet zelf naar de groep sturen via het BCC veld.
 
Laatst bewerkt:
Bedankt voor je reactie. Maar sorry, dit is toch geen forwarden? Ik stuur vanuit mijn ziggomailadres een mail naar een groepsmailadres, met een eigen domeinadres. Aan dat groepsmailadres hangt een aantal leden met hun eigen mailadres. Is dat laatste dan forwarden? Maar zo gaat het toch altijd met het sturen van mails naar een groepsmail? Hoe zou dat anders moeten?
 
Als jij een '[email protected]" afzender gebruikt, moet je die mail ook vanaf een Ziggo mailserver versturen. Nu laat je de server "filter02.yourdomainprovider.net" mail versturen met als afzender [email protected]" en dat mag gewoon niet. Dat is spoofen van een afzender.

Het is op te lossen door een eigen domein te gebruiken als afzender en dan in dat domein aan te geven dat deze server mail mag versturen namens dat domein.
 
Weet je wel zeker dat je de mail via smtp.ziggo.nl verstuurt, want de eerste mailserver die ik zie is: smtp1.tb.mail.iss.as9143.net

Received: from DESKTOP50MJ65Q ([83.86.201.202])
by smtp1.tb.mail.iss.as9143.net with ESMTPA
id Fz6Znw4aiRKxdFz6ZnGLFM; Fri, 04 Feb 2022 14:58:27 +0100

Neem aan dat DESKTOP50MJ65Q jouw pc/laptop is?
 
De mail komt zeker via de Ziggo mailserver. Die ondertekent het ook met DKIM. Maar daarna levert ziggo het niet bij de gebruiker af, maar gaat het naar weer een andere mailserver en die levert het uiteindelijk bij de ontvanger af. Op zich mag dat nog, mits de mail onveranderd blijft. Maar een van de tussenliggende mailservers veranderd de mail. Dat zie je als je naar de "For:" adressen kijk. BIj de eerdere overdrachten is dat nog xxx@schenkelkerk, maar de latere mailserver maakt daar weer een @ziggo.nl adres van. De geforwarde mail wordt dus aangepast en dan mag hij niet meer claimen dat hij het als ziggo.nl aan het verzenden is.

Ik heb alle "Received" uit de header er eens uitgelicht:

De eerste servers zijn nog van Ziggo, maar de latere servers zijn niet meer van Ziggo. Een van de latere servers veranderd de mail en blijft @ziggo.nl als afzender gebruiken, terwijl ze niet namens Ziggo mogen afleveren.
Code:
Received: from premium.yourdomainprovider.net ([213.249.70.40])
    by filter02.yourdomainprovider.net with esmtps; for [email protected]; Fri, 04 Feb 2022 14:58:36 +0100

Received: by premium.yourdomainprovider.net (Postfix, from userid 30); Fri,  4 Feb 2022 14:58:36 +0100 (CET)

Received: from filter03.yourdomainprovider.net
 (filter03.yourdomainprovider.net [213.249.66.11])
 by premium.yourdomainprovider.net (Postfix) with ESMTPS; for <[email protected]>; Fri,  4 Feb 2022 14:58:34 +0100 (CET)

Received: from smtpq3.tb.mail.iss.as9143.net ([212.54.42.166])
 by filter03.yourdomainprovider.net with esmtps; for [email protected]; Fri, 04 Feb 2022 14:58:29 +0100

Received: from [212.54.42.105] (helo=smtp1.tb.mail.iss.as9143.net)
 by smtpq3.tb.mail.iss.as9143.net with esmtps
 (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.90_1); for [email protected]; Fri, 04 Feb 2022 14:58:27 +0100

Received: from DESKTOP50MJ65Q ([83.86.201.202])
 by smtp1.tb.mail.iss.as9143.net with ESMTPA; Fri, 04 Feb 2022 14:58:27 +0100

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=ziggo.nl;
 s=202002corplgsmtpnl; t=1643983107;
 bh=lJSvz9RhOXeBbtun7b2YH9Zgrjq0VFitqQ7R5BESEkE=;
 h=From:To:Subject:Date;
 b=JZF4THYQYgzc7nUPZzWNkP6XkYHRGhbUI1Vr9wHi5I0Ivs7aR2nkFkTHu9UgJUaiq
 5wnAB3O0BdFo9djEvIYenB5NpYY7+Gp/azJt3vdp9iJBppIF5mzlzrAwN7eSVmBsvd
 SF8jfaHzJeWPDMsEiGvMr3IDMoLUFMs4dI9Bw3X/K94syk1iT011yJqSn1FpJJXqeP
 Csumh1sx20EjFBTFE2TWXcHDCc/7TLZazdQf2jE/MX5jbjTdgb8joDl+qsRI++/iy9
 yk970ag3z+zqC3QBgEJW7LLVmecDuHEl+pwt58wZMyK4FYxyjNItps6P59oBB5sKd8
 g+mL/kCvcnq0w==
 
Laatst bewerkt:
Ja, er wordt hier foutief geforward. De mail wordt vanaf een ziggo adres naar een extern mailadres gestuurd. [email protected]. Dit mailadres forward de mail vervolgens naar een groep mensen. De fout die hier gemaakt wordt is dat er deze 'niet-ziggo' mailserver beweerd dat hij ziggo is door ziggo.nl als afzender te gebruiken. En omdat de mail bij het forwarden naar andere mensen gestuurd wordt dan eerst, wordt ook de mail veranderd, waardoor de DKIM ondertekening door ziggo ongeldig wordt.

DMARC is een beveiliging die voorkomt dat je andermans afzender gebruikt. Het is een goede bescherming tegen phishingmails die namens vertrouwde bedrijven versturen. In 2018, toen dit topic begon, lieten de ziggo DMARC instellingen dit nog toe. Inmiddels niet meer. Ik vind het een goede zaak. Overheidssites zijn al jaren verplicht deze DMARC beveiliging te gebruiken.
 
Laatst bewerkt:
Terug
Bovenaan