Wat doet de MX-route tracer precies?

De tracer haalt alle MX-records van een domein op, resolvet die naar mailserver-IP's, doet een reverse-DNS (PTR) check, kijkt waar de servers staan via GeoIP, en checkt elk IP tegen 6 bekende DNSBL-blacklists (Spamhaus, Barracuda, SpamCop, SORBS, NIX Spam, PSBL). Bonus: SPF, DMARC, MTA-STS en TLS-RPT van het domein.

Wat is een blacklist (DNSBL) en waarom is dat belangrijk?

Een DNSBL is een database van IP-adressen die spam of misbruik hebben uitgestoten. Mailservers van Gmail, Outlook, Hostnet en Microsoft 365 raadplegen deze lijsten voordat ze mail accepteren. Staat jouw mailserver op een blacklist? Dan belandt je mail in spam of wordt geweigerd. Spamhaus is de meest gebruikte; staan op Spamhaus betekent meestal directe deliverability-problemen.

Mijn IP staat op een blacklist — wat nu?

Eerste stap: contacteer je hoster. Bij shared hosting zit je in een gedeelde IP-pool en is het hoster's verantwoordelijkheid om die schoon te houden. Bij eigen server: zoek de oorzaak (gehackte mail-account, kwetsbaar formulier, lekke plugin). De-list bij Spamhaus en grote lijsten kan via hun website, maar herhaling voorkomen kan alleen door de oorzaak te dichten.

Wat is MTA-STS en heb ik dat nodig?

MTA-STS dwingt af dat andere mailservers altijd via TLS verbinding maken — voorkomt downgrade-attacks waarbij een aanvaller TLS uitschakelt en mail meeleest. Steeds vaker een eis voor zakelijke mail. TLS-RPT laat ontvangers rapporteren als TLS-verbindingen mislukken. Beide zijn DNS-only setups van een paar minuten werk.

Werkt de tracer ook voor IPv6-mailservers?

DNS-resolutie en GeoIP werken voor IPv6 — de IP wordt gewoon getoond. DNSBL-checks zijn nu nog IPv4-only omdat de meeste blacklists nog niet allemaal IPv6 ondersteunen. Voor de meeste sites is dit geen probleem omdat mail bijna altijd ook over IPv4 gaat.

← Alle tools MX-ROUTE TRACER

Zie hoe mail van A naar B wordt afgeleverd

Voer een mailadres of domein in — krijg de complete keten: MX-records met prioriteit, mailserver-IP's, reverse-DNS, GeoIP en blacklist-status per hop. Plus SPF, DMARC, MTA-STS en TLS-RPT op domein-niveau. Live voortgang, geen registratie, geen IP-opslag.

Wat zegt deze trace eigenlijk?

De tool laat in één oogopslag zien hoe mail naar een domein wordt afgeleverd. Dat lijkt simpel maar zit vol details die je deliverability bepalen: welke server pakt 'm op (MX-priority), waar staat die fysiek, draait er een rDNS-record, en — cruciaal — staat het IP op een spamlist?

Wanneer gebruik je deze tool

Deliverability-probleem — klanten klagen dat je mails in spam belanden. Eerste check: staat je mailserver op een blacklist?
Hosting-migratie voorbereiden — check eerst de huidige mail-routing voor je iets verandert. Vergelijking voor/na geeft je zekerheid.
Mail-config van een nieuwe klant beoordelen — in 5 seconden weet je of SPF, DMARC en MTA-STS goed staan en waar de mail vandaan komt.
Forwarder-detectie — meerdere MX-records met dezelfde priority kan op een mailfilter-tussenlaag duiden (Microsoft 365 + ProofPoint, Mailprotector, etc.).
Geo-compliance — voor sommige klanten (zorg, overheid) mag mail niet via servers buiten de EU. De tracer laat de locatie van elke server zien.

Hoe lees je de resultaten

MX-priority — lager getal = belangrijker. 10 wordt eerst geprobeerd, 20 alleen als 10 niet bereikbaar is. Twee MX'en met dezelfde priority = round-robin.
Reverse-DNS (rDNS) — ontbreekt vaak bij eigen-server installaties. Sommige mailfilters (Hostnet, Yahoo) weigeren mail van IP's zonder PTR-record.
DNSBL-pills — groen = clean, rood = vermeld. Eén vermelding op Spamhaus is ernstiger dan eentje op een minder bekende lijst.
SPF — -all (strict) is veiliger dan ~all (softfail) of ?all (neutral). +all is vrijwel altijd fout-config.
DMARC-policy — none = monitoring-only, quarantine = spam, reject = weigeren. Begin met none, draai langzaam op naar reject over weken/maanden.
MTA-STS — aanwezig betekent dat ontvangers expliciet TLS afdwingen. Steeds vaker een eis voor zakelijke mail.

Wat ik vaak tegenkom

Hostings-IP's op SpamCop — kleinere NL-hosters delen IP-pools die soms vervuild raken door één gehackte klant. Je bent dan onschuldig slachtoffer; hoster moet de-listen.
Microsoft 365 zonder MTA-STS — Microsoft 365 heeft alle infrastructuur klaar maar het DNS-record moet je zelf nog zetten. Twee TXT-records, klaar in 5 minuten.
SPF zonder -all — veel SPF-records eindigen op ~all. Voor meeste domeinen is -all beter, mits alle verzendende systemen zijn opgenomen.
Geen DMARC — nog steeds 60% van NL-domeinen. Vanaf februari 2024 dwingt Gmail/Yahoo het af voor bulk-zenders, maar ook normale zakelijke mail wordt strenger gefilterd zonder DMARC.
rDNS wijst naar hoster, niet naar domein — mail.example.com heeft een PTR die wijst naar hosting-pool-12.transip.nl. Werkt voor de meeste filters, maar strenge ontvangers willen forward-confirmed reverse-DNS (FCrDNS).

Veelgestelde vragen

Waarom checkt de tool geen poort 25 / SMTP-banner?

Veel hosters blokkeren outbound poort 25 vanaf shared servers (anti-spam-maatregel). Een banner-grab zou inconsistente resultaten geven. DNS + DNSBL geeft 90% van de waardevolle info zonder dat probleem.

Hoe vaak worden DNSBL-resultaten ververst?

Elke trace doet live DNS-queries naar de blacklist-zones — geen caching aan onze kant. De DNSBL-zones zelf hebben TTL's van 5-30 minuten, dus een listing kan binnen een halfuur verschijnen of verdwijnen.

Welke 6 blacklists worden gecheckt?

Spamhaus ZEN (de combined-list, meest gewicht), Barracuda Reputation, SpamCop, SORBS, NIX Spam (Manitu) en PSBL (Passive Spam Block List). Samen dekken ze ~95% van wat grote ontvangers raadplegen.

Wat als mijn IP op meerdere lijsten staat?

Spamhaus is de zwaarstwegende — staan daar betekent meestal directe deliverability-problemen. Listings op SORBS of SpamCop zijn beter dan Spamhaus, maar bij accumulatie van meerdere listings is structurele aanpak nodig: oorzaak fixen (gehackte account, lekke contact-form), en daarna actieve de-list-aanvragen.

Verwerken jullie mijn invoer ergens?

Geen IP, geen domein, geen historie. Alleen tijdens de actieve trace wordt het domein gebruikt voor de DNS-queries. GeoIP-resultaten worden 1 uur in /tmp gecached om de externe API niet te overlopen.