Nee, ook dat is niet altijd genoeg omdat mail somt via een omweg gestuurd wordt. Gewoon een neutral instellen, zodat je altijd veilig zit.
Ik krijg b.v. mail van een klant die een account heeft bij een kleine internet provider "assendorp.net" (Een wijk in Zwolle die nog een zelfstandige kabel heeft)
Als ik de header bekijk dan staat er een Authentication-Results in die niet van mijn server komt. In het proces, gaat de mail eerst naar een 2e server die spamchecks op uitgaande mail toepast en blijkbaar ook nog de authenticiteit controleert. En dat is de server die de mail bij mij aflevert.
Authentication-Results: premiumantispam.nl; auth=pass smtp.auth=91.142.241.0/
[email protected]
De spf check gebeurd echter bij assendorp.net want dat is nog steeds de enveloppe afzender.
Received-Spf: softfail (assendorp.net: Sender is not authorized by default to use '
[email protected]' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=xxxx; identity=mailfrom; envelope-from="
[email protected]"; helo=filter11.premiumantispam.nl; client-ip=193.93.174.216
a:<domeinnaam> zou hier ook niet geholpen hebben omdat het niet vanaf dat IP binnenkomt op mijn server.
Sterker, het spf record van assendorp.net is "v=spf1 a:spf.mijnplinq.nl ~all". Bij dat domein horen 10 IP adressen, maar niet het gebruikte adres. En dat loopt nu al ruim een jaar mis (sinds hun uitgaande mail via premiumantispam.nl loopt), zonder dat iemand bij assendorp.net dat corrigeert. Dus bij al hun klanten gaat dat al een jaar mis. Je zou verwachten dat daar toch een iemand is die wel eens in een mailheader kijkt en dit ziet?
Als ze dmarc ingesteld hadden, kregen ze dagelijks een rapport met alle vanuit hun domein verstuurde mail. Ze hadden dan snel gezien dat 100% van hun mail een spf fail kreeg. Wat dat betreft is dmarc ook een goede methode om je eigen mailbeleid te controleren.
