{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blog-mailserver-tls-configuratie-cipher-selectie-optimalisatie-server","status":"publish","type":"post","link":"https:\/\/webhosting.de\/nl\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"TLS-configuratie en selectie van versleuteling voor mailserver: Ultieme gids"},"content":{"rendered":"<p>Ik zal je laten zien hoe je <strong>Mailserver TLS<\/strong> in Postfix en sterke cipher suites selecteren zodat SMTP-verbindingen consistent beschermd zijn. Op basis van beproefde parameters voor TLS 1.2\/1.3, DANE, MTA-STS en moderne sleutelparen zal ik je stap voor stap begeleiden bij het configureren, testen en afstellen, zodat je <strong>postbeveiliging<\/strong> grepen goed vast.<\/p>\n\n<h2>Centrale punten<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Veilig configureren: TLS activeren, protocollen beperken, logboekregistratie instellen.<\/li>\n  <li><strong>Cijfer<\/strong> prioriteit geven: ECDHE + GCM\/CHACHA20, PFS afdwingen, verouderde gegevens blokkeren.<\/li>\n  <li><strong>Certificaten<\/strong> schoon te houden: RSA+ECDSA, volledige keten, sterke krommingen.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> gebruiken: Verankeringsrichtlijnen en het verminderen van downgraderisico's.<\/li>\n  <li><strong>Tests<\/strong> en bewaking: Controleer OpenSSL, TLS scanner, MTA logs regelmatig.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP via TLS: wat is er echt beveiligd?<\/h2>\n\n<p>Ik beveilig SMTP met <strong>STARTTLS<\/strong>, zodat e-mailtransport niet in platte tekst plaatsvindt. Opportunistische TLS via <strong>smtpd_tls_security_level = may<\/strong> zorgt ervoor dat inkomende verbindingen versleuteling gebruiken zodra het externe station dit aanbiedt. Voor uitgaande leveringen gebruik ik <strong>smtp_tls_security_level = dane<\/strong> DNSSEC-ondersteunde beleidscontroles om downgrade-aanvallen moeilijker te maken. Zonder TLS kunnen e-mails onderweg worden gelezen en gemanipuleerd, wat vooral gevaarlijk is voor formulieren, bestellingen of accountgegevens. Als TLS altijd actief is, verlaag ik het risico op afluisteren en MITM aanzienlijk en behaal ik betere afleveringspercentages omdat grote providers beveiligde verbindingen gunstig beoordelen.<\/p>\n\n<h2>Sleutels, certificaten en protocollen in Postfix<\/h2>\n\n<p>Ik heb twee certificaten klaarliggen: een <strong>RSA<\/strong>-certificaat en een ECDSA-certificaat zodat oude en nieuwe MTA's optimaal verbonden zijn. Ik stel de paden in Postfix duidelijk in, bijvoorbeeld <strong>smtpd_tls_cert_bestand<\/strong> voor RSA en <strong>smtpd_tls_eccert_bestand<\/strong> voor ECDSA, elk met een bijpassende sleutel. Voor schone authenticatie let ik op de volledige keten, een CN\/SAN die precies overeenkomt met de host en een curve zoals <strong>secp384r1<\/strong> voor de ECDSA-sleutel. Ik schakel oudere protocollen, d.w.z. SSLv2 en SSLv3, strikt uit om gedwongen downgrades te voorkomen. Als u het type certificaat aan het afwegen bent, kijk dan even naar <a href=\"https:\/\/webhosting.de\/nl\/tls-certificaten-dv-ov-ev-hosting-beveiliging-vergelijken\/\">DV, OV of EV<\/a>, zodat je het juiste niveau van vertrouwen kiest.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Cijferselectie: Prioriteiten voor TLS 1.2\/1.3<\/h2>\n\n<p>Ik geef voorrang aan cipher suites met <strong>PFS<\/strong>, d.w.z. ECDHE voor DHE, en gebruik GCM of CHACHA20-POLY1305. Onder TLS 1.3 verlost de stack je van veel legacy problemen, terwijl TLS 1.2 nog steeds een duidelijke lijst vereist. Onveilige of zwakke suites zoals <strong>RC4<\/strong>, Ik verwijder 3DES, CAMELLIA, aNULL, eNULL. Voor Postfix gebruik ik <strong>smtpd_tls_cijfers = hoog<\/strong> en een beperkende <em>tls_hoge_cijferlijst<\/em>, zodat er geen verouderde algoritmen doorheen glippen. Als je dieper kijkt, zie je de <a href=\"https:\/\/webhosting.de\/nl\/tls-cipher-suites-hosting-beveiliging-serverboost\/\">Handleiding voor codeersuites<\/a> een gemakkelijk te begrijpen categorisatie zonder ballast.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>TLS-versie<\/th>\n      <th>Favoriete codeersuites<\/th>\n      <th>Status<\/th>\n      <th>Tip<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>actief<\/td>\n      <td>Selectie stevig in het protocol, geen oude problemen meer.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>actief<\/td>\n      <td>Geef prioriteit aan PFS, geef de voorkeur aan GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>Verouderd<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>vergrendeld<\/td>\n      <td>Volledig uitschakelen om veiligheidsredenen.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: concrete parameters voor main.cf<\/h2>\n\n<p>Ik stel een duidelijke configuratie in zodat de MTA zowel inkomend als uitgaand veilig spreekt. Voor efemere ECDH gebruik ik <strong>smtpd_tls_eecdh_grade<\/strong> Ik stel de curvekwaliteit in en schakel compressie uit om CRIME-achtige aanvallen te voorkomen. Een sterk DH-bestand met 4096 bits voorkomt zwakke DHE-onderhandelingen. Ik leg harde beperkingen op aan protocollen en dwing een hoge cipher kwaliteit af, met een voorkeur voor TLS 1.3. In het begin helpt een gematigd logniveau me om handshakes te controleren zonder het journaal te overspoelen.<\/p>\n\n<pre><code># activering en beleid\nsmtpd_tls_beveiligingsniveau = mei\nsmtp_tls_beveiligingsniveau = dane\n\n# Certificaten (voorbeeldpaden)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.de.cer\nsmtpd_tls_key_bestand = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_bestand = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eccert_bestand = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\n# protocollen en cijfers\nsmtpd_tls_protocollen = SSLv2, SSLv3\nsmtpd_tls_verplichte_protocollen = SSLv2, SSLv3\nsmtpd_tls_cijfers = hoog\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_opties = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\n# DH parameters\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (indien beschikbaar)\nsmtp_dns_support_level = dnssec\n\n# Loggen\nsmtpd_tls_logniveau = 1\n<\/code><\/pre>\n\n<p>Ik houd de certificaatketen compleet, let op de juiste rechten voor <strong>priv\u00e9<\/strong> sleutelbestanden en controleer de logs na het herladen. Als TLS 1.2 nodig is voor legacy-partners, houd ik me strikt aan GCM\/CHACHA en blokkeer ik al het andere. Voor TLS 1.3 vertrouw ik op de standaarden van de stack en vermijd ik speciale paden die het onderhoud bemoeilijken. OCSP stapling speelt alleen een rol bij SMTP als een upstream proxy dit aanbiedt, dus ik controleer dit alleen bij overeenkomstige setups. Na elke wijziging valideer ik met OpenSSL om neveneffecten in een vroeg stadium te herkennen en om er zeker van te zijn dat de <strong>e-mailversleuteling<\/strong> consistent.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Transportauthenticiteit met DANE, MTA-STS, SPF, DKIM en DMARC<\/h2>\n\n<p>Ik combineer TLS met <strong>DANE<\/strong>, door ondertekende TLSA-records te publiceren onder DNSSEC. Daarnaast stel ik MTA-STS in zodat peers op afstand weten dat mijn host TLS vereist en welke MX ze moeten aanhouden. Voor identiteitsbinding onderteken ik uitgaande mails met <strong>DKIM<\/strong> en veilige domeinaflevering via SPF-regels. Tot slot definieert DMARC hoe ontvangers moeten omgaan met afwijkingen, waardoor spoofing veel moeilijker wordt. Deze componenten werken samen: TLS beschermt het transport, terwijl authenticatie de afzender versterkt en de afleversnelheid merkbaar verhoogt.<\/p>\n\n<p>Als prestaties een knelpunt zijn, optimaliseer ik sessiehervatting, hardwarefuncties en de handshake zelf. Je kunt aan de slag met praktische trucs met <a href=\"https:\/\/webhosting.de\/nl\/tls-handshake-prestaties-optimaliseren-quicboost\/\">TLS handdruk sneller<\/a>, om de wachttijd bij het opzetten van een verbinding te verminderen. Belangrijk: Ik houd cipher selectie en resumption in balans, omdat zwakke compromissen niet lonen in termen van veiligheid. Snelle TLS-onderhandeling levert aanzienlijke besparingen op, vooral bij grote mailvolumes. Deze manier <strong>Doorvoer<\/strong> en veiligheid in evenwicht.<\/p>\n\n<h2>Testen, bewaking en audits<\/h2>\n\n<p>Ik controleer handshakes lokaal met <strong>openssl<\/strong> en controleer de protocolversie, de versleuteling en de certificaatketen. De opdracht <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> laat me live zien wat de server op afstand aan het onderhandelen is. Na configuratiewijzigingen gebruik ik <em>postfix controleren<\/em> en kijk specifiek naar <strong>smtpd_tls_logniveau<\/strong>, om foutpatronen te isoleren. Externe TLS-scanners helpen bij het categoriseren van publieke zichtbaarheid, vooral na certificaatwijzigingen. Een regelmatige auditcyclus beschermt tegen sluipende verslechtering, bijvoorbeeld als een bibliotheekwijziging de codeerprioriteiten be\u00efnvloedt.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Vaak verkeerde configuraties en snelle oplossingen<\/h2>\n\n<p>Ik zie vaak verouderde cijfers zoals <strong>AES128-SHA<\/strong>, die nog steeds actief zijn en PFS voorkomen. Een strikte cipher string en de duidelijke blokkering van LOW\/MD5\/RC4\/3DES helpt hier. Tweede patroon: ontbrekende tussenliggende certificaten, waardoor externe stations de keten niet kunnen verifi\u00ebren; ik voeg het bundelbestand toe en test opnieuw. Op apparaten zoals een Synology, stel ik het TLS profiel in op modern en verwijder ik legacy opties zodat de SMTP server modern spreekt. Voor Microsoft Exchange controleer ik specifiek TLS 1.2\/1.3 policies, certificaattoewijzing per connector en eventuele cipher overrides in de hostconfiguratie zodat de <strong>Handdruk<\/strong>-selectie is goed.<\/p>\n\n<h2>Voorbeeld: TLS 1.3, 0-RTT en Post-Quantum<\/h2>\n\n<p>Ik geef de voorkeur aan TLS 1.3 omdat de handdruk korter is en oude opties zijn weggelaten, wat het aanvalsoppervlak verkleint. De selectie van de <strong>cijfer<\/strong> Ik gebruik 0-RTT niet in de SMTP context, omdat replay aanvallen hier onnodige risico's met zich meebrengen. Voor de toekomst houd ik hybride post-quantum procedures in de gaten, die hun weg naar de mailomgeving zouden kunnen vinden zodra standaardisatie en ondersteuning volwassen worden. Het blijft belangrijk dat ik beleid en monitoring zo inricht dat nieuwe procedures later zonder verstoring kunnen worden ge\u00efntegreerd.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Prestaties en leveringspercentage in een oogopslag<\/h2>\n\n<p>Ik meet de <strong>Latency<\/strong> van de TLS-handdruk en het optimaliseren van caches om hergebruik mogelijk te maken. Sessiehervatting (tickets\/ID's) vermindert de computerbelasting en versnelt terugkerende verbindingen tussen MTA's. Voor het intrekken van certificaten vertrouw ik op stapelbare informatie bij de upstream proxy, indien beschikbaar, om extra toegang te besparen. Grote ontvangers beoordelen veilige transporten positief, wat de afleveringsgraad verhoogt, terwijl onveilige paden het risico op spam en afwijzing verhogen. Met een duidelijk TLS-beleid, solide DNS-vermeldingen en een schone handtekeningketen cre\u00eber ik een betrouwbare basis voor <strong>Bezorgbaarheid<\/strong>.<\/p>\n\n<h2>Mijn instelschema<\/h2>\n\n<p>Ik begin met het verkrijgen van het certificaat van een betrouwbare CA, genereer ECDSA en RSA en sla beide netjes op de host op. Dan pas ik de <strong>main.cf<\/strong> met de TLS-parameters, stel sterke cijfers in en schakel oude protocollen uit. Een vers DH-bestand met 4096 bits wordt toegevoegd, gevolgd door een reload en de eerste OpenSSL-controles. Daarna stel ik DANE in, voeg MTA-STS toe en controleer SPF\/DKIM\/DMARC op geldigheid. Tot slot voer ik tests uit tegen externe doelen, controleer ik logs tijdens het gebruik en plan ik regelmatige audits zodat de <strong>Configuratie<\/strong> op lange termijn veilig blijft.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Ontbrekende modules: Indiening, SMTPS en SNI<\/h2>\n\n<p>Ik beveilig niet alleen poort 25, maar ook submission (587) en optioneel SMTPS (465). Voor verzending dwing ik encryptie en authenticatie af, zodat gebruikerswachtwoorden nooit in platte tekst worden verzonden. In <em>master.cf<\/em> Ik activeer de services en stel specifieke overrides in:<\/p>\n\n<pre><code># indiening (poort 587) met STARTTLS en auth verplichting\nindiening inet n - y - - smtpd\n  -o syslog_name=postfix\/indiening\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n\n# SMTPS (poort 465) als wrapper-modus, indien nodig\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n<\/code><\/pre>\n\n<p>Als ik meerdere maildomeinen op \u00e9\u00e9n host bedien met mijn eigen certificaten, gebruik ik <strong>SNI<\/strong>. Ik gebruik een SNI-map om het juiste certificaatpad voor elke doelhost toe te wijzen en ervoor te zorgen dat MUA-clients ook het juiste certificaat te zien krijgen. Zo zorg ik ervoor dat clients gescheiden worden met een consistente TLS-identiteit.<\/p>\n\n<h2>Beleid per domein: fijnkorrelige controle<\/h2>\n\n<p>Naast het wereldwijde beleid beheer ik ook <strong>smtp_tls_policy_maps<\/strong> Uitzonderingen en aanscherping per ontvangersdomein. Zo kan ik legacy-partners geleidelijk migreren of bijzonder strenge eisen opleggen voor gevoelige doelen.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (voorbeeldregels)\nexample.org dane-only\nlegacy.example.net mag\nsecure.example.com secure\n<\/code><\/pre>\n\n<p><em>alleen-dan<\/em> dwingt DANE-bescherming af zonder CA-afhankelijkheid, <em>beveilig<\/em> vereist een geldige CA-keten en weigert de levering van platte tekst, <em>mei<\/em> blijft opportunistisch. Na wijzigingen bouw ik de kaart op met <em>postmap<\/em> en Postfix opnieuw laden.<\/p>\n\n<h2>DANE en MTA-STS: concrete implementatie<\/h2>\n\n<p>Voor <strong>DANE<\/strong> Ik publiceer TLSA-records onder DNSSEC. Ik geef de voorkeur aan DANE-EE (3 1 1) omdat het pinnen op de openbare sleutel mogelijk maakt en certificaatwijzigingen met dezelfde sleutel vergemakkelijkt. Een voorbeeld van een TLSA-record onder <em>_25._tcp.mail.example.de<\/em> ziet er als volgt uit:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Ik genereer de hash van het ECDSA- of RSA-certificaat en zorg ervoor dat ik het roteer voordat het verloopt. Het is belangrijk dat de DNS-zone ondertekend is en dat de keten van delegaties zonder hiaten gevalideerd is.<\/p>\n\n<p>Voor <strong>MTA-STS<\/strong> Ik host het beleidsbestand via HTTPS en voeg de TXT DNS entry toe. Op deze manier geef ik aan dat peers op afstand TLS spreken en alleen worden geaccepteerd met een gedefinieerde MX. Een minimalistisch beleidsbestand:<\/p>\n\n<pre><code>versie: STSv1\nmodus: afdwingen\nmx: mail.example.de\nmaximale leeftijd: 604800\n<\/code><\/pre>\n\n<p>Er wordt een TXT-vermelding toegevoegd in het DNS onder <em>_mta-sts.voorbeeld.de<\/em> met de huidige versie. Optioneel stel ik het volgende in <em>TLS-RPT<\/em> via TXT onder <em>_smtp._tls.example.de<\/em> om rapporten te ontvangen over schendingen van het beleid. Deze telemetrie helpt me om storingen, downgrades en defecte certificaten in een vroeg stadium te herkennen.<\/p>\n\n<h2>Protocollen aanscherpen, vercijfering specificeren<\/h2>\n\n<p>Ik verscherp de protocollimieten en dwing servervoorkeur af. TLS 1.0\/1.1 zijn vandaag de dag overbodig; ik sta TLS 1.2 en 1.3 alleen toe in de diepte en op uitgaande basis. Voor TLS 1.2 definieer ik een expliciete positieve lijst om gemengde bestanden van oude cijfers uit te sluiten:<\/p>\n\n<pre><code># Extra verharding (main.cf)\nsmtpd_tls_protocollen = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocollen = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_verplicht_protocollen = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Expliciete cijfermatige lijst TLS 1.2 (alleen PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Servervoorkeur gebruiken\ntls_preempt_cipherlist = ja\n<\/code><\/pre>\n\n<p>Ik zorg ervoor dat ECDHE de voorkeur krijgt en DHE slechts een noodoplossing is. Ik houd mijn DH bestand up-to-date; onder TLS 1.3 speelt het geen rol, maar het is nog steeds nuttig voor zeldzame DHE acties.<\/p>\n\n<h2>Sessiehervatting en caches<\/h2>\n\n<p>Om dingen te versnellen, activeer ik sessiecaches voor de client en server om herverbindingen gunstiger te maken. CPU-belasting en latentie zijn merkbaar verminderd, vooral bij een hoge doorvoer van mail:<\/p>\n\n<pre><code>#-sessiecache (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_verbinding_hergebruik = ja\n<\/code><\/pre>\n\n<p>Ik controleer de trefkans in de logboeken en zorg ervoor dat er geen te kort is. <em>ticket_levensduur<\/em> in de TLS-bibliotheek om de hervatting te vertragen. Belangrijk: Hervatting mag het beleid niet verzwakken; ik houd me aan dezelfde ciphervereisten.<\/p>\n\n<h2>Gecertificeerd bedrijf: Rotatie en kettingonderhoud<\/h2>\n\n<p>Ik automatiseer het vernieuwen en herladen van de MTA zodat er geen verlopen certificaten in werking komen. Na elke vernieuwing controleer ik of de blad- en tussenliggende certificaten volledig in de bundel zitten. Voor ECDSA\/RSA dubbele werking, zorg ik ervoor dat beide paren roteren voordat een massale verandering problemen veroorzaakt voor clients. Ik test het SNI pad en indiening apart omdat MUA's andere foutpatronen kunnen vertonen dan MTA's.<\/p>\n\n<h2>Logging en diagnostiek uitdiepen<\/h2>\n\n<p>Ik vergroot tijdelijk de logboekdiepte wanneer zich een probleem voordoet en gebruik on-board tools voor kruiscontroles:<\/p>\n\n<pre><code># gerichte logging (main.cf)\nsmtp_tls_logniveau = 1\nsmtp_tls_note_starttls_aanbieding = ja\n<\/code><\/pre>\n\n<p>Met <em>posttls-vinger target.example.com<\/em> Ik controleer welk beleid een MTA op afstand verwacht en welke cijfers\/protocollen worden onderhandeld. Ik gebruik <em>postconf -n | grep tls<\/em>, om alleen expliciet ingestelde TLS-parameters te zien; op deze manier kan ik sneller afwijkingen van de standaardwaarden vinden. In de logboeken zoek ik naar termen als <em>geen gedeeld cijfer<\/em>, <em>certificaat verifi\u00ebren mislukt<\/em> of <em>protocolversie<\/em>, die direct wijzen op een cipher mismatch, ketenproblemen of te strenge\/te lakse protocollimieten.<\/p>\n\n<h2>Compatibiliteit beheren zonder de beveiliging op te offeren<\/h2>\n\n<p>Ik plan overgangen bewust: ik blijf op de hoogte van <em>mei<\/em>, om te voorkomen dat mails van legacy servers over de hele linie verloren gaan, maar log leveringen in platte tekst. Uitgaand blijf ik streng (DANE\/MTA-STS\/secure) en gebruik ik <em>smtp_tls_policy_maps<\/em> voor individuele gevallen. Als individuele partners alleen TLS 1.2 met AES-GCM kunnen beheren, is dat acceptabel; ik beheer alles daaronder via overeengekomen uitzonderingen met een beperkte runtime, documenteer ze en neem ze op in de migratieplanning. Dit houdt het algemene niveau hoog zonder de bedrijfsvoering te blokkeren.<\/p>\n\n<h2>TLS standaardinstellingen van het systeem in een oogopslag<\/h2>\n\n<p>Houd er rekening mee dat Postfix de TLS-bibliotheek van het systeem gebruikt. Updates van OpenSSL\/LibreSSL kunnen cipher prioriteiten en TLS 1.3 gedrag veranderen. Na systeemupdates controleer ik daarom steekproefsgewijs handshakes en vergelijk de uitvoer van <em>postconf -n<\/em> met mijn doelwaarden. Een set <em>compatibiliteitsniveau<\/em> in Postfix helpt om stabiele standaardinstellingen te behouden, maar ik vertrouw er niet blindelings op en documenteer expliciete afwijkingen in main.cf\/master.cf.<\/p>\n\n<h2>Kort overzicht voor beheerders<\/h2>\n\n<p>Ik wil benadrukken dat sterke cijfers met PFS, schone certificaten en duidelijk beleid essentieel zijn voor <strong>SMTP<\/strong> cruciaal. TLS 1.3 verlost je van legacy problemen, terwijl TLS 1.2 een gedisciplineerde cipherlijst vereist. DANE en MTA-STS verharden het transportpad, SPF\/DKIM\/DMARC beveiligen identiteit en rapportage. Regelmatige tests en logboekanalyses laten in een vroeg stadium zien of een verandering ongewenste neveneffecten heeft. Met deze handleiding kunt u uw mailserver veilig, performant en toekomstbestendig maken, zonder onnodige wijzigingen. <strong>Risico's<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Mailserver TLS configuratie en selectie van versleuteling: smtp tls configuratie voor optimale mailbeveiliging en e-mail encryptie hosting. Complete gids voor experts.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/nl\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}