SPF: E-Mail gelangen nicht zu Kunde

We are receiving complaints that customers do not receive email notification about their invoices.

This is going on for some time and I was only informed yesterday, but the problem is for sure with the email sending mechanism. We have SPF, DKIM and DMARC set up for our natific.com domain and although the test message I sent to myself passed the SPF and DKIM checks, it failed on DMARC. Although our DMARC record defines no policy for failure (p=none) I think many mail servers of our customers will take action on the DMARC=fail messages.

I see that there are ways to integrate this to our policies, like using a subdomain with separate DMARC policy for sending these emails or giving a DKIM key to you, I do not want to go down this path.

The best way would be if you allow customers to use their own SMTP server with own credentials and that would ensure that emails coming with @natific.com address will pass all checks. Alternatively we can set a natific@bexio.com type address which will most likely pass all policy checks you have set up for your domain, but if the customer tries to respond to that then it will not be delivered (likely end up in /dev/null). So in this solution it would be great to have a reply-to address set for these emails.
____________________

thank you for your response.
As I mentioned messages coming from you passes SPF verification so adding another include in our SPF record will not help.
Please see Section 7 of the DMARC specification:
https://dmarc.org/draft-dmarc-base-00-01.html#enforcement_policy_element
"DMARC-compliant Mail Receivers MUST disregard any mail directive discovered as part of an authentication mechanism (e.g., ADSP, SPF) where a DMARC policy is also discovered."
This means if the message fails on the DMARC validation and our client has a "DMARC compliant receiver", then the message will be handled as spam, so quarantined or rejected.
I understand that allowing customers using their own SMTP might be too big of an undertaking for you, but I think allowing them to set a reply-to email for the email address they set up would help a lot. That way we could set "natific@bexio.com" as the sending email and "finance@natific.com" as the reply-to email, so it would pass all SPF,DKIM,DMARC validations, but our clients would be able to respond to the invoice notification emails.
Please let me know if you see this as an update your development team could consider.
Thank you.
  • Tanja Strässle
  • Mar 6 2018
  • Shipped
  • Sep 3, 2018

    Admin Response

    With one of our latest releases deployed in August 2018, emails will always be sent from a @bexio.com email address. Instead of using the email address of the bexio user as sender, this email address will be used as a "Reply To" address. This should reduce the spam score and therefore should result in fewer spam emails.

  • Marcus Fleuti commented
    September 04, 2018 07:49
    Instead of using the email address of the bexio user as sender, this email address will be used as a "Reply To" address

    That's technically correct. But when our customers receive e-mails from @bexio.com and our company name in the FROM they will assume that it's spam. Also it looks just unprofessional. You need to allow your customers to apply proper branding. It's okay when your logo appears on the website but e-mails must be properly sent. This is not a solution to the problem - it's merely a workaround.

    Why don't you just handle it like all the newsletter tools? Take CleverReach for example: They send the e-mails through crsend.com gateways. We add those servers to our SPF list - done. DKIM would also be possible. I don't see where's the trouble... the only thing you need to do is to allow your customers to define the FROM themselves (set sender name and e-mail address) and publish the data of your mail exchangers online. For example for CleverReach we just include spf.crsend.com in our SPF list. 

    Admittedly DKIM is a bit more complicated. But you could easily state that you do not support DKIM for the time being. At least 99% of all people can use proper mailing then since almost nobody is using DMARC/DKIM at the time.

    Please reconsider this.

  • Claudia Ott commented
    December 05, 2018 16:08

    Nach meinem heutigen Telefonat mit dem bexio Support zum gleichen Thema wurde ich auf diese Seite verwiesen. Ich möchte meine Meinung ebenfalls in die Waagschale werfen und mich zugleich dem Votum von Herrn Fleuti anschliessen.

    Die Lösung vom August-Release ist maximal ein Workaround und zudem unnötig für Kunden, die SPF / DKIM / DMARC im Griff haben. Kunden, denen bexio kein Begriff ist, sind geneigt, eine solche Mail mit dubiosem Absender und URL-Link schlicht nicht zu öffnen. Damit führt die Massnahme evtl. zu Zahlungsverzögerungen oder schlimmstenfalls zu Debitorenverlusten. Unschön finde ich auch, dass die gängige Praxis ohne Vorwarnung geändert hat. Die vormals gültigen Absenderadressen wurden kurzerhand übersteuert und bleiben nun de facto ohne Funktion. Eine solche Anpassung sollte meiner Meinung nach im besten Fall nie, und wenn unumgänglich nur mit entsprechender Vorankündigung vorgenommen werden.

    Der Lösungsansatz des Supports ist, die E-Mails stattdessen via E-Mail-Software zu versenden. Hier gebe ich zu bedenken, dass die Personen, die Rechnungsläufe in bexio machen, nicht zwangsläufig Zugriff auf die gewünschte Absendermailbox haben müssen. Im Falle unseres Kunden werden Rechnungen im Auftragsverhältnis für einen Dritten versendet und diese Lösung lässt sich nicht realisieren.

    Mein Vorschlag für eine Lösung wäre, dass Sie den Kunden wieder die Wahl lassen. noreply@bexio.com könnte als Default-Absender erfasst werden, wobei das "Name" Feld konfigurierbar bleibt, um das aktuell gültige Format als Standard zu fixieren ([Name] via bexio <noreply@bexio.com>). Alle zusätzlich durch Kunden erfassten E-Mail-Absender werden hingegen wieder so behandelt, wie vor dem August-Update, evtl. mit entsprechendem Warnhinweis im Erfassungs-Dialog und einem Link auf die Support-Seite, wo über die technischen Voraussetzungen informiert wird, die gegeben sein sollten, bevor man die eigene Domäne verwendet. Siehe etwa die MailChimp Seite "Set up custom domain authentication", wie man hierzu transparent informieren kann.

    Besten Dank für Ihre Prüfung dieses Vorschlags.

  • Claudia Ott commented
    December 05, 2018 16:14

    Ein kurzer Nachtrag noch zu meinem vorherigen Kommentar: Wie in einer anderen idea beschrieben, lassen sich Mahnläufe aktuell nicht via E-Mail Software versenden. Der Lösungsvorschlag des Supports ist damit noch weniger hilfreich, weil er sich auf Mahnungen nicht anwenden lässt.

  • Cyrill Osterwalder commented
    25 Mar 20:22

    Kann mich nur anschliessen, dass ich das Problem mit dem Bexio Absender als nicht gelöst betrachte. Der thematische Mix von "Bexio" vs. Firmennamen in Emails ist nicht hilfreich, unprofessionell und führt dazu, dass Kunden diese Emails als Spam deklarieren. Die Kunden müssen von Bexio nichts wissen und kennen es nicht, dh sieht nach Spam aus. Lösungen für solchen Email-Versand sind schon lange erfunden und funktionieren (gemäss meinem Vorredner via SPF include oder individuellem SMTP-Auth Versand) an vielen Orten problemlos.