Toon posts:

[Google for domain]Raar dmarc report

Pagina: 1
Acties:

vrijdag 27 november 2020 09:13

Acties:
  • 0 Henk 'm!
  • vandermark
  • Registratie: Augustus 2005
  • Laatst online: 17:35

vandermark

Topicstarter
Ik heb mijn zakelijke email via Google for domain lopen. Heb dmarc, dkim en spf policies goed ingesteld. Vannacht kreeg ik twee dmarc reports die ik niet snap.

Dit stond in de email:
This is a DMARC aggregate report for [mijndomein.nl]

1 records.
0 passed.
1 failed.

Submitted by Fastmail Pty Ltd
Generated with Mail::DMARC 1.20180917
En de xml's zelf:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
 <report_metadata>
  <org_name>upv.es</org_name>
  <email>noreply@upv.es</email>
  <report_id>[mijndomein.nl]:1606432081</report_id>
  <date_range>
   <begin>1606345200</begin>
   <end>1606431600</end>
  </date_range>
 </report_metadata>
 <policy_published>
  <domain>[mijndomein.nl]</domain>
  <adkim>r</adkim>
  <aspf>r</aspf>
  <p>quarantine</p>
  <sp>quarantine</sp>
  <pct>20</pct>
 </policy_published>
 <record>
  <row>
   <source_ip>190.232.113.79</source_ip>
   <count>1</count>
   <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
   </policy_evaluated>
  </row>
  <identifiers>
   <header_from>[mijndomein.nl]</header_from>
  </identifiers>
  <auth_results>
   <spf>
    <domain>[mijndomein.nl]</domain>
    <result>fail</result>
   </spf>
  </auth_results>
 </record>
</feedback>


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

<?xml version="1.0"?>
<feedback>
    <version>1.0</version>
    <report_metadata>
        <org_name>Fastmail Pty Ltd</org_name>
        <email>reports@fastmaildmarc.com</email>
        <extra_contact_info>https://fastmail.com/</extra_contact_info>
        <report_id>395796736</report_id>
        <date_range>
            <begin>1606348800</begin>
            <end>1606435199</end>
        </date_range>
    </report_metadata>
    <policy_published>
        <domain>[mijndomein.nl]</domain>
        <p>quarantine</p>
        <sp>quarantine</sp>
        <pct>20</pct>
        <fo>0</fo>
    </policy_published>
    <record>
        <row>
            <source_ip>90.194.140.208</source_ip>
            <count>1</count>
            <policy_evaluated>
                <disposition>quarantine</disposition>
                <dkim>fail</dkim>
                <spf>fail</spf>
            </policy_evaluated>
        </row>
        <identifiers>
            <envelope_from>[mijndomein.nl]</envelope_from>
            <header_from>[mijndomein.nl]</header_from>
        </identifiers>
        <auth_results>
            <spf>
                <domain>[mijndomein.nl]</domain>
                <scope>mfrom</scope>
                <result>softfail</result>
            </spf>
        </auth_results>
    </record>
</feedback>


Mijn gedachte: Iemand heeft geprobeerd namens/vanuit mijn domein emails te sturen en de policies hebben dit terecht verijdeld? Hoef ik me dus geen zorgen te maken?

STRAVA | Panasonic 5kW J Monoblock

vrijdag 27 november 2020 10:43

Acties:
  • 0 Henk 'm!
  • Jeffrey87
  • Registratie: Februari 2016
  • Laatst online: 16-07 12:40

Jeffrey87

vandermark schreef op vrijdag 27 november 2020 @ 09:13:

Mijn gedachte: Iemand heeft geprobeerd namens/vanuit mijn domein emails te sturen en de policies hebben dit terecht verijdeld? Hoef ik me dus geen zorgen te maken?
Dat is toch uiteindelijk ook de bedoeling van DMARC? 8)7

vrijdag 27 november 2020 10:53

Acties:
  • 0 Henk 'm!
  • PerfectPC
  • Registratie: Februari 2004
  • Laatst online: 27-05 11:26

PerfectPC

vandermark schreef op vrijdag 27 november 2020 @ 09:13:
Mijn gedachte: Iemand heeft geprobeerd namens/vanuit mijn domein emails te sturen en de policies hebben dit terecht verijdeld? Hoef ik me dus geen zorgen te maken?
Nee dat klopt niet helemaal. In het eerste rapport staat disposition op none, die is dus doorgelaten. In het tweede rapport staat die op quarantine.
Vermoedelijk is die eerste email doorgelaten omdat je slechts 20 procent policy enforcement hebt opstaan.

zondag 29 november 2020 13:59

Acties:
  • 0 Henk 'm!
  • vandermark
  • Registratie: Augustus 2005
  • Laatst online: 17:35

vandermark

Topicstarter
PerfectPC schreef op vrijdag 27 november 2020 @ 10:53:
[...]

Nee dat klopt niet helemaal. In het eerste rapport staat disposition op none, die is dus doorgelaten. In het tweede rapport staat die op quarantine.
Vermoedelijk is die eerste email doorgelaten omdat je slechts 20 procent policy enforcement hebt opstaan.
Dank, dus de fout wordt wel geconstateerd maar de email wordt doorgestuurd... Heb het percentage op 80% gezet en ga he aankijken.

STRAVA | Panasonic 5kW J Monoblock

zondag 29 november 2020 21:09

Acties:
  • +2 Henk 'm!
  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 16-07 12:59

valkenier

Je kan in de xml prima zien vanaf welk ip de mail werd verzonden:
1e 190.232.113.79 dat hoort thuis in Mexico, dus dat dat zal niet jouw IP zijn geweest. Daarom zowel een fail op SPF als op DKIM.
2e 90.194.140.208 hoort thuis in London, Sky UK Broadband, dat was jij ook niet. Ook hier 2 x fail.

Er wordt dus inderdaad gepoogd te mailen vanaf jouw domein. Bij mijn domein gebeurt dit vrijwel dagelijks, meestal vanuit China overigens. Ik heb mijn DMARC policy gewoon volledig op reject. Als je zelf je zaakjes goed voor elkaar hebt zie ik geen reden om nog een percentage door te laten van wat uit obscure bronnen komt namens mijn domein. Dat is juist wat je wil tegengaan.
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq