Beantwoord

Ik ontvang phishing van het planet.nl domein. Hoe zit het met het SPF-record van Planet.nl en verantwoordelijkheid van KPN?

  • 23 May 2022
  • 41 reacties
  • 362 keer bekeken

Het domein planet.nl is in beheer van KPN.
Dit wordt bevestigd door de SIDN (Stichting Internet Domeinregistratie Nederland)

Ik heb verschillende phishing mails ontvangen die verzonden zijn met het domein planet.nl
Tot mijn verbazing wordt dit ook toegelaten in de TXT-record van de DNS waar de SPF geregeld staat.
Hierin staat namelijk ?all
 

 

Na veel uitzoekwerk blijkt het dat vooral Russen gebruik maken hiervan door onder de naam van Planet phishing te versturen.

Wanneer ik contact opneem met abuse geven ze als antwoord dat ik zelf mijn spamfilter in kan stellen.
Toch is dit niet de verantwoordelijkheid nemen en de geldstroom naar Rusland door laten gaan.
Niet iedereen heeft een spamfilter en niet iedereen zit bij KPN.

Hoe kan er voor gezorgd worden dat KPN zijn verantwoordelijkheid neemt?
Hoe kan er voor gezorgd worden dat KPN tegen de oorlog is die Rusland is begonnen?

icon

Beste antwoord door arnoldvdm 24 May 2022, 17:09

Bekijk origineel

41 reacties

Nu ga je wel erg ver in het doortrekken naar de oorlog die Rusland voert, hoe wreed en barbaars en tegen de vrijheid van een bevolking die ook is.

Maar wat kan KPN er tegen doen, alleen als het ook werkelijk vanaf een planet domein word verzonden, is soms zo simpel om dat domein er aan te hangen terwijl de mail van een ander domein afkomt.

En wat betreft de geldstroom, u verbruikt geen fosiele brandstof meer, gebruikt geen aardgas, eet geen brood, frituur enzz meer, er gaat namelijk nog maandelijks miljarden naar de Russen voor handel waar wij zogenaamd niet zonder kunnen, zullen de paar euro’s die de crimineel buitmaakt wisselgeld zijn.

Nu ga je wel erg ver in het doortrekken naar de oorlog die Rusland voert, hoe wreed en barbaars en tegen de vrijheid van een bevolking die ook is.

Maar wat kan KPN er tegen doen, alleen als het ook werkelijk vanaf een planet domein word verzonden, is soms zo simpel om dat domein er aan te hangen terwijl de mail van een ander domein afkomt.

En wat betreft de geldstroom, u verbruikt geen fosiele brandstof meer, gebruikt geen aardgas, eet geen brood, frituur enzz meer, er gaat namelijk nog maandelijks miljarden naar de Russen voor handel waar wij zogenaamd niet zonder kunnen, zullen de paar euro’s die de crimineel buitmaakt wisselgeld zijn.

 

Nu ga je wel erg ver in het doortrekken naar de oorlog die Rusland voert
Ik steun de Oorlog niet en ik doe er tenminste alles aan om elke kogel die ze ervan kunnen maken te
blokkeren. En het is niet alleen de oorlog maar ook onschuldige slachtoffers die hard hebben gewerkt voor hun centen.


Maar wat kan KPN er tegen doen
Ik heb in de bijlage niet voor niets ?all  geel gemarkeerd.
Als je er niets van begrijpt moet je ook niet reageren.

U verbruikt ….
Dat klopt.
Maar er is een verschil tussen kunnen toestaan, weigeren en leven.
Brood bak ik zelf en frituren doe ik niet, of met een geleende air fryer.
Maar dat heeft meer met Oekraïne te maken die het door de mislukte oogst niet kan leveren,
dan met Rusland.

Niet geautoriseerde servers kun je weigeren en er is geen mens die zich daar aan zal ergeren.
Je kan gewoon door met je leven. Het is niet iets wat je nodig hebt om te leven.
Terwijl andersom, zoals KPN het nu open laat, wel schade aanricht.

Mensen kunnen niet meer leven omdat hun leven is geplunderd en er wordt schade aangericht doordat anderen van dat geld oorlog kunnen voeren.

Zullen de paar euro's die de crimineel buitmaakt wisselgeld zijn

Er is een heel serverpark in handen van de Russen die open domeinen zoals planet.nl gebruiken om phishing te versturen.
Echter werkt 99% mee nadat ze hier kennis over hebben gekregen.
KPN is die 1e procent die met een groot aandeel niet na 1 keer meewerkt.
Bij mij komt meer dan de helft van de phishing afkomstig namens planet.nl
Het aandeel is dus groot.
Bij 1 buit verwacht de koper €50,- over te maken terwijl ondertussen de hele rekening leeg wordt geplunderd.
Het gaat dus om hele bankrekeningen van Nederlanders wat overgemaakt wordt aan Rusland.

Bij de hele bankrekeningen gaat het niet om wisselgeld.
Overigens is €1,- al genoeg voor een doosje vol kogels.

Reputatie 7

Er is een heel serverpark in handen van de Russen die open domeinen zoals planet.nl gebruiken om phishing te versturen.

Hoe kom je erbij dat planet.nl een "open domein" is en wat versta je onder een "open domein"?

Ook ik zou verwachten dat het spf record geen ?all maar ~all zou vermelden.

Misschien kan @Dennis ABD vertellen waarom dit niet het geval is.

Overigens is het naar mijn weten aan de ontvangende mailserver om te bepalen hoe zij om willen gaan met mails afkomstig van servers die o.b.v. het spf record niet als gerechtigd gekenmerkt zijn om namens het domein mails te versturen. Ook ?all is geen bevestiging van het gerechtigd zijn.

Er is een heel serverpark in handen van de Russen die open domeinen zoals planet.nl gebruiken om phishing te versturen.

Hoe kom je erbij dat planet.nl een "open domein" is en wat versta je onder een "open domein"?

Ook ik zou verwachten dat het spf record geen ?all maar ~all zou vermelden.

Misschien kan @Dennis ABD vertellen waarom dit niet het geval is.

 

Het is dus ?all en niet ~all of -all

Ik zie het als een open domein omdat elke niet-geautoriseerde server dus namens Planet en Kpnmail mail kan versturen. (zonder controle dus)

Andere providers
Het is niet mijn doel om appels met peren te vergelijken en een concurrentie aan te gaan.
Maar kijk eens naar andere providers.
De meeste grote spelers in de markt hebben een SPF-instelling met ~all of -all
Zij beschermen zichzelf tegen naammisbruik en frauduleuze inhoud.

Ontvangende server
De ontvangende server kan bepalen hoe die met mail omgaat.
Maar je kan het makkelijk maken en moeilijk maken.
Makkelijk maken is alle servers toelaten.
Moeilijk maken is ervoor zorgen dat alleen geautoriseerde gebruikers mail kunnen versturen.
En zelfs dat is niet altijd voldoende.
Denk aan bijvoorbeeld niet alleen de grote spelers maar aan de echte multinationals zoals Microsoft en Gmail.
Zelfs daar weet iemand soms het wachtwoord van te phishen of de vraag te beantwoorden hoe de naam van je eerste huisdier heet.

En het gaat nu niet om potentieel misbruik maar feitelijk geconstateerd misbruik van dit domein.

Reputatie 7

Het is dus ?all en niet ~all of -all

Ik zie het als een open domein omdat elke niet-geautoriseerde server dus namens Planet en Kpnmail mail kan versturen. (zonder controle dus)

Nogmaals, ook ik zou ~all verwachten maar het blijft aan de ontvangende mailserver om te bepalen wat te doen met mails die niet afkomstig zijn van een mailserver die expliciet vemeld staat in het spf record behorende bij het domein.

Dat geldt ook als het spf record met ?all afgesloten wordt.

 

Bron

Reputatie 7
Badge +7

SPF is, in een ISP omgeving, een bijzonder slechte standaard, het brekt namelijk legio aan forwards, tevens zijn er aardig wat klanten die hun mail niet via de KPN servers versturen. Dit is ook de reden dat bijna geen enkele grote partij nog naar SPF kijkt. Het is nuttig om DMARC te evalueren maar verder niet.

 

Reputatie 7

Het is nuttig om DMARC te evalueren maar verder niet.

Een spf record met -all, ~all en ?all zonder dat de gebruikte mailserver expliciet in het spf record opgenomen zijn eindigt voor DMARC standaard in een fail.

Maar als het eigenlijk alleen nuttig is om DMARC te evalueren, hoe zit dat dan met mails verzenden onder een aan kpnmail gekoppeld eigen domein?

Daar zal DMARC naar ik begrepen heb immers nooit succesvol zijn.

Reputatie 7
Badge +7

De mailservers zijn expliciet in het SPF record opgenomen. Deze maken onderdeel uit van de include:

 

In de huidige config zal DMARC op een eigen domein via de KPN mailstraat inderdaad niet werken. Of dat in de toekomst gaat veranderen durf ik niet te zeggen.

Reputatie 7

De mailservers zijn expliciet in het SPF record opgenomen. Deze maken onderdeel uit van de include:

Klopt, maar het ging mij om als de gebruikte mailserver niet expliciet in het SPF record opgenomen is. Alleen dan speelt die ?all een rol.

 

In de huidige config zal DMARC op een eigen domein via de KPN mailstraat inderdaad niet werken. Of dat in de toekomst gaat veranderen durf ik niet te zeggen.

Voorkom ik met de onderstaande DNS records dan wel dat met mijn eigen domein mails verstuurd kunnen worden vanaf andere mailservers dan die van kpn.

 

Reputatie 7
Badge +7

Ja, maar zodra SPF breekt gaat DMARC ook kapot.

De d= in het DKIM record dient gelijk te zijn aan het From: domein. Dat zal niet het geval zijn met je eigen domein, indien je via ons verstuurd. Hierdoor zal DKIM altijd een fail krijgen voor DMARC.

Reputatie 7

Ja, maar zodra SPF breekt gaat DMARC ook kapot.

Dat is ook de bedoeling.

Als ik in het spf record ?all i.p.v. ~all had opgenomen, zouden er dan wel mails onder mijn eigen domein vanaf andere mailservers verstuurd kunnen worden of maakt dat helemaal niet uit?

Reputatie 7
Badge +7

Qua DMARC, nee. DMARC kijkt enkel of de versturende mailserver opgenomen is in het SPF record van het From: domein. Of het al dan niet mag volgens het SPF record word niet naar gekeken. Voor DMARC is -all, ~all en ?all allemaal hetzelfde.

Reputatie 7

Dank voor je antwoorden @Dennis ABD, dit maakt het een stuk duidelijker.

Dat betekent dus ook dat voor @planet.nl precies hetzelfde geldt en dat @planet.nl mails ook alleen via de mailservers van kpn verzonden kunnen worden mits de ontvangende mailserver DMARC evalueert.

Klopt dat of praat ik onzin?

En @arnoldvdm , Hoeveel zal er buitgemaakt zijn met die mail, 100 miljoen? of zelfs 1 miljard, nog steeds een druppel op de gloeiende plaat, alleen aan aardgas is er vanaf de start van de oorlog al meer dan 30 miljard overgemaakt naar de Russen, het dubbele aan aardolie leveranties.

Dus wil je echt een punt maken, doe wat aan de legitieme betalingen aan Rusland, zeker voor 1 euro koop je een doos patronen, alleen zorg dat de Russen ze niet krijgen of kunnen maken, eigenlijk nog beter, zorg dat de Rus wel de oorlog moet stoppen, alleen durven we dat niet.

Maar om nu de criminele activiteiten van een russische server erbij te betrekken dat we daarme de oorlog financieren.

En ik sta vierkant achter Oekraine en hoop dat ze de Russen een kopje kleiner maken, alleen zullen ze daar inderdaad onze hulp bij nodig hebben, vreemde is dat we dat ook zonder probleem sturen maar we willen ons er eigenlijk niet mee bemoeien.😳😳

@Doornekamp33 Dat jij de vergelijking kan maken tussen aardgas en oplichting van een server.
Oplichting van een server zou je sowieso moeten voorkomen.
Dan ga jij toch voortaan je huis verwarmen met oplichting.

@wjb  Ik weet dat de ontvangende mailserver degene is die 
de SPF controleert en daarmee de berichten weigert of doorlaat.
Uiteraard handelt de ontvangende server ook DMARC af.

Het verschil is dat wanneer je oplichting makkelijker maakt als de domeinhouder aangeeft dat iedereen onder jouw naam mag verzenden.
KPN is samen met onderliggende providers zoals Telfort waar het eigenaar van is, de enige provider ter wereld die het zo ingesteld heeft.

Alle servers kunnen mail namens een ander domein versturen.
De ontvangende server controleert in de domeininstellingen (DNS) of die server
ook mag versturen.
Betreft SPF in het TXT-record:
Met ?all zal de ontvangende server mail van alle servers toelaten.
Alle servers kunnen dus onder de naam van Planet en KPNMail mail versturen.
Spam, Phishing, Virussen, Onzedelijk en zaken m.b.t. zeden, etc.
Planet en KPN accepteert het allemaal onder hun naam.
Geen controle.
Met -all zal de ontvangende server alleen op de opgegeven domeinen een goedkeuring afgeven.
Geen stempel bij onjuistheid.
Met ~all zal de ontvangende server op de opgegeven domeinen een goedkeuring geven maar op de servers die niet opgegeven zijn een markering afgeven dat dit spam is.
Een aantekening bij onjuistheid.

Betreft DMARC wordt er aangegeven hoe je wil dat de betreffende ontvanger acteert.
SPF is de stempel van de marechaussee op je paspoort. Wel of geen stempel.
DMARC is een boete en advies van de marechaussee. (de server kan op de hoogte gehouden worden van servers die proberen mail te versturen onder een valse naam)
Het spamfilter is de poortwachter die de stempels en boetes controleert.

Met ?all is er helemaal geen controle.

Reputatie 7

Het verschil is dat wanneer je oplichting makkelijker maakt als de domeinhouder aangeeft dat iedereen onder jouw naam mag verzenden.

Ik dacht dat we toch duidelijk aangetoond hebben dat ?all, ~all of -all helemaal geen verschil maakt en dat de standaard dmarc controle voor alle drie exact hetzelfde resultaat geeft namelijk "fail".

Dat zou dus betekenen dat de ontvangende mailserver geen of een aangepaste dmarc controle uitvoert want anders waren die @planet.nl mails dus gewoon afgekeurd. Als jij dus phishing mail ontvangen hebt van een @planet.nl afzender dan moet je wellicht eens met de provider van jouw mailserver babbelen.

 

Ik ben het overigens met je eens dat er eigenlijk geen ?all maar ~all in het SPF record zou moeten staan maar het is niet de primaire oorzaak dat jij phishing mails ontvangt met een @planet.nl afzender.

Inderdaad @arnoldvdm Daar hebben we een punt, dat jij van oplichting een oorlog kunt maken komt op hetzelfde neer.

En de gaskraan mag gewoon dicht van mij net als de olie uit Rusland, maarja het is nu al zo duur dus dat willen we niet, dubbel moraal dus.

@Doornekamp33 Ja, maar nu weet je dat die oplichting van Rusland komt.
 

 @wjb Je begrijpt er dus werkelijk helemaal niets van.
 

Ik dacht dat we toch duidelijk aangetoond hebben dat ?all, ~all of -all helemaal geen verschil maakt en dat de standaard dmarc controle voor alle drie exact hetzelfde resultaat geeft namelijk "fail".


Waarom zouden er dan verschillen zijn.
Ik heb duidelijk uitgelegd wat het doet.

 

Dat zou dus betekenen dat de ontvangende mailserver geen of een aangepaste dmarc controle uitvoert want anders waren die @planet.nl mails dus gewoon afgekeurd. Als jij dus phishing mail ontvangen hebt dan moet je wellicht eens met de provider vna jouw mailserver babbelen.


Er wordt alleen een DMARC controle uitgevoerd wanneer KPN ook DMARC ingesteld heeft.
Als je dat ook niet ingesteld hebt zal deze controle ook niet uitgevoerd worden.

Reputatie 7
Badge +11

Dat hebben ze toch ook ingesteld, voor zowel planet als kpnmail:

 

 

Reputatie 7

 Er wordt alleen een DMARC controle uitgevoerd wanneer KPN ook DMARC ingesteld heeft.
Als je dat ook niet ingesteld hebt zal deze controle ook niet uitgevoerd worden.

En die is voor @planet.nl wel ingesteld alleen ook daar kan je stellen dat die niet echt scherp ingesteld is.

De dmarc controle zal in een fail resulteren (ook met die ?all) maar het dmarc record geeft aan dat daar verder niets mee gedaan hoeft te worden.

Wellicht dat @Dennis ABD ook nog wat zinnigs over die p=none kan vertellen.

 

 

Reputatie 7
Badge +11

Als je p=none instelt laat je de beslissing wat er met die mail moet gebeuren geheel over aan de ontvangende partij bij een fail.

Het is slechts een soort voorkeur die je instelt, kan ook quarantine of reject zijn, maar dat wil niet zeggen dat de ontvangende partij dat ook moet doen.

Reputatie 7

Als je p=none instelt laat je de beslissing wat er met die mail moet gebeuren geheel over aan de ontvangende partij bij een fail.

Het is slechts een soort voorkeur die je instelt, kan ook quarantine of reject zijn, maar dat wil niet zeggen dat de ontvangende partij dat ook moet doen.

Bron

Reputatie 7
Badge +11

Uit de DMARC RFC:

 

Er wordt alleen gesproken over wat de verzender wenst, niet dat het een verplichting is.

 

Reputatie 7

Klopt helemaal.

@GeSp DMARC werkt alleen in combinatie met DKIM en SPF.
Als je geen DKIM en SPF hebt ingesteld weet DMARC niet wat die moet doen.

Maar ik ben hier niet om jullie allemaal les te geven.

Het gaat erom dat KPN en Planet zijn verantwoordelijkheid moet nemen.
Als KPN en Planet te dom zijn moet het maar op een procedurele manier.

Reageer