Sukkels bij Vitens (Water bedrijf)

[Briolet]

Ik krijg net een brief van vitens met het verzoek om mijn watermeter af te lezen. Dit omdat mijn mailadres niet werkt.

Dus kijk ik in het log en vind:

Code: [Selecteer]

2022-11-29T18:52:40+01:00 GedeeldeData postfix/smtpd[26752]: connect from mailzgbazb.mail.webpower.eu[91.197.72.102]
2022-11-29T18:52:41+01:00 GedeeldeData postfix/smtpd[26752]: Anonymous TLS connection established from mailzgbazb.mail.webpower.eu[91.197.72.102]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2022-11-29T18:52:42+01:00 GedeeldeData postfix/policy-spf[26772]: Policy action=550 Please see http://www.open-spf.org/Why?s=helo;id=mailzgczfg.mail.webpower.eu;ip=91.197.72.102;r=GedeeldeData
2022-11-29T18:52:42+01:00 GedeeldeData postfix/smtpd[26752]: NOQUEUE: reject: RCPT from mailzgbazb.mail.webpower.eu[91.197.72.102]: 550 5.7.1 <xxx@mijndomein.nl>: Recipient address rejected: Please see http://www.open-spf.org/Why?s=helo;id=mailzgczfg.mail.webpower.eu;ip=91.197.72.102;r=GedeeldeData; from=<return-to@postnl.vitens.nl> to=<xxxx@mijndomein.nl> proto=ESMTP helo=<mailzgczfg.mail.webpower.eu>
2022-11-29T18:52:47+01:00 GedeeldeData postfix/smtpd[26752]: disconnect from mailzgbazb.mail.webpower.eu[91.197.72.102] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6

Oorzaak dus een faal wegens een sfp faal. Dus zoek ik de sfp policy van de verzender op:

Code: [Selecteer]

$ host -t txt mailzgczfg.mail.webpower.eu
mailzgczfg.mail.webpower.eu descriptive text "v=spf1 a -all"
Het verzend IP moet dus identiek zijn aan het a record. Zoniet is het een hard fail.

Dan zoek ik het a record op:

Code: [Selecteer]

host mailzgczfg.mail.webpower.eu
mailzgczfg.mail.webpower.eu has address 91.197.73.67
Dat is dus een ander IP dan waar de mail vandaan kwam:  91.197.72.102

Dat deze mailing toch nog bij klanten aankwam is waarschijnlijk omdat de meeste providers de spf setting vaak negeren en de mail toch doorlaten of in de spambox zetten.  Maar als je een spf beveiliging gebruikt met ook nog een '-all' policy, dan moet een onvanger dit als een gespoofde mailpoging weg kunnen gooien.

(PS gelukkig had ik dit snel in het log gevonden omdat het woord 'vitens' in hun return adres voorkwam.

[Briolet]

In elk geval krijg ik wel een bevestigingsmailtje na het doorgeven van mijn meterstand. Mijn mailadres is dus niet op hold gezet.  Deze mail was echter door vitens zelf verzonden:

Code: [Selecteer]

Received-Spf: ⁨pass (sg.vitens.nl: 167.89.61.168 is authorized to use 'bounces+2189455-3e4e-xxx=mijndomein.nl@sg.vitens.nl' in 'mfrom' identity (mechanism 'ip4:167.89.61.168' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-from="bounces+2189455-3e4e-xxx=mijndomein.nl@sg.vitens.nl"; helo=o1678961x168.outbound-mail.sendgrid.net; client-ip=167.89.61.168⁩
Toch snap ik zo'n bedrijf niet dat de eerste mailing verzorgd heeft. Dat lijkt me toch een commercieel bedrijf dat gespecialiceerd is in het versturen van mail. En een SPF policy is geen rocket-science. Als je instelt dat de mail alleen vanaf één specifiek IP afkomstig mag zijn, dan moet je het ook vanaf dat IP versturen.

Zoiets lijkt me toch core busines van een bulkmail verzender.

[Robert Koopman]

Komt echt te vaak voor.
Bedrijven maker er soms echt een bende van.
Als iedereen strikter zich aan de regels houdt scheelt dat echt een berg spam.

[GensNet]

Och, ik kan je het nog mooier vertellen over Vitens.

Ik krijg altijd de waterrekening via de post. Maar in maart kreeg ik een aanmaning om- ik meen een rekening van jan.- van dat jaar te betalen. Ik heb me er wat over verwonderd dat ze daar nu in maart pas mee komen. Ik heb toch echt geen rekening met de post gehad. Dat dus toen maar betaald met de gedachte dat óók ik wel eens een rekening over het hoofd kan zien.

Tot de volgende maand weer een aanmaning op de deurmat plofte. Nu alweer vergeten?, gaat er nu niet meer bij mij in en maar contact opgenomen met Vitens. Ze hebben mij de rekening via de e-mail gestuurd en die komt dus niet aan, omdat het e-mail adres niet meer bestaat. Ik zou op 10 oktober van het vorige jaar dit zelf aangegeven hebben in "mijn Viterns" dat ik voortaan de rekeningen via de e-mail wil ontvangen. Nu heb ik helemaal geen "mijn Vitens" en kan dit dus daar ook niet aangegeven hebben. Ze hebben een e-mail adres gebruikt dat ik gebruikt heb om meterstanden door te geven. En al zou ik dit doorgegeven hebben, gebruik ik toch niet een niet meer bestaand e-mail adres......

Geen commentaar van Vitens. Ik krijg nu weer als vanouds de rekening via de post.

[Briolet]

Ze hebben mij de rekening via de e-mail gestuurd en die komt dus niet aan

Bij deze oproep van de meterstanden is dit deel wel goed gedaan. Het bedrijf dat de mailing verzorgd heeft, heeft aan vitens terug gekoppeld welke mail niet afgeleverd is, zodat Vitens hier een brief naar toe kon sturen.

Maar dat geeft ook aan dat de meeste mail providers de mail gewoon geaccepteerd hebben ondanks de spf fail. Dat geeft ook aan dat klagen bij Vitens weinig zin heeft. De mensen van de helpdesk die je aan de lijn krijgt, gaan de schuld dan bij jou leggen, want 99% van de mensen heeft de mail wel ontvangen, dus moet de fout wel in jouw mailprovider zitten en niet bij Vitens.

Dat is het probleem. Als de mailproviders dit soort anti-spoofing instellingen wel serieus zouden nemen en deze mail allemaal zouden blokkeren, ziet de verzender direct dat zij iets verkeerd doen.