Toon posts:

SPF van politie.nl is incorrect?

Pagina: 1
Acties:

donderdag 8 juli 2021 10:29

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Topicstarter
Is het iemand al opgevallen dat de SPF van politie.nl niet goed is?
ARC-Authentication-Results: i=1;
dkim=pass header.d=politie.nl header.s=20170705 header.b="SS5X/yxS";
spf=none (ORIGINATING: domain of noreply-www@politie.nl has no SPF policy when checking 2a04:9a00:1200:a610::13) smtp.mailfrom=noreply-www@politie.nl;
dmarc=pass (policy=quarantine) header.from=politie.nl
code:
1

TXT v=spf1 mx -all

Probleem is dat in 'spf1 mx -all' de 'a' mist OF dat ze vergeten zijn TXT records aan te maken voor mail1.politie.nl en mail2.politie.nl

Nu heb ik een test gedaan door vanaf mijn servers een e-mail te sturen namens politie.nl en dan heb ik dus een "pass".
Authentication-Results: ORIGINATING;
dkim=none;
spf=pass (ORIGINATING: domain of test@example.com designates [ip] as permitted sender) smtp.mailfrom=test@example.com;
Heeft iemand een server zonder DKIM om te kijken of het werkt?

Want bij mij komt de mail wel in "junk/spam" door een DKIM fail.
dmarc=fail reason="SPF not aligned (relaxed), No valid DKIM" header.from=politie.nl (policy=quarantine)

Maak je niet druk, dat doet de compressor maar

donderdag 8 juli 2021 10:36

Acties:
  • 0 Henk 'm!
  • x86dev
  • Registratie: December 2012
  • Laatst online: 19-09 20:25

x86dev

SPF record is in orde. Ze hebben wellicht geen DKIM ingesteld.

donderdag 8 juli 2021 10:41

Acties:
  • 0 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

Ja is gewoon OK.

Check tools zoals mxtoolbox maar.

donderdag 8 juli 2021 10:47

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-10 22:59

Jazzy

Moderator SSC/PB

Moooooh!

Zie het probleem ook niet direct, dat IPv6 IP-adres is één van de MX-records.
DJMaze schreef op donderdag 8 juli 2021 @ 10:29:
Nu heb ik een test gedaan door vanaf mijn servers een e-mail te sturen namens politie.nl en dan heb ik dus een "pass".

[...]
Wat wil je met dit stukje precies aantonen? Daar staat helemaal niet dat politie.nl het IP-adres van jouw server in de SPF zou hebben.

Exchange en Office 365 specialist. Mijn blog.

donderdag 8 juli 2021 13:15

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Topicstarter
x86dev schreef op donderdag 8 juli 2021 @ 10:36:
SPF record is in orde.
Waarom is het dan 'none' en niet 'pass'?
Jazzy schreef op donderdag 8 juli 2021 @ 10:47:
Wat wil je met dit stukje precies aantonen? Daar staat helemaal niet dat politie.nl het IP-adres van jouw server in de SPF zou hebben.
De SPF is 'pass' omdat Sender header klopt met @example.com
De From is echter @politie.nl

Maak je niet druk, dat doet de compressor maar

donderdag 8 juli 2021 13:33

Acties:
  • +2 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

DJMaze schreef op donderdag 8 juli 2021 @ 10:29:
Is het iemand al opgevallen dat de SPF van politie.nl niet goed is?...
Waarom post je dat hier? Heb je de politie al ingelicht en de redelijke termijn is verstreken?

QnJhaGlld2FoaWV3YQ==

donderdag 8 juli 2021 13:34

Acties:
  • +2 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

SPF met mx erin betekend dus dat de MX records in deze zone gepermitteerd zijn te verzenden. als je daar nog een A tussen zet, mag ook elk ander A record mailen.

Zoals het er nu staat is het juist strakker afgesteld, alleen ingestelde mailservers mogen versturen.


v=spf1 mx -all

In dit geval:
mail1.politie.nl
mail2.politie.nl

Zet je nu ook de a er tussen:
v=spf1 mx a -all

mag ook ineens de leverancier van de website mailen

62.112.247.206

donderdag 8 juli 2021 13:36

Acties:
  • +3 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-10 22:59

Jazzy

Moderator SSC/PB

Moooooh!

DJMaze schreef op donderdag 8 juli 2021 @ 13:15:
[...]

Waarom is het dan 'none' en niet 'pass'?
De vraag is inderdaad waarom je mailserver geen SPF policy voor politie.nl kan vinden terwijl er, op dit moment in ieder geval, wel gewoon een SPF-record in DNS staat.

Je eigen testje klopt niet trouwens. Als je echt SPF wilt testen dan moet je daadwerkelijk
code:
1

mail from:blabla@politie.nl

gebruiken.

Exchange en Office 365 specialist. Mijn blog.

donderdag 8 juli 2021 13:39

Acties:
  • +1 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-10 22:59

Jazzy

Moderator SSC/PB

Moooooh!

Brahiewahiewa schreef op donderdag 8 juli 2021 @ 13:33:
[...]

Waarom post je dat hier? Heb je de politie al ingelicht en de redelijke termijn is verstreken?
Modbreak:In plaats van kritiek op de TS te leveren kun je misschien beter even het topic lezen. Dan begrijp dat je er totaal geen sprake is van een gevoelig beveiligingslek dat volgens een bepaald procedure gemeld zou moeten worden.

Exchange en Office 365 specialist. Mijn blog.

donderdag 8 juli 2021 13:41

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Jazzy schreef op donderdag 8 juli 2021 @ 13:39:
[modbreak]In plaats van kritiek op de TS te leveren kun je misschien beter even het topic lezen. Dan begrijp dat je er totaal geen sprake is van een gevoelig beveiligingslek dat volgens een bepaald procedure gemeld zou moeten worden.[/]
Als daadwerkelijk de SPF fout zou zijn en iedereen als politie.nl e-mail zou kunen versturen, lijkt mij dat redelijk een beveiligingslek, ja. Sowieso zijn wij niet degenen die het voor politie.nl kunnen oplossen. ;) Nu is gelukkig de SPF zover ik ook zie prima, dus er is inderdaad iets anders. Maar stel het was wel foutief, dan was het een behoorlijk ding geweest, me dunkt.

[ Voor 19% gewijzigd door CH4OS op 08-07-2021 13:42 ]

donderdag 8 juli 2021 15:21

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Topicstarter
Jazzy schreef op donderdag 8 juli 2021 @ 13:36:
Je eigen testje klopt niet trouwens. Als je echt SPF wilt testen dan moet je daadwerkelijk
code:
1

mail from:blabla@politie.nl

gebruiken.
Daar dacht ik ook al aan.
Jazzy schreef op donderdag 8 juli 2021 @ 13:36:
De vraag is inderdaad waarom je mailserver geen SPF policy voor politie.nl kan vinden terwijl er, op dit moment in ieder geval, wel gewoon een SPF-record in DNS staat.
Inderdaad. Ik gebruik Rspamd en die werkt tot nu toe heel goed.
Alleen met politie.nl heeft ie problemen.

Nu ik de test heb gedaan met
code:
1

mail from:blabla@politie.nl
krijg ik
Authentication-Results: ORIGINATING;
dkim=none;
spf=none (ORIGINATING: domain of noreply-www@politie.nl has no SPF policy when checking [mijnip]) smtp.mailfrom=noreply-www@politie.nl;
dmarc=fail reason="No valid SPF, No valid DKIM" header.from=politie.nl (policy=quarantine)
Er gaat blijkbaar iets mis met Rspamd omdat ie nog steeds "spf=none" geeft.
Dan is er dus niks mis met de SPF van politie.nl

Maak je niet druk, dat doet de compressor maar

donderdag 8 juli 2021 15:25

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-10 22:59

Jazzy

Moderator SSC/PB

Moooooh!

Wat als je van die server eens met nslookup het SPF-record voor politie.nl probeert op te vragen?

Exchange en Office 365 specialist. Mijn blog.

donderdag 8 juli 2021 15:32

Acties:
  • 0 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

Ik verwacht:
Received-SPF: none (domain of mydomain.com does not designate permitted sender hosts)
Jij krijgt:

spf=none (ORIGINATING: domain of noreply-www@politie.nl has no SPF policy when checking [mijnip])


Check je config

@Jazzy Misschien even de Topictitel aanpassen? Lijkt mij niets met politie.nl te maken te hebben.

donderdag 8 juli 2021 15:53

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Topicstarter
Jazzy schreef op donderdag 8 juli 2021 @ 15:25:
Wat als je van die server eens met nslookup het SPF-record voor politie.nl probeert op te vragen?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

[~]# dig politie.nl TXT
politie.nl.             3036    IN      TXT     "v=spf1 mx -all"

[~]# dig politie.nl MX
politie.nl.             3600    IN      MX      10 mail2.politie.nl.
politie.nl.             3600    IN      MX      10 mail1.politie.nl.

[~]# dig mail1.politie.nl A
mail1.politie.nl.       2217    IN      A       145.119.166.19

[~]# dig mail1.politie.nl AAAA
mail1.politie.nl.       3600    IN      AAAA    2a04:9a00:1200:a610::13

[~]$ dig -x 2a04:9a00:1200:a610::13
3.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.6.a.0.0.2.1.0.0.a.9.4.0.a.2.ip6.arpa. 3600 IN PTR mail1.politie.nl.
Vorkie schreef op donderdag 8 juli 2021 @ 15:32:
Ik verwacht:
code:
1

Received-SPF: none (domain of mydomain.com does not designate permitted sender hosts)
Je bedoelt 'Received-SPF: fail'?
Zie https://datatracker.ietf.org/doc/html/rfc7208#section-8.1
En https://datatracker.ietf.org/doc/html/rfc7208#section-9.1

[ Voor 6% gewijzigd door DJMaze op 08-07-2021 16:00 ]

Maak je niet druk, dat doet de compressor maar

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq