Veiligheid mailserver upgraden

[Erwin1]

Hallo allen,

Ik heb op m'n Synology NAS een mailserver draaien, welke ik gebruik voor het versturen en ontvangen van mijn privé e-mail. Alles werkt prima, echter vorige week ben ik door deze post (https://www.synology-forum.nl/the-lounge/internet-testsite/) een kijkje gaan nemen op de website www.internet.nl; en heb daar mijn e-maildomein even door de tester gehaald. De resultaten waren niet echt heel goed te noemen, een score van 36%.

De volgende punten kwamen naar voren:

• Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6)
• Niet alle domeinnamen ondertekend (DNSSEC)
• Geen of onvoldoende beveiligde verbinding mogelijk (STARTTLS)
• Echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF) -deze heb ik inmiddels gerepareerd dmv het instellen van een DSKIM-
  

Nu is mijn vraag kan ik de andere punten ook aanpakken/verbeteren, en zo ja op welke manier?

[Briolet]

Ik haal 55%

• Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6)
• Niet alle domeinnamen ondertekend (DNSSEC)
• Beveiligde verbinding mogelijk (STARTTLS)
• Echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF)
  

1) IPv6 is niet direct een security issue. Daar kun je oo weinig anders aan doen dan een andere internet provider nemen.

2) DNSSEC kun je zelf ook niet instellen. Je kunt dit alleen veranderen door je hostnaam bij een andere domeinhoster onder te brengen. In mijn geval zit ik bij hostnet die wel DNSSEC gebruikt. Volgens de test is mijn domeinnaam dus wel DNSSEC beveiligd. Echter, ik gebruik mijn Synology ddns naam in het MX record om zeker te zijn dat mijn mail bij veranderend IP aankomt. De Synology.me  domeinnaam is nog niet beschermd.
Mijn Ip is nog maar 1x onverwacht gewisseld in de laatste 5 jaar. Zo gezien is het risico klein als ik een fixed IP zou gebruiken.

3) STARTTLS is bij mij wel okay. Ik zou echter zo niet weten wat ik daar ingesteld zou kunnen hebben, dat het anders maakt dan jij hebt. Ik heb wel 2 beveiligde smtp poorten 465 en 587 open staan. (Edit: ook als ik die twee poorten dicht zet, wordt bij mij STARTTLS gebruikt.)

4) Dat is het meeste instelwerk, wat je compleet in eigen hand hebt.

[Briolet]

Voor de volledigheid mijn mail-log tijdens de verbinding met de testsite.

Code: [Selecteer]

2017-08-03 20:37:07+02:00 postfix/smtpd[7231]: connect from internetnl.nlnetlabs.nl[185.49.141.28]
2017-08-03 20:37:07+02:00 postfix/smtpd[7231]: lost connection after CONNECT from internetnl.nlnetlabs.nl[185.49.141.28]
2017-08-03 20:37:07+02:00 postfix/smtpd[7231]: disconnect from internetnl.nlnetlabs.nl[185.49.141.28] commands=0/0

2017-08-03 20:37:12+02:00 postfix/smtpd[7231]: connect from internetnl.nlnetlabs.nl[185.49.141.28]
2017-08-03 20:37:12+02:00 postfix/smtpd[7231]: Anonymous TLS connection established from internetnl.nlnetlabs.nl[185.49.141.28]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2017-08-03 20:37:12+02:00 postfix/smtpd[7231]: lost connection after STARTTLS from internetnl.nlnetlabs.nl[185.49.141.28]
2017-08-03 20:37:12+02:00 postfix/smtpd[7231]: disconnect from internetnl.nlnetlabs.nl[185.49.141.28] ehlo=1 starttls=1 commands=2

2017-08-03 20:37:12+02:00 postfix/smtpd[7231]: connect from internetnl.nlnetlabs.nl[185.49.141.28]
2017-08-03T20:37:12+02:00 postfix/smtpd[7231]: Anonymous TLS connection established from internetnl.nlnetlabs.nl[185.49.141.28]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2017-08-03T20:37:12+02:00 postfix/smtpd[7231]: lost connection after STARTTLS from internetnl.nlnetlabs.nl[185.49.141.28]
2017-08-03T20:37:12+02:00 postfix/smtpd[7231]: disconnect from internetnl.nlnetlabs.nl[185.49.141.28] ehlo=1 starttls=1 commands=2