Problemen met het (automatisch) doorsturen van email; SPF
In de strijd tegen spam zijn er de afgelopen jaren veel maatregelen genomen en nieuwe systemen bedacht. Een van de oudere systemen is het Sender Policy Framework (SPF). Een effectief systeem maar wel één die een van de oudste functies van email in de weg zit: het automatisch doorsturen.
SPF controleert de afkomst van inkomende mails. Komt een mail van de server die voor het afzender-domein mag versturen? Als dit niet zo is, wordt de verzonden email als ‘spam’ aangemerkt (spam is een breed begrip!). SPF is een gratis en effectieve maatregel bij het tegengaan van ongewenste email. De eerste selectie, zeg maar.
Daarom ook dat steeds meer bedrijven SPF-records hebben ingesteld voor hun domein.
Uw server staat niet in de SPF-records
En daar ligt ook meteen een probleem. Vooral bij bedrijven die van een verouderde of gesloten mailomgeving gebruik maken, waarbij men niet van een andere locatie bij de email kan. Wat lastig is als een medewerker thuis werkt. Om de email toch te kunnen lezen, wordt er vaak een regel aangemaakt waarbij de mail automatisch doorgestuurd wordt (mail forwarding). Alle mail die naar het email adres van de medewerker gestuurd wordt, moet zonder te worden geopend, doorgestuurd worden naar een persoonlijk email-adres, zoals bijvoorbeeld van Gmail.
Wat is het probleem?
Stel, je ontvangt een mail van Google Analytics, met een belangrijk rapport. Die is door onze spamfilter gecontroleerd, goed bevonden en afgeleverd op je e-mail server. De ingestelde regel zegt dat die email direct naar het persoonlijk adres gestuurd moet worden. Daarmee doet hij dan alsof hij een e-mail server van Google is! Maar deze server is natuurlijk niet opgenomen in de SPF-records van Google; u heeft helemaal geen toestemming om uit hun naam te mailen.
Gmail ziet dat ook en heeft geen notie dat de mail een omweg heeft genomen. Daarom zal Google de betreffende e-mail onherroepelijk weigeren. Het maakt hierbij niets uit of u de mail direct bij Google aanbiedt of via onze SMTP server.
Bovenstaande voorbeeld zou dus wél werken als Google in haar SPF opnam dat ‘mailserver.kwaaijongens.nl’ een e-mail mag versturen uit naam van Google. Duh.
Maar tegelijkertijd mag -dankzij SPF- Google weer geen e-mail verzenden uit naam van Kwaaijongens.
De gevolgen
Dit kan best wel wat gevolgen hebben: de email komt niet meer aan (want Gmail vertrouwt het niet) en als dit te vaak gebeurt, kan de verzendende server als onbetrouwbaar gezien worden en op een blacklist geplaatst worden. Er is een wildgroei aan ‘blacklist-bedrijven’ waar verschillende diensten naar kijken om te bepalen of een email legitiem is.
Als je pech hebt ben je dagen kwijt om -handmatig- contact te zoeken met die bedrijven om je vermelding van de lijsten af te krijgen. Want ze kijken ook naar elkaar, dus het heeft een sterk ‘olievlek effect’.
Hoe voorkom ik dit?
Een van de oplossingen is om automatisch een doorgestuurde mail van een nieuw afzender adres te voorzien (‘Sender Rewriting Scheme’). Dit omdat het voor iedere mailserver anders ingeregeld kan worden en dat een klus is die meestal uitgevoerd moet worden door ICT.
SPF-records zijn een goede manier om een begin te maken tegen misbruik van je domein door spammers. Maar is hiermee wel een van de oudste – en nog altijd veelgebruikte – functies van mail aan het verdwijnen.