Via Reddit:
[I]k heb een bericht ontvangen van een incassobureau die graag wat geld willen innen namens mijn vorige warmte leverancier. Nu wil het zo zijn dat de factuur die zij eerder gestuurd hebben, niet is aangekomen door een fout in de mailconfiguratie aan hun kant. Ik ben het daarom ook niet eens met de extra incasso kosten. Wat kan ik hiermee?De vraagsteller verduidelijkt verderop wat er misgegaan is. Hij gebruikt Microsoft’s maildienst, en deze controleert tegenwoordig streng op de DKIM en SPF informatie die in mails aanwezig hoort te zijn. Deze geven aan van wie mail echt afkomstig is, en als deze niet goed staat dan komt de mail niet aan.
Al decennia roepen juristen (terecht) dat het spamfilter het risico van de ontvanger is. Maar door deze nadruk op technische kwaliteitsstandaarden kun je wel vraagtekens stellen bij deze uitspraak tegenwoordig. Een spamfilter is onmisbaar, sterker nog is onvermijdelijk want je emailprovider die doet dat gewoon. En DKIM en SPF zijn nuttige indicatoren, dus die kijkt daar naar.
Ik kan er juridisch niet de vinger op leggen waar dit precies zit, maar ergens ligt een grens van “de mailprovider mag kijken naar eventueel X” en “de afzender moet X gewoon goed instellen”. Bij dat laatste spreken we van een configuratiefout: het is logisch dat zo’n mail niet aankomt, en dat kun je de ontvanger niet verwijten.
Het enige tegenargument voor het incassobureau is nog dat nergens staat dat het verplicht is om DKIM/SPF te hanteren. Maar anno 2025 is dit wel een redelijk breed gedragen consensus, en dat ís nou net hoe men op internet dingen “verplicht” stelt. Doe mee of je doet niet meer mee.
Ik durf ondertussen wel te stellen dat wie mails zonder DKIM/SPF verstuurt, voor eigen risico opereert. Dit hoor je te weten als ict-dienstverlener (de leverancier van het incassobureau dus), en het dan niet aanzetten kun je de beoogde ontvanger niet verwijten.
Specifiek bij consumentenrecht speelt er nog een discussie. Voordat je incassokosten mag rekenen, moet je de zogeheten 14-dagenbrief hebben gestuurd (art. 6:96 lid 6 BW).
Voordat u aanspraak kunt maken op vergoeding van de incassokosten moet u uw debiteur een ‘14 dagenbrief’ sturen, waarin u hem de gelegenheid geeft om zonder kostenverhoging alsnog te betalen. In die brief moet u dus aanzeggen dat hij na het verstrijken van die 14 dagentermijn buitengerechtelijke incassokosten is verschuldigd. En moet u melden hoe hoog die incassokosten precies zijn.Een discussiepunt hierbij is of deze ook per e-mail mag. Het Hof ‘s-Hertogenbosch oordeelde in 2017 dat dat inderdaad mag, vooral omdat er in het wetsartikel niet expliciet staat dat het schriftelijk moet.
Arnoud
Er is nu kennelijk wel een bericht ontvangen, dus het incassobureau lijkt wel te weten hoe het moet. Benieuwd wie dan de 14 dagenbrief heeft verzonden, dat is in de praktijk toch ook vaak het incassobureau.
De 14dagenbrief is door het warmtebedrijf verstuurd, daar kwam geen reactie op (want in de spam) en toen ging het naar het incassobureau.
In je artikel wordt gesuggereerd dat de DKIM/SPF configuratie-issue aan de zijde van het incassobureau lag? Uit de Reddit-thread blijkt inderdaad van niet.
Bij Microsoft is het overigens inmiddels wel verplicht sinds begin deze maand: https://www.mimecast.com/blog/microsoft-implements-strict-dmarc-spf-and-dkim-policies
En dan staat al jaren op de agenda: https://www.sidn.nl/nieuws-en-blogs/grote-mailverwerkers-eisen-gebruik-van-spf-dkim-en-dane
Wat denk ik ook meespeelt is dat incasso mailtjes veelvuldig gebruikt worden voor phishing, en als dat soort mailtjes afkomstig zijn van e-mailadressen die zonder DKIM/SPF verstuurt zijn zal de mailprovider eerder de mail tegenhouden puur vanuit een veiligheidsaspect.
En als laatste, ik vraag me af of er niet een soort bounce melding naar de verstuurder van de mail is gegaan, of een andere melding over gebrekkige configuratie etc, hetzij bij het mailen danwel via hun eigen mailprovider. Mocht hun mailprovider hier niks mee doen dan is dat mooi hun eigen probleem en niet van hun klant.
Mandril bijvoorbeeld stuurt wekelijks mailtjes over domeinnamen waar je mee mailt, waarin ze je waarschuwen over “unauthenticated domains” en daar ging een hele campagne aan vooraf om alle e-maildomeinen correct geconfigureerd in het systeem te hebben voor je ze pas kunt gebruiken.
Volgens de reddit-thread zou je inderdaad verwachten dat er een bounce geweest is. Ik zou zeggen dat als je aannemelijk kan maken dat de Microsoft mailserver dat altijd doet, dat de warmteleverancier nat gaat.
Bounce mailtjes sturen doe je als goede mailserver al heel wat jaren niet meer, behalve in uitzonderlijke gevallen. Zeker bij spamdetectie doe je dat niet en al helemaal niet als je de afzender niet kunt valideren (daar zijn SPF en DKIM voor). Daarmee loop je als mailprovider namelijk het risico dat je bounce-mailtjes naar een onschuldig slachtoffer gaan en je vervolgens zelf op allerlei blacklists terecht komt.
Het enige dat de verzendende mailserver mogelijk had kunnen zien is een foutmelding in de SMTP sessie maar het kan ook goed zijn dat Microsoft de SPF en DKiM controle pas uitvoert na het bevestigen van ontvangst en sluiten van de sessie.
Je kan als afzender zelf een DMARC policy instellen om ontvangers te vertellen wat ze moeten doen als ze mails ontvangen waarvan spf en/of dkim niet goed staan (none/quarantine/reject) En je kan instellen waar je reports over de succesvol ontvangen emails en de mogelijke spam (rua optie)
De discussie gaat over mensen die in het geheel geen SPF of DKIM headers hebben ingesteld. Ik ben het met je eens dat als je geen of een incorrecte DMARC policy instelt, je de gevolgen moet dragen. Maar is het maatschappelijk aanvaardbaar dat mijn mail als spam wordt gezien enkel omdat ik geen SPF/DKIM heb? En maakt het dan uit of het de smtp-server om de hoek is of de diensten van het machtige Microsoft?
Gezien het grote maatschappelijke probleem dat spam tegenwoordig is en dat SPF/DKIM een inmiddels gangbare breed gebruikte techniek is om dit probleem te bestrijden zou ik zeggen dat als jij belangrijke mail verstuurd je mag verwachten dat je maatschappelijke verantwoordelijkheid neemt en anders zelf de gevolgen van je nalatigheid draagt.
De leverancier van het energiebedrijf bedoel je? Mail vanuit het energiebedrijf is niet aangekomen, mail vanuit het incassobureau wel. (daardoor kwam vraagsteller er juist achter dat mail vanuit het energiebedrijf niet binnenkwam)
De meeste consumenten, ook de meeste kleine ondernemers (reflexwerking!), weten niet eens dat dit soort dingen bestaan, laat staan dat ze er iets aan kunnen veranderen.
In mijn opinie zouden ze dat ook niet hoeven te weten. Je weet toch ook niet of PostNL diesel of benzine gebruikt, of dat ze hun auto’s wel ge-apk-ed hebben?
Je neemt een emaildienst af bij een professionele partij, en je mag ervan uitgaan dat het werkt. Je hebt, zoals Arnoud al aangeeft, weinig of geen controle over het spamfilter, en al helemaal niet over DKIM/SPF instellingen, en al helemaal geen inzicht in de gevolgen van die instellingen.
Dat vind ik een jaren-90 argument. Dat is hoe het ‘Het InterWeb’ werkte. Het is ook een breed gedragen consensus dat de gemiddelde gebruiker zich geen zorgen hoeft te maken over de technische implementatie van standaardzaken.
Ik zie best dat niet-ontvangen emails problemen kunnen veroorzaken, en dat verzender en ontvanger graag naar elkaar wijzen als verantwoordelijke daarvoor. Maar misschien moeten we gewoon maatschappelijk accepteren dat emails niet altijd aankomen, zonder dat daar direct een schuldige voor is.
Als het bericht zo belangrijk of tijdskritisch is…. stuur het dan op twee manieren of volg beter op of het ontvangen is.
Maar ook als er niet direct iemand schuldig is, moet er in een situatie als deze gekozen worden voor wie de nadelige consequentie is.
Inderdaad, en dat bedoelde ik ook met mijn laatste zin.
De verzender had (IMO) best wat meer moeite kunnen doen dan (waarschijnlijk automatisch) een email sturen, voor iets wat blijkbaar zo belangrijk is.
Hoezo is dat een jaren 90 argument? Zo werkt het internet nog steeds. Techniek blijft zich ontwikkelen. Als je niet meegaat, dan stopt het met werken.
Een brief lijkt me toch, per definitie, een bericht over de post in een enveloppe en gefrankeerd.
Eens. De wet noemt het nergens “brief”, dat is praktijkjargon. Voor de wet (art. 6:96 lid 6 BW) moet het een aanmaning zijn met bepaalde inhoudelijke eisen, maar nergens staat dat dat een plakje dode boom moet zijn.
Als ik het goed begrijp is het artikel 82 waarin staat dat het een “schriftelijke aanmaning” moet zijn. Ik heb er wat moeite mee om email te zien als schriftelijk, ongeacht de vraag over spamfilters en spf records. Als een email schriftelijk is, is een SMS’je of een WhatsApp bericht dan ook schriftelijk? En zo nee, waarom is dan de ene vorm van digitale communicatie wel schriftelijk, en de andere niet?
In principe worden alle vormen van elektronische communicatie waarbij tekstberichten uitgewisseld worden gezien als “schriftelijk”. Dit kan uitgebreid worden naar grafische weergaven van tekst zoals TIFF (fax) of PDF.
De verzender moet wel aannemelijk kunnen maken dat het bericht correct bij de beoogd ontvanger is aangekomen. (Of had kunnen aankomen als de ontvanger het bericht niet geweigerd had.)
In art. 6:82 wordt gesproken van “schriftelijke aanmaning” inderdaad. Maar een geschrift kan ook elektronisch zijn, het gaat erom dat het een niet-vluchtig medium is (zoals met name spraak) zodat je het achteraf nog terug kunt lezen wat er is gezegd. Of in dit geval: dat je op een rijtje hebt wat je moet betalen, waarom, en welke kosten er volgen als je nu niet binnen 14 dagen betaalt. Een WhatsAppbericht met alle verplichte informatie is dus een prima aanmaning.
Voor op de borrel: ik kan me voorstellen dat een elektronisch medium waarbij berichten snel verdwijnen (Snapchat, een Discordchat zonder logfunctie) aangemerkt wordt als “niet schriftelijk”.
Kwam de mail nu geheel niet aan bij de ontvanger, of in zijn spam folder? Dat is een beetje vaag nu.
DKIM en SPF zorgen er voor dat het moeilijker wordt om de afzender de vervalsen. Dat beperkt inderdaad spam, maar gaat wat mij betreft verder en een bedrijf moet dat gewoon op orde hebben.
Ik maak het onduidelijk inderdaad. De mail is niet aangekomen in het account van de consument, niet in diens inbox en niet in de door MS beheerde “Junk mail” folder. Of de mail is gebounced, in een zwart gat is gevallen of wat anders is onbekend.
Maar dat vind ik wel een ding. Dat Microsoft die mail als spam ziet is begrijpelijk, maar dat die in het geheel niet wordt afgeleverd vind ik heel kwalijk. Alsof mijn postbode alle brieven van de Postcodeloterij maar gewoon weggooit omdat hij denkt dat ik niet meedoe.
Slechte analogie, zoals gewoonlijk.
In dit geval is het alsof je postbode alle brieven niet aflevert omdat het poststempel niet overeen komt met de postcode.
Een email die GEEN spam is, toch zien als spam… ik heb moeite om dat begrijpelijk te vinden, zeker van een partij als MS, na 30 jaar massa-email en met AI en zo.
Lijkt meer op: ‘we willen er slechts beperkte middelen in steken, wat kan het ons schelen als mails niet aankomen’
Ik denk dat je de hoeveelheid spam wat onderschat. Als elke spammail alsnog in het postvak in of in een spam-bak zou worden gezet dan zou een groot deel van de gebruikers helemaal gek worden.
Er is geen spamfilter dat 100% van de spam stopt en tegelijkertijd 100% van de echte mail (“ham”) door laat.
Na elke maatregel zullen de spammers omwegen zoeken, wegens hun financiële belangen. En bij elke maatregel zijn er digibete verzenders die zich heel erg als spammer lijken te gedragen maar het niet zijn. 99,9% spam tegen houden betekent ook dat 0,5% onterecht wordt geblokkeerd. En andersom betekent 99,9% echte mail doorlaten dat er ook 0,1% van de spam/phishing door komt (fictieve getallen).
Juist daarom zijn maatregelen als spf etc zinvol. Ze verteren de percentages erg in positieve zin. Mits de verzender een en ander goed instelt.
Als de verzender publiceert dat alleen mail verstuurt vanaf provider abc.nl van hen is en de rest niet is te vertrouwen, dan moet die verzender niet nieuwsbrieven gaan versturen vanaf server def.nl zonder de lijst vertrouwde servers aan te passen.
Dat snap ik ook wel. Waar ik op triggerde is meer de gedachte van ‘ik stuur een eerlijke oprechte email, hoe durft MS mij te beschuldigen van het sturen van spam’. Om het heel simpel te zeggen: dat is smaad.
Ik verstuur ook zakelijk emails van mijn eigen domein. Ik ben de domste niet en de digibeetste niet, en toch heb ik nog nooit van SPF en DKIM gehoord, en wist dus niet eens dat ik iets kon instellen.
Hoe wil je dan van mij verwachten dat ik een en ander ‘instel’, en dan ook nog ‘goed’? Sorry, maar dit is echt ’te diep onder de motorkap’ voor 99% van de ondernemers.
Te diep onder de motorkap: eens. Het kan vrij complex worden. In de regel wil je dat overlaten aan de dienstverleners. Maar dat is niet relevant voor het meningsverschil tussen (niet-)ontvanger en verzender.
Net als iets als het beveiligen van de servers zelf, en bijv een datalek dat daaruit voort kan komen. Ook iets dat de gemiddelde MKB of ZZP niet zelf goed kan, maar wel hun eindverantwoordelijkheid is.
Terzijde: ik zie net de mail die 15 mei jl aan me is gestuurd vanuit ICTrecht … in de Hotmail spambak. Microsoft heeft eea nogal strak afgesteld. En ik mag m.i. mezelf aanrekenen voor het niet eerder checken en whitelisten.
Ik denk dat je vergelijking met de PostcodeLoterij niet helemaal klopt. Het probleem hier is niet dat de postbode bewust geldige post weggooit, maar dat het adres simpelweg onleesbaar is.
Zonder correcte DKIM/SPF configuratie ziet de mailserver je bericht niet als behorend bij het domein en gooit die dus weg alsof je naar een niet-bestaand e-mailadres hebt gestuurd.
SPF en DKIM zijn twee technieken waarmee je als afzender extra bewijs levert dat je echt bent wie je zegt en dat je mail niet onderweg is aangepast. Zonder dit kan iedereen mail sturen met belangrijk@jouwbedrijf.nl zonder dat de ontvangen door heeft dat de mail helemaal niet bij jouwbedrijf.nl weg komt.
Dit wordt tegenwoordig zoveel misbruikt door phising mails dat deze maatregelen nu dus afgedwongen worden door de grote mailproviders in een poging dit misbruik zoveel mogelijk te dwarsbomen.
Juist daarom kun je de ontvanger niet verwijten dat jouw mail niet aankwam, maar ligt de verantwoordelijkheid bij de afzender om het adres (oftewel de mailconfiguratie) wél goed in te richten.
Microsoft heeft een tijdlang consequent al mijn mails aan hun mailadressen (hotmail, enz.) geweigerd omdat het zendende IP-nummer misbruikt zou zijn. Maar het stond in geen enkele lijst. De reden werd opzettelijk vaag gehouden, moeilijk te achterhalen, en gold voor een heel blok IP-nummers, waarvan er maar één van mij was.
Erg irritant. Was in een VPS bij Tilaa, dus er ook niet door kwamen bij Microsoft. Vermoeden dat Microsoft het expres deed om iedereen aan hun e-maildiensten te krijgen?
Later bij andere VPS-provider geen last meer van gehad.
Wel kwam er in dat geval, en dat is belangrijk, een bounce-melding na het versturen.
Zowel microsoft als google gooien ze meestal in een zwart gat zonder enige vorm van bounce of andere terugkoppeling.
Waar ook wel aan voorbij gegaan wordt als je het bij de ontvanger legt: er zijn verzendende partijen die door hun eigen gedrag (spam versturen) op een blacklist komen, waardoor ook hun legitieme e-mail niet meer aankomt.
Hoe is dat verantwoordelijkheid van de ontvanger? Als jij als verzender wil dat je mail aankomt, dan gedraag je je maar als een fatsoenlijke netizen en zorg je dat je niet op een blacklist komt.
Sowieso, als jij als consument gebruik maakt van de diensten van een grote, gerenomeerde partij (in dit geval Microsoft, waar ook het merendeel van overheden en bedrijven zelf gebruik van maakt) dan kan je moeilijk zeggen dat het de schuld is van die consument als de emailprovider een bepaald bericht niet aflevert omdat het niet aan de inmiddels gebruikelijke standaarden voldoet. Je kan als bedrijf ook de berichten aan je klanten niet meer in spijkerschrift in een kleitablet noteren en laten afleveren door een koerier op een ezel.
Er staat ook nergens dat een spamfilter het risico van de ontvanger is, dus dat zou een lelijk gevalletje met-twee-maten-meten zijn.
Eens. Het is wel de traditionele opvatting, maar uit 2000 toen een Bayesiaans filter state of the art was. Jij hebt een mailbox, jij zet het spamfilter aan, dus jouw probleem als die mails tegenhoudt. Vanuit deze situatie is gegeneraliseerd, wat mij betreft onterecht want de huidige situatie geeft jou nul keuze over je spamfilter en wat deze doet.
Was er geen spf-record, of een incorrecte? In dat tweede geval kan het zijn dat de verzender zelf expliciet adviseert dat het als spam moet worden beschouwd als het van een niet vertrouwde server komt. Zeker dan ligt de bal bij de verzender.
Dat weet ik niet. Laten we zeggen: helemaal geen. Want ik vind “ik maakte een configuratiefout met een gare SPF record” een juridisch zwakker verweer dan “Microsoft behoort mijn mail gewoon door te laten ondanks afwezige SPF records”.
De zaak is niet duidelijk of de mail in een zwart gat verdween of gebounced werd. In mijn ervaring wordt een dergelijke mail door Microsoft gebounced, maar daar wordt geen logmelding voor aangemaakt. Mijn kritiek op Microsoft is dan ook dat dit soort dingen voor de ontvanger überhaupt niet te zien zijn, ook niet na onderzoek.
Maar de verantwoordelijkheid ligt hier mijn inziens toch echt bij de verzender. Er zou echt een bounce teruggegaan moeten zijn, maar ik weet dat een boel automatische verzendsystemen dat niet checken, maar dan moet de verzender dat risico maar dragen.
Het zou een ander verhaal zijn met een zwart gat, maar in deze zie ik niet hoe dat gebeurd zou kunnen zijn.
Hmm, er ontbreekt nog wat: de DMARC policy. Als je als afzender p=reject heb ingesteld maar je hebt je zaak niet op orde en stuurt nog steeds mails vanaf een niet vermelde mailserver is dat wat anders dan als je p=none of quarantine hebt ingesteld
Voor incassobureaus staat dit nu nog nergens inderdaad, maar bv voor overheidsorganisaties staan deze op de verplichte lijst van Forum Standaardisatie. Voor een vergelijkbaar geschil met een overheid zou je dus wel kunnen terugvallen op een concrete verplichting.
Er is een goed verschil tussen DKIM/SPF/DMARC enerzijds en spam filters anderzijds. SPF etc. werken volledig voorspelbaar. Ofwel de email is goed (vanuit een goede server) of wel de email is het niet. Dit is vrij eenvoudig te testen (stuur een email aan de test email boxen bij de grote aanbieders en zie of het werkt), en voorspelbaar – dit is iets dat door de verzender beïnvloed kan worden. Spam filters anderzijds werken met waarschijnlijkheid en maken dus per definitie fouten – en vallen onder the controle van de ontvanger.
Over bouncing, het terugsturen van fout-emails is problematisch omdat dit ook misbruikt kan worden. Wat wel kan is dat een foutmelding gegeven wordt bij het afleveren van de email bij de ontvangende mail server door de versturende mail server. Als de versturende server vertrouwd is kan die weer en fout-email aan de verstuurder sturen.
Wat heeft het statistisch karakter van een filter te maken met het risico? Of Microsoft nu mails weggooit omdat de SPF header ontbreekt of omdat hun Bayesiaans netwerk “spam” zegt, ik heb daar nul invloed op.