Eigen domein e-mail: hoe veilig instellen?

Er zijn allerlei mogelijkheden allerlei soorten 2FA (bijvoorbeeld totp of FIDO2) te implementeren, ook met IMAP of roundcube als interface. Een tip is misschien om het niet zelf te doen maar het uit te besteden, als je het zelf wil doen moet je gewoon beginnen met nog wat meer verdiepen in het onderwerp denk ik.

Gewoon lekker op gmail blijven zitten? Ik durf wel te stellen dat dat een stuk veiliger is dan de mailserver bij een vriend met Roundcube webmail erop.

Je kan ook je eigen domein gebruiken icm met een betaald gmail account.

Of ben je ook bezorgd om je privacy? Dat is een heel ander vraagstuk namelijk.

2FA is maar een kleine schakel in het geheel.

Aangezien je nu een eigen domein hebt zou ik eerst maar eens kijken naar SPF, DKIM, DMARC en de gebruikte spamfilters.

[ Voor 28% gewijzigd door eric.1 op 27-11-2018 11:40 ]

Volgens mij kan Roundcube wel 2FA gebruiken maar moet dit wel geïmplementeerd worden op het platform. Aangezien je mail via de hostingprovider loopt moet je bij hun aankloppen.

@eric.1 Zijn mail loopt via de hostingprovider dus hij kan hier niks mee tenzij hij zelf een mailserver gaat hosten.

[ Voor 38% gewijzigd door HKLM_ op 27-11-2018 11:40 ]

eric.1 schreef op dinsdag 27 november 2018 @ 11:38:
Aangezien je nu een eigen domein hebt zou ik eerst maar eens kijken naar SPF, DKIM, DMARC en de gebruikte spamfilters.

SPF, DKIM en DMARC helpen om het voor anderen moeilijker te maken om jouw emaildomein te spoofen. Volgens mij wil @AVGekkie vooral voorkomen dat iemand anders zijn mailbox kan openen.

Jazzy schreef op dinsdag 27 november 2018 @ 11:42:
[...]
SPF, DKIM en DMARC helpen om het voor anderen moeilijker te maken om jouw emaildomein te spoofen. Volgens mij wil @AVGekkie vooral voorkomen dat iemand anders zijn mailbox kan openen.

Enige wat ik probeer aan te geven; met een eigen domein komen ook weer andere "problemen" kijken. Het is geen out-of-the-box beter idee in alle gevallen.

AVGekkie schreef op dinsdag 27 november 2018 @ 11:47:
Hoe hebben jullie dit geregeld? Ik hoor graag jullie ervaringen/tips etc.

Misschien lees ik er overheen maar draait die vriend van je een mailserver of doet de hosting partij dit en beheerd die vriend alleen het domein?

Roundcube heeft verschillende plugins voor het gebruiken van 2fa. Zie bijvoorbeeld https://plugins.roundcube.net/search/?tags=Authentication. Het lastige is wel dat met roundcube dit prima zal werken, maar als je dit e-mailadres wilt koppelen aan Outlook wordt het een stuk lastiger.

Overigens, als je de mailomgeving zelf wilt hosten kun je ook kijken naar oplossingen als Mail-in-the-box, Mailcow of de uitgebreide software toolkit sovereign

AVGekkie schreef op dinsdag 27 november 2018 @ 11:56:
[...]


Ik had eerst een domein aangemeld bij een andere hosting partij en daarna verhuisd naar zijn hosting partij waar hij alles voor mij heeft geregeld. Dus volgensmij staat is de 'hierarchie' ook nog zo:
hostpartij
vriend
ik

Dus ik spreek mezelf hier ook nog eens tegen wat betreft toegangsbeveiliging volgensmij.

Dat is nog niet het antwoord wat ik zoek als je vriend zelf een mailserver heeft draaien dan kan je hem vragen dit te regelen. Heeft hij jouw domein gewoon gekoppeld aan de mail service van je hosting partij dan regelen zij alles en zal je bij hun moeten vragen wat er mogelijk is of je gaat zelf hosten. (office 365 ofzo)

Ik zou - persoonlijk - een oplossing zoeken waarbij jij direct bij een hoster zit, zonder een andere partij ertussen. Het maakt niet uit of het een vriend is, maar op dit moment is er een potentiele extra persoon die bij je mail zou kunnen komen.
Wil je het helemaal veilig (en daar kun je (gezien " ik ga ook steeds meer werken in het vakgebied security, privacy, informatiebeveiliging etc.") meer dan ZAT van leren) overweeg dan gewoon ergens een VPS in te richten. Dan draai je alles op je eigen server, met je eigen beveiliging.

En als je dan hulp van je vriend nodig hebt, dan kan hij dat op jouw server doen, waar JIJ de wachtwoorden van kent. In plaats van in zijn hostingpakket waar HIJ de wachtwoorden van kent.

Je vriend kan dan ook bij al je mails.

edit: zoals @Jester-NL ook vermeld.

[ Voor 33% gewijzigd door Tazzios op 27-11-2018 12:02 ]

VPS'je met https://mailinabox.email/. Dik tevreden over.

AVGekkie schreef op dinsdag 27 november 2018 @ 11:56:
[...]


Ik had eerst een domein aangemeld bij een andere hosting partij en daarna verhuisd naar zijn hosting partij waar hij alles voor mij heeft geregeld. Dus volgensmij staat is de 'hierarchie' ook nog zo:
hostpartij
vriend
ik

Dus ik spreek mezelf hier ook nog eens tegen wat betreft toegangsbeveiliging volgensmij.

Misschien moet je het eerst gewoon even zo laten hoe het is, totdat je wat meer thuis bent in de materie. Er worden allerlei suggesties gedaan maar als je niet goed bekend bent met de basics van DNS en mail flow dan is het opzetten en beheren van een eigen oplossing misschien nog een brug te ver.

Edit: Of het gewoon onderbrengen bij een partij die de boel op orde heeft en MFA aanbiedt zoals Microsoft.

[ Voor 6% gewijzigd door Jazzy op 27-11-2018 12:07 ]

Als ik zelf mijn mail zou willen hosten zou ik gaan voor Exchange Online Abonnement 1 maar dat is mijn mening. Zelf hosten op een VPS is leuk maar vergt ook kennis en beheer wat je structureel moet uitvoeren.

AVGekkie schreef op dinsdag 27 november 2018 @ 12:13:
Excuus als ik overkom als een noob, maar ik wil graag meer leren op dit gebied!

Probeer in technische termen te gaan denken, niet in vaagheden zoals 'domein is gekoppeld aan...'.

Om te beginnen registreer je een domein bij een registrar, daar geef je ook op welke DNS servers je wilt gebruiken voor dit domein. In DNS maak je een MX-record aan dat gebruikt wordt door verzendende partijen om te weten naar welke host ze email voor dit domein moeten sturen.

Op dat IP-adres luistert vervolgens een bepaalde host die de mail aanneemt, meestal na controle of het mailadres daadwerkelijk bestaat en een scan op spam of malware. Die host kan tegelijk ook de server zijn waar je email opgeslagen wordt, of deze doorsturen naar de server waar je mailbox staat. Die server benader je vervolgens met clientprotocollen zoals IMAP of HTTPS.

In de praktijk zijn de registrar en DNS servers vaak ondergebracht bij dezelfde dienst. Hetzelfde geldt voor email, vaak gebruik je één partij die je email opslaat en beschikbaar maakt voor de gebruikers, en ook spamfiltering en dergelijke uitvoert.

Als je zorgt dat je in ieder geval een voldoende lang wachtwoord gebruikt alleen voor mail dan schiet het al aardig op. Vervolgens nergens webmail gebruiken is dat al een tweede stap. Als de server verder netjes ingericht is dan is dat voldoende veilig. Als je in het vakgebied wil werken dan moet je beseffen dat niets echt absoluut veilig is, maar altijd een afweging tussen de kans en het gevolg. Of de moeite/ kosten en opbrengsten voor de dader.

Frogmen schreef op donderdag 29 november 2018 @ 12:50:
Als je zorgt dat je in ieder geval een voldoende lang wachtwoord gebruikt alleen voor mail dan schiet het al aardig op.

Ik denk dat dit achterhaald is. Er was een tijd dat een lang wachtwoord een bescherming bood tegen brute force inlogpogingen maar tegenwoordig zijn er legio manieren om credentials van een gebruiker te bemachtigen. De enige manier om te voorkomen dat die vervolgens gebruikt kunnen worden om je mailbox te benaderen is het gebruik van MFA.

Jazzy schreef op donderdag 29 november 2018 @ 13:12:
[...]

Ik denk dat dit achterhaald is. Er was een tijd dat een lang wachtwoord een bescherming bood tegen brute force inlogpogingen maar tegenwoordig zijn er legio manieren om credentials van een gebruiker te bemachtigen. De enige manier om te voorkomen dat die vervolgens gebruikt kunnen worden om je mailbox te benaderen is het gebruik van MFA.

Wat wil je bemachtigen als je nergens anders dat lange wachtwoord gebruikt. Dat wachtwoord alleen in je eigen veilige devices staat. En mfa in een mailclient heb ik nog nooit van gehoord, maar dat kan aan mij liggen.

En dan nog, succes je kan in mijn mail. Tuurlijk vervelend als je als mij mail verstuurd maar winst is er moeizaam te halen. En niet opvallen als de hele dag imap clients aanstaan wordt ook erg lastig.

Frogmen schreef op donderdag 29 november 2018 @ 13:37:
[...]

Wat wil je bemachtigen als je nergens anders dat lange wachtwoord gebruikt. Dat wachtwoord alleen in je eigen veilige devices staat. En mfa in een mailclient heb ik nog nooit van gehoord, maar dat kan aan mij liggen.

En dan nog, succes je kan in mijn mail. Tuurlijk vervelend als je als mij mail verstuurd maar winst is er moeizaam te halen. En niet opvallen als de hele dag imap clients aanstaan wordt ook erg lastig.

Ummm, wat nou als je via die e-mail een wachtwoord vergeten functie activeert van bvb bol.com? Vervolgens een sloot spullen op afbetaling besteld? Of ergens waar je een creditcard gekoppeld hebt. Of je paypal? Er zijn zoveel zaken waar je in kan komen via e-mail dat ik daar persoonlijk juist ontzettend zenuwachtig van word.

Craven schreef op donderdag 29 november 2018 @ 13:44:
[...]

Ummm, wat nou als je via die e-mail een wachtwoord vergeten functie activeert van bvb bol.com? Vervolgens een sloot spullen op afbetaling besteld? Of ergens waar je een creditcard gekoppeld hebt. Of je paypal? Er zijn zoveel zaken waar je in kan komen via e-mail dat ik daar persoonlijk juist ontzettend zenuwachtig van word.

Ja maar hoe hebben ze om te beginnen mijn wachtwoord te pakken gekregen. Paypal heb ik niet, dan zou het kunnen met afterpay maar dan is het risico voor hun dus ook niet mijn probleem. (kan uberhaupt met een random Email adres). Fraude is op heel veel manieren mogelijk ook zonder Email.

Ik ben ook ontgoogeld, en zit nu bij greenhost, een Nederlandse partij met privacy hoog in het vaandel. 2FA doen zij alleen niet; beoordeel even of dat knock-out criterium is. Zij loggen iig niets op de servers.

Frogmen schreef op donderdag 29 november 2018 @ 13:50:
[...]

Ja maar hoe hebben ze om te beginnen mijn wachtwoord te pakken gekregen.

Malware met een keylogger, man-in-the-middle attack, zeg het maar. Als je kijkt naar security breaches in de praktijk dan gaat dat in tweederde van de gevallen met gestolen credentials. Gezien het enorme aantal is dat blijkbaar lastiger te voorkomen dan je denkt. Wat je wel kunt voorkomen is dat die gelekte credentials vervolgens gebruikt kunnen worden om bij je data te komen, dat doe je dus met MFA.

Frogmen schreef op donderdag 29 november 2018 @ 13:50:
[...]

Ja maar hoe hebben ze om te beginnen mijn wachtwoord te pakken gekregen. Paypal heb ik niet, dan zou het kunnen met afterpay maar dan is het risico voor hun dus ook niet mijn probleem. (kan uberhaupt met een random Email adres). Fraude is op heel veel manieren mogelijk ook zonder Email.

Begint wel offtopic te raken zo. Maar dat is toch geen reden om je mail dan maar niet veilig te houden? Dat een inbreker via het raam naar binnen kan is toch ook geen reden om geen slot op je voordeur te zetten?

Afterpay is vziw niet voor hun risico. Iemand heeft onder jouw account (wat legal betreft ben jij dit gewoon) een bestelling geplaatst met afterpay. Dan ben jij verantwoordelijk en komen ze bij jou geld halen. Maar dit is maar een detail, met toegang tot een e-mailadres kun je tegenwoordig gewoon heel erg veel.

---

Zoals eerder gezegd, ik zou het niet plaatsen bij je vriendje. De mailservices van google en microsoft zijn gewoon ontzettend goed en prima beveiligd. Beter dan de gemiddelde kleine hoster. Die services kan je ook gewoon met je eigen domein draaien. Met jouw kennis van zaken zou ik het ook niet zelf willen beheren.

[ Voor 4% gewijzigd door Craven op 29-11-2018 13:57 ]

desmond schreef op donderdag 29 november 2018 @ 13:56:
...met privacy hoog in het vaandel. 2FA doen zij alleen niet...

Eén van die twee klopt niet.

Ze begrijpen SPF, DMARC en DKIM daar trouwens ook niet. Dat is wel erg slecht voor een partij die pretendeert dat ze voorop lopen op het gebied van privacy en beveiliging.

[ Voor 29% gewijzigd door Jazzy op 29-11-2018 14:09 ]

Jazzy schreef op donderdag 29 november 2018 @ 13:56:
[...]

Malware met een keylogger, man-in-the-middle attack, zeg het maar. Als je kijkt naar security breaches in de praktijk dan gaat dat in tweederde van de gevallen met gestolen credentials. Gezien het enorme aantal is dat blijkbaar lastiger te voorkomen dan je denkt. Wat je wel kunt voorkomen is dat die gelekte credentials vervolgens gebruikt kunnen worden om bij je data te komen, dat doe je dus met MFA.

Blijft mijn vraag welke Email client maakt gebruik van 2FA? Als je altijd van een Email client gebruik maakt hoe werkt het dan?

AVGekkie schreef op donderdag 29 november 2018 @ 16:34:
[...]


Dan ben ik toch benieuwd naar de mailservices van Microsoft, heb jij daar een linkje van?

Google eens op 'microsoft email services'

Er is op dit moment een club waarvan ik weet dat ze 2FA op je mail aanbieden:
Protonmail

mailbox doet het tegenwoordig ook met totp over de webinterface meen ik, helaas geen u2f/fido2. posteo doet het ook, maar die doen geen eigen domeinen.

[ Voor 33% gewijzigd door begintmeta op 29-11-2018 17:56 ]

AVGekkie schreef op donderdag 29 november 2018 @ 16:32:
[...] Ik heb nog steeds niet echt een eenvoudige oplossing.

Ah, we zijn terug bij les 1: Eenvoudig en secure gaan niet samen. Volgens mij was het deze driehoek: Je mag er maar twee kiezen! Drie is nooit mogelijk.


Bron: https://blog.infosanity.c...functionalityease-of-use/

Nou, vooruit, ease of use en secure gaan dus blijkbaar wel samen maar niet in jouw geval van functionality

[ Voor 19% gewijzigd door Room42 op 29-11-2018 18:03 ]

waarom koppel je niet je eigen domein aan je google mail account? (G Suite). Je behoud dan de eenvoud van google mail en je hebt de professionele uitstraling van je-eigen-domein.
En als je je druk maakt over security / privacy bij google, dan kun je altijd nog protonmail gebruiken.
De ervaringen die ik heb met zelf hosten/hobby hostingpartijen zijn waardeloos. Je zit altijd met anti-spam oplossingen te klooien en hebt een hoop werk aan onderhoud/security terwijl je voor een paar euro per maand dit kunt uitbesteden aan een professionele partij.

IMAP echt met 2fa doen is trouwens praktisch gezien onwerkbaar, je maakt dan altijd (eventueel indirect) een applicatiespecifiek wachtwoord.