Tweakers die hun eigen mail hosten? - Internet en hosting

zaterdag 2 april 2016 20:24

Acties:

0 Henk 'm!

MS SQL Server

Compizfox schreef op zondag 07 februari 2016 @ 00:39:
[...]

Ah, op spam bedoel je. Ja, uiteraard

Maar volgens mij bedoelde Soldaatje iets anders met "scannen", namelijk het lezen van je email om zo een profiel van je op te bouwen en om targeted ads (en wie weet wat allemaal nog meer) aan te bieden.

Microsoft doet dat niet op Office 365. Period.

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

zaterdag 2 april 2016 20:28

Acties:

0 Henk 'm!

gekkie

Zjemm schreef op zaterdag 02 april 2016 @ 20:13:
[...]
Ik ben van mening dat spam folders achterhaald zijn en gebruikers daarmee onnodig belast met het uitzoeken of iets spam is of niet. vooral in bedrijven met "gebruikers" die snappen al niet dat ze niet zomaar ergens op moeten klikken is dit een goed uitgangspunt. oke, vroeger was dat meer aan de orde dan nu, maar toch.
de meeste enterprise oplossingen werken met een soort reputatie systeem waarmee het gros al word tegengehouden op deze manier. deze systemen zijn zeer dynamisch en toch wel goed up to date. zo word de mailgateway minder belast omdat deze simpelweg niet elk mailtje hoeft te scannen, iets waarvan je toch al weet dat het van een slecht domein komt hoef je ook niet aan te nemen.

het systeem wat ik gebruik doet een check op de reputatie score van het aankloppende domein/ip, de waarde die daaruit komt ligt tussen de -10 en 10, waarbij een negatievere waarde aangeeft dat iets een slecht domein is. ik heb hem ergens bij -4 ingesteld geloof ik.

Oh kan me best voorstellen dat grote bedrijven het anders doen en er ook wel ervaring mee dat ze op basis van 1 melding in 1 willekeurige RBL al mail botweg weigeren (RBL die gaat over block en niet eens ip reputation). En vervolgens jammeren dat er geen mail aankomt, tsja neem dat maar op met je eigen ICT afdeling, succes.
Op zich prima dat je op reputatie iets doet, maar mail geheel weigeren (en niet eens greylisten) is wel zo'n grofgeschut, dus inderdaad niet al te scherp instellen zoals jij doet met een threshold van -4 en meerdere sources gebruiken helpen dan al wel een stuk.

En op zich is het scannen ook al te reduceren door opties zoals "shortcircuit" zodat als je threshold gehaald is het klaar is, vaak kom je op basis van basic tests al een heel eind.

En dat je niet iedere geit een spamfolder geeft kan ik me ook voorstellen,maar goed we zaten hier toch bij de eigen mailservers en tweakers ipv het geitenforum

(zit bij mij trouwens ook de autolearning aan vast voor de bayesiaan voor als er sporadisch nog eens wat door komt, danwel voor de afdeling "ongevraagde nieuwsbrieven" die ik netjes afmeld maar vervolgens ook alvast aan de bayesiaan geef dat die alvast kan gaan leren voor als de afzender hardleers is, kortom dat foldertje is ter leering vermaeck ende gemack)

zaterdag 2 april 2016 20:46

Acties:

0 Henk 'm!

Zjemm

...

ik snap het wel

ik ben besmet met hoe het in de enterprise markt gaat. (zit zelf in de security) Heb genoeg mailgateway's gezien om te begrijpen hoe het voor thuis helemaal mooi is. vandaar. Als je eenmaal gewend bent aan reputatie, wil je niet anders meer. ik hoef nergens naar te kijken. En in die paar jaar dat het draait, geen enkele mail gemist door het systeem.

toch werken veel systemen nog met een quarantaine/spam box en elke week/dag krijgt je een overzicht....brrr ik heb dr echt een hekel aan

overgigens merkte je dat een paar jaar geleden heel sterk bedrijven graag over wilde stappen. regelmatig bij klanten waarbij we zo'n systeem neer zetten in een POC, mocht deze na de POC het netwerk niet meer uit

werkte gewoon te goed.

maar ja we hebben het over "voor thuis" dus dan kan je persoonlijke eisen natuurlijk zelf regelen.

moet zeggen dat de webmail client (lokaal gebruik ik deze niet vaak, want mobiel

) erg fijn werkt van afterlogic. helaas is deze niet opensource. Ben ook wel benieuwd naar de nieuwe roundcube next, ga ik zeker proberen als die uit is

opensecure.nl

zaterdag 2 april 2016 20:53

Acties:

0 Henk 'm!

gekkie

Zjemm schreef op zaterdag 02 april 2016 @ 20:46:
maar ja we hebben het over "voor thuis" dus dan kan je persoonlijke eisen natuurlijk zelf regelen.

En heb je wat minder financiering voor de betaalde reputatie/RBL/URI check services.

Achja ik heb klanten die de mail bij outlook.com hebben ondergebracht .. en die staat dus weer SORBS_WEB ... maar heeft wel weer een goede reputatie in MSPIKE .. maar goed die weigeren we dus toch maar niet

moet zeggen dat de webmail client (lokaal gebruik ik deze niet vaak, want mobiel ) erg fijn werkt van afterlogic. helaas is deze niet opensource. Ben ook wel benieuwd naar de nieuwe roundcube next, ga ik zeker proberen als die uit is

Nieuwe roundcube ben ik idd ook wel benieuwd naar al is het gebruik idd wel wat afgenomen met mail op de mobiel (k9 nog .. helaas schiet de ontwikkeling daar ook niet echt meer op).

zaterdag 2 april 2016 20:57

Acties:

0 Henk 'm!

Zjemm

...

ik gebruik de zenderbase database en die kan je (sssssst) via DNS queryen

schiet inderdaad niet op, maar het zal wel een bult werk zijn voor de mannen van roundcube

opensecure.nl

zaterdag 2 april 2016 21:30

Acties:

0 Henk 'm!

gekkie

Zjemm schreef op zaterdag 02 april 2016 @ 20:57:
ik gebruik de zenderbase database en die kan je (sssssst) via DNS queryen

schiet inderdaad niet op, maar het zal wel een bult werk zijn voor de mannen van roundcube

Senderbase gok ik dan (die doen van -10 tot 10 scoren zo te zien) ?
(meeste RBL's reputatie lists werken idd met DNS queries, lekker weinig overhead en makkelijk te cachen).

In het verleden ook genoeg klachten zo te zien over het delisten. Tot hele universiteiten aan toe door spoofed received headers, waarbij er maanden lang niets gedaan wordt met een delist verzoek.
Misschien dat ze het nu beter op orde hebben, maar voor mij dus de reden om niet één reputatielijst in absolute zin te vertrouwen en puur op basis daarvan mail te gaan weigeren.

zaterdag 2 april 2016 22:22

Acties:

0 Henk 'm!

spone

Ik heb m'n persoonlijke domein op office 365 gegooid. Fantastische webmail client, 50GB storage, agenda, contacten, activesync, EWS (m.n. voor de Mac), kwalitatieve spamfiltering en dat alles voor een paar euro in de maand. Daar ga ik het zelf niet beter voor doen.

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zaterdag 2 april 2016 23:24

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

gekkie schreef op zaterdag 02 april 2016 @ 18:34:
Hmm ik ga er altijd maar van uit dat 1 zwaluw geen zomer maakt, en een reputatie dus ook niet.
Dus ik weiger eigenlijk niks aan de poort.
Greylisting zorgt er voor dat de meesten het wel al opgeven en de rest gaat door SA, waarbij een combi van 1 of 2 hits op RBL's er wel voor zorgt dat je als spam wordt gemarkeerd.
(daarnaast nog bayes .. unwanted language .. shorturldecode .. en punten aftrek als het een mailadres is wat ik zelf al wel eens gemaild heb. (zou gespoofed kunnen worden maar die kans is klein).

En daarnaast gaat alles naar de spamfolder .. kan ik er af en toe nog eens in kijken of er false positives zijn (tot nu toe 0,0) .... en een beetje zien wat de laatste trends in spam-land zijn.

Ik heb ook een tijdje greylisting (Postgrey) gedraaid. Het werkt vast wel, maar het was toch wel een beetje irritant om je email niet direct te krijgen. (merk je vooral met verificatiemails en zo)

Ik draai het nu dus niet meer en vraag me af of je er uiteindelijk iets aan hebt, want met puur en alleen SpamAssassin haal ik ook bijna alle spam eruit, maar dan zonder delay...

Zjemm schreef op zaterdag 02 april 2016 @ 20:13:
[...]

Ik ben van mening dat spam folders achterhaald zijn en gebruikers daarmee onnodig belast met het uitzoeken of iets spam is of niet. vooral in bedrijven met "gebruikers" die snappen al niet dat ze niet zomaar ergens op moeten klikken is dit een goed uitgangspunt. oke, vroeger was dat meer aan de orde dan nu, maar toch.

Het idee van een spamfolder is niet dat je belast wordt met uitzoeken of iets spam is of niet. Het idee is dat je je spamfilter lekker strak kunt afstellen zodat de kans op spam die er doorheen glipt erg klein is. Je inbox blijft dus mooi schoon. Tegelijkertijd is het wél makkelijk om eventuele false positives te vinden aangezien er niets permanent wordt weggegooid.

Ik kijk altijd één keer per week of één keer per maand ('t is maar net of ik er aan denk) door mijn spamfolder heen. Aan de ene kant om te kijken of er false positives tussen zitten (meestal niet), aan de andere kant ook vanwege interesse hoeveel spam er is

Gé Brander schreef op zaterdag 02 april 2016 @ 20:24:
[...]

Microsoft doet dat niet op Office 365. Period.

Dat heb ik ook niet beweerd?

gekkie schreef op zaterdag 02 april 2016 @ 20:28:
[...]
(zit bij mij trouwens ook de autolearning aan vast voor de bayesiaan voor als er sporadisch nog eens wat door komt, danwel voor de afdeling "ongevraagde nieuwsbrieven" die ik netjes afmeld maar vervolgens ook alvast aan de bayesiaan geef dat die alvast kan gaan leren voor als de afzender hardleers is, kortom dat foldertje is ter leering vermaeck ende gemack)

Bayesiaanse filtering helpt inderdaad ook enorm. Toen ik van DSpam ben overgestapt naar SpamAssassin was in de eerste instantie de performance best wel ruk. Veel false positives en false negatives dus. Toen ik Bayesiaanse filtering ging gebruiken en eenmaal wat getraind had, ging het veel beter.

[ Voor 50% gewijzigd door Compizfox op 02-04-2016 23:35 ]

Gewoon een heel grote verzameling snoertjes

zaterdag 2 april 2016 23:30

Acties:

0 Henk 'm!

Zjemm

...

Natuurlijk kan je het bij een van de vele hosters doen, maar zelf mail hosten is leuk en leerzaam. Voor mij in elk geval.

Kan me wel goed voorstellen dat als je dat niet leuk vind of een het moet gewoon werken instelling hebt je misschien het beter uit handen kan geven. Genoeg cloud diensten beschikbaar maar ik begin er niet aan. Draai ook owncloud ipv dropbox. Ben ook aan een nieuw project begonnen voor eigen gebruik. Een webbased password manager. Oké duurt lang en kost veel tijd maar het is leerzaam en die server draait toch al

Ja over die spam folder, ieder zo z'n ding. Ik hoef die crap niet te zien, en nooit een mail gemist. Das echt een gevoel waar je je overheen kan zetten

[ Voor 12% gewijzigd door Zjemm op 02-04-2016 23:33 ]

opensecure.nl

zaterdag 2 april 2016 23:32

Acties:

0 Henk 'm!

gekkie

Compizfox schreef op zaterdag 02 april 2016 @ 23:24:
[...]
Ik heb ook een tijdje greylisting (Postgrey) gedraaid. Het werkt vast wel, maar het was toch wel een beetje irritant om je email niet direct te krijgen. (merk je vooral met verificatiemails en zo)

Voor mij ook de voornaamste reden (en omdat je er geen invloed op hebt omdat je afhankelijk bent van de retry timeouts van de andere kant. Zuigt idd wel als die niet << 15 minuten is (wat al irritant lang kan zijn naar de gangbare maatstaven van geduld van vandaag de dag).

Je zou het (met flexibiliteit van exim) wel zo moeten kunnen knutselen dat je eerst reputatie ophaald .. is die goed dan geen greylisting. Is het een dynamisch ip of een dramatische reputatie dan wel greylisting. Dus alleen greylisten als je twijfels hebt, ipv iedereen en alles greylisten bij een eerste attempt.

Misschien nog maar eens kijken of ik dat eens aan de praat kan knutselen als ik nog weer eens vrije vrijetijd heb

Ik draai het nu dus niet meer en vraag me af of je er uiteindelijk iets aan hebt, want met puur en alleen Spamassassin haal ik ook bijna alle spam eruit, maar dan zonder delay...

Scheelt vooral load op je spamfilter en in combinatie haal je er misschien wat meer uit als je toevallig een keertje voorin de lijst staat en die host nog niet geblacklist is en de mail ook onvoldoende specifieke kenmerken heeft.

Compizfox schreef op zaterdag 02 april 2016 @ 23:24:
[...]
Bayesiaanse filtering helpt inderdaad ook enorm. Toen ik van DSpam ben overgestapt naar Spamassassin was in de eerste instantie de performance best wel ruk. Veel false positives en false negatives dus. Toen ik Bayesiaanse filtering ging gebruiken en eenmaal wat getraind had, ging het veel beter.

Wat bij mij vooral veel false positives scheelt is de punten aftrek voor alles wat ik ooit gemaild heb.
Ze gaan nog steeds door het spamfilter, alleen de kans dat ze boven threshold uitkomen is nu wel zeer gering. Ik zie het echter wel snel, dus kan ze er wel van op de hoogte stellen dat ze wellicht bij anderen wel in de spambak zitten en waarom.
En bayesiaan scheelt vooral bij de "zero-day" spammers die nog niet op de blacklists staan. Te samen met enige andere karakteristieken komen ze dan meestal nog wel boven de threshold uit en als het niet gelijk is .. dan wel na 2 of 3x leren.

[ Voor 25% gewijzigd door gekkie op 02-04-2016 23:40 ]

zaterdag 2 april 2016 23:40

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

gekkie schreef op zaterdag 02 april 2016 @ 23:32:
[...]

Voor mij ook de voornaamste reden (en omdat je er geen invloed op hebt omdat je afhankelijk bent van de retry timeouts van de andere kant. Zuigt idd wel als die niet << 15 minuten is (wat al irritant lang kan zijn naar de gangbare maatstaven van geduld van vandaag de dag).

Zonder greylisting krijg je mail meestal binnen 5 seconden binnen. Met greylisting is dat eerder 5 minuten... Niet zo lang dat het een probleem is of zo, maar wel vervelend.

Je zou het (met flexibiliteit van exim) wel zo moeten kunnen knutselen dat je eerst reputatie ophaald .. is die goed dan geen greylisting. Is het een dynamisch ip of een dramatische reputatie dan wel greylisting. Dus alleen greylisten als je twijfels hebt, ipv iedereen en alles greylisten bij een eerste attempt.

Misschien nog maar eens kijken of ik dat eens aan de praat kan knutselen als ik nog weer eens vrije vrijetijd heb
[...]

Scheelt vooral load op je spamfilter en in combinatie haal je er misschien wat meer uit als je toevallig een keertje voorin de lijst staat en die host nog niet geblacklist is en de mail ook onvoldoende specifieke kenmerken heeft.

Tja, we hebben het hier over een thuissituatie dus van "load op het spamfilter" is niet echt sprake.

Gewoon een heel grote verzameling snoertjes

zaterdag 2 april 2016 23:54

Acties:

0 Henk 'm!

azerty

Compizfox schreef op zaterdag 02 april 2016 @ 23:24:
[...]

Ik heb ook een tijdje greylisting (Postgrey) gedraaid. Het werkt vast wel, maar het was toch wel een beetje irritant om je email niet direct te krijgen. (merk je vooral met verificatiemails en zo)

Ik draai een aangepaste versie van tumgreyspf, die als de SPF headers in orde zijn de mail direct doorlaat, en anders SPF toepast. Werkt voor registratie-emails die hun zaken op orde hebben goed

(maar ocasioneel heb je inderdaad nog te maken met wat vertraging).

Greylisting houd trouwens verbazingwekkend veel spam tegen

[ Voor 4% gewijzigd door azerty op 03-04-2016 00:00 ]

zondag 3 april 2016 00:00

Acties:

0 Henk 'm!

Verwijderd

Ja me!😎 Ik huur een VPS server, maak daar mijn eigen users aan via Directadmin en regel zo eigen imap of pop e-mailadressen in:) Een aanrader! Bovendien via Directadmin of Cpanel gemakkelijker te configureren dan je denkt;)

zondag 3 april 2016 00:17

Acties:

0 Henk 'm!

CyBeR

💩

azerty schreef op zaterdag 02 april 2016 @ 23:54:
[...]

Ik draai een aangepaste versie van tumgreyspf, die als de SPF headers in orde zijn de mail direct doorlaat, en anders SPF toepast. Werkt voor registratie-emails die hun zaken op orde hebben goed (maar ocasioneel heb je inderdaad nog te maken met wat vertraging).

Hm, da's niet eens een heel slecht idee. SPF wordt tegenwoordig vrij breed toegepast omdat de grote jongens als Google, Yahoo en Microsoft er best wat waarde aan hechten.

Toch ook 's kijken of ik zoiets kan doen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 3 april 2016 00:21

Acties:

0 Henk 'm!

azerty

CyBeR schreef op zondag 03 april 2016 @ 00:17:
[...]

Hm, da's niet eens een heel slecht idee. SPF wordt tegenwoordig vrij breed toegepast omdat de grote jongens als Google, Yahoo en Microsoft er best wat waarde aan hechten.

Toch ook 's kijken of ik zoiets kan doen.

Als je interesse hebt in tumgreySPF: https://github.com/linsomniac/tumgreyspf/pull/8 voegt die optie toe. Eigenaar lijkt helaas niet overdreven actief meer, ik overweeg al een tijdje (maar dan moet ik nog eens een dagje vrijmaken daarvoor) om zelf een fork te maken & te onderhouden met wat nieuwe functionaliteit in.

zondag 3 april 2016 00:22

Acties:

0 Henk 'm!

gekkie

Denk dat ik het met exim ook eens ga proberen het zo te maken dat als je:
- valid spf
- valid rdns && fatsoenlijke helo && niet op een aantal rbls staat
Je een bypass krijgt voor greylisting, zou in principe toch een hoop valide first time senders dan gelijk door moeten geven.
Zou ook niet zo schokkend moeilijk moeten zijn met ACL's.

[ Voor 9% gewijzigd door gekkie op 03-04-2016 00:22 ]

zondag 3 april 2016 00:22

Acties:

0 Henk 'm!

CyBeR

💩

azerty schreef op zondag 03 april 2016 @ 00:21:
[...]

Als je interesse hebt in tumgreySPF: https://github.com/linsomniac/tumgreyspf/pull/8 voegt die optie toe. Eigenaar lijkt helaas niet overdreven actief meer, ik overweeg al een tijdje (maar dan moet ik nog eens een dagje vrijmaken daarvoor) om zelf een fork te maken & te onderhouden met wat nieuwe functionaliteit in.

Ik gebruik natuurlijk geen postfix want ik vind postfix geen goede MTA. Maar zoiets is met Exim vast ook wel te regelen; ik had er gewoon eerder nooit over nagedacht om dat zo te doen, omdat ik greylisting op zich niet zo fijn vind (wegens de delay.) Maar dat was toen SPF nog niet zo wijdverspreid was als 't nu is. Ik denk dat 't nu op deze manier best effectief kan zijn zonder al te veel in de weg te zitten.

[ Voor 19% gewijzigd door CyBeR op 03-04-2016 00:24 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 3 april 2016 00:25

Acties:

0 Henk 'm!

Verwijderd

SPF records instellen idd! Die was ik bijna vergeten:)

zondag 3 april 2016 08:19

Acties:

0 Henk 'm!

castertje

Eigen mail-server? Je hebt een domein nodig en een server. Ik draai Exim op een Raspberry PI. Verder spamassassin om spam te verwijderen.

root@nekum:~# uname -a
Linux nekum 4.1.13+ #826 PREEMPT Fri Nov 13 20:13:22 GMT 2015 armv6l GNU/Linux
root@nekum:~# uptime
08:34:24 up 55 days, 21:47, 1 user, load average: 0,74, 1,64, 1,37
root@nekum:~# cat /etc/debian_version
8.0
root@nekum:~# ps -edf | fgrep exim
Debian-+ 5995 1 0 mrt26 ? 00:00:06 /usr/sbin/exim4 -bd -q30m
root 31358 31340 0 08:35 pts/0 00:00:00 grep -F exim
root@nekum:~#

[ Voor 61% gewijzigd door castertje op 03-04-2016 08:39 ]

zondag 3 april 2016 08:39

Acties:

0 Henk 'm!

JME

zeg maar Jamie

Al jaren een domeinnaam voor iets van 25 euro per jaar via one.com met email server. Synchroniseren via outlook, iphone, whatever, werkt feilloos. Kan voor de hele familie eigen mailadressen aanmaken, ook leuk. En met de catchall functie kan ik tijdelijke adresjes gebruiken als ik wil.

zondag 3 april 2016 11:16

Acties:

0 Henk 'm!

Zjemm

...

gekkie schreef op zaterdag 02 april 2016 @ 23:46:
[...]

Hoe weet je dan dat je nooit een mail gemist hebt ?

Niets gemist, niemand geklaagd, geen zaken in de soep gelopen , enz
Het is mail, geen basis behoefte 😜

opensecure.nl

maandag 4 april 2016 09:35

Acties:

0 Henk 'm!

DenBeke

Ik draai hier al jaren Google Apps. Ondertussen geniet de familie ook mee van een @achternaam.eu adres.

maandag 4 april 2016 12:27

Acties:

0 Henk 'm!

Fish

How much is the fish

Zjemm schreef op zondag 03 april 2016 @ 11:16:
[...]

Niets gemist, niemand geklaagd, geen zaken in de soep gelopen , enz
Het is mail, geen basis behoefte 😜

Dan is internet ook geen basisbehoefte.

Als e-mail nu nog geen basisbehoefte is, dat wordt het het wel.

Iperf

maandag 4 april 2016 14:58

Acties:

0 Henk 'm!

Zjemm

...

Dat zeg jij...

Maar ik ben iemand die niet afhankelijk is van email. Tuurlijk vervelend als het niet werkt en we fixen het snel. Maar nee geen bloedspoed en een gemiste mail word vaak opnieuw verzonden komt dat niet aan worden andere kanalen gebruikt

opensecure.nl

maandag 4 april 2016 16:31

Acties:

0 Henk 'm!

gekkie

Fish schreef op maandag 04 april 2016 @ 12:27:
[...]
Dan is internet ook geen basisbehoefte.

Als e-mail nu nog geen basisbehoefte is, dat wordt het het wel.

Geloof dat jongere generaties genoegen nemen met feestboek, gekwetter en yo what'sup bro'en.
Doe mij maar gewoon de open en gestandaardiseerde protocollen van weleer.

maandag 4 april 2016 16:49

Acties:

+3 Henk 'm!

Fish

How much is the fish

gekkie schreef op maandag 04 april 2016 @ 16:31:
[...]

Geloof dat jongere generaties genoegen nemen met feestboek, gekwetter en yo what'sup bro'en.
Doe mij maar gewoon de open en gestandaardiseerde protocollen van weleer.

aha dus jij loopt nog elke dag naar het marktplein om naar de berichten van de stadsomroeper te luisteren.

Iperf

maandag 4 april 2016 17:01

Acties:

0 Henk 'm!

gekkie

Fish schreef op maandag 04 april 2016 @ 16:49:
[...]
aha dus jij loopt nog elke dag naar het marktplein om naar de berichten van de stadsomroeper te luisteren.

Nee ik heb een serveerstertje die haar hand niet omdraaid voor een service en de berichten laat bezorgen.

maandag 4 april 2016 20:31

Acties:

0 Henk 'm!

Zjemm

...

daarbij als het allemaal een keer niet werkt brengt het ook weer eens rust

Ben bijna alle groepchats uitgegaan op whatsapp en dat bevalt me heel goed. niet de heeldag dat gepingel met de meest onzinnige berichten.
de meeste berichten die wel zinnig zijn zijn vaak toch direct of weer via de mail

maar goed daar gaat dit topic niet over.

wel vind ik nog een interregna vraagstuk hoe jullie kijken naar het encrypted op slaan van je mail op je server.
doen jullie dat, of niet? waarom wel waarom niet?
heb nog niet echt heel makkelijke oplossingen gevonden die met postfix/dovecot werken

opensecure.nl

maandag 4 april 2016 20:43

Acties:

0 Henk 'm!

CyBeR

💩

Waarom zou ik dat doen? 't is mijn eigen server.

De simpelste optie is gewoon full-disk encryption denk ik trouwens.

[ Voor 42% gewijzigd door CyBeR op 04-04-2016 20:44 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 4 april 2016 20:59

Acties:

0 Henk 'm!

Zjemm

...

Waarom? Nou bijvoorbeeld als je hem op een vos host of imdat je bij een hack er zeker van wil zijn dat je mail veilig is.

Full disc is dan niet voldoende want het systeem draait 24/7 en dan is de data gewoon te lezen bij een hack en bovendien moet de mta er naar kunnen schrijven

opensecure.nl

maandag 4 april 2016 21:03

Acties:

0 Henk 'm!

CyBeR

💩

Bij FDE kan je mta iig gewoon schrijven als je OS geboot is. Dat beschermt je tegen iemand die je server jat, maar inderdaad niet tegen iemand die 'm root. Aan de andere kant: daar is niks tegen te doen want op dat moment kun je ook de wachtwoorden danwel sleutels achterhalen.

Of je wel of geen vps kunt gebruiken met het bovenstaande in het achterhoofd is dan een onderdeel van je beveilingsbeleid.

Ik ben eigenaar van de hardware waar op mijn mail staat dus ik doe niks aan encryptie van data at rest op die server. Wel AES ik de backups voordat die naar Google Cloud Storage gaan natuurlijk.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 4 april 2016 21:15

Acties:

0 Henk 'm!

trinite_t

Al een jaar of 10 een eigen mailserver draaien, gewoon thuis in de meterkast.

Gentoo Linux as basis systeem

mailserver: Postfix
anti-spam: amavisd-new met clamav en spamassassin
webmail: roundcube
ssl/tls: overal gesupport, via submission en imaps is het verplicht (nog bezig om dit naar een grade A+ te krijgen, postfix en ssl/tls zijn geen grote vrienden)
provider: tweak, dus geen poort blokades

als backup mx een server in een datacenter

The easiest way to solve a problem is just to solve it.

maandag 4 april 2016 21:30

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

trinite_t schreef op maandag 04 april 2016 @ 21:15:
provider: tweak, dus geen poort blokades

Tweak heeft poort 25 uitgaand niet dichtstaan?

Ik heb ook Tweak (en een mailserver thuis) en dacht dat dat wel het geval was. Ik werk dus met een smarthost van Tweak.

Gewoon een heel grote verzameling snoertjes

dinsdag 5 april 2016 08:44

Acties:

0 Henk 'm!

trinite_t

Is niet nodig, kijk wel even of je niet ergens op blacklists staat.

Compizfox schreef op maandag 04 april 2016 @ 21:30:
[...]

Tweak heeft poort 25 uitgaand niet dichtstaan?

Ik heb ook Tweak (en een mailserver thuis) en dacht dat dat wel het geval was. Ik werk dus met een smarthost van Tweak.

The easiest way to solve a problem is just to solve it.

dinsdag 5 april 2016 14:00

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

trinite_t schreef op dinsdag 05 april 2016 @ 08:44:
Is niet nodig, kijk wel even of je niet ergens op blacklists staat.

[...]

Het is natuurlijk maar de vraag of je direct vanaf een thuislijntje mail moet gaan verzenden. Je staat bijvoorbeeld al op de PBL van Spamhaus, puur omdat het "een adres is waarvan geen mail zou moeten worden verzonden".

Ik denk dat ik maar gewoon die smarthost blijf gebruiken voorlopig.

Ik las er laatst nog een interessante blogpost over, ik kan hem helaas niet meer terugvinden.

[ Voor 6% gewijzigd door Compizfox op 05-04-2016 14:00 ]

Gewoon een heel grote verzameling snoertjes

dinsdag 5 april 2016 14:32

Acties:

0 Henk 'm!

trinite_t

Compizfox schreef op dinsdag 05 april 2016 @ 14:00:
[...]

Het is natuurlijk maar de vraag of je direct vanaf een thuislijntje mail moet gaan verzenden. Je staat bijvoorbeeld al op de PBL van Spamhaus, puur omdat het "een adres is waarvan geen mail zou moeten worden verzonden".

Ik denk dat ik maar gewoon die smarthost blijf gebruiken voorlopig.

Ik las er laatst nog een interessante blogpost over, ik kan hem helaas niet meer terugvinden.

Mijn ip adres staat alleen in SORBS, niet in andere blacklists. Heb net PBL ook nog even direct geverifieerd: niet gelist.

De reden voor mij om de smarthost er tussentuit te halen is het gebrek aan encryptie bij tweak. Als ik nu in de logs kijk zie ik dat 99% van de mails via een directe geencrypte verbinding op de bestemming aankomt.

The easiest way to solve a problem is just to solve it.

dinsdag 5 april 2016 14:51

Acties:

0 Henk 'm!

Myrdhin

Ik draai al jaren een eigen mailserver en alle software met de hand geinstalleerd en geconfigureerd. Op basis van Postfix en Dovecot. Antispam en Antivirus werd gedaan door Sophos UTM.

Ik wilde het simpeler qua onderhoud en vooral niet veel tijd kwijt zijn aan een installatie maar wel dat de data in een "standaard" vorm beschikbaar is. Na wat zoekwerk kwam ik terecht bij Poste.io. Prima oplossing, snel uit te rollen, nette webinterface en vrij te gebruiken als je de "extra" features niet nodig hebt. Deze oplossing draait nu al een paar maandjes op een TransIP VPS naar volle tevredenheid.

woensdag 6 april 2016 23:49

Acties:

0 Henk 'm!

gekkie

Hmm die exim specification blijft toch wel een beetje voodoo waar je je head wel even around mag wrappen. Maar goed de uitzonderingen voor lijken te werken:

Vereist is sowieso een valide HELO en RDNS en verolgens:
of een SPF pass
of niet op een aantal DNSRBLs staan

Meeste private spammers gaan al mis met de RDNS die niet klopt en komen dus in de greylisting waarna ze het meestal weer opgeven.
En alles wat er door komt komt alsnog in het spamfilter terecht, zou hooguit kunnen dat bayes nu wat minder goed gaat leren door minder aanbod van spam, maar goed we gaan het eens aankijken met deze config.

woensdag 6 april 2016 23:51

Acties:

0 Henk 'm!

Verwijderd

gekkie schreef op woensdag 06 april 2016 @ 23:49:
Hmm die exim specification blijft toch wel een beetje voodoo waar je je head wel even around mag wrappen. Maar goed de uitzonderingen voor lijken te werken:

Vereist is sowieso een valide HELO en RDNS en verolgens:
of een SPF pass
of niet op een aantal DNSRBLs staan

Meeste private spammers gaan al mis met de RDNS die niet klopt en komen dus in de greylisting waarna ze het meestal weer opgeven.
En alles wat er door komt komt alsnog in het spamfilter terecht, zou hooguit kunnen dat bayes nu wat minder goed gaat leren door minder aanbod van spam, maar goed we gaan het eens aankijken met deze config.

SPF pass? Leg eens uit?

woensdag 6 april 2016 23:59

Acties:

+1 Henk 'm!

gekkie

Verwijderd schreef op woensdag 06 april 2016 @ 23:51:
[...]
SPF pass? Leg eens uit?

Euhmm er zijn meerdere statussen waarin een check op SPF kan eindigen:
pass, softfail, neutral, permerror, error
En aangezien ik het hier alleen gebruik om te bepalen of je wel of niet door de greylisting heen moet, test ik dus op het strengste, volledige pass.

Enige kans die daarna nog hebt als de verzender geen SPF heeft of er iets faalt, is dat je niet op een lijstje van spamlijsten staat.

Nu met een bergje logging aanstaan, morgen maar eens log doorlopen en kijken hoe het een en ander beoordeeld is vannacht.

Stats van eventjes greylisten:

Of 318 items that were initially greylisted:
- 48 ( 15.1%) became whitelisted
- 270 ( 84.9%) expired from the greylist

Haal je er toch al een aardige berg mee uit, maar zonder uitzonderingen is het inderdaad volslagen onwerkbaar voor normale mensen met fatsoenlijk ingestelde mailservers die je voor de eerste keer mailen.

[ Voor 21% gewijzigd door gekkie op 07-04-2016 00:01 ]

donderdag 7 april 2016 00:52

Acties:

0 Henk 'm!

Verwijderd

Nice! Thanks!

Dit was net de aanvullende info. die ik nodig had bij aanvullende eigen configuraties op m'n SPF records. Bovendien is me nu het één en ander veel duidelijker $_/-\o_$

donderdag 7 april 2016 01:38

Acties:

0 Henk 'm!

CyBeR

💩

gekkie schreef op woensdag 06 april 2016 @ 23:59:
[...]

Euhmm er zijn meerdere statussen waarin een check op SPF kan eindigen:
pass, softfail, neutral, permerror, error
En aangezien ik het hier alleen gebruik om te bepalen of je wel of niet door de greylisting heen moet, test ik dus op het strengste, volledige pass.

Je vergeet 'fail'. Je kunt mails die op 'fail' uit komen gewoon hard blokkeren. Doe ik ook sinds een paar dagen.

(Dat zijn dus domeinen die -all in de spf hebben staan.)

[ Voor 5% gewijzigd door CyBeR op 07-04-2016 01:38 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 7 april 2016 10:53

Acties:

0 Henk 'm!

gekkie

CyBeR schreef op donderdag 07 april 2016 @ 01:38:
[...]
Je vergeet 'fail'. Je kunt mails die op 'fail' uit komen gewoon hard blokkeren. Doe ik ook sinds een paar dagen.

(Dat zijn dus domeinen die -all in de spf hebben staan.)

Mjah hard falen doe ik eigenlijk het liefst zo min mogelijk buiten de defaults van exim.
Reden is dat ik verwacht dat anderen hebben uitgezocht dat dat onderhand wel aardig geaccepteerd is.

Maar goed maar zien hoe het loopt en of er nog aanscherping noodzakelijk is.

Van een nachtje draaien lijkt het erop dat de spammers vooral falen op de RDNS en vervolgens ook hun 2e kans met greylisting niet grijpen.

[ Voor 11% gewijzigd door gekkie op 07-04-2016 11:08 ]

donderdag 7 april 2016 14:49

Acties:

0 Henk 'm!

Marc H

- - Is wakker - -

Ik draai thuis een Hmail servertje voor mijn eigen mailmeuk.

Ben er ooit mee begonnen omdat een kennis van een kennis het thuis voor zakelijke dingen draaide, terwijl hij er de ballen verstand van had.

Voor de lol toenertijds een virtueel machientje gebouwd, en daar eens mee gaan spelen. Dat je kan spieken in een geconfigureerde omgeving helpt. En op het forum zijn ze bereid om newbies te helpen, als jij bereid bent om er tijd in te steken.

Ik heb meerdere domeintjes waar mail op binnen kan komen. Voor het gemak staat op die machines een catch-all forwarder naar 1 mailbox, die hmailserver importeert. (makkelijk als je mailserver thuis niet te bereiken is, kan je via webmail nog steeds de recente mail zien). Na importeren wordt door een paar rules de verschillende mail in subfolders van de inbox van 1 mail account gestopt. Verkeer uit doe ik via de smtp server van mijn ISP. geen problemen met blacklisten enzovoort.

Ik maak geen fouten, ik creëer leer momenten.

donderdag 7 april 2016 16:34

Acties:

0 Henk 'm!

Duzzzzzz

Ik ben na een tijdje experimenteren uitgekomen bij iRedMail package (Postfix/Dovecot/ClamAV/Amavisd/Spamassassin) op mijn Debian VPS. Spam filter was ik niet echt tevreden mee, dus nu een SpamExperts MX relay ertussen gezet. Werkt als een zonnetje en geen spam meer :-)

donderdag 7 april 2016 16:43

Acties:

0 Henk 'm!

CyBeR

💩

gekkie schreef op donderdag 07 april 2016 @ 10:53:
[...]
Reden is dat ik verwacht dat anderen hebben uitgezocht dat dat onderhand wel aardig geaccepteerd is.

In het geval van een spf "fail" heeft de beheerder van het domein bepaald dat de mail die jij binnen gekregen hebt, niet verstuurd is door een server die dat mocht doen.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 7 april 2016 18:31

Acties:

0 Henk 'm!

ASS-Ware

Domeinen aangeschaft bij Antagonist.NL, zelf reseller geworden zodat ik ook voor anderen e.e.a. kan aanschaffen/regelen.
Mail van mijn domeinen komt thuis aan op mijn SBS 2011 (Exchange op Windows) server.
Verzenden doe ik via een smarthost bij Antagonist, zij hebben SPF enzo goed geregeld, en ik connect naar die smarthost middels poort 587, dat doe ik met stunnel, dus geen servers van mijn ISP nodig.

donderdag 7 april 2016 19:51

Acties:

0 Henk 'm!

mgizmo

Ik draai al jaren exchange (zzp met action pack) en heb een abo op extraip.nl. Voor diegene die geen vast ip adres hebben en daarnaast ook een subnet willen, werkt dat erg fijn.
Heb je ook geen last van die reeksen/reverse records van providers die door mail providers al snel mails als spam markeren.

donderdag 7 april 2016 20:21

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Iik heb het wel gedaan, draaide vroeger op een oude computer een Debianinstallatie die ook webserver en mailserver was. Later is die vervangen door een Thinclient die ik goedkoop uit een inkoopactie had. Toen die kapot ging was Google gestart met Google Apps for your Domain (toen gratis, nu niet meer voor nieuwe accounts) en sinds die tijd draait mijn mail in Gmail.

Nu zou het eigenlijk weer makkelijk kunnen als Google er mee stopt (heb een Raspberry Pi die altijd aan staat en nauwelijks stroom verbruikt en het is dermate goedkoop dat je zelfs een tweede Pi ergens weg zou kunnen zetten als backupserver), maar de internetverbinding die ik nu heb zit volgens mij veel verder dichtgetimmerd vergeleken met wat ik vroeger had en mijn interesses zijn verschoven)

[ Voor 35% gewijzigd door Marzman op 07-04-2016 20:26 ]

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

donderdag 7 april 2016 20:33

Acties:

0 Henk 'm!

johnkeates

Draai zelf paar MTA's voor verschillende thuisgebruikers, kleine bedrijfjes met vreemde setups die niet zomaar op een hosted oplossing terecht kunnen (of niet willen) en mezelf.

Daarnaast natuurlijk nog andere mail services: Google Apps Standard van toen het nog gratis was op een paar domeinen, mail van de provider (KPN, eigenlijk WXS voor dat het van Planet was die nu weer van KPN is en niet meer bestaat), en een paar ongebruikte boxjes bij shared webhosting providers waarbij het niet mogelijk was ze niet af te nemen bij een pakket.

Eigenlijk host ik zo veel mogelijk zelf, en zijn de enige diensten die niet self-hosted zijn eigenlijk om slechts twee redenen nog aanwezig:

1. "Het was er al", vaak als er een nieuwe klant is, maar ook van voor dat ik zelf besloot te hosten

2. SLA, voor als ik iemand een specifieke SLA niet kan/wil bieden (i.e. 99.999% uptime voor 2 euro per maand gaan we niet doen)

Het valt me nog mee qua uptime en redundantie in vergelijking met third party hosted services, ik heb vaak gehad over de laatste 10 jaar dat er eigenlijk een of meerdere jaren storingsvrij zijn, terwijl eigenlijk geen enkele service die ergens anders gehost was 100% up was. Natuurlijk zijn eigenlijk alle storingen tegenwoordig relatief kort en is dataloss eigenlijk voor het laatst ergens 15 jaar geleden gebeurd tijdens een storing, dus ook dat gaat een stuk beter dan je zou denken.

vrijdag 8 april 2016 11:27

Acties:

0 Henk 'm!

jb044

Draait naar tevredenheid op mijn homeserver met CentOS 7.2. Postfix + dovecot + SOGo + opendkim. Heb een eigen domein en certificaat aangeschaft dus alles werkt ook via ssl. Spamproblemen heb ik eigenlijk niet meer dus geen behoefte aan greylisting of antispam. Zit bij tweak en zou daar inderdaad rechtstreeks alles af kunnen handelen maar gebruik toch de mail server van tweak als relay voor de zekerheid, spf record is daar ook op aangepast.

@work een soortgelijke setup opgeleverd op ons hosting cluster en daar wel spamassassin geïnstalleerd.

zondag 10 april 2016 23:28

Acties:

0 Henk 'm!

ComputerHoed

Electronica <3

Ik draai thuis een Raspberry Pi met daarop mijn mail -en fileserver.
Werkt prima en extern bereikbaar dankzij Roundcube.

Ryzen 2700X, Gigabyte Aorus Gaming 7, G.Skills Ripjaws V 3200Mhz 16GB DDR4 RAM, PowerColor Red Devil 5700 XT, Samsung 970 250GB NVMe-SSD, 3x 5TB Toshiba HDD, 500GB Samsung Evo 850 SSD

vrijdag 29 juni 2018 15:12

Acties:

+1 Henk 'm!

WeaZuL

Try embedded, choose ARM!

Ik draai thuis ook een virtuele SOGo mailserver met postfix, dovecot, amavis, clam, opendmarc en opendkim naar alle tevredenheid. Nu hadden we een stroomstoring deze week in de wijk die 10h duurde, ik heb een UPS, die hield het een uur vol en daarna is/was het ook gedaan.
Exact op die dag had ik toegang tot die mailbox nodig en helaas was die dus toen niet beschikbaar. Ik heb net bij OVH een VPS besteld maar weet niet goed wat de juiste oplossing is. Sowieso zou ik graag een mailrelay op die OVH-VPC willen zetten zodat inkomende email naar mijn mail domein opgevangen wordt wanneer de mailserver thuis niet bereikbaar is.

Maar ik zou ook graag een maatregel willen inzetten om de beschikbaarheid van de mailserver te verhogen. Ik heb al gezocht naar een cluster oplossing met SOGo maar kan daar niet veel over vinden. Ik heb er ook gedacht mijn mailserver in de cloud te draaien maar ik las ergens dat die ip adressen van bijv. OVH vervuild zijn? Of dat nou een ideale oplossing is icm uitgaande mail

Iemand een tip?

NSLU2, SheevaPlug, Pogoplug, Espressobin and Odroid H2 addict

vrijdag 29 juni 2018 15:38

Acties:

0 Henk 'm!

lier

MikroTik nerd

WeaZuL schreef op vrijdag 29 juni 2018 @ 15:12:
Iemand een tip?

Forward naar een Gmail/Outlook mailbox, voor leesdoeleinden? Is natuurlijk ook een beetje afhankelijk van wat je wil. Eventueel kan je uiteraard helemaal voor een SaaS oplossing gaan...

Eerst het probleem, dan de oplossing

vrijdag 29 juni 2018 16:05

Acties:

+1 Henk 'm!

idef1x

WeaZuL schreef op vrijdag 29 juni 2018 @ 15:12:

Iemand een tip?

Ik heb zowel thuis als op een VPS postfix draaien en hiervoor 2 MX records in mijn DNS staan. Verder staat er dovecot op die ook mijn mailboxen synced. Voor webmail gebruik ik rainloop (via Nextcloud) en overige IMAP clients (thuinderbird e.d.). De 2 mailservers praten via openvpn

Als ik thuis ben gebruik ik mijn huis server, als ik buiten de deur ben mijn VPS bij default

zondag 1 juli 2018 21:28

Acties:

0 Henk 'm!

Ploink

Ik draai al 18 jaar de Courier mailserver, dus niet alleen de meer bekende courier-imap, maar ook courier-mta en natuurlijk de webadmin en webmail. Die laatste is niet echt bij de tijd maar wel handig voor het instellen van server-side mail filters.
Als uitbreiding heb ik nog courier-pythonfilter en zdkimfilter.

Destijds waren er naast de brakke Sendmail en UWIMAP nauwelijks alternatieven. Zodra courier kwam ben ik overgestapt en dat is altijd zo gebleven.

Wat betreft mail filtering gebruik ik SPF, DNS based blacklists (zen.spamhaus.org), greylisting en clamd antivirus via pythonfilter en sinds kort dus ook DKIM en DMARC.

Ik had al een tijdje de DKIM Verifier extensie in Thunderbird en ik merk dat tegenwoordig bijna alle grote bedrijven het geïmplementeerd hebben. Zonder DKIM heb je meer kans dat je email bij een ander in de spam folder terecht komt.

[ Voor 28% gewijzigd door Ploink op 01-07-2018 21:48 ]

zondag 1 juli 2018 23:16

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Vroeger Kerio op eigen server, nu Exchange 2016 op eigen server.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 4 juli 2018 00:33

Acties:

0 Henk 'm!

Terrestrial

Ik draai al +- 15 jaar Kerio mailserver in een VM op eigen server thuis met vast IP en PTR record en certificaat.. De MX fallback zit bij het domein inbegrepen (vroeger NXS/IS nu KPN internedservices)

Ook ervaring met Exchange maar voor thuis blijf ik het te lomp vinden. Misschien als kerio niet meer doet wat ik wil.

woensdag 4 juli 2018 10:17

Acties:

0 Henk 'm!

valkenier

Al jaren Postfix met spamassasin en clamav hier. Daarnaast dovecot.

Uitgaand doet postfix via een relay (moet wel bij Ziggo) maar dat is eigenlijk geen probleem. Zit je ook niet met de reputatie van particuliere IP's. SPF en DKIM zijn ook keurig geregeld.

MX fallback bij de domeinhoster, maar dat is eigenlijk nooit nodig.

woensdag 4 juli 2018 10:36

Acties:

0 Henk 'm!

MvandeK

Ik draai al een paar jaar de volgende setup:

Een VPS bij TransIP waarop alle mail binnenkomt. Postfix doet checks op de bekende lijsten en DNSWL, DKIM en DMARC, waarbij een heel groot deel al wordt geblokkeerd. De mail die daar doorheen komt is vaak goed geconfigureerd en wordt doorgestuurd naar de server thuis. Deze vertrouwt de mail die door de VPS heenkomt en doet niet opnieuw dezelfde checks. De VPS is er voor als de server thuis uit staat door bijvoorbeeld stroomstoring of onderhoud, of een wijziging van het externe IP-adres.

De tweede server (Zimbra) ontvangt ook mail als fallback voor de VPS, bijvoorbeeld wanneer deze even herstart vanwege een update, en doet dezelfde checks als de VPS. En daarbij train ik de antispam actief om te zorgen dat er veel mail afgevangen wordt door de spamfilter.

Dit alles resulteert in een configuratie die per dag, voor meerdere mensen en meerdere domeinen, mail afhandelt. Het resultaat is een setup waarbij per week slechts een aantal spammailtjes door de filters komen en in de spambox of inbox belanden.

Uitgaande mail vanuit Zimbra gaat via de relay van telfortglasvezel.

[ Voor 3% gewijzigd door MvandeK op 04-07-2018 12:22 ]

Fotografie voor beginners | Home Assistant configuratie

woensdag 4 juli 2018 13:40

Acties:

0 Henk 'm!

ik222

Hier ook een eigen mailserver, dit is een Ubuntu Server 16.04 VM welke draait op mijn ESXi server. De mailserver draait op basis van Postfix en Dovecot met daarbij de nodig anti SPAM software en Roundcube als webmail. Webmail wordt nauwelijks gebruikt maar soms toch wel handig en dan kunnen mensen zo ook zelf hun wachtwoord wijzigen. Ook heb ik volledig DKIM / DMARC geïmplementeerd, zowel voor signing als validatie en ondersteunt mijn mailserver volledig IPv6. Mail stuur ik zelf naar buiten via mijn XS4ALL glasvezel verbinding wat met reverse DNS voor zowel IPv4 als IPv6 prima gaat (geen last van blacklists of iets dergelijks). De SSL certificaten die ik gebruik zijn van Let's Encrypt, zowel voor Postfix als Dovecot. En ook voor de webmail al staat daar het certificaat op mijn Nginx reverse proxy die ik heb omdat ik naast mail ook een Nextcloud VM en een webserver VM heb draaien.

Enige toevoeging die ik nog overweeg in mijn setup is om een goedkope OVH VPS als fallback MX te nemen. Zo zou ik niet langer afhankelijk zijn van de afzenders om mail te bewaren en opnieuw aan te bieden in het geval dat mijn mailserver thuis een keer onbereikbaar is.

woensdag 4 juli 2018 14:01

Acties:

0 Henk 'm!

webgangster

Ik draai een Exchange 2016 cluster op een 5 node VMware omgeving op basis van VSAN (full SSD) storage. Mail verstuur en ontvang ik via een edge transport server, inkomende e-mail loopt via een hosted SpamExperts spamfilter.

Hier wat foto's van de VMware omgeving, voor de specs klik hier.

Afbeeldingslocatie: https://tweakers.net/ext/f/V5ZL3hu49wNmMvKzwRdLuIyi/thumb.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/HbzgzL7zvwldirMJGjTbtESN/thumb.jpg

woensdag 4 juli 2018 14:39

Acties:

0 Henk 'm!

Frogmen

webgangster schreef op woensdag 4 juli 2018 @ 14:01:
Ik draai een Exchange 2016 cluster op een 5 node VMware omgeving op basis van VSAN (full SSD) storage. Mail verstuur en ontvang ik via een edge transport server, inkomende e-mail loopt via een hosted SpamExperts spamfilter.

Hier wat foto's van de VMware omgeving, voor de specs klik hier.

[afbeelding]

[afbeelding]

Dat draai als Tweaker thuis

of bedrijfsmatig

is het niet heel erg achterhaald en alleen voor de hobbiest wiens werk het ook is. De complexiteit en de risico's zijn zodanig dat je er anders niet aan begint.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 4 juli 2018 16:10

Acties:

0 Henk 'm!

webgangster

Frogmen schreef op woensdag 4 juli 2018 @ 14:39:
[...]

Dat draai als Tweaker thuis of bedrijfsmatig is het niet heel erg achterhaald en alleen voor de hobbiest wiens werk het ook is. De complexiteit en de risico's zijn zodanig dat je er anders niet aan begint.

Ik draai het wel in een datacenter (Amsterdam) maar het is allemaal voor eigen gebruik, niet bedrijfsmatig.
De kennis die ik opdoe gebruik ik weer op m'n werk ja

woensdag 4 juli 2018 16:29

Acties:

+1 Henk 'm!

Zjemm

...

WeaZuL schreef op vrijdag 29 juni 2018 @ 15:12:
Ik draai thuis ook een virtuele SOGo mailserver met ......
Iemand een tip?

Je zou dovecot sync kunnen gebruiken. Om mail naar een tweede server te synchroniseren. Puur voor access.

Voor mta is niet perse een tweede server nodig mits je fallback in orde is om de mail te coachen en je even zonder het versturen en ontvangen van mail kan. Anders is een tweede mta ook een must. Overigens zou ik zodra je in de cloud gaat hosten ook de mails op disc gaan encrypten met dovecot

opensecure.nl

woensdag 4 juli 2018 16:37

Acties:

0 Henk 'm!

chaoscontrol

ik222 schreef op woensdag 4 juli 2018 @ 13:40:
Hier ook een eigen mailserver, dit is een Ubuntu Server 16.04 VM welke draait op mijn ESXi server. De mailserver draait op basis van Postfix en Dovecot met daarbij de nodig anti SPAM software en Roundcube als webmail. Webmail wordt nauwelijks gebruikt maar soms toch wel handig en dan kunnen mensen zo ook zelf hun wachtwoord wijzigen. Ook heb ik volledig DKIM / DMARC geïmplementeerd, zowel voor signing als validatie en ondersteunt mijn mailserver volledig IPv6. Mail stuur ik zelf naar buiten via mijn XS4ALL glasvezel verbinding wat met reverse DNS voor zowel IPv4 als IPv6 prima gaat (geen last van blacklists of iets dergelijks). De SSL certificaten die ik gebruik zijn van Let's Encrypt, zowel voor Postfix als Dovecot. En ook voor de webmail al staat daar het certificaat op mijn Nginx reverse proxy die ik heb omdat ik naast mail ook een Nextcloud VM en een webserver VM heb draaien.

Enige toevoeging die ik nog overweeg in mijn setup is om een goedkope OVH VPS als fallback MX te nemen. Zo zou ik niet langer afhankelijk zijn van de afzenders om mail te bewaren en opnieuw aan te bieden in het geval dat mijn mailserver thuis een keer onbereikbaar is.

Ik gebruik een spamfilter van Routit. Mijn MX records wijzen naar hun, zij scannen en leveren af op mijn Exchange. Kost paar euro en als de mailserver keer down is houden ze dat 48uur vast o.i.d.

2 vliegen in 1 klap.

Inventaris - Koop mijn meuk!

woensdag 3 oktober 2018 22:09

Acties:

0 Henk 'm!

Ploink

Ploink schreef op zondag 1 juli 2018 @ 21:28:
Ik draai al 18 jaar de Courier mailserver,

Immiddels heb ik courier-imap omgeruild voor Dovecot met Pigeonhole. Courier-mta blijft voorlopig want die voldoet prima. Ik heb nog wel even gekeken naar OpenSMTPD maar de ontwikkeling gaat traag en als ze na 5 jaar nog steeds geen mogelijkheid hebben voor SPF/DKIM/Greyslist/RBL/etc filters is het een kansloos project imho.

Radicale is geinstalleerd als Caldav/CardDAV server achter een reverse proxy met mod_auth_dovecot voor de authenticatie en werkt goed met DAVdroid op de smartphone. Kalenders delen kan door een symlink te maken op de server. Voor Thunderbird zijn er de Lightning en Cardbook plugins. Misschien dat ik later nog eens DaviCal of NextCloud probeer.

IMAP push notificaties werken helaas niet met de standaard email app in Android, maar met K9 mail werkt het vlekkeloos. Ik had eerst z-push geprobeerd met een aanpassing voor Radicale. Dit heeft even gedraaid tot er PHP errors kwamen doordat z-push zich verslikte in een bepaalde email.

woensdag 3 oktober 2018 22:34

Acties:

0 Henk 'm!

wslagendijk

Ik bedien al jaren mijn verschillende domeinen met een vps (bij Contabo) met Postfix en Kopano (voorheen Zarafa) en z-push. Eerst voorzien van een BitDefender oplossing voor anti-spam, nu al weer een geruime tijd en naar volle tevredenheid Rspamd.

Onlangs een dedicated server af genomen die ingericht gaat worden met Proxmox VE om wat meer segmentatie van services toe te passen (naast mail heeft de vps ook nog andere taken). Wat betreft mail functionaliteit zie ik eigenlijk geen reden om voor andere product-stack te gaan. Iemand die mij aan het twijfelen kan brengen?

dinsdag 9 oktober 2018 20:56

Acties:

0 Henk 'm!

Ploink

@wslagendijk Kopano en Z-push worden samen ontwikkeld en is dus een optimale combinatie als je Exchange ActiveSync (EAS) support nodig hebt.

Op de wikipagina van het oudere ActiveSync staat "Not to be confused with Exchange ActiveSync" en wat doen ze vervolgens? Ze verwarren de boel want ze noemen een aantal implementaties van EAS

Er zijn dus nog andere opensource implementaties van EAS: syncroton (gebruikt door Tine 2.0 en Kolab) en Horde_ActiveSync. Horde heeft de beste EAS support volgens hun ActiveSync Feature Grid

dinsdag 9 oktober 2018 21:02

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

@Ploink, SOGo heeft natuurlijk ook nog een opensource implementatie.

[ Voor 4% gewijzigd door begintmeta op 09-10-2018 21:02 ]

zondag 7 januari 2024 17:50

Acties:

+1 Henk 'm!

ericafterdark

Tof! Er is een topic!

Ik heb recent ontdekt dat e-mail hosten hartstikke eenvoudig en leuk kan zijn. Het probleem van uitgaande e-mail (help, mijn e-mail komt niet aan!) los je eenvoudig op door een dienst als SMTP2GO in te zetten. Gratis bij normaal persoonlijk gebruik.

Heb van alles geprobeerd waaronder mailcow, Mailu, Mail-in-a-Box, Docker Mailserver en Poste.io. Van de gratis opties vind ik mailcow het mooist, ondanks dat ik daar wel Roundcube aan heb toegevoegd. SOGo is niet mijn ding.

De betaalde versie van Poste.io is heel erg tof en kan interessant zijn wanneer je je mail server met meerdere mensen deelt.

Hier had uw reclame kunnen staan.

donderdag 18 januari 2024 19:54

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

ericafterdark schreef op zondag 7 januari 2024 @ 17:50:
Tof! Er is een topic!

Ik heb recent ontdekt dat e-mail hosten hartstikke eenvoudig en leuk kan zijn. Het probleem van uitgaande e-mail (help, mijn e-mail komt niet aan!) los je eenvoudig op door een dienst als SMTP2GO in te zetten. Gratis bij normaal persoonlijk gebruik.

Tenzij je op een netwerk zit waar veel abuse vandaan komt en dus redelijke hoge kans dat het hele netwerk op RBLs komt te staan, is het in mijn ervaring niet nodig om een externe / outbound MTA te gebruiken.

Een beetje fatsoenlijke logging kan je prima vertellen waardoor andere partijen mails niet willen afleveren.

Ik gebruik zelf overigens de CLI gebaseerde mutt. Maar omdat niet iedereen een hardcore Unix fanboii is draai ik (elders) ook een webnail ding. Ik gebruik hiervoor SnappyMail (gemaakt door een Tweaker).

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

donderdag 18 januari 2024 20:02

Acties:

0 Henk 'm!

ericafterdark

jurroen schreef op donderdag 18 januari 2024 @ 19:54:
[...]

Tenzij je op een netwerk zit waar veel abuse vandaan komt en dus redelijke hoge kans dat het hele netwerk op RBLs komt te staan, is het in mijn ervaring niet nodig om een externe / outbound MTA te gebruiken.

Een beetje fatsoenlijke logging kan je prima vertellen waardoor andere partijen mails niet willen afleveren.

Ik gebruik zelf overigens de CLI gebaseerde mutt. Maar omdat niet iedereen een hardcore Unix fanboii is draai ik (elders) ook een webnail ding. Ik gebruik hiervoor SnappyMail (gemaakt door een Tweaker).

Ja, goed punt. Ik heb mijn VPS bij Hetzner en nam daarom maar meteen het zekere voor het onzekere

Hier had uw reclame kunnen staan.

vrijdag 19 januari 2024 09:27

Acties:

+1 Henk 'm!

vanaalten

jurroen schreef op donderdag 18 januari 2024 @ 22:21:
Ik ben bijna twee decennia geleden begonnen met het draaien van een eigen mailserver. Dat doe ik nu al vrij lang met OpenSMTPD als de MTA. Daarvoor Postfix op OpenBSD, maar wat een enorm verschil

Uiteraard met TLS, SPF, DKIM, DMARC, DANE, MTA-STS etc. En een 100% op internet.nl (plus de hoogst mogelijke score op andere testen, waaronder hardenize).

Ik maak geen gebruik van externe partijen - dus MTA draai ik geheel zelf. De mailserver heeft FDE en daarnaast is er ook per-mailbox encryptie.

De mailserver draait alleen de bare necessities. Dus MTA, MDA en anti-spam. Webmail heb ik in een VM (VPS op eigen hardware) draaien - omdat ik geen webstack inclusief PHP hoef op een mailserver.

Eigen mailserver, ruim 20 jaar ondertussen, op een minicomputer in de meterkast met Debian Linux, Postfix, dovecot, Spamassassin en ga zo maar door. Met inderdaad DKIM, SPF, DMARC en TLS (en DANE/MTA-STS zegt mij even niets... huiswerk voor mij om dat uit te zoeken);
De test op internet.nl kende ik nog niet en zit 'slechts' op 68% - denk vooral omdat ik IPv6 hier nog niet ingesteld heb, al lijkt er nog wel iets meer aan de hand te zijn.
Ook via port25.com kan je checken hoe zuiver je uitgaande mail is (https://postmarkapp.com/b...on-and-spam-assassin-tool), hier in elk geval SPF en DKIM in orde, enkel "iprev" fail.

Voorheen zat ik bij Ziggo en moet uitgaande mail via hun mailserver - wat nogal vervelend is, want dan ben je ook afhankelijk van de spam-check op diezelfde server. Toch al een paar keer meegemaakt dat een legitieme uitgaande mail door Ziggo geblokt werd. Nu bij Freedom zodat ik weer rechtstreeks mail kan uitsturen - en binnenkort dan ook een 'reverse ptr' record laten instellen, dat zal wellicht ook helpen in de ontvangst van m'n mail.

Maar hoe dan ook: goede logging aan mijn kant helpt niet bij het bepalen van wat er aan de ontvangstkant gebeurd. Gmail/Hotmail kunnen af en toe besluiten mijn mail te weigeren. Ook vorig jaar een mail naar een of ander duits energiebedrijf die niet aankwam (of daar in een spamfolder kwam) en dan heb je als verzender echt geen idee wat je kan doen om je mail wel te laten aankomen. Dat is wel het grote nadeel aan zelf je mail hosten.

Maar @jurroen, dank voor de tips in je post, heb hier weer wat werk om dingen te verbeteren.

vrijdag 19 januari 2024 10:18

Acties:

+1 Henk 'm!

jurroen

Security en privacy geek

vanaalten schreef op vrijdag 19 januari 2024 @ 09:27:
[...]

Eigen mailserver, ruim 20 jaar ondertussen, op een minicomputer in de meterkast met Debian Linux, Postfix, dovecot, Spamassassin en ga zo maar door. Met inderdaad DKIM, SPF, DMARC en TLS (en DANE/MTA-STS zegt mij even niets... huiswerk voor mij om dat uit te zoeken);

Nice! Ik vind het echt heerlijk om een eigen mailserver te draaien.

DANE is een techniek waarbij je de fingerprint van het SSL TLS certificaat in een (TLSA) DNS record 'embed'. Hoewel de ondersteuning van browsers nog erg teleurstellend is voor DANE, is dat met MTAs een ander verhaal.

Met MTA-STS serveer je op een webserver een bestandje die aangeeft welke mailservers namens je domein mogen mailen en dat in het vervolg de verbindjng via TLS moet gaan. Een soort HSTS (HTTP Strict Transport Security) maar dan voor mail.

De test op internet.nl kende ik nog niet en zit 'slechts' op 68% - denk vooral omdat ik IPv6 hier nog niet ingesteld heb, al lijkt er nog wel iets meer aan de hand te zijn.

Internet.nl kijkt naar meer dingen, onder andere DANE. Als je dat hebt scoor je dus al hoger. De missende IPv6 zou ik mij nog niet teveel zorgen om maken, maar als je het kunt fixen vooral doen. Zonder kun je niet hoger scoren dan 7x of 8x procent.

Ook via port25.com kan je checken hoe zuiver je uitgaande mail is (https://postmarkapp.com/b...on-and-spam-assassin-tool), hier in elk geval SPF en DKIM in orde, enkel "iprev" fail.

Nice! Ik gebruik zelf vaak ook mail-tester.com.

Voorheen zat ik bij Ziggo en moet uitgaande mail via hun mailserver - wat nogal vervelend is, want dan ben je ook afhankelijk van de spam-check op diezelfde server. Toch al een paar keer meegemaakt dat een legitieme uitgaande mail door Ziggo geblokt werd. Nu bij Freedom zodat ik weer rechtstreeks mail kan uitsturen - en binnenkort dan ook een 'reverse ptr' record laten instellen, dat zal wellicht ook helpen in de ontvangst van m'n mail.

Let wel, als je één IP hebt kan abuse van je webverkeer ook invloed hebben op je deliverability. In theorie, althans.

Maar hoe dan ook: goede logging aan mijn kant helpt niet bij het bepalen van wat er aan de ontvangstkant gebeurd. Gmail/Hotmail kunnen af en toe besluiten mijn mail te weigeren. Ook vorig jaar een mail naar een of ander duits energiebedrijf die niet aankwam (of daar in een spamfolder kwam) en dan heb je als verzender echt geen idee wat je kan doen om je mail wel te laten aankomen. Dat is wel het grote nadeel aan zelf je mail hosten.

Voor Office365 kun je je aanmelden voor SNDS. Die doet wel een check over de eigenaar van het IP adres, ligt eraan hoe je provider dat ingeregeld heeft. Pro-tip: doe dat pas nadat je de PTR hebt geregeld. Met SNDS kun je goed inzichtelijk krijgen of je issues hebt naar O365.

Verder is hiervoor een DMARC record met een forensic adres erg geschikt. Uitlezen van die reports kan via een SaaS tool als powerdmarc.com. Er is ook een open source tooltje voor beschikbaar - moet je de naam even schuldig blijven.

[ Voor 0% gewijzigd door jurroen op 19-01-2024 14:47 . Reden: Quote tag gefixt ]

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 19 januari 2024 12:00

Acties:

0 Henk 'm!

ericafterdark

jurroen schreef op donderdag 18 januari 2024 @ 22:21:
Ik ben bijna twee decennia geleden begonnen met het draaien van een eigen mailserver. Dat doe ik nu al vrij lang met OpenSMTPD als de MTA. Daarvoor Postfix op OpenBSD, maar wat een enorm verschil

Uiteraard met TLS, SPF, DKIM, DMARC, DANE, MTA-STS etc. En een 100% op internet.nl (plus de hoogst mogelijke score op andere testen, waaronder hardenize).

Ik maak geen gebruik van externe partijen - dus MTA draai ik geheel zelf. De mailserver heeft FDE en daarnaast is er ook per-mailbox encryptie.

De mailserver draait alleen de bare necessities. Dus MTA, MDA en anti-spam. Webmail heb ik in een VM (VPS op eigen hardware) draaien - omdat ik geen webstack inclusief PHP hoef op een mailserver.

Ik behaal een score van 93% op internet.nl dus ben ook goed op weg.

Zorgt DANE niet voor een potentieel compatibiliteit probleem met sommige servers?

Hier had uw reclame kunnen staan.

vrijdag 19 januari 2024 12:14

Acties:

0 Henk 'm!

ahbart

Ik draai een Ubuntu server bij contabo. Al enige jaren inmiddels. In eerste instantie alles zelf geregeld met Postfix, Dovecot etc. Inclusief alle beveiligingszaken en dns instellingen.
Inmiddels al 1,5 jaar over gestapt op MailCow dockers. Dat werkt nog beter en is aanzienlijk onderhoudsvriendelijker en 'zorg ontnemend' vergeleken met alles zelf regelen.
Internet.nl geeft me een score van 95%. Hoger dan toen ik het zelf regelde.

Tenminste één van je mailserverdomeinen bevat geen TLSA-record voor DANE.

Maar geen problemen met mail delivery en ontvangst.
Edit: Ik zie nu dat Dane wel slaagt op het hoofddomein. Ik heb 3 domeinen namelijk. Nog maar even uitzoeken hoe dat kan.

[ Voor 9% gewijzigd door ahbart op 19-01-2024 12:20 ]

vrijdag 19 januari 2024 14:25

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

ericafterdark schreef op vrijdag 19 januari 2024 @ 12:00:
[...]

Ik behaal een score van 93% op internet.nl dus ben ook goed op weg.

Zorgt DANE niet voor een potentieel compatibiliteit probleem met sommige servers?

Nice! Gefeliciteerd!

Nee, DANE levert geen compatibility issues op. De MTAs die het niet ondersteunen kunnen het natuurlijk ook niet nazoeken in de DNS.

Het enige is wel: als je een ACME CA gebruikt dien je even na te pluizen of de private key per domein veranderd na een renewal. Bij certbot en acme.sh is dat niet het geval, bij DirectAdmin bijvoorbeeld weer wel.

Andere private key is ook een andere fingerprint.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 19 januari 2024 15:43

Acties:

0 Henk 'm!

mfkne

Ik draai al jaren alles op basis van iRedMail, maar intussen wel erg zelf aangepast. Draait op een ARM-VPS bij Hetzner en haal 100% in de internet.nl test.

Er zijn alleen twee problemen, Google vind dat de reputatie van het IPv6 adres niet goed genoeg is (dus heb ik Postfix maar zo ingesteld dat hij uitgaand alleen IPv4 gebruikt) en zo'n beetje alle e-mail naar O365 adressen gaat naar Spam daar. Voor domeins waarvan ik weet dat ze op O365 draaien heb ik Postfix zo ingesteld dat e-mails via SMTP2GO worden gestuurd.

vrijdag 19 januari 2024 16:15

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

begintmeta schreef op vrijdag 5 februari 2016 @ 12:04:
Hier ook alweer een jaar of vijf mail op basis vanPostfix/Dovecot (met SOGo als web-frontend/Card-/CalDAV-service).

Ik heb sinds kort mijn e-mail-services weer uit handen gegeven... Wel heel lang probleemloos bovenstaande combinatie gedraaid.

vrijdag 19 januari 2024 16:38

Acties:

0 Henk 'm!

vanaalten

jurroen schreef op vrijdag 19 januari 2024 @ 10:18:
Internet.nl kijkt naar meer dingen, onder andere DANE. Als je dat hebt scoor je dus al hoger. De missende IPv6 zou ik mij nog niet teveel zorgen om maken, maar als je het kunt fixen vooral doen. Zonder kun je niet hoger scoren dan 7x of 8x procent.

DANE record toegevoegd.

En nu kan ik, zonder IPv6, een score van 87% of zo halen... MAAR, ik heb ook een fall-back MX (relay.transip.nl) en daar valt die test op uit. STARTTLS is not reachable op die relay. Nou weet ik niet hoe zinnig het is om een relay te hebben - zo heel af en toe gebeurd het wel eens dat m'n mailserver er uit ligt, of de provider er uit ligt, dan is het toch fijn als er iemand anders is die de mail opvangt en t.z.t. doorstuurt.

Binnenkort ook IPv6 maar eens aanzetten. Destijds bij Ziggo gaf dat op een gegeven moment ineens storing waarna ik het maar had uitgezet; wellicht dat het nu bij Freedom beter werkt. Maar even wachten wanneer hier in huis er minder internet-afhankelijkheid is voor ik wat ga verprutsen.

vrijdag 19 januari 2024 17:01

Acties:

+2 Henk 'm!

jurroen

Security en privacy geek

vanaalten schreef op vrijdag 19 januari 2024 @ 16:38:
[...]

DANE record toegevoegd.

Super, echt lekker bezig!

Nou weet ik niet hoe zinnig het is om een relay te hebben - zo heel af en toe gebeurd het wel eens dat m'n mailserver er uit ligt, of de provider er uit ligt, dan is het toch fijn als er iemand anders is die de mail opvangt en t.z.t. doorstuurt.

Als het niet vaak gebeurd en we het niet over meerdere dagen hebben dan heb je zo'n relay in de praktijk niet echt nodig.

Dat komt omdat mail behoorlijk vergevingsgezind is, op een MX die niet bereikbaar is. Als het een "hard bounce" is (dus als jouw MTA m weigert) is dat een ander verhaal.

Als je nachtrust daaronder zou leiden, kun je er natuurlijk voor kiezen om je mailserver extern te monitoren. En als er wat mee is, dat je dan een push bericht krijgt, een SMS of whatever. Het kan zelfs via Signal

(Uptime Kuma op een externe VPS, heb je wel een nummer nodig daarvoor - maar gratis SIM is zo gehaald).

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

zaterdag 20 januari 2024 21:26

Acties:

0 Henk 'm!

Vergeten

Chaos is complexe orde

Ik heb een oplossing met Ubuntu/postfix/dovecot/let'sencrypt/snappymail. Die werkt goed en inmiddels een 100% score op internet.nl (mits relay.transio.nl mee werkt). Mijn grote uitdaging is MFA of 2FA op dovecot. Iemand daar ervaring mee? Primaire client is Mail op iOS...

zaterdag 3 februari 2024 12:43

Acties:

0 Henk 'm!

jb044

De boel ge'upgrade naar AlmaLinux 9 en draai nu bijna alle server zaken in podman containers. Mail in docker mailserver, aangevuld met een simpele hello world web pod voor antimatisch vernieuwen van de let's encrypt certs en een solr pod voor snel zoeken in mijn belachelijk grote imap collectie van 20+ jaar aan mail. Kers op taart: een custom sogo pod voor webmail en card- en caldav.

Vooral docker mailserver is een verademing, aan werkelijk bijna alles is gedacht, het is stabiel en makkelijk op te zetten en vooral het werkt! Aanrader

vrijdag 29 november 2024 08:33

Acties:

0 Henk 'm!

vanaalten

Kick, maar dit topic lijkt mij wel een toepasselijk punt om m'n vraag te stellen:

Eerder deze week een mailtje gestuurd naar de redactie van De Correspondent (online krant) en enkele dagen later een reactie met o.a. "excuses voor late reactie maar je mail was in de spambox beland waardoor die over het hoofd is gezien".

Nu ben ik benieuwd wat ik kan doen om de kans te verkleinen dat m'n mail in de spambox van een bedrijf beland.

Situatie:

Mailserver thuis met Debian (stable), Postfix, Dovecot, Roundcube (die laatste is waar ik de mail mee heb verstuurd, voor het geval dat relevant is)
Provider: Freedom. Versturen en ontvangen vanaf m'n server via poort 25, geen relay ertussen.
Bij Freedom dus ook reverse-DNS record ingesteld
Mailtje gestuurd naar 'check-auth@verifier.port25.com' om een report terug te krijgen over hoe goed m'n setup is: SPF pass; 'iprev' pass; DKIM pass.
Server laten checken op internet.nl en 100% score.

Nou weet ik natuurlijk niet op basis waarvan m'n mail in een spambox is gekomen, maar wat zijn de dingen die ik zelf nog kan controleren?

vrijdag 29 november 2024 08:38

Acties:

+2 Henk 'm!

RobbyTown

Godlike

En als je dat betreffende mailtje stuurt naar www.mail-tester.com wat komt daar voor score uit?

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 29 november 2024 09:20

Acties:

+1 Henk 'm!

vanaalten

RobbyTown schreef op vrijdag 29 november 2024 @ 08:38:
En als je dat betreffende mailtje stuurt naar www.mail-tester.com wat komt daar voor score uit?

Ah, daar komen wel wat interessante dingen uit. Score: 9.5.

Halve punt aftrek is voor "We found 6 images without alt attribute in your message body". Mja, ik heb dus een reply gedaan op een mail van De Correspondent, heb zelf geen plaatjes toegevoegd dus lijkt mij dat de oorspronkelijke mail geen 'alt' attrib aan de plaatjes had gegeven.
Geen aftrek maar wel een oranje vinkje op "Your message does not contain a List-Unsubscribe header". Mja. Mailtjes die ik zelf stuur zijn niet van een mailinglist, dus lijkt mij onzin dat ik dan een list-unsubscribe header moet meesturen.

Waar ik het interessant vind worden: "Your message failed the DMARC verification". Maar, details:

code:

The DMARC test failed but we didn't find any obvious reason why.
If you recently modified your DNS, please wait a few hours and then test again.

DMARC DNS entry found for the domain _dmarc.mijndomein.tld:

"v=DMARC1; p=reject; ruf=mailto:dmarc@mijndomein.tld"

Verification details:

    mail-tester.com; dmarc=none header.from=mijndomein.tld
    mail-tester.com; dkim=pass (2048-bit key; unprotected) header.d=mijndomein.tld header.i=@mijndomein.tld header.b=BmUMymo6; dkim-atps=neutral
    From Domain: mijndomein.tld
    DKIM Domain: mijndomein.tld

(mijn domeinnaam vervangen door mijndomein.tld)
Hier moet ik op een rustig moment misschien eens naar kijken, wat DMARC precies inhoudt, hoe de check werkt en waarom die failed.

En nog een oranje vinkje: "Your reverse DNS does not match with your sending domain.". Die is een stuk concreter:
code:
1 2
HELO: mail.mijndomein.tld rDNS: mijndomein.tld
Eens kijken of dit eenvoudig aan te passen is - maar in elk geval wat duidelijker dan de DMARC melding.

Mogelijk dat er met die laatste twee bullets nog wat te halen valt. Weliswaar zorgden die niet voor punten-aftrek, maar wellicht dat een spamfilter daar wel gevoelig voor is. Dank voor de tip!

--

Edit: myhostname in Postfix setup gecorrigeerd naar mijndomein.tld. Mailtje naar 'check-auth@verifier.port25.com' geeft nog steeds 3 x pass, maar mail-tester.com geeft nu betere resultaten. Zowel de DMARC verification als reverse-DNS zijn daarmee opgelost.

Mooi, hopelijk daarmee nog wat minder in spambox belanden.

[ Voor 7% gewijzigd door vanaalten op 29-11-2024 09:38 ]

vrijdag 29 november 2024 11:19

Acties:

+1 Henk 'm!

RobbyTown

Godlike

Het stond toch al aardig goed ingesteld. Heb het beroerder gezien.

DMARC is een redelijk belangrijke tegenwoordig om spam tegen te gaan. Als bedrijven dat streng hebben staan beland het in de spam of direct delete. Vorige werk ook zo ingesteld om spam tegen te gaan. Maar hierdoor werden er veel klanten gemist die het beroerd hadden ingesteld. Die werden gemist omzet verlies ligt aan de IT!

Onzin gewoon die spambox bijhouden en klant opvoeden elders kan hun mail dan ook in de spam belanden, maar is niet ons probleem. Het koste omzet.

Sales is heilig dus minder streng ingesteld. Minder klanten in de spam. Maar ook echte spam kwam door was niet zo fijn maar liever dat dan klanten missen.

Prima tot je keer een foute mailtje te pakken hebt

.

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 29 november 2024 11:39

Acties:

+2 Henk 'm!

ahbart

Wat ik begreep wat ook nog kan helpen in de Google mailserver wereld is om je domein aan te melden bij postmaster.google.com. En daar een verificatie te regelen in je eigen dns.

Naar aanleiding van je bericht @vanaalten heb ik ook maar weer eens ter controle gekeken naar mail-tester.com -> score 10/10 !! Yes.

vrijdag 29 november 2024 12:45

Acties:

0 Henk 'm!

vanaalten

ahbart schreef op vrijdag 29 november 2024 @ 11:39:
Wat ik begreep wat ook nog kan helpen in de Google mailserver wereld is om je domein aan te melden bij postmaster.google.com. En daar een verificatie te regelen in je eigen dns.

Maar... dat kan alleen, zo te zien, als je een google account hebt.

vrijdag 29 november 2024 12:47

Acties:

0 Henk 'm!

ahbart

vanaalten schreef op vrijdag 29 november 2024 @ 12:45:
[...]

Maar... dat kan alleen, zo te zien, als je een google account hebt.

Ja klopt. Een gratis gmail account. Die gebruik ik verder nog maar heel beperkt.

vrijdag 29 november 2024 13:05

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

ahbart schreef op vrijdag 29 november 2024 @ 11:39:
Wat ik begreep wat ook nog kan helpen in de Google mailserver wereld is om je domein aan te melden bij postmaster.google.com. En daar een verificatie te regelen in je eigen dns.

Wat doet dat precies? En heb je daar mogelijk ook iets aan als je geen problemen ondervindt met de bezorgbaarheid van je email bij GMail?

Gewoon een heel grote verzameling snoertjes

vrijdag 29 november 2024 13:09

Acties:

0 Henk 'm!

ahbart

Compizfox schreef op vrijdag 29 november 2024 @ 13:05:
[...]

Wat doet dat precies? En heb je daar mogelijk iets aan als je geen problemen ondervindt met de bezorgbaarheid van je email bij GMail?

Het is al weer een tijd geleden. Maar ik had in het verleden wel eens mail die niet aankwam bij gmail gebruikers. Toen meen ik te hebben gelezen dat je domein aanmelden bij postmaster.google.com hielp om google je domein als betrouwbare mailserver aan te melden. Ik heb 3 domeinen zo geverifieerd en volgens mij nooit problemen meer. Dus blijkbaar werkt dat.
Postmaster geeft een sleutel die je in je dns moet opnemen als txt regel. Daarmee verifieer je.
Dus als je geen problemen hebt met gmail bezorging dat hoeft dat denk ik niet.

[ Voor 5% gewijzigd door ahbart op 29-11-2024 13:09 ]

vrijdag 29 november 2024 13:16

Acties:

0 Henk 'm!

mrmrmr

ahbart schreef op vrijdag 29 november 2024 @ 13:09:
[...]

Het is al weer een tijd geleden. Maar ik had in het verleden wel eens mail die niet aankwam bij gmail gebruikers. Toen meen ik te hebben gelezen dat je domein aanmelden bij postmaster.google.com hielp om google je domein als betrouwbare mailserver aan te melden. Ik heb 3 domeinen zo geverifieerd en volgens mij nooit problemen meer. Dus blijkbaar werkt dat.
Postmaster geeft een sleutel die je in je dns moet opnemen als txt regel. Daarmee verifieer je.

En als je via IPv6 mail verstuurt, dan heeft dat IP adres een PTR record ("reverse DNS") nodig. Die moet je dan regelen bij je hoster. Sommige hosters, zoals Strato, bieden die mogelijkheid niet bij de goedkopere VPS. Het is mogelijk om bijvoorbeeld in de Exim configuratie IPv6 voor Google servers te vermijden.

code:

hostlist google_ipv6 = <; 2001:4860::/32 ; 2401:fa00::/32 ; 2404:6800::/32 ; 2600:1900::/28 \
        ; 2605:ef80::/32 ; 2607:f8b0::/32 ; 2620:0:1000::/40 ; 2620:120:e000::/40 ; 2620:15c::/36 \
        ; 2800:3f0::/32 ; 2a00:1450::/32 ; 2a00:79e0::/32 ; 2a03:ace0::/32 ; 2c0f:fb50::/32

dnslookup:
  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 : 192.168.0.0/16 :\
                        172.16.0.0/12 : 10.0.0.0/8 : 169.254.0.0/16 :\
                        255.255.255.255 : +google_ipv6