SPF, DKIM en DMARC met Exchange, Office 365 en MailChimp

Nu we begonnen zijn met NL365Pro hebben we ook een nieuw domein, een nieuwe site en een nieuwe mailomgeving. Deze draait binnen Office 365, maar is wel een hybride omgeving (waarbij behalve de accounts niets on-premises draait). Dat betekent dus ook dat we iets hebben moeten doen met SPF, DKIM en DMARC. Precies zoals in de laatste presentatie van Dave Stork 😊

MX Record

Het MX record voor het NL365Pro.com domein wijst dus naar Office 365, er zijn verder geen backup ingangen zoals je bij on-premises servers wel eens ziet, dus het MX record ziet er als volgt uit:

MX: nl365pro-com.mail.protection.outlook.com

In het geval van een hybrid omgeving kan in principe ook de on-premises Exchange servers opgegeven worden (mits een fatsoenlijke anti-spam oplossing natuurlijk).

SPF Record

Er is geen Centralized Mail Transport, dus uitgaande mail van mailboxen komt altijd vanaf Exchange Online Protection. Naast de mailboxen hebben we nieuwsbrieven uit naam van NL365Pro.com wat verzorgd wordt door MailChimp. Deze moet dus ook aan het SPF record toegevoegd worden. Het SPF record ziet er dus als volgt uit:

SPF: v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Opmerking. Mocht er nog een on-premises SMTP server zijn die mail verstuurd uit naam van NL365Pro dan kan dit middels de ip4 tag toegevoegd worden, het SPF record wordt dan zoiets als:

SPF: v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ip4:178.251.192.3 -all

Er wordt een hard fail gebruikt in het SPF record (-all), dat betekent dat mail afkomstig van andere IP adressen dan vermeld in het SPF record een FAIL opleveren. In dat geval is het dus geen legitieme mail.

DKIM

Microsoft Office 365 ondersteunt standaard DKIM sigining vanuit EOP, daar is behalve het aanmaken van twee DNS records geen configuratie voor nodig. In DNS moeten twee CNAME records aangemaakt worden waarmee key management bij Microsoft wordt neergelegd. In ons geval worden de volgende twee CNAME records aangemaakt:

DKIM1: selector1._domainkey.nl365pro.com CNAME selector1-nl365pro-com._domainkey.exchangelabsnl.onmicrosoft.com
DKIM2: selector2._domainkey.nl365pro.com CNAME selector2-nl365pro-com._domainkey.exchangelabsnl.onmicrosoft.com

Na het aanzetten van DKIM signing in de Microsoft Online Portal wordt alle uitgaande mail vervolgens voorzien van een DKIM signature in de email header.

MailChimp ondersteunt ook DKIM signing, dat staat standaard aan. Net als bij Office 365 hoef je alleen een CNAME record aan te maken die naar MailChimp verwijst, ook hier wordt dus het key management door MailChimp afgehandeld. Het volgende CNAME record is voor MailChimp aangemaakt:

DKIM3: k1._domainkey.nl365pro.com CNAME dkim.mcsv.net

DMARC

Als SPF en DKIM zijn ingeregeld kan ook DMARC ingeregeld worden. Uitgaande mail komt alleen bij Office 365 of bij MailChimp vandaan, er zijn geen andere partijen die mail uit naam van NL365Pro versturen. Ook maken we geen gebruik van subdomeinen. Het DMARC record ziet er als volgt uit:

v=DMARC1;p=none;sp=reject;pct=100;rua=mailto:NL365Dmarc@nl365pro.com

DMARC reports worden naar een aparte mailbox in Exchange Online verstuurd. Voor de oplettende lezer, ik heb geen alignment toegevoegd, de reden staat in het volgende stukje.

Controle header informatie

Als alles is ingeregeld kan het eindresultaat gecontroleerd worden door een mail vanuit NL365Pro te versturen naar (bijvoorbeeld) een Google mailbox. Google is een ideale testomgeving, Google heeft alles strak ingeregeld en als er iets niet klopt aan jouw (Exchange) omgeving dat merk je dat direct.
Headerinformatie van een mail vanuit Office 365 naar Gmail laat het volgende zien:

Received-SPF: pass (google.com: domain of nieuwsbrief@nl365pro.com designates 40.107.21.72 as permitted sender) client-ip=40.107.21.72;
Authentication-Results: mx.google.com;
dkim=pass header.i=@nl365pro.com header.s=selector1 header.b=Q0orGOc4;
arc=pass (i=1 spf=pass spfdomain=nl365pro.com dkim=pass dkdomain=nl365pro.com
dmarc=pass fromdomain=nl365pro.com);
spf=pass (google.com: domain of nieuwsbrief@nl365pro.com designates
40.107.21.72 as permitted sender) smtp.mailfrom=nieuwsbrief@nl365pro.com

Bij een mail vanuit MailChimp ligt het verhaal iets anders:

Received-SPF: pass (google.com: domain of bounce-mc.us4_130879206.5766661-jaapwess=gmail.com@mail248.suw18.rsgsv.net designates 198.2.181.248 as permitted sender) client-ip=198.2.181.248;
Authentication-Results: mx.google.com;
dkim=pass header.i=@mcc.mcsv.net header.s=k1 header.b=j6fOvEBw;
dkim=pass header.i=@mailchimpapp.net header.s=k1 header.b=jOrLSI69;
spf=pass (google.com: domain of bounce-mc.us4_130879206.5766661-
jaapwess=gmail.com@mail248.suw18.rsgsv.net designates 198.2.181.248 as permitted sender)
smtp.mailfrom="bounce-mc.us4_130879206.5766661-
jaapwess=gmail.com@mail248.suw18.rsgsv.net";
dmarc=fail (p=NONE sp=REJECT dis=NONE) header.from=nl365pro.com

SPF gaat goed, het afzender adres is nl365pro.com en het IP/FQDN komt bij Mailchimp vandaan zoals in het SPF record gedefinieerd. DMARC daarentegen struikelt over het tweede SMTP.MailFrom adres wat niet tegen het SPF record wordt aangehouden. Helaas valt hier weinig aan te doen, behalve geen gebruik maken van MailChimp. Zolang het DMARC record niet op p=reject staat zal de mail gewoon worden doorgelaten.

NL365Pro Nieuwsbrief Januari 2020

Op dinsdag 21 januari hebben we een community event georganiseerd bij OGD in Delft. Deze keer onder een nieuwe naam: NL365Pro. Voor ons was dat wel spannend, want je moet wel even je publiek zien te bereiken onder een nieuwe naam, maar met een opkomst van 24 man was dat gezellig geslaagd.

We wilden de bestaande UCUG nieuw leven inblazen, en tegelijkertijd ook de scope wat breder maken zodat we ook andere Microsoft (cloud) zaken mee kunnen nemen. Exchange Online en Teams is natuurlijk leuk, maar kan niet leven zonder Azure Active Directory, Identity Management, om over security nog maar te zwijgen.

Ook de UCUG site is geupgrade en gaat verder onder de naam NL365Pro.com. Naast een nieuwe website willen we ook de nieuwsbrief wat vaker gaan versturen. De site draait bij WordPress, de nieuwsbrief bij MailChimp. En als echte Exchange mannen hebben we natuurlijk SPF, DKIM en DMARC voor alles ingericht 🙂

De avond bij OGD was goed verzorgd. Na een prima diner hebben we drie ‘Best of Ignite’ presentaties gehad over Exchange en Teams. Vanwege familieomstandigheden was de Graph sessie vervallen en heeft Dave Stork een extra sessie gedaan over SPF, DKIM en DMARC.

Steven van Houttum in zijn sessie over Teams updates

De presentaties van afgelopen dinsdag staan ook online en kan je hier downloaden:

We zijn op dit moment in gesprek om een nieuwe meeting te plannen, dat zal waarschijnlijk ergens de eerste helft van april worden in de regio Utrecht. Wil jouw bedrijf ook wel eens zoiets hosten, schroom dan niet om contact met ons op te nemen via nieuwsbrief@nl365pro.com. Ook als je denkt dat je redelijk uit de richting zit, ook in het noorden, zuiden of oosten van het land kunnen we best iets organiseren.

En als afsluiter, Microsoft heeft bekend gemaakt dat de komende Ignite in New Orleans wordt gehouden van 21 t/m 25 september 2020. Voorinschrijving kan via https://www.microsoft.com/en-us/ignite

BE-COM meets Platani – Microsoft 365 and Teams

Op 9 mei houden we weer een community event, dit keer bij Platani in Vianen.

De agenda:
17.00 Welkom Food en Drinks
17.30 – Welkom door Roderik de Kort, Directeur Platani
18.00 -19.00 Sessie 1 – Rene Wieldraaijer T.B.D.
19.00 – 19.15 pauze
19.15 – 20.15 Sessie 2 – Michael Van Horenbeeck: Security en Event Monitoring in de Cloud met Microsoft Azure Sentinel
20.15 – 20.30 pauze
20.30 – 21.20 Sessie 3 – Steven van Houttum: Updates rondom Teams
21.30 – 22.00 closing drinks.

Meer informatie en Inschrijven op  https://www.meetup.com/be-com/events/260667258/

Best of Ignite 29 januari bij Startel in Roden

Op dinsdag 29 januari organiseren we als Belgian/Dutch E-Communications & -Collaboration Community weer een Best of Ignite, dit keer bij Startel in Roden.

Onderwerpen:

Identity and Access Management (Kay Sellenrode)
Update on Exchange 2019 and Exchange Online (Jaap Wesselius)
Update on Teams and Skype for Business (Steven van Houttum)

Aanvang is 19:00.

Voor meer informatie en inschrijven: https://startel.nl/best-of-microsoft-ignite-2018/

Best of Ignite: BE-Com meets Wortell

Op 23 oktober is er weer een mooi Belgisch/Nederlands event, dit keer een event wat al langer in België wordt gehouden en nu dus ook in Nederland.

“Following a series of successful events in Belgium, we are hosting another “Best of Ignite”-evening where we will be covering the most things that were discussed (or announced) during Microsoft’s Ignite conference in Orlando. This time, however, we won’t be hosting it only in Belgium, we’ll also be visiting our friends at Wortell.

Because of the avalanche of new stuff to discuss and interesting things to know, there will be three different sessions for you; we are starting earlier than normal to allow for an extra session!

Agenda:
————
17:00 – 18:00: Welcome & Food + short intro about Wortell (Danny)
18:00 – 19:00: Session 1 : Exchange Online, Office 365 (Jaap Wesselius)
19:00 – 19:15: Break
19:15 – 20:15: Session 2 : Skype for Business & Teams (Wortell)
20:15 – 20:30: Break
20:30 – 21:30: Session 3 : IAM & EMS (Michael Van Horenbeeck)
21:30 – 22:00: Goodbye and drinks.

A big thank you to Wortell for hosting us at their stunning location! Don’t forget to check back regularly for more updates and (tentative) agenda items.”

Inschrijven kan op: https://www.meetup.com/nl-NL/be-com/events/254501718/

BE-Com goes Delft with UCUG.nl on June 26th

Wat we doen

Our last joint-event was a huge success, so we decided to give it another try! This time, OGD ict-diensten was kind enough to open up their offices for another great event.

Although we haven’t locked in all sessions for the evening just yet, we will be discussing hot topics of today.

AGENDA:
————–
17:30 – 18:00: Welcome + Food/Drinks
18:00 – 18:30: “Hoe je het nieuwe Skype Operation Framework gebruikt voor een succesvolle uitrol.” by Jos van Schouten (OGD)
18:30 – 19:00: “How to prepare for Exchange migrations” by Kay Sellenrode
19:00 – 19:15: Short break
19:15 – 20:15: “Deploying Hybrid Office 365 in a Server Based Computing Concept” by Thomas Verwer en Michel de Rooij
20:15 – 20:30: Short break
20:30 – 21:30: “Azure AD Conditional Access and Identity Protection how does it work and how to configure it?” by Stefan van der Wiele (Microsoft)
21:30 – 22:00: Goodbye and closing drink(s)

As you can see, we have an exciting evening ahead at a great location. We expect a lot of people to turn up, and have an interesting bunch of experts lined up!

Please, don’t forget to sign up as space is limited!

We look forward to welcoming you there.

Cheers,

The BE-Com & UCUG.nl-crew.

Inschrijven kan via https://www.meetup.com/nl-NL/be-com/events/251231402/

UCUG.nl meets BE-Com on April 25

Woensdagavond 25 april houden we weer een gezamelijk NL/BE event, dit keer in Amsterdam.
Details en inschrijven op: https://www.meetup.com/be-com/events/249626371/

Our last joint-event was a huge success, so we decided to give it another try! This time, Rapid Circle b.v. was kind enough to open up their offices for another great event.

Based on feedback, we’ve decided to extend the event a little. This means: starting a bit earlier to accommodate a third session.

Although we haven’t locked in all sessions for the evening just yet, we wil be discussing hot topics, including recent changes in EOP regarding anti-phishing/anti-spoofing and what to do moving forward.

AGENDA:
————–
17:30 – 18:00: Welcome + Food/Drinks
18:00 – 19:00: How to successfully implement SPF/DKIM/DMARC (notes from the field from various MVPs). In this session, the MVPs will also look at different tools that can help you analyze traffic whilst implemeting these features.
19:00 – 19:15: Short break
19:15 – 20:15: Skype for Business Online & Teams – State of the world by Steven Van Houttum.
20:15 – 20:30: Short break
20:30 – 21:30: Experts Untamed (panel) or 3rd-session. Bring your toughest questions as the experts will be answering the most pressing and difficult questions…
21:30 – 22:00: Goodbye and closing drink(s)

As you can see, we have an exciting evening ahead at a great location. We expect a lot of people to turn up, and have an interesting bunch of experts lined up!

Please, don’t forget to sign up as space is limited!

We look forward to welcoming you there.

Cheers,

The BE-Com & UCUG.nl-crew.

UCUG.nl meets BE-COM 22 februari

Donderdag 22 februari komen onze Belgische collega’s naar Nederland, ook UCUG.nl is van de partij.

Details en inschrijven op: https://www.meetup.com/nl-NL/be-com/events/247610710/

Join MVPs like Jaap Wesselius, Dave Stork, Michel de Rooij, Steven Van Houttum and Michael Van Horenbeeck along with well-respected experts such as Thomas Verwer, Kay Sellenrode and more for this first “interland” between the Belgian E-Communications & Collaboration Community and their Dutch counterpart(s).

It will be an evening full of technical deep-dives and interesting discussions.

Fujitsu Netherlands has been so kind to allow us to host our collective event in their offices in Maarssen (close to Utrecht); location details below.

Agenda:
6PM – 6:30PM: Welcome, drinks and food
6:30PM – 7:30PM: “Still running Exchange 2010? Now what?” by Jaap Wesselius.
7:30PM-8PM: Introduction to “HelloDoor” by HelloDoor.
8:PM-9PM: “Securing Exchange Online” by Dave Stork or “Deploying Hybrid Office 365 in a Server Based Computing Concept” by Michel de Rooij and Thomas Verwer (TBD).
9PM-10PM: Closing drink(s) and farewell

What can you expect? A stellar lineup of MVPs, Certified masters and peers alike and even better content. Make sure to RSVP quickly, as spaces are limited.

« Older Entries