SPF-record niet correct?

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • ThinClientQ
  • Registratie: April 2010
  • Laatst online: 28-09 09:18
Goedemorgen Tweakers,

Ik heb een domein met @contoso.com, de mail staat bij Office 365 - Exchange.
We hebben een medewerker met mailadres medewerker@contoso.com
De medewerker heeft ook nog medewerker@gmail.com, dat is een forward naar medewerker@contoso.com

Nu het probleem .. Als collega's nog iets sturen naar medewerker@gmail.com, dan komt deze in de Ongewenste e-mail op medewerker@contoso.com
Het resultaat van de fraudedetectiecontroles voor deze afzender is negatief. Deze afzender is mogelijk niet betrouwbaar.
De SPF lijkt goed te gaan.
Uiteraard is Contoso de bedrijfsnaam
spf=pass (sender IP is 00.00.00.00) smtp.mailfrom=gmail.com; contoso.com; dkim=pass (signature was verified) header.d=contoso.onmicrosoft.com;contoso.com; dmarc=none action=none header.from=contoso.com;
Ik ben bekend met SPF-records, maar heb dit nog nooit ervaren.

Iemand enig idee waar ik moet zoeken?

Beste antwoord (via ThinClientQ op 20-03-2018 11:16)


  • ik222
  • Registratie: Maart 2007
  • Niet online
Dit komt doordat de collega iets stuurt vanaf een @contoso.com adres, Google stuurt dit door en laat de headers verder intact waardoor de de SPF validatie zal falen als je een hardfail geconfigureerd hebt in je SPF record. Immers de mail wordt nu verstuurd vanaf een @contoso.com adres door de mail servers van Google en jou SPF record zegt waarschijnlijk dat dit niet mag.

Mogelijk oplossingen:
- In je SFP record een softfail ipv een hardfail opnemen.
- De google SPF record includen (https://support.google.com/a/answer/33786?hl=nl). Let wel dat je met deze oplossing nog steeds hetzelfde probleem hebt als iemand vervolgens een forward vanaf zijn outlook.com adres instelt.
- Geen forwards gebruiken / accepteren dat geforwarde mail als SPAM gezien wordt.

Wat in jou situatie het meest wenselijke is zal je zelf moeten bepalen, maar hetgeen je nu tegenaan loopt is een klassiek probleem met strenge SPF records / validatie.

Alle reacties


Acties:
  • 0 Henk 'm!

  • HollowGamer
  • Registratie: Februari 2009
  • Niet online
Je kan niet aangeven d.m.v. een filter dat deze gewoon in de inbox terecht komen?

Ben niet bekend met Office 365, maar waar zie je precies dat SPF het probleem is?

Acties:
  • +1 Henk 'm!

Verwijderd

Als collega's iets sturen naar het Gmail adres dan heeft de SPF record van @contoso.com er weinig mee te maken.

Succes met je schoolopdracht.

Acties:
  • 0 Henk 'm!

  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 14:06

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

(jarig!)
Mogelijk wordt deze geblokkeerd doordat dit domain op een blacklist staat of dat deze niet is toegevoegd als veilige afzender (in te stellen in O365).

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)


Acties:
  • Beste antwoord
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Dit komt doordat de collega iets stuurt vanaf een @contoso.com adres, Google stuurt dit door en laat de headers verder intact waardoor de de SPF validatie zal falen als je een hardfail geconfigureerd hebt in je SPF record. Immers de mail wordt nu verstuurd vanaf een @contoso.com adres door de mail servers van Google en jou SPF record zegt waarschijnlijk dat dit niet mag.

Mogelijk oplossingen:
- In je SFP record een softfail ipv een hardfail opnemen.
- De google SPF record includen (https://support.google.com/a/answer/33786?hl=nl). Let wel dat je met deze oplossing nog steeds hetzelfde probleem hebt als iemand vervolgens een forward vanaf zijn outlook.com adres instelt.
- Geen forwards gebruiken / accepteren dat geforwarde mail als SPAM gezien wordt.

Wat in jou situatie het meest wenselijke is zal je zelf moeten bepalen, maar hetgeen je nu tegenaan loopt is een klassiek probleem met strenge SPF records / validatie.

Acties:
  • 0 Henk 'm!

  • ThinClientQ
  • Registratie: April 2010
  • Laatst online: 28-09 09:18
Bedankt allen!

Voor nu opgelost door in te loggen als medewerker@contoso.com en het gmail adres toe te voegen op de whitelist.

Acties:
  • 0 Henk 'm!

  • Foamy
  • Registratie: November 2006
  • Laatst online: 03-10 10:02

Foamy

Fulltime prutser

Een whitelist zal de SPF fail niet voorkomen... Dit is gewoon exact hoe SPF hoort te werken in dit soort situaties. Dit:
For non-sender-rewriting forwarders, accept all mail without checking SPF (any SPF results are meaningless). Hopefully, you (or your user) have chosen a forwarder that checks SPF before forwarding. If your implementation allows it, also check SPF for a "pretend" MAIL FROM that your forwarder could use (the original recipient RCPT at the forwarder before the email was forwarded). This verifies that the forwarded mail really came from your trusted forwarder.
is de netste oplossing.

blub


Acties:
  • 0 Henk 'm!

  • ThinClientQ
  • Registratie: April 2010
  • Laatst online: 28-09 09:18
Foamy schreef op dinsdag 20 maart 2018 @ 12:54:
Een whitelist zal de SPF fail niet voorkomen... Dit is gewoon exact hoe SPF hoort te werken in dit soort situaties. Dit:

[...]

is de netste oplossing.
Ik heb de Google SPF toegevoegd, maar dit werkt niet.

Ik sta altijd open voor een nog nettere oplossing!
v=spf1 a mx include:_spf.google.com include:spf.protection.outlook.com -all

Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Ik weet niet hoe lang de TTL van de SPF record is maar mogelijk loop je nog tegen een DNS cache aan.

Acties:
  • 0 Henk 'm!

  • Foamy
  • Registratie: November 2006
  • Laatst online: 03-10 10:02

Foamy

Fulltime prutser

ThinClientQ schreef op dinsdag 20 maart 2018 @ 13:01:
[...]


Ik heb de Google SPF toegevoegd, maar dit werkt niet.
Dat klopt ook, je moet geen SPF doen.
For non-sender-rewriting forwarders, accept all mail without checking SPF (any SPF results are meaningless).
Je zult SPF dus moeten uitschakelen voor deze specifieke verzender.

blub


Acties:
  • 0 Henk 'm!

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
ThinClientQ schreef op dinsdag 20 maart 2018 @ 09:02:
Iemand enig idee waar ik moet zoeken?
Stoppen met forwarden of stoppen met Office365 is naar mijn mening je enige oplossing.
Ik maak al maanden ruzie met Microsoft en zijn mail-filters, het wordt gewoon niet opgelost ook al staan de SPF, DKIM en DMARC gewoon 100% goed.
Hotmail/Live/Office365 blokkeert e-mails

Maak je niet druk, dat doet de compressor maar

Pagina: 1