Uw mail komt niet aan of wordt geweigerd: Wat nu?

Je mail komt niet aan of gaat altijd naar de spambox van de ontvanger. Wat moet je doen?

Als u op ‘verzend’ klikt in uw e-mailprogramma dan wilt u graag dat uw bericht door de ontvanger gezien, geopend èn gelezen wordt. Helaas is de praktijk weerbarstig. Het kan gebeuren dat uw mail door de ontvangende partij botweg geweigerd wordt zonder dat er een melding volgt. Uw mail komt niet binnen en u heeft niets in de gaten.

Dat is altijd vervelend, voor zowel de ontvanger als de verzender. Het is zaak ervoor te zorgen dat uw mails worden afgeleverd bij de ontvanger, liefst in diens inbox en niet in de spam- of reclamefolder. In dit bericht gaan we u stap voor stap uitleggen wat u kunt doen om ervoor te zorgen dat uw berichten niet in niemandsland verdwijnen om nooit meer terug gevonden te worden of stelselmatig in de spamfolder belanden.

Een afkadering: Dit artikel gaat niet over ongewenste mail

Voordat we beginnen maken we eerst een afkadering. Dit artikel is bedoeld om u te helpen wanneer u een normale e-mail verstuurt die niet aankomt of wordt geweigerd door gmail, hotmail of een andere mailservice.

Dit artikel is er niet om u te helpen als u reclamemails verstuurt, iets doet wat niet mag, waardoor u als spammer te boek komt te staan.

Waarom weigeren providers e-mail?

mail komt niet aanU stuurt een kort tekstbericht aan een relatie met daarin een korte samenvatting van de afspraken die u net samen gemaakt heeft. Een paar regels, ter bevestiging, netjes ondertekend en zonder links in het bericht. En toch wordt uw bericht geweigerd door de server van Microsoft en komt terug met een melding. Dat is vervelend, nog vervelender is het als u helemaal géén melding krijgt. Ook dat komt voor.

Waarom weigeren providers e-mail berichten? 

Simpel gesteld, omdat ze worden bedolven onder de ongewenste mail en hun klanten (de ontvangers) zo goed mogelijk willen bedienen.

Dat wil zeggen dat in een ideale wereld de ontvangers alle berichten ontvangen die ze willen zien en geen énkel bericht dat op spam lijkt of waar de ontvanger geen zin in heeft.  In de praktijk is dat niet zo eenvoudig. Want het kan zomaar zijn dat 98% van de berichten die binnenkomt op een account spam is. Aan de ontvangende provider de taak om die 2% die wel afgeleverd moet worden eruit te vissen zonder dat de ontvanger er last van heeft.

Berichtfiltering

Een manier om te bekijken of een bericht ongewenst is richt zich vooral op de inhoud van het bericht. Is de inhoud kort, met relatief veel links, uitroeptekens !!! taalfouten en verboden termen? Dan zal het wel een spambericht zijn en weigert de ontvangende server. Maar zoals eerder gemeld is dat niet waar dit artikel over gaat. Wij concentreren ons vandaag op de berichten die wel goed zijn maar toch geweigerd worden om andere redenen.

Een SPF record voor uw domein

Een SPF-record is een DNS-record dat een lijst met IP-adressen bevat van geautoriseerde servers die namens een domeinnaam e-mails kunnen verzenden. Hierdoor wordt voorkomen dat ongeautoriseerde gebruikers e-mails verzenden die lijken alsof ze van het domein afkomstig zijn. Als een e-mailserver niet in de lijst voorkomt, wordt de e-mail vaak als spam gemarkeerd. In dit artikel lees je meer over SPF-records en hoe je een SPF-check kunt uitvoeren.

Wat is een SPF-record?

Een SPF-record is een technisch DNS-record dat wordt gehost in een domeinnaam systeem (DNS). SPF staat voor Sender Policy Framework en het doel is om te voorkomen dat mensen e-mails verzenden die lijken alsof ze afkomstig zijn van een domein waar ze geen eigenaar van zijn. Het SPF-record helpt bij het verifiëren van de afzender van een e-mail en bevat informatie over welke IP-adressen of domeinen gemachtigd zijn om e-mails van dat domein te verzenden.

Als een e-mail niet afkomstig is van een geautoriseerde server, wordt deze vaak als spam beschouwd en geweigerd door de meeste e-mailproviders. Het instellen van een SPF-record is essentieel voor bedrijven die een e-mail marketing campagne willen opzetten. Hiermee wordt de afzender van een e-mail geverifieerd, waardoor de legitimiteit van e-mails die namens het bedrijf worden verzonden, wordt gewaarborgd.

Hoe werkt een SPF-record en waarom heb je er een nodig?

Een SPF-record is een specifiek type DNS-record dat helpt bij het verifiëren van e-mailservers. Het bepaalt of een afzender gemachtigd is om e-mails vanuit een bepaald domein te verzenden. Het bevat een lijst met geautoriseerde IP-adressen en domeinnamen van servers. Wanneer een server een e-mail verzendt met een afzender van dat domein, controleert de ontvangende server het SPF-record om te zien of het IP-adres van de verzendende server in de lijst staat. Als dit niet het geval is, wordt de e-mail geweigerd. Het SPF-record draagt ook bij aan het verminderen van spam- en e-mailfraude.

Een SPF-record is een cruciaal onderdeel van een e-mailomgeving. Het staat voor Sender Policy Framework en heeft tot doel spam te voorkomen. Het is een type DNS-record dat aangeeft welke servers geautoriseerd zijn om namens een domeinnaam e-mails te verzenden. Het helpt de ontvanger te bepalen of de ontvangen e-mail legitiem is. Het verifieert de afzender en vermindert het risico dat e-mails van buitenaf worden verzonden. Bovendien bevordert het de afleverbaarheid van e-mails doordat het helpt om e-mails te classificeren als spam. Een SPF-record is ook belangrijk omdat het de reputatie van je domein beschermt en de kans op blacklisting verkleint.

Hoe is een SPF-record opgebouwd en hoe stel je een record in?

Een SPF-record (Sender Policy Framework) is een DNS-record waarin de geautoriseerde bronnen worden gespecificeerd die namens een domeinnaam e-mails mogen verzenden. Het SPF-record wordt gebruikt om e-mail spoofing en phishing tegen te gaan.

De opbouw van een SPF-record is als volgt: v=spf1 include:_spf.voorbeeld.com a mx ip4:192.157.122.10 ~all

Hierbij is “v=spf1” een verplicht onderdeel en staat het voor de SPF-versie 1. De “mechanismen” geven aan welke bronnen gemachtigd zijn om e-mails te verzenden. Enkele veelgebruikte mechanismen zijn:

  • – a: verwijst naar een A-record (IPv4-adres) van het domein
  • – ip4: verwijst naar een specifiek IPv4-adres
  • – ip6: verwijst naar een specifiek IPv6-adres
  • – mx: verwijst naar de MX-records van het domein
  • – include: verwijst naar het SPF-record van een ander domein
  • – all: geeft aan wat te doen met niet-overeenkomende bronnen

De “~all” modifier geeft aan dat alle andere bronnen niet gemachtigd zijn om e-mails te verzenden, maar dat er geen hard-fail beleid wordt geïmplementeerd. Dit betekent dat deze e-mails worden gemarkeerd als mogelijk verdacht, maar niet automatisch worden afgewezen.

Het ontbreken van of een een fout SPF record is een van de meest voorkomende redenen dat uw e-mailberichten  geweigerd worden.

DKIM protocol. Beter dan SPF

DKIM is de iets veiligere en meer geavanceerde variant van SPF. Het DKIM protocol werkt als een aanvulling op SPF door een gecodeerde digitale handtekening toe te voegen aan uw e-mails om te controleren of het bericht legitiem en echt van u afkomstig is.

Bij DKIM gebruikt u een privé-gecodeerde sleutel om e-mailheaders te coderen. De privésleutel is nodig om berichten vanuit uw domein te verzenden, terwijl de ontvangende e-mailserver toegang heeft tot de inhoud van de berichtheader met behulp van de DKIM-sleutel die is gepubliceerd op de DNS, wat een openbare sleutel is.

Net als bij SPF wordt de DKIM-sleutel geleverd door uw internet service provider en moet deze als een TXT-record aan uw DNS worden toegevoegd. Ook dat neemt uw serviceprovider doorgaans voor zijn rekening.

In tegenstelling tot SPF, waar diverse domeinen een spf sleutel kunnen delen, heb je voor elk domein een unieke DKIM-sleutel nodig.

Uw provider stelt de records in en zorgt ervoor dat deze geverifieerd worden. Vanaf dat moment (u merkt er niets van) wordt elke keer dat u een e-mail verzendt, een unieke DKIM-handtekening gegenereerd en aan uw bericht toegevoegd.

De ontvangende mailserver decodeert vervolgens de handtekening met behulp van de tweede DKIM-sleutel die in uw DNS-records is gepubliceerd. Dat gaat razendsnel.

Eenmaal gedecodeerd, wordt een hash-string gegenereerd op basis van de inhoud van de e-mail en vergeleken met de hash-string in de inhoud van de handtekening. Als ze overeenkomen, wordt de mail doorgelaten en anders niet.

DKIM is dermate effectief dat veel grote mailproviders berichten sowieso weigeren als er geen DKIM sleutel wordt meegestuurd. Voor het bestrijden en onderscheppen van spam en ongewenste mail, is DKIM een zeer geschikt protocol. Vooral als het in combinatie wordt gebruikt met SPF en DMARC.

DMARC: Combineert SPF en DKIM en rapporteert

DMARC is een protocol dat niet nodig is voor de verificatie van uw e-mail, maar DMARC wordt wel vaak ingezet om uw domein verder te beschermen tegen phishing- en spoofingaanvallen. 

DMARC verbindt DKIM en SPF samen om meer flexibiliteit en controle over authenticatie van inkomende e-mail te bieden. 

DMARC levert een kader voor feedback, zodat afzenders kunnen bepalen hoe ze willen dat e-mails worden afgehandeld als ze niet slagen voor de DKIM- of SPF-controle. Bovendien kan dmarc rapporten genereren met overzichten van frauduleuze mails.

Een DMARC-record valideert de oorsprong van de e-mail door het IP-adres van de afzender te controleren. Daarnaast beschermt DMARC uw domein tegen spoofing door de SPF- en DKIM-records op elkaar af te stemmen. Als een van deze controles mislukt, zal het DMARC-record de ontvangende mailserver instrueren wat te doen. 

Ook DMARC moet als een TXT-record aan je DNS moeten worden toegevoegd, het configureren van dit records vergt iets meer aandacht.

Een DMARC-record bestaat uit verschillende tags, afhankelijk van behoeften van de ontvanger. De vereiste tags zijn:

v: Identificeert het record en moet aan het begin worden vermeld. De waarde is altijd DMARC1

p: identificeert het beleid dat voor uw record is gekozen, dat wordt toegepast door mailboxproviders als uw e-mail niet door DMARC-authenticatie wordt ontvangen. Er zijn drie beleidsregels om uit te kiezen:

  1. p=none: dit geeft mailservers de opdracht om geen actie te ondernemen, maar stelt u in staat om e-mails te volgen die worden verzonden 
  2. p=quarantaine: dit zorgt ervoor dat mailerservers de e-mail naar de spammap sturen als de DMARC-authenticatie mislukt, en volgt e-mails die worden verzonden
  3. p=reject: Dit geeft mailservers de opdracht om e-mails te weigeren die niet door de DMARC-controles komen, wat resulteert in een stuiterende e-mail. Het stelt de afzender ook in staat om e-mails te volgen die worden verzonden. 
Hier is een voorbeeld van een standaard DMARC-record:

v=DMARC1; p=none; rua=mailto:uwnaam@uwdomein.nl

Opmerking: rua=mailto:uwnaam@uwdomein.nl is een optionele tag die het e-mailadres aangeeft waarnaar volledige rapporten moeten worden verzonden.

Snel testen of uw mailserver goed staat ingesteld

Er is een manier om snel te kunnen zien wat er niet goed is aan uw serverinstellingen. U kunt daarvoor gratis (driemaal per 24 uur een test uitvoeren om te zien wat er beter kan.

U gaat daarvoor op het apparaat waarmee u mailt naar deze website en handelt als volgt.

  • In het witte vlak in het midden ziet u een lang e-mailadres. Rechts van het blok kunt u dit adres kopiëren. Doe dit.
  • Verstuur vervolgens vanuit uw mailprogramma een mail naar dit adres. Schrijf een bericht van een regel of drie vier zoals u normaal ook doet. Geef een onderwerp in en onderteken net als anders.
  • Ga nu terug naar de website en klik op ‘check vervolgens je score’.

Als u even wacht krijgt u direct een rapport van de mail die u gestuurd heeft. Als alles helemaal goed staat dan scoort u 10/10. En alleen dan weet u zeker dat uw mailprobleem in ieder geval niet veroorzaakt wordt door uw serverinstellingen. Een score van een negen is ook prima, alles daaronder is echt te weinig.

En als u zelf niet de technische kennis hebt om alle instellingen van uw e-mail na te lopen dan kunt u natuurlijk ook contact opnemen met het bedrijf dat uw webhosting verzorgt. Zij helpen u doorgaans graag verder.