Mails worden na overzetting KPN vaker als SPAM gezien?

[Patrick Vervoorn]

Hallo daar,

Hopelijk kunnen de (ex-)XS4ALL medewerkers mij met onderstaande helpen
(denk en hoop hierbij aan Jan-Pieter Cornet).

Wat is er aan de hand:

Sinds ik definitief overgezet ben naar de techniek van KPN, komen
mailtjes die ik vanaf thuis naar mijn werk stuur, bijna zonder
uitzondering in het SPAM filter op het werk terecht. Voor die tijd
kwamen ze ALTIJD aan.

Navraag bij onze experts levert het volgende op:

Deze mails worden in het spamfilter geplaatst omdat ze worden verzonden
vanuit het domain ‘perihelion.demon.nl’. Aangezien dit domein zelf geen
records heeft en dus geen SPF-record, ziet het spamfilter dit als spam.
Kan het zijn dat er onlangs iets is aangepast voor KPN/XS4ALL?


Ondanks alle toezeggingen is er natuurlijk wel het nodige veranderd. Is
dit iets waar men bij de migratie rekening mee heeft gehouden? Zou
KPN/XS4ALL dit aan hun kant op kunnen lossen? Is er iets wat ik kan/moet
doen?

Groeten & alvast bedankt, Patrick.

[Rob]

Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:
> Navraag bij onze experts levert het volgende op:
>
> Deze mails worden in het spamfilter geplaatst omdat ze worden verzonden
> vanuit het domain ‘perihelion.demon.nl’. Aangezien dit domein zelf geen
> records heeft en dus geen SPF-record, ziet het spamfilter dit als spam.

Het is niet dat ie "geen records" heeft. In DNS staat voor dat domein
een MX record en ook een SPF txt record. Je zou kunnen opmerken dat
het SPF record een "a" flag bevat en het domein geen A record heeft,
maar ik betwijfel of dat fataal is. Anders zou XS4ALL het weg kunnen
halen.

Dus misschien kunnen de experts aangeven wat er dan precies niet OK
is aan het SPF record en/of de mail die verstuurd is (bijv komt die
toch naar buiten via een host die niet onder dat SPF record genoemd wordt).
Dat zou bijvoorbeeld kunnen als jij zelf de mail verstuurt vanaf je
eigen computer, ipv via de KPN smarthost.

[Patrick Vervoorn]

In article <slrnt8emp1...@xs9.xs4all.nl>,

Dank voor de reactie. Ik zal het in mijn respons mee nemen, maar hoop
dat er nog een semi-officiele reactie van KPN/XS4ALL komt.

V.w.b. het versturen: ik bied dit via een Linux machine aan aan de
XS4ALL/KPN smarthost; ik probeer het dus niet direct af te leveren.

Groeten, Patrick.

[Erik]

Op 20-5-2022 om 9:54 schreef Patrick Vervoorn:

> is er natuurlijk wel het nodige veranderd

Heb je een nieuw IP adres gehad en hoe is de reputatie van het nieuwe adres?

[Erik]

Op 20-5-2022 om 11:59 schreef Erik:

Als je dan ook nog onaardige dingen zet in je eigen spf record.
Loop je de kans, dat iemand het ziet en je op de zwarte lijst zet.

[Rob]

Er staan wel onaardige dingen in dat SPF record maar dat is al sinds
jaar en dag zo. Ik vind het ook niet erg professioneel van XS4ALL, nee.

[Patrick Vervoorn]

In article <slrnt8evok...@xs9.xs4all.nl>,

Ik wel een nieuw IP adres maar heb geen idee wat daar de reputatie van is.
Daarnaast heb ik zelf NIETS aan het SFP record gedaan of veranderd.
Heb ik ook NOOIT gedaan.

Ik wacht nog steeds op een respons van XS4ALL/KPN...

Ciao, Patrick.

[Rob]

Jouw eigen IP adres heeft er zeker niets mee te maken, omdat je mail
verstuurd wordt via de smarthost. Als je direct vanaf je eigen systeem
mailde zou dat wel het geval zijn (maar dat kan geloof ik niet meer).

Het gaat er nu om of dat de uitgaande kant van de KPN smarthost een
adres gebruikt wat klopt met het SPF record. Dat is:

"v=spf1 a include:spf-considered-harmful.xs4all.nl ~all"

op zijn beurt is het record van spf-considered-harmful.xs4all.nl:

"v=spf1 ip4:194.109.24.0/24 ip6:2001:888:0:108::/64 ip6:2001:888:0:125::/64 include:spf.ews.kpnxchange.com ?all"

die literal IP adressen zijn van XS4ALL mailservers, voor KPN wordt er
weer doorverwezen naar spf.ews.kpnxchange.com:

"v=spf1 include:spf.ewsoutbound.kpnmail.nl ip4:213.75.39.15/32 ip4:213.75.39.4/32 ip4:213.75.39.5/32 ip4:213.75.39.6/32 ip4:213.75.39.7/32 ip4:213.75.39.8/32 ip4:213.75.39.9/32 ip4:213.75.39.10/32 ip4:213.75.39.13/32 ip4:213.75.39.14/32 ?all"

Beetje een zootje, 213.75.39.0/28 was netter geweest, maar goed.
Die verwijst weer naar spf.ewsoutbound.kpnmail.nl:

"v=spf1 ip4:195.121.94.167/32 ip4:195.121.94.168/32 ip4:195.121.94.169/32 ip4:195.121.94.170/32 ip4:195.121.94.183/32 ip4:195.121.94.184/32 ip4:195.121.94.185/32 ip4:195.121.94.186/32 ?all"

Nog zo'n bonte verzameling. En het IPv6 memo is bij KPN kennelijk ook nog
niet binnen gekomen. Ben blij dat ik daar weg ben, wat een ballentent.

Maar goed, jouw mail zou dus via een van die genoemde adressen naar buiten
moeten gaan, en dan zou jouw werkgever dat als OK moeten zien. Mocht
het toch via een ander adres komen dan zit de fout bij KPN, komt het via
een van deze adressen dan zit de fout bij je werkgever.

[Marcel de Groot]

Patrick Vervoorn wrote on 20/05/2022 09:54:
> Hallo daar,
>
> Hopelijk kunnen de (ex-)XS4ALL medewerkers mij met onderstaande helpen
> (denk en hoop hierbij aan Jan-Pieter Cornet).
>
> Wat is er aan de hand:
>
> Sinds ik definitief overgezet ben naar de techniek van KPN, komen
> mailtjes die ik vanaf thuis naar mijn werk stuur, bijna zonder
> uitzondering in het SPAM filter op het werk terecht. Voor die tijd
> kwamen ze ALTIJD aan.
>

Ik krijg ook heel veel mails die nu in de spam komen van verschillende
bronnen (en van reputabele bronnen met goede DKIM/DMARC instellingen
etc)... , en met de [SPAM] toegevoegd in het onderwerp

Ik mis de greenlist van XS4ALL wel heel erg, dit is geen spam klikken heeft
niet echt resultaat lijkt het. Ik kreeg misschein 1 a 2 mails onterecht in
de spam bij xs4all.. Nu bij KPN is het meer die hoeveelheid per dag..

[Patrick Vervoorn]

In article <nnd$0f241e40$4d969dbc@13ee2c203f23eddb>,

Bedankt voor je reactie, maar mijn probleem is 'the other way around'?

Ciao, Patrick.

[Tonnie]

On 20/05/2022 22:23, Marcel de Groot wrote:


> Ik krijg ook heel veel mails die nu in de spam komen van verschillende
> bronnen (en van reputabele bronnen met goede DKIM/DMARC instellingen
> etc)... , en met de [SPAM] toegevoegd in het onderwerp
>
> Ik mis de greenlist van XS4ALL wel heel erg, dit is geen spam klikken
> heeft niet echt resultaat lijkt het. Ik kreeg misschein 1 a 2 mails
> onterecht in de spam bij xs4all.. Nu bij KPN is het meer die hoeveelheid
> per dag..

hier idem dito, bijzonder irritant..

--
Tonnie

[Eddy]

Op 20-5-2022 om 23:20 schreef Tonnie:

Nu zelfs zelf al 2x gehad dat ik een mail niet kon verzenden omdat het
zogenaamd spam zou zijn...
<...@xs4all.nl> failed: host mx.kpnmail.nl (195.121.65.158) said:
550 5.7.1 Mail rejected. (in reply to EOD command)
Mails stond echt niets vreemds of bijzonders in... heel apart.
Echt een vooruitgang die KPN servers.

--
Eddy

[Rob van der Putten]

Hoi

Doet een beetje denken aan Hotmail en Outlook die lukraak mail weigeren.
Kromme pointers in M$ software wellicht.


Vr.Gr,
Rob
--
Google search is unreliable
http://www.sput.nl/internet/google.html

[Rob]

Rob van der Putten <r...@sput.nl> wrote:
> Doet een beetje denken aan Hotmail en Outlook die lukraak mail weigeren.
> Kromme pointers in M$ software wellicht.

Al die grote providers, ook Gmail, die kijken alleen maar naar
"hoeveel spam komt er onterecht in de inbox" en om die score op te
peppen zien ze er geen been in om totaal legitieme mail als spam aan
te merken en te weigeren of in een spam map te zetten.

Mail is geen betrouwbaar medium meer. Kan zijn dat het aankomt, kan
zijn dat het niet aankomt, je weet het gewoon niet.

En niemand komt in actie, voor iets belangrijks gebruikt men tegenwoordig
wel Whatsapp.

[Dirk T. Verbeek]

Op 21-05-2022 om 02:26 schreef Eddy:

Een paar dagen geleden kreeg ik een tekst van een kennis in Frankrijk
dat een mail aan mij werd geweigerd met deze boodschap;
The response from the remote server was:550.5.7.1 Mail rejected.

Dezelfde mail naar m'n freedom adres kwam prima aan.
En zo zet KPN zich in een hoekje.

[richard lucassen]

On Sat, 21 May 2022 09:48:09 +0200
"Dirk T. Verbeek" <di...@example.com> wrote:

> Een paar dagen geleden kreeg ik een tekst van een kennis in
> Frankrijk dat een mail aan mij werd geweigerd met deze boodschap;
> The response from the remote server was:550.5.7.1 Mail rejected.
>
> Dezelfde mail naar m'n freedom adres kwam prima aan.
> En zo zet KPN zich in een hoekje.

Het is MS Exchange en daar moet je (veel) voor betalen. Er is (duur
betaalde) support en *dus* is het goed. Die Open Source troep van
xs4all is waardeloos want het kost niks, er "staat geen bedrijf
achter", er is geen SLA en *dus* is er geen support.

Probeer eens een mail te sturen naar unixb...@kpn.com. Dan word je
vast snel geholpen!

--
richard lucassen
http://contact.xaq.nl/

[Roger]

On 2022/05/21 09:58, richard lucassen wrote:
> On Sat, 21 May 2022 09:48:09 +0200
> "Dirk T. Verbeek" <di...@example.com> wrote:
>
>> Een paar dagen geleden kreeg ik een tekst van een kennis in
>> Frankrijk dat een mail aan mij werd geweigerd met deze boodschap;
>> The response from the remote server was:550.5.7.1 Mail rejected.
>>
>> Dezelfde mail naar m'n freedom adres kwam prima aan.
>> En zo zet KPN zich in een hoekje.
>
> Het is MS Exchange en daar moet je (veel) voor betalen. Er is (duur
> betaalde) support en *dus* is het goed. Die Open Source troep van
> xs4all is waardeloos want het kost niks, er "staat geen bedrijf
> achter", er is geen SLA en *dus* is er geen support.

Ik mag hopen dat je met de auto minder kort door de bocht gaat, anders
worden je portieren regelmatig opengereten door amsterdammertjes. Bij
dit soort zeer grote omgevingen spelen heel andere factoren een rol dan
alleen de directe kosten voor licenties en support. Organisaties als
KPN die gefocust zijn op winst hebben daar uiteraard wel oog voor, maar
kijken echt wel een stuk breder.

Groeten,
-Roger

[Izak van Langevelde]

On 21/05/2022 02:26, Eddy wrote:

Gelukkig verandert er niets...


--
Grinnikend door het leven...

[richard lucassen]

On Sat, 21 May 2022 11:28:29 +0200
Roger <nosuc...@example.com> wrote:

> > Het is MS Exchange en daar moet je (veel) voor betalen. Er is (duur
> > betaalde) support en *dus* is het goed. Die Open Source troep van
> > xs4all is waardeloos want het kost niks, er "staat geen bedrijf
> > achter", er is geen SLA en *dus* is er geen support.
>
> Ik mag hopen dat je met de auto minder kort door de bocht gaat, anders
> worden je portieren regelmatig opengereten door amsterdammertjes. Bij
> dit soort zeer grote omgevingen spelen heel andere factoren een rol
> dan alleen de directe kosten voor licenties en support. Organisaties
> als KPN die gefocust zijn op winst hebben daar uiteraard wel oog
> voor, maar kijken echt wel een stuk breder.

Lijkt me dat ze dit gewoon uitbesteden.

[A_Alias]

Op 20-5-2022 om 22:44 schreef Patrick Vervoorn:

Je kan er wel uithalen dat de filter(s) bij KPN beide richtingen op niet
zo goed functioneren als het XS4all tijdperk.

en past prima bij het subject ...daar heb je niet geschreven of het om
uitgaand of inkomend was.

overgens zit je oude greenlist nog opgeslagen.
kpnwebmail >> contacten >> Adresboek greenlist

Nu nog even werkbaar maken .. ze zouden tenslote het beste uit beiden
samenvoegen.

A_A

[Marcel de Groot]

Rob wrote on 21/05/2022 09:20:
> Rob van der Putten <r...@sput.nl> wrote:
>> Doet een beetje denken aan Hotmail en Outlook die lukraak mail weigeren.
>> Kromme pointers in M$ software wellicht.
>
> Al die grote providers, ook Gmail, die kijken alleen maar naar
> "hoeveel spam komt er onterecht in de inbox" en om die score op te
> peppen zien ze er geen been in om totaal legitieme mail als spam aan
> te merken en te weigeren of in een spam map te zetten.

Er komen echt heel erg weinig mails in de verkeerde mappen terecht bij
GMail bij mij

[Patrick Vervoorn]

In article <nnd$444d721a$096189f8@e8efde38e322448f>,

A_Alias <email...@xs4all.nl> wrote:
>Op 20-5-2022 om 22:44 schreef Patrick Vervoorn:
>> In article <nnd$0f241e40$4d969dbc@13ee2c203f23eddb>,
>> Marcel de Groot <mgr...@xs4all.invalid> wrote:
>>> Patrick Vervoorn wrote on 20/05/2022 09:54:
>>>> Hallo daar,
>>>>
>>>> Hopelijk kunnen de (ex-)XS4ALL medewerkers mij met onderstaande helpen
>>>> (denk en hoop hierbij aan Jan-Pieter Cornet).
>>>>
>>>> Wat is er aan de hand:
>>>>
>>>> Sinds ik definitief overgezet ben naar de techniek van KPN, komen
>>>> mailtjes die ik vanaf thuis naar mijn werk stuur, bijna zonder
>>>> uitzondering in het SPAM filter op het werk terecht. Voor die tijd
>>>> kwamen ze ALTIJD aan.
>>>>
>>>
>>> Ik krijg ook heel veel mails die nu in de spam komen van verschillende
>>> bronnen (en van reputabele bronnen met goede DKIM/DMARC instellingen
>>> etc)... , en met de [SPAM] toegevoegd in het onderwerp
>>>
>>> Ik mis de greenlist van XS4ALL wel heel erg, dit is geen spam klikken heeft
>>> niet echt resultaat lijkt het. Ik kreeg misschein 1 a 2 mails onterecht in
>>> de spam bij xs4all.. Nu bij KPN is het meer die hoeveelheid per dag..
>>
>> Bedankt voor je reactie, maar mijn probleem is 'the other way around'?
>>
>> Ciao, Patrick.
>
>Je kan er wel uithalen dat de filter(s) bij KPN beide richtingen op niet
>zo goed functioneren als het XS4all tijdperk.

Dat kan goed zo zijn.

>en past prima bij het subject ...daar heb je niet geschreven of het om
>uitgaand of inkomend was.

De body verduidelijkte het hopelijk een hoop...?

>overgens zit je oude greenlist nog opgeslagen.
>kpnwebmail >> contacten >> Adresboek greenlist

Wat gaat een greenlist mij helpen voor mails vanuit KPN4XS4ALL -> Mijn
werk email?

En volgens mij heb ik nooit een expliciete greenlist aan gemaakt; ik heb
hooguit false positives/negatives de andere kant opgeklikt via de
webmail.

>Nu nog even werkbaar maken .. ze zouden tenslote het beste uit beiden
>samenvoegen.

Ik hoop nog steeds op een coherent antwoord van iemand uit XS4ALL/KPN.

>A_A

Ciao, Patrick.

[Rob]

Marcel de Groot <mgr...@xs4all.invalid> wrote:

Bij gmail komt de meeste onterecht als spam gedetecteerde mail helemaal
niet in je mappen, nee. Je ziet em gewoon nooit.

[Rob]

A_Alias <email...@xs4all.nl> wrote:
> Op 20-5-2022 om 22:44 schreef Patrick Vervoorn:
>> In article <nnd$0f241e40$4d969dbc@13ee2c203f23eddb>,
>> Marcel de Groot <mgr...@xs4all.invalid> wrote:
>>> Patrick Vervoorn wrote on 20/05/2022 09:54:
>>>> Hallo daar,
>>>>
>>>> Hopelijk kunnen de (ex-)XS4ALL medewerkers mij met onderstaande helpen
>>>> (denk en hoop hierbij aan Jan-Pieter Cornet).
>>>>
>>>> Wat is er aan de hand:
>>>>
>>>> Sinds ik definitief overgezet ben naar de techniek van KPN, komen
>>>> mailtjes die ik vanaf thuis naar mijn werk stuur, bijna zonder
>>>> uitzondering in het SPAM filter op het werk terecht. Voor die tijd
>>>> kwamen ze ALTIJD aan.
>>>>
>>>
>>> Ik krijg ook heel veel mails die nu in de spam komen van verschillende
>>> bronnen (en van reputabele bronnen met goede DKIM/DMARC instellingen
>>> etc)... , en met de [SPAM] toegevoegd in het onderwerp
>>>
>>> Ik mis de greenlist van XS4ALL wel heel erg, dit is geen spam klikken heeft
>>> niet echt resultaat lijkt het. Ik kreeg misschein 1 a 2 mails onterecht in
>>> de spam bij xs4all.. Nu bij KPN is het meer die hoeveelheid per dag..
>>
>> Bedankt voor je reactie, maar mijn probleem is 'the other way around'?
>>
>> Ciao, Patrick.
>
> Je kan er wel uithalen dat de filter(s) bij KPN beide richtingen op niet
> zo goed functioneren als het XS4all tijdperk.

De meeste providers filteren uitgaand helemaal niet. Niet hun probleem.

[Flibsy]

Integendeel, uitgaande spam is voor mail providers een bedreiging van hun
reputatie. Blacklists enzo.

--
Flibsy

[Rob]

Ja botnets, daar filteren ze op. Dus geen uitgaande poort 25 meer.
Maar mail die je verstuurt via de smarthost van je provider filteren
als spam, dat gebeurt volgens mij niet zo vaak en zo agressief als dat
er inkomend op spam gefilterd wordt.

[Flibsy]

Mogelijk, weet ik niet.

--
Flibsy

[Patrick Vervoorn]

In article <nnd$32d934bd$343868b3@c452b017d1ee9a10>,

Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:
>Hallo daar,
>
>Hopelijk kunnen de (ex-)XS4ALL medewerkers mij met onderstaande helpen
>(denk en hoop hierbij aan Jan-Pieter Cornet).
>
>Wat is er aan de hand:
>
>Sinds ik definitief overgezet ben naar de techniek van KPN, komen
>mailtjes die ik vanaf thuis naar mijn werk stuur, bijna zonder
>uitzondering in het SPAM filter op het werk terecht. Voor die tijd
>kwamen ze ALTIJD aan.
>

>Navraag bij onze experts levert het volgende op:
>
>Deze mails worden in het spamfilter geplaatst omdat ze worden verzonden
>vanuit het domain ‘perihelion.demon.nl’. Aangezien dit domein zelf geen
>records heeft en dus geen SPF-record, ziet het spamfilter dit als spam.

>Kan het zijn dat er onlangs iets is aangepast voor KPN/XS4ALL?
>
>
>Ondanks alle toezeggingen is er natuurlijk wel het nodige veranderd. Is
>dit iets waar men bij de migratie rekening mee heeft gehouden? Zou
>KPN/XS4ALL dit aan hun kant op kunnen lossen? Is er iets wat ik kan/moet
>doen?
>
>Groeten & alvast bedankt, Patrick.

Dus... Iemand van XS4ALL/KPN hier nog meer inzichten in?

CIao, Patrick.

[Patrick Vervoorn]

In article <slrnt8emp1...@xs9.xs4all.nl>,
Rob <nom...@example.com> wrote:

>Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:
>> Navraag bij onze experts levert het volgende op:
>>
>> Deze mails worden in het spamfilter geplaatst omdat ze worden verzonden
>> vanuit het domain ‘perihelion.demon.nl’. Aangezien dit domein zelf geen
>> records heeft en dus geen SPF-record, ziet het spamfilter dit als spam.
>

>Het is niet dat ie "geen records" heeft. In DNS staat voor dat domein
>een MX record en ook een SPF txt record. Je zou kunnen opmerken dat
>het SPF record een "a" flag bevat en het domein geen A record heeft,
>maar ik betwijfel of dat fataal is. Anders zou XS4ALL het weg kunnen
>halen.
>
>Dus misschien kunnen de experts aangeven wat er dan precies niet OK
>is aan het SPF record en/of de mail die verstuurd is (bijv komt die
>toch naar buiten via een host die niet onder dat SPF record genoemd wordt).
>Dat zou bijvoorbeeld kunnen als jij zelf de mail verstuurt vanaf je
>eigen computer, ipv via de KPN smarthost.

Kleine aanvulling, men roept nu, samengevat:

"Dit komt omdat er vanuit een domein wordt gemaild waarin geen
SPF-record aanwezig is en alleen maar een forward. Hierdoor zit ons
spamfilter dit als malafide."

Snijdt dit hout?

Ciao, Patrick.

[Rob]

Nee dat klopt gewoon niet. Er is wel degelijk een SPF record. Dat
dit record (voornamelijk) een include bevat (bedoelen ze dat met
"een forward"?) dat is niet relevant, dat is OK voor SPF records,
zeker als het een mailsysteem met abonnees is zoals dat van een ISP.

Uiteraard ga ik er wel vanuit dat je mailt vanaf een usernaam @
dat domein dus niet met zo'n constructie als waarmee je hier post.
Dan zou het wel kloppen wat ze zeggen, en mailen vanaf een niet
bestaand domein dat wordt tegenwoordig meestal niet meer toegelaten.

[Patrick Vervoorn]

In article <slrnt8mg0p...@xs9.xs4all.nl>,

Ik mail nog met Demon email adres, dat bestaat uit een naam voor het
@perihelion.demon.nl.

Groeten, Patrick.

[Miquel van Smoorenburg]

In article <nnd$317708cb$1db62c3a@56f34dc7ad9681d5>,

Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:
>Dus... Iemand van XS4ALL/KPN hier nog meer inzichten in?

De techneuten van XS4ALL hebben niets te maken met de systemen
van KPN. Dus je kan hier daar wel vragen over stellen, maar
dat heeft niet veel zin. KPN heeft forums waar je met je
KPN ID op in kan loggen, misschien kan iemand daar er
wat over zeggen.

Mike.

[Mark Huizer]

The wise Patrick Vervoorn enlightened me with:

> Ik mail nog met Demon email adres, dat bestaat uit een naam voor het
> @perihelion.demon.nl.
>
> Groeten, Patrick.

s-shell1 5:40pm [~] host -t txt perihelion.demon.nl
perihelion.demon.nl descriptive text "v=spf1 a include:spf-considered-harmful.xs4all.nl ~all"
perihelion.demon.nl descriptive text "kpn-domain-verification=4faf8b86cc4b48d8879bf8e6825b587d"

En daar is dus een SPF record voor.

Je zou eens https://www.appmaildev.com/en/spf kunnen proberen. Daar
krijg je dan een mail adres om naar te mailen, en dan een rapport van je
SPF.

Mark

[Patrick Vervoorn]

In article <slrnt8nav...@s-shell1.local.dohd.org>,

Done, alles ziet er goed uit, behalve:

spam.dnsbl.sorbs.net:LISTED - http://www.sorbs.net

Blijkbaar heb ik een 'besmet' IP gekregen (volgens sorbs.net)?

Ciao, Patrick.

[Patrick Vervoorn]

In article <nnd$21e55a6b$01e05e90@727dedb9bb4f93a7>,

Hij is fijn.
Gelukkig is er niks veranderd.

Ik ga dan eens op die forums loeren... Pfff.

Waarom heeft XS4ALL in godesnaam ooit besloten Demon over te nemen. :(

>Mike.

Ciao, Patrick.

[Rob]

Nee, als jij zoals je zegt via de KPN/XS4ALL smarthost mailt dan
betreft dit het uitgaande IP van de KPN/XS4ALL mailserver.

Maar sorbs = niets van aantrekken. Gebruikt niemand.

[Patrick Vervoorn]

In article <slrnt8ni5m...@xs9.xs4all.nl>,

Ik draai exim4 op mijn Linux doosje, en die is zodanig geconfigureerd
dat die de mail aan smtp.xs4all.nl aan biedt...

Of doe ik dat dan juist verkeerd?

>Maar sorbs = niets van aantrekken. Gebruikt niemand.

OK.

Ciao, Patrick.

[Bath]

On 2022-05-23, Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:

[knip]

> Waarom heeft XS4ALL in godesnaam ooit besloten Demon over te nemen. :(

Dat was een overname van KPN, niet XS4ALL.

https://tweakers.net/nieuws/42815/kpn-neemt-demon-nederland-over.html

[Rob]

Ja wat veel mensen nog wel eens vergeten is dat KPN al in 1998 XS4ALL
heeft overgenomen, toen het pas 5 jaar bestond. Het overgrote deel
van de tijd dat XS4ALL bestaan heeft (en waarschijnlijk de volledige
tijd dat veel mensen er abonnee waren) was het al van KPN.

Ik ben zelf ook een tijd Demon abonnee geweest, toen ze in Nederland
net begonnen waren met 3 ISDN inbelpunten, waaronder een die voor mij
lokaal was. Maar ik was daar in 1999 al vertrokken ver ze overgenomen
werden en ben pas later (2001) bij XS4ALL terecht gekomen toen er ADSL
geleverd kon worden via enkele providers waaronder XS4ALL.

[Patrick Vervoorn]

In article <slrnt8p7lf...@xs9.xs4all.nl>,

Rob <nom...@example.com> wrote:
>Bath <Ba...@Your.Bathroom> wrote:
>> On 2022-05-23, Patrick Vervoorn
><patrick....@NOSPAM.perihelion.demon.nl> wrote:
>>
>> [knip]
>>
>>> Waarom heeft XS4ALL in godesnaam ooit besloten Demon over te nemen. :(
>>
>> Dat was een overname van KPN, niet XS4ALL.
>>
>> https://tweakers.net/nieuws/42815/kpn-neemt-demon-nederland-over.html

Altijd jammer als feiten een lekkere lompe 'rant' in de weg zitten. :)

>Ja wat veel mensen nog wel eens vergeten is dat KPN al in 1998 XS4ALL
>heeft overgenomen, toen het pas 5 jaar bestond. Het overgrote deel
>van de tijd dat XS4ALL bestaan heeft (en waarschijnlijk de volledige
>tijd dat veel mensen er abonnee waren) was het al van KPN.
>
>Ik ben zelf ook een tijd Demon abonnee geweest, toen ze in Nederland
>net begonnen waren met 3 ISDN inbelpunten, waaronder een die voor mij
>lokaal was. Maar ik was daar in 1999 al vertrokken ver ze overgenomen
>werden en ben pas later (2001) bij XS4ALL terecht gekomen toen er ADSL
>geleverd kon worden via enkele providers waaronder XS4ALL.

Nou ja, het is/was toen dus eigenlijk al 1 pot nat toen KPN4ALL Demon
overnamen, alleen kreeg XS4ALL toen nog de vrijheid om die overname GOED
af te handelen.

Het enige wat ik toen 'verloor' was toegang tot Supernews, en over moest
stappen op Newszilla.

Verder bleef zo'n beetje alles toen WEL hetzelfde.

How times have changed...

Ciao, Patrick.

[Patrick Vervoorn]

In article <nnd$3b11fb7b$78920063@ec24ded40436de7c>,

Nieuw stukje data, geen idee of het helpt:

Onze mailscenner doet zo te zien 2 x een SPF Check:

Check #1 is op perihelion.demon.nl, en die geeft een Pass.

Check #2 is op ewsoutbound.kpnmail.nl, en die heeft geen SPF record.

Kan dat het probleem zijn?
Is dat correct geconfigureerd door KPN?
Of is het een configuratie-out dat men het aan mijn werk-kant hierop checkt?

Ciao, Patrick.

[Rob]

Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:
> Onze mailscenner doet zo te zien 2 x een SPF Check:
>
> Check #1 is op perihelion.demon.nl, en die geeft een Pass.
>
> Check #2 is op ewsoutbound.kpnmail.nl, en die heeft geen SPF record.
>
> Kan dat het probleem zijn?
> Is dat correct geconfigureerd door KPN?
> Of is het een configuratie-out dat men het aan mijn werk-kant hierop checkt?

Dit wordt inderdaad nog wel eens gedaan (checken wat het SPF record
is van de EHLO/HELO naam van de mailserver), maar bij mijn weten zou
het niet aanwezig zijn van SPF daarop, terwijl het SPF record van het
verzendende domein wel het IP adres van die server als toegestaan terug
geeft, absoluut niet moeten leiden tot het markeren als spam.

Wellicht is dat dus inderdaad ergens fout geconfigureerd.

[Jan Ehrhardt]

Rob in xs4all.general (Sat, 21 May 2022 21:58:08 +0200):

Dat is bij KPN ook zo. Er worden mails geweigerd, die volkomen valide
zijn. Voorbeeld: meldingen van Directadmin dat de versie een update
ondergaan heeft worden gewoon geweigerd. En inderdaad verdwijnt er veel
meer in de spam.
Al aijn mail gaat tegenwoordig naar 2 mailservers: KPN en een eigen
IMAP-installatie op een colo-box ergens. Op die laatste heb ik niet eens
een spamfilter draaien omdat mijn mailprovider (bHosted) de echte spam er
al uitfiltert.
--
Jan

[Rob]

Jan Ehrhardt <mon...@idem.invalid> wrote:
> Rob in xs4all.general (Sat, 21 May 2022 21:58:08 +0200):
>>Marcel de Groot <mgr...@xs4all.invalid> wrote:
>>> Er komen echt heel erg weinig mails in de verkeerde mappen terecht bij
>>> GMail bij mij
>>
>>Bij gmail komt de meeste onterecht als spam gedetecteerde mail helemaal
>>niet in je mappen, nee. Je ziet em gewoon nooit.
>
> Dat is bij KPN ook zo. Er worden mails geweigerd, die volkomen valide
> zijn. Voorbeeld: meldingen van Directadmin dat de versie een update
> ondergaan heeft worden gewoon geweigerd. En inderdaad verdwijnt er veel
> meer in de spam.

Het gaat me er niet alleen om dat goede mail onterecht als spam gezien
wordt, maar nog veel meer om het feit dat de "herkende spam" lang niet
altijd in de spam map terecht komt maar vaak gewoon helemaal verdwijnt.

Dus mensen die denken "ik kijk nog wel eens in de spam map om te checken
of ik niks gemist heb en nee, daar staat niet vaak iets wat kennelijk
verkeerd ging" die vergeten dan die gevallen van mail die daar ook niet
in komt.

Of je dat ooit merkt hangt natuurlijk af van wat voor soort mail het
is en of je ook andere contacten hebt met de afzender.

[Patrick Vervoorn]

In article <slrnt8s63h...@xs9.xs4all.nl>,

Het laatste argument is nu:

De reden dat het domein waarschijnlijk soms wordt gezien als spam is
door een relatief lage SBRS score (SBRS 3.5 country Netherlands). Dit in
combinatie met het ontbrekende SPF-record maakt dat het domein soms
wordt gemarkeerd als spam.


Het blijft raar, want als ik een mailtje dat in het SPAM filter blijft
hangen nogmaals als een Forward verstuur, komt het er wel doorheen.

En dat terwijl het een simpel mailtje met een paar regels plaintext is...

Ciao, Patrick.

[Rob]

Daar heb ik ook wel eens last van bij gmail! Met name als het het
eerste mailtje is wat ik ooit naar een ontvanger gestuurd heb, zelfs
als dit een reply is op een mailtje wat die naar mij gestuurd heeft.

Het hele mailtje komt niet aan, maar een forward of zelfs een
edit-as-new en dan opnieuw zenden dat komt dan wel aan.

Dit is kennelijk een vorm van reputatie filtering. Je ziet ook wel
eens dat mailservers mail weigeren van hosts die "hen te weinig mail
sturen" of waarvan ergens in een of andere globale database staat dat
ze weinig mail sturen. Die zouden dan onbetrouwbaar zijn ofzo.
(ze bedoelen denk ik "dat zijn geen established mail services waar
waarschijnlijk een admin achter zit die de boel in de gaten houdt")

Ook het feit dat het maar een paar regels tekst is en niet een multimedia
HTML epistel is wellicht voor sommigen tegenwoordig al een reden voor
spampunten (terwijl dat vroeger juist omgekeerd was!).
Dat komt omdat die filters in feite net zo werken als de filters van
de Belastingdienst (waar zoveel trammelant over kwam): men probeert
patronen te herkennen van "legitieme mail" en "spam" en dan vervolgens
nieuwe mails langs diezelfde patronen te leggen en dan te kwalificeren.

Net zoals de bleek bij de belastingdienst werkt dat in 90% van de gevallen
heel goed, maar houd je dan een 10% over die op een nare wijze getroffen
wordt. Hier zie je dat ook: mail uit Nederland, dat is verdacht.
Als goedwillende Nederlander die een mailtje wil sturen ben je niet
blij met dit soort "labels" die we danken aan de grote hosting industrie
hier (waarvan een deel het niet zo nauw neemt met regelgeving).
Het is in feite racisme. Alleen dat snapt de antispamgemeenschap niet.

[richard lucassen]

On Wed, 08 Jun 2022 14:36:19 +0200
Rob <nom...@example.com> wrote:

> > En dat terwijl het een simpel mailtje met een paar regels plaintext
> > is...

Dat is al helemaal verdacht!

> Daar heb ik ook wel eens last van bij gmail! Met name als het het
> eerste mailtje is wat ik ooit naar een ontvanger gestuurd heb, zelfs
> als dit een reply is op een mailtje wat die naar mij gestuurd heeft.

smtp is uit 1982 en tegenwoordig is het een protocol dat meer uit
protocolpleisters bestaat dan het protocol zelf. Eigenlijk hoort smtp
op de digitale schroothoop, net zoals ftp, ipsec, l2tp, gre, tftp en wat
dies meer zij uit de tijd dat er nog geen firewalls en
internetcriminelen waren.

Eigenlijk moet er een nieuw protocol komen. Maar voordat de eerste
draft ervan uitkomt zit iedereen al op spyware nummer 1 whatsapp.

--
richard lucassen
http://contact.xaq.nl/

[Patrick Vervoorn]

In article <slrnta15u3...@xs9.xs4all.nl>,

Dank voor je epistel, maar dat helpt mijn situatie niet echt verder,
buiten het schetsen van wat context.

Ik meen uit een eerdere reactie begrepen te hebben dat je als
spam-filter juist helemaal niks uit moet doen op SORBS scores?

Mogelijk moet ik meer mail vanuit thuis versturen, die door de experts
handmatig door laten gaan, in de hoop dat het filter gaat 'leren' dat
mijn mails geen SPAM zijn?

Ciao, Patrick.

[Rob]

Ik hoopte dat je zou snappen dat er weinig is wat je zelf kunt doen
en dat je helemaal bent overgeleverd aan de nukken van de beheerder
van de ontvangende mailserver en de eventuele labelende partijen die
deze verder nog inschakelt, al dan niet wetend wat die precies doen.
Helaas, het is niet anders.

> Ik meen uit een eerdere reactie begrepen te hebben dat je als
> spam-filter juist helemaal niks uit moet doen op SORBS scores?

Dat klopt, maar dat is aan de ontvanger (je werk) en niet aan jou.

> Mogelijk moet ik meer mail vanuit thuis versturen, die door de experts
> handmatig door laten gaan, in de hoop dat het filter gaat 'leren' dat
> mijn mails geen SPAM zijn?

Dat zou enigszins kunnen werken, niet in de zin dat zo'n blocklist daar
door wordt aangepast, maar het zou wel kunnen dat er in de ontvangende
server nog een soort whitelist is die werkt op basis van vertrouwde
afzenders of als legitiem herkende content (bayes filter).
Uiteraard kan dat alleen als je nog de mogelijkheid hebt om die filters
bij te sturen als een mail als spam herkend is (bijv een "dit is geen spam"
knopje op je spam map mails.

[Wil Taphoorn]

On 25-5-2022 12:52, Patrick Vervoorn wrote:
> Check #2 is op ewsoutbound.kpnmail.nl, en die heeft geen SPF record.

Het lijkt of ze bedoelen: "Afgeleverd door ewsoutbound.kpnmail.nl met
een IP-nummer dat niet in zijn SPF voorkomt" En dat kan kloppen want
ewsoutbound.kpnmail.nl omvat 12 machines waarvan er 4 niet in het SPF
record staan (en dus niet mogen afleveren).
Als jouw mail toevallig door een van die 4 wordt afgeleverd dan klopt
die "Check #2" en dat de ontvanger het daarom niet vertrouwt.
Het gaat om deze machines:
195.121.94.171
195.121.94.172
195.121.94.187
195.121.94.188

Dus kijk even door welk IP-nummer die "spam" mailtjes zijn aangeboden.

--
wil

[Patrick Vervoorn]

In article <nnd$62214d4c$10805aa9@9ff6cba0d196a48c>,

Wil,

Dank, bekeken en ik kom op het volgende overzicht uit door van alle
recente mailtjes de headers te bestuderen:

SPAM/Suspected SPAM:

195.121.94.184 (3x)
195.121.94.168
195.121.94.170 (2x)

Non-SPAM:

195.121.94.169
195.121.94.185 (3x)
195.121.94.183 (2x)
195.121.94.184
195.121.94.186

De door jouw genoemde 'trouble' IPs kom hier niet eens in voor...

Ciao, Patrick.

[Paul Slootman]

richard lucassen <mailin...@lucassen.org> wrote:

>protocolpleisters bestaat dan het protocol zelf. Eigenlijk hoort smtp
>op de digitale schroothoop, net zoals ftp, ipsec, l2tp, gre, tftp en wat

ipsec? Wat is daar mis mee? Is juist gekomen om e.e.a. te beveiligen.

Paul

[Rob]

Nouja het is veel te complex en er is niet voorzien in fatsoenlijke
debug mogelijkheden. Omdat er oneindig veel opties zijn is het zonder
ervaring heel moeilijk werkend te krijgen, en tussen een lokale en een
remote partij waar je geen admin bent en die met andere spullen werkt
is het bijna onmogelijk.

Het is een protocol uit de tijd waarin iedereen geacht werd deskundige
te zijn. Dat is een beetje verleden tijd.

Het probleem van de alternatieven is dat er zoveel alternatieven zijn.
Die stuk voor stuk niet gestandaardiseerd zijn en in handen van een
klein groepje programmeurs. Daarom werkt dat dan ook weer niet als
je niet met een Linux pc'tje bezig bent maar bijvoorbeeld met een router.

[Paul Slootman]

Rob <nom...@example.com> wrote:
>Paul Slootman <paul+...@wurtel.net> wrote:
>> richard lucassen <mailin...@lucassen.org> wrote:
>>
>>>protocolpleisters bestaat dan het protocol zelf. Eigenlijk hoort smtp
>>>op de digitale schroothoop, net zoals ftp, ipsec, l2tp, gre, tftp en wat
>>
>> ipsec? Wat is daar mis mee? Is juist gekomen om e.e.a. te beveiligen.
>

>Nouja het is veel te complex en er is niet voorzien in fatsoenlijke
>debug mogelijkheden. Omdat er oneindig veel opties zijn is het zonder
>ervaring heel moeilijk werkend te krijgen, en tussen een lokale en een
>remote partij waar je geen admin bent en die met andere spullen werkt
>is het bijna onmogelijk.

Tja.. met een beetje ervaring leer je de valkuilen te omzeilen.
Ik heb op werk ruim 50 verbindingen met ruim 30 verschillende partijen
ingericht. Bij een enkele kostte het de nodige moeite om in de lucht te
krijgen, maar de overgrote deel is zo geregeld. Zaak is om alle
instellingen zo standaard mogelijk te houden en beschreven te hebben.

Alternatieven zijn er niet echt, die door een breed platform aan merken
/ systemen ondersteund worden.

>Het is een protocol uit de tijd waarin iedereen geacht werd deskundige
>te zijn. Dat is een beetje verleden tijd.

Bij security zaken is het niet verkeerd om een beetje deskundig te zijn
in wat je aan het doen bent... :-)


Paul

[Wil Taphoorn]

Hè jammer, het had zo mooi kloppend geweest ;-)

Alle machines (IP-nummers) die je noemt staan in jouw SPF-record. Ik zou
toch eens doorvragen wat ze nou precies in die "Check #2" doen.

--
wil

[richard lucassen]

Het is een academisch en complex protocol dat op papier heel goed
werkt. Bovendien is het ooit van ipv6 naar ipv4 geporteerd met
allerhande NAT ellende vandien (en dan pak je het dus maar in udp in).

Zolang je tussen doosjes van één vendor een verbinding maakt gaat het
meestal wel goed. Maar wee je gebeente als je van vendor A naar vendor
B iets opzet.

[Mark Huizer]

The wise Rob enlightened me with:

> Paul Slootman <paul+...@wurtel.net> wrote:
>> richard lucassen <mailin...@lucassen.org> wrote:
>>
>>>protocolpleisters bestaat dan het protocol zelf. Eigenlijk hoort smtp
>>>op de digitale schroothoop, net zoals ftp, ipsec, l2tp, gre, tftp en wat
>>
>> ipsec? Wat is daar mis mee? Is juist gekomen om e.e.a. te beveiligen.
>>
>> Paul
>
> Nouja het is veel te complex en er is niet voorzien in fatsoenlijke
> debug mogelijkheden. Omdat er oneindig veel opties zijn is het zonder
> ervaring heel moeilijk werkend te krijgen, en tussen een lokale en een
> remote partij waar je geen admin bent en die met andere spullen werkt
> is het bijna onmogelijk.

Hm, ja ervaring werkt zeker. Maar ik moet regelmatig VPNs bouwen met
derde partijen, en ik vind juist dat het er steeds makkelijker op is
geworden. Ik verbaas me er alleen regelmatig over hoe iets als IKEv2 zo
vaak issues oplevert, afgelopen week weer Fortigate-Checkpoint.
Maar indien de gegevens duidelijk zijn is 80 of 90% van de VPNs in 10
minuten actief.

Als je te maken hebt met mensen die geen verstand van netwerken hebben,
wordt het lastig inderdaad, maar goed, niet alles is te reduceren tot
Jip&Janneke niveau.

En zoals je al aangeef: het is tenminste een standaard.

[Mark Huizer]

The wise richard lucassen enlightened me with:

> On Thu, 9 Jun 2022 14:34:45 -0000 (UTC)
> Paul Slootman <paul+...@wurtel.net> wrote:
>
>> richard lucassen <mailin...@lucassen.org> wrote:
>>
>> >protocolpleisters bestaat dan het protocol zelf. Eigenlijk hoort smtp
>> >op de digitale schroothoop, net zoals ftp, ipsec, l2tp, gre, tftp en
>> >wat
>>
>> ipsec? Wat is daar mis mee? Is juist gekomen om e.e.a. te beveiligen.
>
> Het is een academisch en complex protocol dat op papier heel goed
> werkt. Bovendien is het ooit van ipv6 naar ipv4 geporteerd met
> allerhande NAT ellende vandien (en dan pak je het dus maar in udp in).

Heb je daar informatie over? Dat zou voor mij nieuw zijn (dat stuk
geporteerd van IPv6 naar Ipv4).

En verder: tsja, het wordt ondersteund door veel wiskunde, als je dat
met academisch en complex bedoelt. Maar op zich heeft het theoretisch de
nodige overlap met TLS en andere vormen van beveiligde sessies opbouwen.
Op hoog niveau is de techniek goed te begrijpen, vind ik.

> Zolang je tussen doosjes van één vendor een verbinding maakt gaat het
> meestal wel goed. Maar wee je gebeente als je van vendor A naar vendor
> B iets opzet.

Mijn ervaring is met combinaties van Cisco, Fortigate, Edgerouter,
Linux, Checkpoint, Sophos, FreeBSD en vast nog wat dingen die ik me niet
meer wens te herinneren. De problemen zitten meestal in welke
protocollen wel of niet ondersteund worden (DH groepen meestal, AES,
etc, wel of niet in hardware, en soms licentiematig afgeknepen), en
netjes de parameters opschrijven (lifetime, encryptie domeinen, etc). En
dat gedrocht van NAT natuurlijk altijd zien te vermijden, VPN gateways
ga je niet lopen NATten, tenzij je masochist bent.

Mark

[Rob]

Nou weet je het gaat me er eigenlijk niet om dat het Jip&Janneke moet
zijn, maar dat er gewoon zo weinig voorzien is in debug mogelijkheden,
zowel in de standaard als in de typische implementatie.
Als je Phase1 of Phase2 niet opkomt dan is het meestal "jammer dan
het lukt niet" ipv dat je een duidelijke aanwijzing krijgt waarom dat
dan is (bijv "zij willen AES-256-gcm en wij down alleen AES-128-cbc
dus dat gaat niet werken").
Vaak is er wel een low-level packet trace waar je dat in theorie uit
zou kunnen halen, maar is er geen faciliteit om alleen 1 bepaalde
verbinding te tracen, dus als je er al 5 hebt en de 6e aan de gang
wilt krijgen kun je die trace niet meer aanzetten want dan krijg je
ook alle verkeer van die andere 5 in je trace, wat dan de boel overbelast.

Je zit in feite in een black box te prikken tot het ineens werkt.
Daarom is het met ervaring wel te doen (ik heb er zelf ook ervaring mee)
maar dan nog is het lastig als jij aan jouw kant merk A hebt en de
andere kant heeft merk B en zegt alleen "koop ook maar een merk B".

Je geeft het al aan. Vaak zijn er detailproblemen of is alleen al het
probleem dat een kant de boel anders noemt dan de andere, of dat men
alleen "profielen" heeft en niet alles individueel instelbaar is.
(of men wil dat niet bij de andere partij)

Je kunt dan makkelijk in de situatie komen dat de combi in principe wel
zou kunnen werken maar met de gegeven instellingen niet.

[Rob]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
> Mijn ervaring is met combinaties van Cisco, Fortigate, Edgerouter,
> Linux, Checkpoint, Sophos, FreeBSD en vast nog wat dingen die ik me niet
> meer wens te herinneren. De problemen zitten meestal in welke
> protocollen wel of niet ondersteund worden (DH groepen meestal, AES,
> etc, wel of niet in hardware, en soms licentiematig afgeknepen), en
> netjes de parameters opschrijven (lifetime, encryptie domeinen, etc). En
> dat gedrocht van NAT natuurlijk altijd zien te vermijden, VPN gateways
> ga je niet lopen NATten, tenzij je masochist bent.

Ja maar niet alleen in wat er ondersteund wordt, maar ook hoe er omgegaan
wordt met een situatie van incompatible protocollen op de endpoints.
"incompatible protocols" zonder te noemen welke er verwacht en welke
er gesupport worden, dat helpt niet echt bij het foutzoeken.

[Mark Huizer]

The wise Rob enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>
>> Hm, ja ervaring werkt zeker. Maar ik moet regelmatig VPNs bouwen met
>> derde partijen, en ik vind juist dat het er steeds makkelijker op is
>> geworden. Ik verbaas me er alleen regelmatig over hoe iets als IKEv2 zo
>> vaak issues oplevert, afgelopen week weer Fortigate-Checkpoint.
>> Maar indien de gegevens duidelijk zijn is 80 of 90% van de VPNs in 10
>> minuten actief.
>>
>> Als je te maken hebt met mensen die geen verstand van netwerken hebben,
>> wordt het lastig inderdaad, maar goed, niet alles is te reduceren tot
>> Jip&Janneke niveau.
>>
>> En zoals je al aangeef: het is tenminste een standaard.
>
> Nou weet je het gaat me er eigenlijk niet om dat het Jip&Janneke moet
> zijn, maar dat er gewoon zo weinig voorzien is in debug mogelijkheden,
> zowel in de standaard als in de typische implementatie.
> Als je Phase1 of Phase2 niet opkomt dan is het meestal "jammer dan
> het lukt niet" ipv dat je een duidelijke aanwijzing krijgt waarom dat
> dan is (bijv "zij willen AES-256-gcm en wij down alleen AES-128-cbc
> dus dat gaat niet werken").

Hm, dat is ook niet helemaal mijn ervaring. De meest voorkomende dingen
zijn mismatch in proposals en mismatch in PSK. En dat zijn dingen die ik
(weliswaar via CLI, niet via webinterfaces of zo) er wel uit haal.

Maar inderdaad, mijn fortigate/checkpoint ding gaf een vage foutmelding
die ik op basis van ervaring wist terug te herleiden (verkeerde
encryptiedomeinen, ondanks de instelling, ergo: vermoedelijk een bug
ergens).

> Vaak is er wel een low-level packet trace waar je dat in theorie uit
> zou kunnen halen, maar is er geen faciliteit om alleen 1 bepaalde
> verbinding te tracen, dus als je er al 5 hebt en de 6e aan de gang
> wilt krijgen kun je die trace niet meer aanzetten want dan krijg je
> ook alle verkeer van die andere 5 in je trace, wat dan de boel overbelast.

Jaiks, wat voor hardware gebruik je? :)

> Je zit in feite in een black box te prikken tot het ineens werkt.
> Daarom is het met ervaring wel te doen (ik heb er zelf ook ervaring mee)
> maar dan nog is het lastig als jij aan jouw kant merk A hebt en de
> andere kant heeft merk B en zegt alleen "koop ook maar een merk B".

Gelukkig kom ik dat soort mensen niet tegen :)

> Je geeft het al aan. Vaak zijn er detailproblemen of is alleen al het
> probleem dat een kant de boel anders noemt dan de andere, of dat men
> alleen "profielen" heeft en niet alles individueel instelbaar is.
> (of men wil dat niet bij de andere partij)

Nou, ik zei niet "vaak", 'configureren en werken' is bij mij wel de
regel, niet de uitzondering. En verschillende profielen is iets wat je
vooraf vastlegt bij specificatie van de VPN, dus dat probleem kom ik
doorgaans ook niet tegen.

> Je kunt dan makkelijk in de situatie komen dat de combi in principe wel
> zou kunnen werken maar met de gegeven instellingen niet.

Wie weet. Het is in elk geval niet mijn ervaring

Mark

[Paul Slootman]

Rob <nom...@example.com> wrote:

>Nou weet je het gaat me er eigenlijk niet om dat het Jip&Janneke moet
>zijn, maar dat er gewoon zo weinig voorzien is in debug mogelijkheden,
>zowel in de standaard als in de typische implementatie.
>Als je Phase1 of Phase2 niet opkomt dan is het meestal "jammer dan
>het lukt niet" ipv dat je een duidelijke aanwijzing krijgt waarom dat
>dan is (bijv "zij willen AES-256-gcm en wij down alleen AES-128-cbc
>dus dat gaat niet werken").
>Vaak is er wel een low-level packet trace waar je dat in theorie uit
>zou kunnen halen, maar is er geen faciliteit om alleen 1 bepaalde
>verbinding te tracen, dus als je er al 5 hebt en de 6e aan de gang
>wilt krijgen kun je die trace niet meer aanzetten want dan krijg je
>ook alle verkeer van die andere 5 in je trace, wat dan de boel overbelast.

Met fortigate lukt dat allemaal best wel aardig, je kunt bv. gewoon
filteren op peer IP address.

Ik was altijd redelijk anti-"firewall appliances", maar het Fortinet
spul heeft mij redelijk weten te overtuigen.


Paul