E-mail instellingen
Postmark
Inleiding
Vanaf versie 8.0.2 is het mogelijk om e-mails te verzenden via Postmark. Dit platform geeft meer mogelijkheden om de e-mailverzending vanuit Wise te optimaliseren. De belangrijkste verbetering is dat we zowel SPF als DKIM alignment kunnen regelen (zowel FROM: als RETURN-PATH: gebruiken dezelfde domeinnaam). Daarnaast wordt de verwerking van bounces beter, omdat Postmark dit automatisch regelt. Tot slot is er onderscheid tussen gerichte e-mail en nieuwsbrieven. Met de huidige verzendmethode (voordat Postmark in gebruik is) worden alle e-mails op volgorde verzonden. Wanneer e-mails worden verzonden via Postmark, hebben de gerichte e-mails (RSO, HR1, IV1, etc.) voorrang op de verzending van nieuwsbrieven en marketingberichten.
Inrichting
Voor elk domein dat e-mails verzendt vanaf Wise moeten twee DNS records worden aangemaakt. De gegevens hiervoor worden per Wise-systeem aan de beheerder verzonden.
Deze zien er als volgt uit:
domein: bibliotheek.nl
20250619111042pm._domainkey TXT k=rsa;p=MIGfMA0GCSqG......
wise-bounces CNAME pm.mtasv.net
Er moet dus een TXT record en een CNAME aangemaakt worden. Dat kan al worden gedaan zodra de gegevens ontvangen zijn, daarvoor hoeft 8.0.2 nog niet actief te zijn.
Vragen en antwoorden
Moet de DNS voor alle domeinen ingericht zijn voor we naar 8.0.2 kunnen?
Nee, in 8.0.2 wordt nog teruggevallen op de oude wijze van verzenden. Omdat de e-mails wel beter vertrouwd worden met de nieuwe methode, wordt wel aangeraden nu al (tijdens 8.0.1) zoveel als mogelijk in te richten, zodat de overgang met 8.0.2 snel uitgevoerd kan worden.
Kan ik er ook voor kiezen om op de oude wijze te blijven verzenden?
Ja, gedurende 8.0.2 nog wel, maar in 8.0.3 zal de oude mailer worden uitgeschakeld.
Moet ik nu DMARC inrichten?
Nee, dat is optioneel. Maar als het domein meer dan 5000 e-mails per dag verstuurt (niet alleen via Wise, maar totaal), dan zal Microsoft deze weigeren.
De kans is groot dat deze stap ook door Google gevolgd gaat worden. Die stellen DKIM of SPF verplicht, maar DMARC nog niet. Met deze aanpassing is Wise helemaal klaar voor DMARC, maar om het aan te zetten moet wel gezorgd worden dat alle e-mails die namens het domein verzonden worden voldoet aan de DMARC eisen, ofwel dat SPF en DKIM in orde zijn. DMARC zet je dan ook gefaseerd aan (zie hieronder bij DMARC).
Moet ik ook mijn SPF record aanpassen?
Nee, dat wordt automatisch geregeld door de instellingen met Postmark
https://postmarkapp.com/support/article/1102-why-is-it-not-required-to-include-postmark-in-our-own-custom-spf-record
Kan ik de oude SPF en DKIM gegevens nu verwijderen?
Dat kan pas als Postmark ook daadwerkelijk in gebruik genomen is. Want tot die tijd moeten de e-mails nog wel ondertekend worden met de oude sleutels.
Wat gebeurt er als ik een e-mailadres met een nieuw domein aan een vestiging koppel?
Zolang de DNS nog niet ingericht is, zullen er vanaf versie 8.0.3 geen e-mails verstuurd kunnen worden. Maar om dat voor te zijn is het mogelijk om vanaf 8.0.2 het domein via de Manager al eerder in te voeren, en dan worden de benodigde DNS-gegevens ook binnen een dag in de Manager zichtbaar. Die kunnen dan alvast in DNS opgenomen worden, en dan kan daarna het adres bij de vestiging worden ingevoerd.
Moeten de nieuwe gegevens via een beveiligde manier verzonden worden?
Nee, deze DNS records zijn bedoeld om publiek te zijn. Ze zijn na de inrichting via de openbare DNS raadpleegbaar.
Meer informatie
Op onderstaande websites vind je meer informatie over Postmark:
De basics (tot Wise 8.0.1, niet meer nodig met Postmark)
SPF record
Zorg dat in het SPF record van de als afzender gebruikte domeinen
include:oclcspf3.oclc.org
is opgenomen
Eventuele oude verwijzingen kunnen verwijderd worden:
- 193.240.184.7
- include:spf.hostedwise.nl
- include:oclcspf1.oclc.org
- include:oclcspf2.oclc.org
DKIM records
Om de e-mail te kunnen ondertekenen moeten de volgende records worden aangemaakt in de domeinen die als afzender worden gebruikt.
Zodra dat geregeld is moet dit aan OCLC worden doorgegeven, zodat de e-mail ook daadwerkelijk kan worden ondertekend:
wise1._domainkey CNAME 300 dkim1.wise.oclc.org.
wise2._domainkey CNAME 300 dkim2.wise.oclc.org.
wise3._domainkey CNAME 300 dkim3.wise.oclc.org.
wise4._domainkey CNAME 300 dkim4.wise.oclc.org.
DMARC record
Wanneer voor een afzender domein een DMARC record is ingesteld, MOET ook het SPF record zijn aangepast en de DKIM records geplaatst.
Anders zal de OCLC mailserver als spammer worden aangemerkt.
Als dit niet mogelijk is, moet in de vestiging worden ingesteld dat deze nooit e-mails kan verzenden.
Bounce parser inrichten
Omdat herhaaldelijk verzenden vanaf een fout adres ervoor zorgt dat de mailserver als spammer wordt aangemerkt, is het van groot belang de bounce parcer aan te (laten) zetten. Hiermee worden foute adressen snel uit de database verwijderd, zodat ze niet steeds opnieuw gebruikt worden.
Meer toelichting (generiek)
SPF
Een SPF record geeft aan welke servers e-mail mogen versturen vanaf een domeinnaam. Dit is een TXT record in de DNS van dat domein.
Voor bijvoorbeeld bibliotheek.nl kan een SPF record bestaan als:
bibliotheek.nl. 3600 IN TXT "v=spf1 ip4:1.2.3.4 ip4:100.100.100.100 ip4:123.123.123.0/24 include:oclcspf3.oclc.org include:_spf.google.com ~all"
Dit betekent dat vanaf de genoemde IP adressen e-mail verstuurd mag worden en vanaf de adressen die ingesteld staan in oclcspf3.oclc.org en _spf.google.com.
Er kan per domein slechts 1 SPF record zijn. En voor het bepalen van de adressen in het SPF record mogen niet meer dan 10 DNS lookups nodig zijn.
Een ip4: verwijzing kost geen lookup, maar een include: en mx: verwijzing bijvoorbeeld wel. En ook de DNS verwijzingen in een included record tellen mee!
Om een SPF record te controleren kan bijvoorbeeld MXToolbox of dmarcian gebruikt worden.
Voor meer informatie zie bijvoorbeeld https://kinsta.com/nl/kennisbank/spf-record/
DKIM
Wanneer een e-mail verstuurd wordt vanaf een domein, kan het bericht ondertekend worden, waardoor de inhoud niet onderweg veranderd kan worden. Bovendien kan door de ondertekening gecontroleerd worden dat de e-mail ook daadwerkelijk afkomstig is van het domein van het afzender adres (FROM:).
Omdat soms nieuwe sleutels in gebruik genomen worden zijn er meestal meerdere DKIM records ingesteld. Daarmee kunnen oudere e-mails nog een tijdje gevalideerd worden als de nieuwe sleutel in gebruik genomen wordt. Om aan te geven welke sleutel gebruikt wordt kent DKIM een zogenaamde selector. Wise gebruikt de selectoren wise1, wise2, wise3 en wise4.
Deze sleutels moeten in de DNS van het verzendende domein worden opgenomen, maar de Wise server moet ze kennen om de e-mails te kunnen ondertekenen tijdens het verzenden. Om dit mogelijk te maken publiceert OCLC de DKIM records, en moet in de DNS van de verzendende domeinen een verwijzing naar deze DNS records worden opgenomen.
Om een DKIM record te controleren kan bijvoorbeeld MXToolbox (vul het formulier in als "domein:wise1" om selector wise1 te controleren) of dmarcian gebruikt worden.
DMARC
DMARC wordt gebruikt om een policy af te dwingen die bepaalt wat te doen als SPF of DKIM niet kloppen. Een DMARC record ziet er uit als
_dmarc 3600 IN TXT "v=DMARC1; p=none; rua=mailto:youraddress@yourdomain.com"
p= geeft de policy aan, die kan 'none', 'quarantine' en 'reject' zijn. Meldingen over afgekeurde e-mails worden naar het rua= adres gestuurd. Het is aan te raden DMARC altijd eerst met 'none' te proberen en de verslagen goed in de gaten te houden, om te kijken of er nog aanpassingen aan SPF of DKIM nodig zijn. Als alles in orde lijkt kan dan een strengere policy afgedwongen worden. Ga dus nooit ineens van start met 'reject', want de kans is groot dan dan veel valide e-mail geweigerd wordt!
Om een DMARC record te controleren kan bijvoorbeeld MXToolbox of dmarcian gebruikt worden.
Voor meer informatie zie bijvoorbeeld https://mailtrap.io/blog/dmarc-explained/
Veelgestelde vragen
Moet ik de DNS records in mijn interne of externe DNS aanmaken?
Deze moeten in de externe DNS aangemaakt worden.
Vanaf welk adres worden de e-mails vanuit Wise verzonden?
De e-mails worden verzonden vanaf "envelop-adres" ofwel MAIL-FROM: <wise systeemnaam>@wise-emea.oclc.org.
De klanten zien normaal gesproken echter alleen het FROM: adres, waarvoor het adres wordt gebruikt dat is ingesteld in de vestiging.
Het MAIL-FROM: adres wordt gebruikt voor de "technische" afhandeling, eventuele bounces worden hier naartoe verzonden.
Hoe kan ik zien welke bounces verwerkt zijn en wat het gevolg is?
De bounce parser probeert zoveel mogelijk bounces automatisch af te handelen. Hiervan wordt in het dashboard in de Manager dagelijks een verslag geschreven. De verwerkte bounces kunnen eventueel geraadpleegd worden in de querytool in de Manager in de tabel actor_e_bounces. Als een bounce ook daadwerkelijk verwerkt is, dan wordt de bounce-teller bij het e-mailadres van de lener opgehoogd. Dit is te raadplegen in de tabel actor_e_bounces met soort='EML'. Wanneer te veel bounces zijn voorgekomen, wordt de soort EML omgezet naar EMLB, en gebruikt Wise dit adres niet meer. Het is nog wel te raadplegen in de Client in tabblad 4 van de klantenadministratie.
De niet te verwerken bounces worden verstuurd naar een e-mailadres wat is afgesproken met de Wise beheerder.