zondag 4 januari 2026 14:45

Acties:
  • Xanthorax
  • Registratie: Januari 2000
  • Niet online

Xanthorax

Matched: Stalwart
Ik ben aan het experimenteren met het self-hosten van Stalwart Mail & Collaboration Server, als alternatief voor Google Workspace (mail, calendar, contacts, tasks, notes, journal, files).

De standaard installatie scoort out-of-the-box 100% op de internet.nl email test.
Maar er is nog veel wat ik moet uitzoeken en testen:
  • Reverse proxy (Caddy) er voor
  • Externe IAM (Authelia) in plaats van de interne, voor wat meer functionaliteit o.a. webauthn, passkeys en sso voor bijv iets als roundcube
  • Web client (Roundcube?)
  • Geen containers, gewoon native op linux (voornamelijk omdat ik werkende ipv6 wil hebben)
  • Uitzoeken hoe sieve (mail filtering scripts) en managedsieve (api om het server side te confen) werkt en of hier clients voor zijn (welke active support hebben)
  • Let's Encrypt integratie (native via Stalwart werkt prima, maar hoe gaat dat straks via Caddy) en dan met name het updaten van de TLSA records, afaik is hier nog niks voor op wat random users scripts na (zelf al wat python gemaakt om via de Stalwart API de DNS records op te vragen en deze dan naar cloudlare te pushen, maar dit is nogal hacky)
  • Stalwart Documentatie is incompleet en vaak niet duidelijk
  • Stalwart heeft een uitgebruike API dus het meeste is te automatiseren.
  • Uitzoeken hoe client side encryption werkt via pgp (je kunt in stalwart een pub key toevoegen om inkomende mails mee te encrypten, op de client worden ze dan gedecrypt, maar welke clients kunnen dit en welke functionaliteit verlies ik)
  • Client support (Windows/Linux/Android) met de meeste shared features thunderbird
  • CalDav ondersteund ook VJOURNAL en VNOTES (afaik allen op android jtx Board via DAVx5 sync)
  • Hele backup / disaster recovery verhaal
  • Automation / configuratie beheer in code/git (ansbile)
  • Import / peformance test met een inbox van 5gb oid.
  • Mail lijkt zo ver ik weet aan te komen bij google en microsoft.
  • Vertrouwen krijgen in de ontvangende kant.
  • Hoe makkelijk is het dagelijkse onderhoud (upgrades/migraties)
  • ...
Any way nog een lange weg te gaan.

[ Voor 10% gewijzigd door Xanthorax op 05-01-2026 09:38 ]

woensdag 7 januari 2026 13:52

Acties:
  • kevlar01
  • Registratie: Juni 2003
  • Niet online

kevlar01

trigger happy 'next' klikker

Matched: Stalwart
Xanthorax schreef op zondag 4 januari 2026 @ 14:45:
Ik ben aan het experimenteren met het self-hosten van Stalwart Mail & Collaboration Server, als alternatief voor Google Workspace (mail, calendar, contacts, tasks, notes, journal, files).

De standaard installatie scoort out-of-the-box 100% op de internet.nl email test.
Maar er is nog veel wat ik moet uitzoeken en testen:
  • Reverse proxy (Caddy) er voor
  • Externe IAM (Authelia) in plaats van de interne, voor wat meer functionaliteit o.a. webauthn, passkeys en sso voor bijv iets als roundcube
  • Web client (Roundcube?)
  • Geen containers, gewoon native op linux (voornamelijk omdat ik werkende ipv6 wil hebben)
  • Uitzoeken hoe sieve (mail filtering scripts) en managedsieve (api om het server side te confen) werkt en of hier clients voor zijn (welke active support hebben)
  • Let's Encrypt integratie (native via Stalwart werkt prima, maar hoe gaat dat straks via Caddy) en dan met name het updaten van de TLSA records, afaik is hier nog niks voor op wat random users scripts na (zelf al wat python gemaakt om via de Stalwart API de DNS records op te vragen en deze dan naar cloudlare te pushen, maar dit is nogal hacky)
  • Stalwart Documentatie is incompleet en vaak niet duidelijk
  • Stalwart heeft een uitgebruike API dus het meeste is te automatiseren.
  • Uitzoeken hoe client side encryption werkt via pgp (je kunt in stalwart een pub key toevoegen om inkomende mails mee te encrypten, op de client worden ze dan gedecrypt, maar welke clients kunnen dit en welke functionaliteit verlies ik)
  • Client support (Windows/Linux/Android) met de meeste shared features thunderbird
  • CalDav ondersteund ook VJOURNAL en VNOTES (afaik allen op android jtx Board via DAVx5 sync)
  • Hele backup / disaster recovery verhaal
  • Automation / configuratie beheer in code/git (ansbile)
  • Import / peformance test met een inbox van 5gb oid.
  • Mail lijkt zo ver ik weet aan te komen bij google en microsoft.
  • Vertrouwen krijgen in de ontvangende kant.
  • Hoe makkelijk is het dagelijkse onderhoud (upgrades/migraties)
  • ...
Any way nog een lange weg te gaan.
Misschien kan je voor IAM ook kijken naar Zitadel (https://zitadel.com/), een Zwitserse partij.
Je kan een gratis omgeving bouwen (die is dan ironisch genoeg wel gehost in US) als proeftuin.

donderdag 8 januari 2026 11:15

Acties:
  • Jerie
  • Registratie: April 2007
  • Niet online

Jerie

Topicstarter
Matched: Stalwart
Ramon schreef op woensdag 7 januari 2026 @ 15:54:
Wat ik me laatst bedacht; Wel leuk al die Europese partijen, maar het merendeel wordt afgerekend via Amerikaanse betaaldiensten als creditcard of Paypal, als Europa "gesanctioned" zou worden dan zullen die vast ook niet meer werken.

Ik ben dus eigenlijk benieuwd of jullie nog clouddiensten weten die met iDeal afgerekend worden?
Wero gaat iDEAL en allerlei andere nationale varianten zoals het Duitse Giropay vervangen. (Ook gaat het PayPal vervangen :+.) Daarnaast krijgen we de digitale Euro. Het Britse Curve is een alternatief voor Google Pay.

Qua Photos / Drive doe ik self-hosting, maar ik raad dat eigenlijk niet aan. Het kost geld (hardware, dure RAM prijzen), het kost elektriciteit, het kost tijd (niet alleen opzetten, ook onderhoud), het vergt kennis. Ik heb 1 backup lokaal op een server die ik 1x per week opstart, 1 backup remote in dezelfde stad, en 1 backup bij Jottacloud in Noorwegen (gemaakt met Duplicati / rclone), en dan nog een dataset die out of date is die offline staat, lokaal (oude HDDs). Ik betaal voor Jottacloud iets van 40 EUR per jaar (zo'n 66,67% korting via licentie2go, net nog even gekeken: afgerekend per iDEAL. Je krijgt er zelfs een maand gratis NordVPN bij, maar dat hoef ik niet). Tot 5 TB heb je volle snelheid, daarna kakt je upload (hun download) langzaam in. Ik gebruik maar iets van 1,zoveel TB (het is geen volledige backup), dus geen ervaring mee.

Afgelopen week ben ik bezig geweest met de zieke kinderen implementeren van wat zaakjes op het homelab waaronder Let's Encrypt auth via DNS, reverse proxy frontend switch (van plain Nginx naar Nginx Proxy Manager), monitoring middels Uptime Kuma, Home Assistant (P1 meter, div. zaakjes middels Bluetooth en Zigbee / Matter over Thread (Maître-traite? :+)), SSO/OIDC (Authelia), LDAP (LLDAP), alternatieven vinden voor Nextcloud (Immich (upload momenteel nog wel middels Nextcloud), Stalwart (niet eens voor e-mail; puur voor een fatsoenlijke CalDAV implementatie in Rust :+)), updates voor de *Arr stack. Ook aan het switchen van Postbox (EOS / EOL) naar Mozilla Thunderbird (al zag ik dat eM Client Tsjechisch is). Die zou je ook remote kunnen draaien met Selkies/Sealskin e.d. daar is een lsio container voor. Nog op de lijst staat migratie Docker naar Podman, volledig intern/extern IPv6 (nadat ik glas via Freedom heb lopen), Wireguard/Tailscale naar Headscale, en iets van Wazuh en/of CrowdSec.

Leuk en zo, maar eigenlijk niet zo efficiënt om voor één gezin te doen.

Een recente aflevering van podcast Schaduwoorlog van 6 Jan gaat trouwens ook op het onderwerp van alternatieven voor Amerikaane producten & diensten in: https://podcastluisteren.nl/pod/Schaduwoorlog hierbij quote Modderkolk een Nederlandse security expert die waarschuwt dat onze Europese alternatieven niet veiliger zijn, en dat daarin een backlash / learning curve gaat zitten. Op zich een goed aandachtspunt.
RobertMe schreef op woensdag 7 januari 2026 @ 22:44:
[...]

Maar dan heb je dus ook geen Proton Drive (of whatever) nodig? ;) Dus als je Proton Drive gebruikt..., is het maar de vraag of er wel lokale backups zijn.

En ja, er zijn voldoende Tweakers die zowel een lokale als online backup hebben. Ik heb dan weer een offsite backup bij familie. Gewoon een basic Orange Pi (3) met een SSD er aan en klaar. En anderen gebruiken bv de Synology ingebakken feature om NASen onderling te koppelen en dus een lokale Syno te syncen met een Syno bij vrienden/familie.
Jawel, je hebt 3 kopieën nodig, waarvan 1 offsite. Ik heb van sommige data zelfs 5 (3x lokaal waarvan 1x offline en 1x semi-offline, 1x bij familie in dezelfde stad, 1x in Noorwegen). Mijn vrouw vermoord me als ik de foto's van de kinderen kwijtraak.

Ik denk niet dat Proton zich zou lenen als vehikel van Amerikaanse sancties. Dat raakt immers hun businessmodel. Ik zie Proton er dan voor aan om te zeggen: in dat geval mag je tijdelijk in de schuld / min staan of je account is gedeactiveerd tot je weer kunt betalen, de data is dan weer beschikbaar. Maar het is hoe dan ook verstandig om niet enkel op Proton te vertrouwen. Neem dan bijvoorbeeld ook Jottacloud.

"Nobody is very good at self-reflection, I'm afraid." -- Linus Torvalds. Kindprofielen zijn binnenkort weer beschikbaar.

vrijdag 16 januari 2026 17:58

Acties:
  • Jerie
  • Registratie: April 2007
  • Niet online

Jerie

Topicstarter
Matched: Stalwart
R_Zwart schreef op vrijdag 16 januari 2026 @ 10:08:
[...]


Je zou ook juist niet je account kunnen verwijderen. Dan kost het zel we resources maar als er geen activitieit meer is, is jouw data op een gegeven niets meer waard. Adverteerders willen actuele data.
(Wellicht past deze discussie beter in een 'persoonlijk privacy topic'.)

Mja, wat voor resources doel je op? Die paar kB aan database entries doet ze niets. Misschien 20 tot 30 jaar geleden.

Het feit is en blijft dat er geen koppeling zal zijn tussen de username (waarvan men vermoed dat jij dat bent) en jouw verdere PII die men niet zomaar toe zou mogen voegen (zoals email adres). Daarom moet je bij fatsoenlijke diensten ook bewijzen dat het email adres onder jouw beheer staat. Doet men vaak met een OTP. Vervolgens kun je email aan OTP hangen. Nadeel is wel dat een fatsoenlijke dienst deze kan MITMen. NSA kon dat al tijdens Snowden onthullingen. Rond die tijd had je natuurlijk ook opkomst van de evil twin methode, maar dankzij HTTP over TLS (HTTPS), cerificate pinning (o.a. HSTS) is dat minder effectief. Al proberen de Russen het nog steeds in Den Haag :+ iets als SSO en PEBCAK blijven ook gevaarlijke risico's.

Als deze dienst(en) niet in je risicoanalyse worden meegewogen dan is email ook voor jouw bekenden een adequate methode om uit te vinden dat jij het zou zijn. Maar een dienst als Signal is dat ook, mits de gebruiker van de smartphone ook de eigenaar is. Er zijn siruaties denkbaar waarbij dat niet het geval is (denk aan diefstal).

Het hele geintje van doxen is low effort OSINT omdat de PII lang en breed in allerlei pastes staan die je gratis op darknet kunt verkrijgen. Er valt weinig tegen te beginnen, behalve wanneer je vanaf dag 0 aan je OPSEC werkt, en daar geen fouten in maakt (gepakte criminelen maken er altijd fouten in, en die hebben er groot belang bij dat niet te doen; dus de kans dat jij er fouten in maakt is aanwezig). Nu ook weer is een complete DB van alle Reddit content gelekt. Ik meen 3 TB. Pareltje om in te graaien, ook al zit er geen PII uit Reddit's DB tussen (scraping).

Ik heb ooit een zeer bekende Nederlandse website gescraped. Eitje, en wat je zoal tegen komt in de data daar valt je mond van open. Ook hoe eenvoudig het ging. Geestig genoeg heeft ProtonVPN toen maatregelen getroffen. Maar de drie andere VPN diensten die ik gebruikte deden niets, en de website in kwestie ook niets. Helemaal niets. Wat deze toko wel deed was af en toe oude profielen vernietigen. Uiteindelijk heb ik de data moeten vernietigen, want AVG.

Mijn punt is gedraag je je net als alle Nederlanders dan zit je in diverse pastes. Wil je opvallen, dan val je op met OPSEC waarbij je tracht geen of weinig sporen achter te laten. Een good effort die uiteindelijk zal falen.

Voorbeeld: Kees in 'Instagram stopt ongevraagde resetmails die 'externe partij' kon sturen' tegen deze aanval kun je catch-all gebruiken. Username+hash. Vervolgens alles dat binnenkomt zonder een hash blokkeren, en de hash koppelen aan één enkele dienst. Specifiek bij gebruik Gmail kun je ook punten (dots) toevoegen in je gebruikersnaam omdat Google zich niet houdt aan de RFC. Catch-all wordt door alle fatsoenlijke MTAs ondersteunt. Je hebt ook diensten die je email forwarden. Dan kom je uiteindelijk uit op een soortgelijke oplossing, with a catch: waar staat die forwarder? En dan kom ik weer uit bij die post over Stalwart: Xanthorax in "Alternatieven voor Amerikaanse producten & diensten" zeer volledig qua standaarden en implementaties (ik ken alle RFC getallen niet uit mijn hoofd maar SMTP, IMAP, JMAP, CalDAV/CardDAV, DMARC, DKIM, IPv6, FOSS, geschreven in Rust.) Wil je performance bijhouden, dan moet je licentie afnemen.

"Nobody is very good at self-reflection, I'm afraid." -- Linus Torvalds. Kindprofielen zijn binnenkort weer beschikbaar.

woensdag 18 februari 2026 17:14

Acties:
  • Jerie
  • Registratie: April 2007
  • Niet online

Jerie

Topicstarter
Matched: Stalwart
Llopigat schreef op woensdag 18 februari 2026 @ 16:23:
[...]


Ah ja fastmail heb ik gezien maar al hun servers staan in Australie en dat vind ik netwerktechnisch gewoon niet zo handig, bovendien is 5 euro me gewoon te veel. En startmail vind ik ook te duur. Email is niet iets waar ik veel geld voor over heb, ik gebruik het ook nauwelijks. Bedankt voor de info over dat service plan. Jammer. Zoiets als een light plan van mailbox.org is ideaal maar het moet wel met een eigen domein kunnen werken.

Self hosten van de client is op zich geen gek idee. Vroeger had je roundcube maar dat loopt nu ook erg achter. En de opvolger roundcube next bleek een totale kickstarter oplichting.
Stalwart qua compleet pakket.

Alternatieven voor Amerikaanse producten & diensten

"Nobody is very good at self-reflection, I'm afraid." -- Linus Torvalds. Kindprofielen zijn binnenkort weer beschikbaar.

Pagina: 1
Let op:
Dit topic is niet om specifieke diensten in detail te bespreken of om support te vragen. Open daarvoor graag even een eigen topic in het relevante deel van het forum.
Reageer