Webmail lijkt fantastisch

Gmail of andere gratis webmail toepassingen zijn fantastisch. 10GB of zelfs meer aan opslagruimte; 100% beschikbaarheid van mail, waar je ook ter wereld bent. Je weet ook dat je er iets voor moet laten, namelijk je biedt in het geval van Gmail aan Google de mogelijkheid om jouw emails – jouw data – te gebruiken, deze door te verkopen aan data vendors of advertenties aan je te richten gebaseerd op je laatste berichten.

Je eigen mail server is zo gek nog niet

Waarom zou je niet zelf je eigen mail server beheren in plaats van de ‘gratis’ service van de big tech aanbieders zoals Google of Apple? Met je eigen mail server weet je waar je data staan, namelijk thuis of in je eigen kantoor. Je weet wie er mee speelt, namelijk jijzelf en jij bepaalt wat er met je mails en data gebeurt. Niemand anders. Bovendien is het leuk om te weten dat jouw mail alleen langs jouw ogen gaat en – mits goed geconfigureerd – niet langs die van andere bedrijven zoals Google.

Het nadeel van een eigen mailserver is daarentegen dat Google een extreem grote mate van bedrijfszekerheid biedt. Valt een server uit in een datacentrum, dan neemt een ander datacentrum het over. Ook is Google ongeëvenaard snel en is hun spam filter zeer goed. Over dat laatste gesproken; dit kun je zelf met het MailPlus Server pakket van Synology op de NAS instellen zodanig dat spam tot het verleden behoort.

Privacy en cyber security

Zoals gezegd is privacy een belangrijke reden om voor je eigen mailserver te gaan. Immers, Google is verplicht om aan dataverzoeken van de autoriteiten mee te werken en stuurt, zonder dat jij het moet weten, de informatie naar de inlichtingendienst. Gebruik je je eigen mail server dan zullen ze thuis bij je langs moeten komen. Niet dat je dit moet doen om illegale zaken uit te voeren – daarvoor is dit bericht niet bedoeld – maar wel om zelf zeggenschap te houden over wie wat met jouw data – jij dus – doet.

Er is nog een reden om te kiezen voor een mail server en dus niet voor web gebaseerde mail service zoals gmail. Hackers breken in op email accounts door te ‘phishen’ waarbij zij links naar nep login websites toesturen met het doel om het wachtwoord te ontfutselen. Anders dan gmail, gebruiken traditionele mail servers het web niet en maken deze gebruik van andere protocollen en poorten voor gegevensoverdracht. Dit geldt niet alleen voor de mailserver die draait op het domein dat door je webhostingprovider geserviced wordt, maar ook voor de mailserver van de NAS.

Bovendien als je eenmaal een NAS apparaat thuis hebt, dan staat de hardware er ‘voor niks’ en levert het opereren van een mailserver nauwelijks extra kosten op. De mailserver applicatie van Synology is geïntegreerd met Calendar (voor agendabeheer), Note Station of Office (de eenvoudige MS Office versie van Synology zelf). Dat maakt het handig om mail en agendabeheer in één hand te houden. Het MailPlus Server pakket van Synology biedt vijf licenties zodat je vijf email adressen kunt beheren. Het pakket is overigens niet geheel gratis. Er komen namelijk kosten bij voor de aanschaf van de domeinnaam, meestal iets van € 1,00 in het eerste jaar en daarna circa € 10 in het volgende jaar.

Installeren van de mailserver
  1. Log in op de NAS
  2. Installeer het pakket MailPlus Server vanuit het Package Center; niet het verouderde legacy pakket Mail Server
  3. Bij het tabblad Email-Bezorging stel je SMTP-verificatie in. De domeinnaam is gelijk aan de naam die aan je IP adres is verbonden. De hostnaam (FQDN) is gelijk aan je domeinnaam voorafgegaan door mail (mail.domeinnaam.nl). Voor de maximumgrootte kun je 10MB aanhouden; meer kan ook maar andere providers pakken hogere bestandsgroottes vaak niet.
  4. Voor verzending van de mails door MailPlus Server zelf, moet je wel een DNS server instellen. Hiervan maken we in deze instructie voor nu geen gebruik. We gaan hier uit van verzending via de internet service provider (ISP), met behulp van de zogenaamde relay service. Voer het smtp adres in van je ISP, alsook je gebruikersnaam en wachtwoord.
  5. Geef bij het tabblad Levering aan dat je SMTP inschakelt en alleen op beveiligde wijze (SMTP-LTS). Verder kun je IMAP-TLS aanvinken en IMAP uitgevinkt laten.
  6. Geef bij het tabblad domein aan welke gebruikers een email adres krijgen. Let erop dit zijn er maximaal vijf.
  7. Vergeet niet de DNS instellingen bij de webhoster van je domeinnaam aan te passen. Maak een MX record aan met label (of naam of prefix) @ (dat betekent alles wat voor je domeinnaam komt en te maken heeft met mail). De waarde is 10 gevolgd door een spatie en je domeinnaam. Maak een CNAME record aan met als label mail en waarde je_domeinnaam.
  8. Het tabblad Beveiliging bevat de meeste configuratie instellingen.
    • Spam filter beveiliging aanvinken.
    • Antispam instellingen bewerken en spam-assassin regels toevoegen. Op internet zijn er diverse regels te downloaden. Bijvoorbeeld bogus-virus-warnings, mime-validate, 70-zmi-german. Je kunt ook zelf regels toevoegen.
    • Antivirus engine instellen. Clam-AV is een gratis antivirus provider die prima werkt. Je kunt gerust alles aanvinken tot en met Google safebrowsing database.
    • SPF record instellen: zet SPF aan in menu beveiliging/verificatie. Voeg record toe aan DNS (yourhosting): TXT met waarde “v=spf1 a mx ip4:je_ipadres ~all“. Onder veld ‘naam’ @ invoegen. Met SPF weet de ontvanger dat de mail ook echt van het adres afkomstig is waarvan die zegt dat het deze is. Immers, het IP adres correspondeert met de afzender.
    • DKIM aanzetten en dan onder tabblad domein, je domeinnaam bewerken en geavanceerd aanklikken. DKIM selectorvoorvoegsel aanmaken (bv “ds218-bpe” –> je kunt de syntaxis zelf bedenken). Hiermee genereer je een openbare sleutel. En deze plak je in een TXT veld op de DNS server bij je webhosting service provider. Dit doe je door de waarde in te voegen: v=DKIM1;k=rsa;p=de_openbare_sleutel en meteen hierna de openbare sleutel geplakt…. Label (of prefix/naam) “ds218-bpe._domainkey”
    • DMARC: eveneens stel je dit in onder menu beveiliging/verificatie. In de DNS server een TXT veld opvoeren met “_dmarc” als label (‘naam’ of ‘prefix’) opvoeren. De waarde is “v=DMARC1; p=none; pct=100” als waarde in het begin opvoeren. Vervolgens kan p=none gewijzigd worden in p=quarantine met bijvoorbeeld pct=5 een laag percentage i.c. 5%.
    • MTA-STS. Dit is niet een instelling die via de NAS opgevoerd moet worden, maar via de web interface van de NAS. Zie ook verdere nuttige informatie over MTA-STS op frankysweb (https://www.frankysweb.de/mta-sts-strict-transport-security/).
      • Stel een mta-sts policy op. Dit is een txt bestand en kun je aanmaken via kladblok. Kies eerst voor mode: testing en als dit goed functioneert, dan mode: enforce. Een voorbeeld van een policy ziet er zo uit:
version: STSv1
mode: testing
mx: mail.domeinnaam.nl
max_age: 86400
      • Stel de webserver in met behulp van een virtuele host (via webstation in NAS) zodanig dat deze wijst naar de map web/mta-sts. Een verdere instructie hierover, zie het bericht over webstations en wordpress. Je kunt de map mta-sts aanmaken met de bestandsverkenner File Station. In de map mta-sts maak je vervolgens de map “.well-known” aan met daarin het bestand mta-sts.txt. Het van buiten oproepbare pad moet luiden: https://mta-sts.adagia.eu/.well-known/mta-sts.txt (check dit door in te tikken in de browser). Het pad mag niet anders heten anders weten andere mailservers niet hoe ze de configuratie van jouw mail server kunnen lezen. Via deze https verbinding kan met het domein van de (mail) server zelf contact worden gelegd zonder dat andere DNS servers hoeven te worden geraadpleegd. De verbinding tussen de mail ontvangers vindt nu dus echt tussen de domeinen zelf plaats.
      • Maak een CNAME record aan met daarin het label “mta-sts” die verwijst naar je domein naam.
      • Maak ook twee TXT records aan in de DNS server van je webhoster:
        • Naam “_mta-sts”; waarde “v=STSv1; id=202001031637”. Het ID nummer mag je zelf bepalen maar moet je wel steeds aanpassen wanneer je de configuratie policy aanpast.
        • Naam “_smtp._tls”; waarde “v=TLSRPTv1; rua=mailto:mailadres@domeinnnaam.nl”.
      • Vervolgens test je via diverse test-sites of de instellingen correct zijn. Het testen van SPF, DKIM en DMARC kun je via mxtoolbox doen. Het testen van de MTA-STS instellingen kan via socketlabs. Andere test sites zijn bijvoorbeeld luxsci en hardenize.
    • De instellingen voor inhoudscan en gegevensbeveiliging kun je nog verder instellen maar zijn m.i. niet noodzakelijk.

Een uitgebreide beschrijving van de installatie van MailPlus Server is te vinden op de site van pfbarrett.

Overgang van Gmail naar je eigen mailserver

Je kunt het beste geleidelijk de overstap naar je eigen mailserver maken. Terwijl je een forward instelt van je webbased email account (bv gmail) naar je eigen mail account, kun je voor een periode van bijvoorbeeld 6 maanden kijken hoe MailPlus Server functioneert. Daarnaast geef deze overgangsperiode de mogelijkheid om je contacten te verwittigen dat je je email adres gaat wijzigen. Je kunt bijvoorbeeld een standaardboodschap achterlaten in gmail. Vervolgens kun je na verloop van tijd je gmail account verwijderen.

 


0 reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.