Beantwoord

This sender failed our fraud detection checks........ (spoofing??) Wordpress & Office 365 Instap

  • 8 February 2018
  • 12 reacties
  • 804 keer bekeken

Reputatie 2
Badge
Hallo allemaal, (wat fijn dat je er bent)

Ik krijg steeds de volgende melding bij het binnenkomen van de mail van mijn eigen site:
This sender failed our fraud detection checks and may not be who they appear to be. Learn about spoofing at...
of



Dit gebeurt bij het verzenden van een contactformulier en van een bookingtool via mijn wordpress site.
Dit gebeurt bij de volgende adressen info (at) hotelnouvelle.nl en booking (at) hotelnouvelle.nl

Het volgende heb ik gedaan:
- Om te voorkomen dat ze in de Junk mailbox komen heb ik via Exchange-beheercentrum beide mailadressen en het domein toegevoegd als "toegestane afzender" Hierdoor komen ze niet meer in mijn Junk mailbox, maar ze hebben nog wel de eerder genoemde spoofing melding.



- Naar aanleiding van de volgende pagina:
https://www.liontreegroup.com/tips-and-tricks/this-sender-failed-our-fraud-detection-checks-fix-godaddy-contact-form-7-office-365-updated-2017/
Heb ik de header van desbetreffende mail bekeken en daarna afzendadres aangepast in Contact Form 7
dus:




Dit blijkt inderdaad wel de Spoofing melding weg te halen (wel nog in ogewenst, maar dat is aan te passen). Maar zie ik in het bericht wel een "lelijk" afzendadres (wat logisch is omdat ik dit zelf veranderd heb in Contact Form 7)



Hoe kan ik er nu voor zorgen dat ik niet meer die "This sender failed our fraud detection checks.." melding krijg bij het juiste afzendadres, namelijk info (at) hotelnouvelle.nl???

Ben er al een hele dag mee aan het rommelen en kom er niet uit. Alles wat via Wordpress verzonden wordt met een emailadres met eigen domeinnaam lijkt geblockt te worden door Office 365 Exchange Online??
Graag een antwoord in simpele bewoordingen, want ik ben een beginner. 😖

Alvast bedankt! Groet Henk
icon

Beste antwoord door Henkie 12 February 2018, 12:06

Bekijk origineel

12 reacties

Reputatie 7
Badge +6
Hi @Henkie,

Ik wilde vragen of je voor het eerst bent hier, maar zo te zien ben je al bekend! 😉
U bent al druk bezig en zeker op de goede weg. Natuurlijk help ik u graag verder met het voorkomen van de melding bij het afzendadres info@hotelnouvelle.nl.

Ik ben mijn systeem in gedoken en heb allereerst de huidige DNS records gecontroleerd. Hierbij heb ik specifiek naar uw SPF record gekeken. Met een SPF record legt u aan het domein uit vanaf welke servers er gemaild mag worden met hotenouvelle.nl. Aan het huidige SPF record viel mij op dat dit record nu alleen aangeeft dat er vanaf de Office server gemaild mag worden. Dit verklaart de melding bij het mailen vanaf de website.

Zie hieronder:


Op dit moment is er in het record dus niet opgenomen dat mailen vanaf de site toegestaan is. Het is dus zaak dat dit record aangevuld wordt, waarmee we dit mogelijk maken.

In de blog Security is Key: een beveiligd contactformulier vind u een uitleg over de opbouw en opties van een SPF record.

Dus voor alle duidelijkheid, de 'a' moet aan het record toegevoegd worden om aan te geven dat de mail mag worden verzonden vanaf alle A-records in uw DNS. Het record moet er dus als volgt uitzien: v=spf1 a include:spf.protection.outlook.com -all

Laat u het mij weten als het gelukt is?
Reputatie 2
Badge
Hoi @Rick S.

Bedankt voor de informatie! Ben even aan het stoeien geweest in het beheerportaal (moest even zoeken waar het stond) en heb een nieuw DNS record toegevoegd.



De voorgaande zonder "a" staat er nu ook nog in. Is dit ok of moet die gedeactiveerd worden?

Ik heb ook gelijk even getest door een booking te plaatsen via de site en nu krijg ik het volgende:



De mail komt nu direct in postvak in (dus niet meer in Junk), maar nog wel die rare melding? Ik wil niet dat gasten dadelijk een "rare" mailbevestiging van mij krijgen, want dat werkt toch afschrikwekkend.

Bedankt alvast!
Reputatie 7
Badge +6
Hi @Henkie,

We zijn dus weer een stap verder! 😀

Ik zie inderdaad de record die u aan heeft gemaakt en die klopt helemaal. De reden dat u nu alsnog de melding krijgt komt omdat het andere record nog actief stond. Deze heb ik direct geactiveerd.

De nieuwe record is nu dus actief geworden Wilt u het nog een keer testen?
Reputatie 2
Badge
Hoi @Rick S.

Ik zie nu inderdaad dat voorgaande txt bestand gedeactiveerd is. Maar nog steeds krijg ik de melding (niet meer als rood gekleurde waarschuwing in de mail zelf maar wel in de header bij het rijtje van de inbox (zie rode pijl) ---> 1 en 2 zijn twee testmails na die deactivatie van het txt record



Edit:

Nog steeds niet

Ik ben via deze site:
https://practical365.com/exchange-online/sender-failed-fraud-detection-checks-error-junk-email/
Op de volgende info gekomen:


Kan het hier mee te maken hebben? Heb zelf de geschiedenis van Firefox gewist, maar daar heeft het volgens mij niet mee te maken toch? Dit zijn toch de caches op de servers van Microsoft of KPN?

Via bovenstaande site kwam ik ook de Microsoft Header Analyzer tegen:
https://testconnectivity.microsoft.com/
Hier krijg ik de melding:


Zou hier niet juist mijn domeinnaam moeten staan?

Groeten Henk
Reputatie 7
Badge +6
Niet alleen dat, er zou eigenlijk het IP adres van de afzender moeten staan (en een van office365). Anders wordt je constant gepakt door spamfilters.

Hier heb je een uitgebreide uitleg over SPF records:
http://www.openspf.org/SPF_Record_Syntax
Reputatie 2
Badge
@SjorsK

Beste Sjors,
Ik heb de sender ip uit de header analyse gehaald via deze pagina
https://testconnectivity.microsoft.com/


Ik heb beide headers afkomstig van info (at) hotelnouvelle.nl en booking (at) hotelnouvelle.nl gescand en die IP's in het record verwerkt:
Zou dit 'm dan moeten zijn?

v=spf1 a ip4:213.75.xx.xy ip4:213.75.xx.xz include:spf.protection.outlook.com -all

Of moet ik het IP adres uit het KPN beheerportaal plukken?



Alvast bedankt!
Groet Henk
Reputatie 7
Badge +6
Persoonlijk zou ik het IP adres gebruiker waar de A records in de DNS naar verwijzen (Ik ga er van uit dat de webserver de verzendende partij is.

Daarnaast raad ik aan om de TTL zo laag mogelijk te zetten. Ik heb vaak genoeg gehad dat ik uren zat te wachten op een synchronisatie van de DNS omdat er een typefout was waar ik overheen gekeken had en de TTL niet laag was.
Reputatie 2
Badge
@Rick S.@SjorsK

Hoi,

Dit is hetgeen ik geprobeerd heb:



En nog steeds deze melding in de header analyse:



Ik ben er wel een beetje klaar mee eigenlijk(nou eigenlijk niet dus). Ik dacht dat als ik een hosting voor een wordpress site met office 365 zou aanschaffen, dat het allemaal zou kloppen. Ben nu al 3 dagen aan het rommelen hiermee. Ik wil eigenlijk bezig zijn met een mooie site opzetten......

Even voor de duidelijkheid, ik heb het volgende van KPN:
- Webhosting Online Linux met een installatie van Wordpress
- Meerdere domeinnamen
- Office 365 Instap met de exchange service

Daarnaast heb ik een wordpress Thema aangeschaft die gebruik maakt van Contact Form 7, waarbij ik een contactformulier via het adres info (at) hotelnouvelle.nl heb en reserveringsformulier via booking (at) hotelnouvelle.nl.

Het probleem = ik krijg bij het gebruik van de contactformulieren via een buitenstaand mailadres (gmail) de mailtjes binnen in mijn Office 365 Junk mailbox. Hierbij krijg ik de melding: This sender failed our fraud detection checks and may not be who they appear to be. Learn about spoofing at...
Het buitenstaande mailadres (gmail) krijg ook een bevestigingsmail van de reservering, echter geen melding van Spam of Spoofing?? Het lijkt er dus op dat gasten rare meldingen krijgen, maar ik zelf wel??

Ik las ergens dat alles in Wordpress via PHP loopt en mocht het nodig zijn dan kan het via SMTP met een plugin. Is dit dan het probleem? Of heeft dit er niks mee te maken?

Groeten Henk
Reputatie 2
Badge
Het lijkt er dus op dat gasten rare meldingen krijgen, maar ik zelf wel??

Typo: gasten krijgen géén rare meldingen voor zover ik weet.

De melding van Spoofing komt alleen voor als het via wordpress verloopt. Ik krijg géén meldingen als ik intern mail tussen het info-mailadres en het booking-mailadres.
Reputatie 7
Badge +6
Je kan inderdaad ook via SMTP werken, in dat geval gebruik je de inlog gegevens van office365 om mails mee te versturen en heb je niks meer te maken met de SPF records (Wat trouwens alleen ter gunste van spamfiltering is). Zo lang het formulier geen content naar de klant stuurt zal de klant hier niks van merken.

Wat trouwens ook mogelijk een probleem tussen de tests is de TTL, dit is eigenlijk de tijd dat de "oude" records worden aangehouden in de keten. Dat gezegd te hebben, als je de enige bent die tegen de spamfiltering aan loopt zou ik mij niet al te veel zorgen maken.

Ik zal wel voor de zekerheid de spam folder controleren gezien de kans bestaat dat de mail hier in verdwijnt.
Reputatie 2
Badge
Bedankt @SjorsK voor de informatie! Wordt erg gewaardeerd.

@Rick S. Ook bedankt voor de aanpassing van het SPF record. Heb 'm wel nog aangepast door een mijn IP en mijn domein te includeren.

Heb de oplossing voor de spoofing melding gevonden. Ben gaan zoeken op de foutmelding in combi met wordpress en kwam op de volgende site uit:
https://answers.microsoft.com/en-us/msoffice/forum/msoffice_outlook-mso_other-mso_o365b/sender-failed-fraud-detection-checks-with/d27cd831-1771-482e-adc5-ac4a55c10d49?auth=1

Voor ander mensen die dezelfde hinder ondervinden:
De oplossing is:
I have checked the message header and found the SCL is 5, which is a spam email detected by EOP. Given the situation, please follow the below to set the emails from the account as non-spam emails:
Sign into Exchange admin center (https://outlook.office365.com/ecp) with your Office 365 admin account. In Mail Flow, click + to Create a new rule…, select More options. Set Apply this rule if... – the sender is this person and select the account which sends the emails. Set Do the following... – Modify the message propertiesSet the Spam Confidence Level to bypass spam filtering and click Save at last.


Deze regel stel je in per emailadres (afzender)

En nu weer verder met Wordpress!! 👍🏻

Groeten Henk

Ps. misschien is het handig dat deze informatie/oplossing in een apart info topic geplaatst wordt?? Er zullen wel meer mensen hier gebruik maken van Wordpress in combi met een formulier plugin
Reputatie 7
Badge +6
Hi @Henkie,

Zoals u vermoedelijk ook meegekregen heeft ben ik in het weekend niet aanwezig. Wel zie ik dat Sjors u verder geholpen heeft. Ik ben erg blij om te lezen dat u de oplossing heeft gevonden en dat u de moeite neemt om het ook voor andere gebruikers uit te leggen 😁

Daarnaast ben ik helemaal met u eens dat het een goed idee is om hier een nieuw topic over te maken met tips & tricks. Ik neem dit mee en bespreek de mogelijkheden hiervoor met onze content manager!

Mocht u verder nog hulp nodig hebben of andere vragen hebben, ik zit voor u klaar!

Reageer