Uw mail komt niet aan of wordt geweigerd: Wat nu?

Als u op ‘verzend’ klikt in uw favoriete e-mailprogramma dan wilt u graag dat uw bericht door de ontvanger gezien, geopend èn gelezen wordt. Helaas is de praktijk weerbarstig. Het kan gebeuren dat uw mail door de ontvangende partij botweg geweigerd wordt zonder dat er een melding volgt.

Dat is altijd vervelend, voor zowel de ontvanger als de verzender. Het is zaak ervoor te zorgen dat uw mails worden afgeleverd bij de ontvanger, liefst in diens inbox en niet in de spam- of reclamefolder. IN dit bericht gaan we u stap voor stap uitleggen wat u kunt doen om ervoor te zorgen dat uw berichten niet in niemandsland verdwijnen om nooit meer terug gevonden te worden.

Een afkadering: Dit artikel gaat niet over ongewenste mail

Voordat we beginnen maken we eerst een afkadering. Dit artikel is bedoeld om u te helpen wanneer u een normale e-mail verstuurt die niet aankomt of wordt geweigerd door gmail, hotmail of een andere mailservice. Dit artikel is er niet om u te helpen als u reclamemails verstuurt, iets doet wat niet mag, waardoor u als spammer te boek komt te staan.

Waarom weigeren providers e-mail?

U stuurt een kort tekstbericht aan een relatie met daarin een korte samenvatting van de afspraken die u net samen gemaakt heeft. Een paar regels, ter bevestiging, netjes ondertekend en zonder links in het bericht. En toch wordt uw bericht geweigerd door de server van Microsoft en komt terug met een melding. Dat is vervelend, nog vervelender is het als u helemaal géén melding krijgt. Ook dat komt voor.

Waarom weigeren providers e-mail berichten? 

Simpel gesteld, omdat ze worden bedolven onder de ongewenste mail en hun klanten (de ontvangers) zo goed mogelijk willen bedienen.

Dat wil zeggen dat in een ideale wereld de ontvangers alle berichten ontvangen die ze willen zien en geen énkel bericht dat op spam lijkt of waar de ontvanger geen zin in heeft.  In de praktijk is dat niet zo eenvoudig. Want het kan zomaar zijn dat 98% van de berichten die binnenkomt op een account spam is. Aan de ontvangende provider de taak om die 2% die wel afgeleverd moet worden eruit te vissen zonder dat de ontvanger er last van heeft.

Berichtfiltering

Een manier om te bekijken of een bericht ongewenst is richt zich vooral op de inhoud van het bericht. Is de inhoud kort, met relatief veel links, uitroeptekens !!! taalfouten en verboden termen? Dan zal het wel een spambericht zijn en weigert de ontvangende server. Maar zoals eerder gemeld is dat niet waar dit artikel over gaat. Wij concentreren ons vandaag op de berichten die wel goed zijn maar toch geweigerd worden om andere redenen.

Controle aan de voordeur: Ben je wel wie je zegt dat je bent?

Veel ongewenste mail kot niet van het bedrijf dat in de aanhef staat maar van iemand anders. Een snelle manier om het kaf van het koren te scheiden is nakijken of degene die mail verstuurt namens een domein dat ook mag.

Sender Policy Framework (SPF) controle op inkomende mail. 

Als een mail binnenkomt wordt die altijd verstuurd vanaf een server en deze server heeft een IP-adres, vergelijk het maar met een telefoonnummer. Dit adres komt mee met de mail. Nu is het zo dat een ontvangende server kan controleren of de verzender namens een domein mail mag versturen. Als dat niet zo is wordt de mail direct geweigerd.

Ieder domein heeft namelijk DNS records, zeg maar regels waar uitgelegd wordt hoe mail wordt afgehandeld door de server. Eén van deze regels heeft een SPF record. Daarin staat wie er namens een domein mail mogen versturen. Dat kan één server zijn, maar ook meerdere.

Een voorbeeld:

Een grote webwinkel gebruikt onderstaand SPF record

v=spf1 mx a:outgoing.c****e.nl include:amazonses.com include:_spf.google.com -all

Wanneer iemand namens dit bedrijf een mail verstuurt dient hij/zij uit te mailen via de server van het bedrijf, via Amazonses.com of via Google. Dat zijn de drie mogelijkheden die hier gelden.

Wie dus via een buitenlands account zich voordoet als dit bedrijf komt van een andere server en worden door de grote providers deze berichten al bij de voordeur geweigerd.

Het ontbreken van of een een fout SPF record is een van de meest voorkomende redenen dat uw e-mailberichten  geweigerd worden.

DKIM protocol. Beter dan SPF

DKIM is de iets veiligere en meer geavanceerde variant van SPF. Het DKIM protocol werkt als een aanvulling op SPF door een gecodeerde digitale handtekening toe te voegen aan uw e-mails om te controleren of het bericht legitiem en echt van u afkomstig is.

Bij DKIM gebruikt u een privé-gecodeerde sleutel om e-mailheaders te coderen. De privésleutel is nodig om berichten vanuit uw domein te verzenden, terwijl de ontvangende e-mailserver toegang heeft tot de inhoud van de berichtheader met behulp van de DKIM-sleutel die is gepubliceerd op de DNS, wat een openbare sleutel is.

Net als bij SPF wordt de DKIM-sleutel geleverd door uw internet service provider en moet deze als een TXT-record aan uw DNS worden toegevoegd. Ook dat neemt uw serviceprovider doorgaans voor zijn rekening.

In tegenstelling tot SPF, waar diverse domeinen een spf sleutel kunnen delen, heb je voor elk domein een unieke DKIM-sleutel nodig.

Uw provider stelt de records in en zorgt ervoor dat deze geverifieerd worden. Vanaf dat moment (u merkt er niets van) wordt elke keer dat u een e-mail verzendt, een unieke DKIM-handtekening gegenereerd en aan uw bericht toegevoegd.

De ontvangende mailserver decodeert vervolgens de handtekening met behulp van de tweede DKIM-sleutel die in uw DNS-records is gepubliceerd. Dat gaat razendsnel.

Eenmaal gedecodeerd, wordt een hash-string gegenereerd op basis van de inhoud van de e-mail en vergeleken met de hash-string in de inhoud van de handtekening. Als ze overeenkomen, wordt de mail doorgelaten en anders niet.

DKIM is dermate effectief dat veel grote mailproviders berichten sowieso weigeren als er geen DKIM sleutel wordt meegestuurd. Voor het bestrijden en onderscheppen van spam en ongewenste mail, is DKIM een zeer geschikt protocol. Vooral als het in combinatie wordt gebruikt met SPF en DMARC.

DMARC: Combineert SPF en DKIM en rapporteert

DMARC is een protocol dat niet nodig is voor de verificatie van uw e-mail, maar DMARC wordt wel vaak ingezet om uw domein verder te beschermen tegen phishing- en spoofingaanvallen. 

DMARC verbindt DKIM en SPF samen om meer flexibiliteit en controle over authenticatie van inkomende e-mail te bieden. 

DMARC levert een kader voor feedback, zodat afzenders kunnen bepalen hoe ze willen dat e-mails worden afgehandeld als ze niet slagen voor de DKIM- of SPF-controle. Bovendien kan dmarc rapporten genereren met overzichten van frauduleuze mails.

Een DMARC-record valideert de oorsprong van de e-mail door het IP-adres van de afzender te controleren. Daarnaast beschermt DMARC uw domein tegen spoofing door de SPF- en DKIM-records op elkaar af te stemmen. Als een van deze controles mislukt, zal het DMARC-record de ontvangende mailserver instrueren wat te doen. 

Ook DMARC moet als een TXT-record aan je DNS moeten worden toegevoegd, het configureren van dit records vergt iets meer aandacht.

Een DMARC-record bestaat uit verschillende tags, afhankelijk van behoeften van de ontvanger. De vereiste tags zijn:

v: Identificeert het record en moet aan het begin worden vermeld. De waarde is altijd DMARC1

p: identificeert het beleid dat voor uw record is gekozen, dat wordt toegepast door mailboxproviders als uw e-mail niet door DMARC-authenticatie wordt ontvangen. Er zijn drie beleidsregels om uit te kiezen:

  1. p=none: dit geeft mailservers de opdracht om geen actie te ondernemen, maar stelt u in staat om e-mails te volgen die worden verzonden 
  2. p=quarantaine: dit zorgt ervoor dat mailerservers de e-mail naar de spammap sturen als de DMARC-authenticatie mislukt, en volgt e-mails die worden verzonden
  3. p=reject: Dit geeft mailservers de opdracht om e-mails te weigeren die niet door de DMARC-controles komen, wat resulteert in een stuiterende e-mail. Het stelt de afzender ook in staat om e-mails te volgen die worden verzonden. 
Hier is een voorbeeld van een standaard DMARC-record:

v=DMARC1; p=none; rua=mailto:uwnaam@uwdomein.nl

Opmerking: rua=mailto:uwnaam@uwdomein.nl is een optionele tag die het e-mailadres aangeeft waarnaar volledige rapporten moeten worden verzonden.

Snel testen of uw mailserver goed staat ingesteld

Er is een manier om snel te kunnen zien wat er niet goed is aan uw serverinstellingen. U kunt daarvoor gratis (driemaal per 24 uur een test uitvoeren om te zien wat er beter kan.

U gaat daarvoor op het apparaat waarmee u mailt naar deze website en handelt als volgt.

  • In het witte vlak in het midden ziet u een lang e-mailadres. Rechts van het blok kunt u dit adres kopiëren. Doe dit.
  • Verstuur vervolgens vanuit uw mailprogramma een mail naar dit adres. Schrijf een bericht van een regel of drie vier zoals u normaal ook doet. Geef een onderwerp in en onderteken net als anders.
  • Ga nu terug naar de website en klik op ‘check vervolgens je score’.

Als u even wacht krijgt u direct een rapport van de mail die u gestuurd heeft. Als alles helemaal goed staat dan scoort u 10/10. En alleen dan weet u zeker dat uw mailprobleem in ieder geval niet veroorzaakt wordt door uw serverinstellingen. Een score van een negen is ook prima, alles daaronder is echt te weinig….