Ja. Niet alleen dat ziggo het zonder twijfel
kan verwerpen, maar ziggo
moet het verwerpen. Dat is de hele bedoeling van de dmarc beveiliging.
In dit geval is het marktplaats die regels opstelt waaraan hun mail moet voldoen. Vervolgens geven ze aan dat als mail niet aan hun regels voldoet er een reject moet plaats hebben. Dan moet je je daar als ziggo ook wat van aantrekken en hier gevolg aan geven. Als marktplaats zelf mail verstuurt die niet aan hun eigen regels voldoet, is het de fout van martkplaats zelf dat het niet aankomt.
En zo moeilijk zijn die regels niet. Legitieme mail moet van specifieke IP adressen komen
of het moet door marktplaats via dkim ondertekend zijn. Het belangrijkste waar marktplaats dus op moet letten is dat ze hun mail altijd via hun eigen mailservers versturen. Dan gebeurd die dkim ondertekening vanzelf.
Dit zijn natuurlijk allemaal beveiligingen die op de achtergrond gebeuren en waar je als gewone ontvanger van mail niet op hoeft te letten.
-----
Maar nog even de dkim handtekening uitdiepen omdat Ziggo tegenwoordig ook de privé mail van gebruikers via dkim ondertekent.
Als jij een mailtje verstuurt via de ziggo smtp server (Of via webmail), dan rekent de ziggo mailserver een checksum uit over jouw mail en versleutelt deze checksum via hun private key, die ergens op hun mailserver staat. Deze versleutelde checksum plaatsen ze in de mail header en ziet er als volgt uit:
Dkim-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=ziggo.nl; s=201809corplgsmtpnl; h=To
ate:Message-Id:Subject:Mime-Version:From; bh=AwhaUiNqHiWZVI7fl/OpmwAsLa4Zwd7j8DakbutjZ1s=;
b=aXmoGg58473/a23gIMLRQTdwwR dKZEv0LG6Vbq66i1VMxWYuxLP7ajpbOmw0hlRn2juYo6an4xL6waI9rTQg9gH1Ne4PDtWnH/LhFd5 enz…
Daarnaast heeft ziggo de publieke sleutel voor het decoderen in hun domeinnaan systeem gepubliceerd. Als de ontvangende mailserver ziet dat de mail ondertekend is via dkim, dan halen ze zelf de publieke sleutel bij ziggo op en decoderen de checksum (het oranje stuk hierboven). Vervolgens rekenen ze zelf een checksum uit over de ontvangen mail. Zijn beide checksums gelijk, dan weet de ontvangende mailserver dat de mail onveranderd is, sinds de mail de ziggo server verlaten heeft. En hij weet ook dat het alleen ziggo geweest kan zijn die de gecodeerde checksum in de header geplaatst heeft. De mail komt dus legitiem bij ziggo vandaan.
Als je een gmail account hebt, moet je eens op hun webmail inloggen en het pull-down menu bij de afzender uitklappen. Daar kan een gebruiker zien of de mail correct dkim ondertekend is.
Ter overvloede: Het is niet jouw mailprogramma die de dkim ondertekening controleert, maar de mailserver waar de mail binnen komt.
En hoewel ziggo nog maar sinds kort de dkim resultaten in hun header schrijft, voeren ze de controle al heel veel langer uit. Ik heb in het verleden wel eens dkim ondertekende mail geforward, nadat de mail inhoud aangepast was. De ondertekening klopt dan niet meer en die mail werd altijd al door de ziggo mailserver geweigerd. Die kwam dus ook niet in een spambox terecht. Dus daar deden ze het wel correct, maar een dmarc fail gaat bij hun nog mis.