Mail controle met SPF, DKIM en DMARC (Uitgelegd)

Als test heb ik recentelijk een mailtje met een gespoofde afzender verstuurd via de testsite "emkei.cz" naar mijn Ziggo adres. Dit is een site om te kijken hoe goed mailservers de beveiligingen op orde hebben. Deze site stuurt dus de mail, terwijl hij beweert namens mijn domein te verzenden. Mijn domein gebruikt een dmarc reject policy. Het antwoord wat die testsite van ziggo terug krijgt is:

<xxxxx@ziggo.nl>: host mx.tb.mail.iss.as9143.net[212.54.42.8] said: 554
5.2.0 MXIN603 DMARC validation failed.
;id=9U4un1WXWqLAP9U4vnIvN3;sid=9U4un1WXWqLAP;mta=mx3.tb;dt=2022-01-17T16:37:59+01:00;ipsrc=101.99.94.116;
(in reply to end of DATA command)
Reporting-MTA: dns; emkei.cz

Ziggo blokkeert tegenwoordig dus netjes de gespoofde mail voor domeinen die een DMARC reject policy gebruiken.
 
Ik probeerde gisteren een mailtje te versturen en kreeg van de ontvangende mailserver het volgende terug:

Code:
Diagnostic-Code: smtp; 554 IP=84.116.6.66 - Dialup/transient IP not allowed. Use a mailgateway or contact [email protected] if obsolete. (DIAL)

Bij controle van het IP adres 84.116.6.66 bleek dat gewoon een Ziggo IP te zijn die ook in hun SPF record als toegestaan IP voor hun mailserver. Ik heb dus geen idee waarop die geblokt werd, maar bij een tweede poging kreeg ik de mail wel verstuurd.

Omdat ik hiervoor het SPF record van "Ziggo.nl" moest controleren, viel me op dat ze er nu alle IP ranges van derden uitgegooid hebben. Dat betekent dat als derden in naam van ziggo mail versturen, ze dit niet langer doen via hun eigen mailserver, maar die van Ziggo gebruiken.

Mij viel ook op dat Ziggo niet langer alle mail van mij via een vast IP de wereld in stuurt maar dat het verzend IP elke keer anders is. Dat is ook mooi, want als hun mailserver IP op een blocklist komt te staan omdat een klant te veel spam verstuurt, je minder kans hebt dat je er zelf last van krijgt. Nu helpt het om de mail gewoon een 2e keer te versturen.

Voor de aardigheid heb ik eens in de DMARC logs van de laatste 3 week gekeken welke IP adressen Ziggo voor mijn mail gebruikt heeft:

Code:
<source_ip>84.116.50.17</source_ip>
<source_ip>84.116.50.18</source_ip>
<source_ip>84.116.50.19</source_ip>

<source_ip>212.54.42.164</source_ip>
<source_ip>212.54.42.165</source_ip>
<source_ip>212.54.42.166</source_ip>
<source_ip>212.54.42.167</source_ip>
<source_ip>212.54.42.168</source_ip>
<source_ip>212.54.42.169</source_ip>

De ranges die Ziggo volgens hun SPF record mag gebruiken zijn:
Code:
ip4:212.54.32.0/19
ip4:212.178.218.80/28
ip4:84.116.6.0/23
ip4:84.116.50.0/23 
ip4:185.136.64.192/27
ip4:185.136.65.192/27

Wat opvalt is dat er geen enkel IPv6 adres tussen staat. Dus ziggo kan geen mail afleveren op een IPv6 only mailserver. (Waarschijnlijk bestaan die ook niet)
 
Terug
Bovenaan