Certificaat gekocht en geïnstalleerd

[TopGear_1542]

Hoi,

Ik heb een certificaat gekocht en geïnstalleerd op mijn DS. Alles werkt en het certificaat wordt herkend. Bij het benaderen via internet wordt het certificaat goedgekeurd. Bij het benaderen vanaf mijn eigen netwerk wordt er aangegeven dat het certificaat is toegekend aan een ander domein. Logisch natuurlijk! De URL is extern anders dan intern. Maar heeft dit invloed op de beveiliging van bijvoorbeeld het versturen van mail via de mailserver?

Alvast bedankt voor jullie reacties!

[TopGear_1542]

Meestal krijg ik praktisch direct antwoord op een vraag. Is er niemand die mij hiermee kan helpen?

[richard79]

Bij mijn weten heeft dat geen invloed.


Verzonden vanaf mijn iPhone met behulp van Tapatalk

[Birdy]

+1

[TopGear_1542]

Bedankt voor jullie reacties! Kan ik op een een of andere manier controleren of mijn mail versleuteld verstuurd wordt?

[Birdy]

Met een netwerk sniffer zoals Wireshark, NetworkMiner of IP Tools.

[TopGear_1542]

Bedankt voor jullie antwoorden.

[Briolet]

Wireshark is in elk geval goed bruikbaar en heb ik zelf wel eens gebruikt. Ik zou niet weten hoe je normaal kunt zien welk certificaat een mail-provider gebruikt. (In elk geval bij Apple Mail is er geen slotje zoals bij een browser). Alleen als de provider een self-signed certificaat gebruikt, wordt hij bij de eerste verbinding getoond en kan ik hem aan de sleutelhanger toevoegen ter analyse.
Via Wireshark kon ik wel het certificaat en de geldigheidsduur terugvinden.

En bij onversleutelde mail, kun je binnen een paar seconden je mail wachtwoord terugvinden; heel confronterend als je dat ziet.

[TopGear_1542]

Bedankt voor je reactie Briolet.

Probleem is dat ik in mailserver SMTP-SSL inschakelen aan heb gevinkt met poort 587. Ook in mailstation heb ik aangegeven dat de mail over poort 587 moet en ik heb de optie SMTP TLS-beveiligde verbinding inschakelen aangevinkt. Maar dan wordt de mail uiteindelijk niet verzonden. Als ik vervolgens de instellingen in mailserver hetzelfde laat en in mailstation alleen de poort wijzig van 587 naar 25 wordt de mail wel direct verzonden. De optie SMTP TLS-beveiligde verbinding inschakelen is dus nog aangevinkt. Maar is dit nu beveiligd of niet? Ik heb wel een beveiligde verbinding met mailstation (URL), maar betekent dit dat de mail versleuteld wordt verzonden?

[Briolet]

...Maar dan wordt de mail uiteindelijk niet verzonden. ....

Wat ik nooit begrijp is waarom mensen nooit een handleiding lezen. Een forum hoort te gaan over zaken die in de handleiding missen en niet over dingen die daar ook staan. Want dan vraag ik me altijd af: "Waarom zouden ze dit dan wel lezen als ze de handleiding niet lezen."

Maar goed, uit de handleiding:

Om e-mails te versturen via een andere SMTP Relay-server:
De meeste ISP's blokkeren of weigeren e-mails van onbekende domeinen. Als u e-mails niet rechtstreeks kunt verzenden vanaf uw eigen domein, kunt u ze best versturen via bekende SMTP-servers. U kunt de SMTP Relay-server instellen op uw Mail Server.
Selecteer SMTP Relay inschakelen.
Geef SMTP-Servernaam en Poort op.
Selecteer Altijd een beveiligde verbinding gebruiken voor gecodeerde verbindingen bij het doorsturen van e-mails.
Als Verificatie vereist is ingeschakeld, moet u een account en wachtwoord invoeren voor de SMTP Relay-server om uw e-mailserver te verifiëren.

NB MailStation gebruik ik niet. Ik heb MailStation geconfigureerd om de mail naar de SMTP server van MailServer te sturen via poort 25 (blijft toch binnen de nas zelf). MailServer stuurt het dan de wijde wereld in.

[peeweesyn]

Je eigen SSL certificaat heeft geen invloed op de versleuteling van door jou verzonden email, dat is een pure SSL aangelegenheid. Het SSL certificaat van de SMTP mailserver waarmee je verbind speelt een rol in het opzetten van de verbinding.

Van http://security.stackexchange.com/questions/20803/how-does-ssl-work  (let wel, jouw mailserver is de 'client' als het gaat om verzenden van mail via een smtp relay server):

After building a TCP connection, the SSL handshake is started by the client. The client (which can be a browser as well as any other program such as Windows Update or PuTTY) sends a number of specifications: which version of SSL/TLS it is running, what ciphersuites it wants to use, and what compression methods it wants to use. The server checks what the highest SSL/TLS version is that is supported by them both, picks a ciphersuite from one of the client's options (if it supports one), and optionally picks a compression method.

After this the basic setup is done, the server sends its certificate. This certificate must be trusted by either the client itself or a party that the client trusts. For example if the client trusts GeoTrust, then the client can trust the certificate from Google.com, because GeoTrust cryptographically signed Google's certificate.

Having verified the certificate and being certain this server really is who he claims to be (and not a man in the middle), a key is exchanged. This can be a public key, a "PreMasterSecret" or simply nothing, depending on the chosen ciphersuite. Both the server and the client can now compute the key for the symmetric encryption whynot PKE?. The client tells the server that from now on, all communication will be encrypted, and sends an encrypted and authenticated message to the server.

The server verifies that the MAC (used for authentication) is correct, and that the message can be correctly decrypted. It then returns a message, which the client verifies as well.

The handshake is now finished, and the two hosts can communicate securely. For more info, see technet.microsoft.com/en-us/library/cc785811 and en.wikipedia.org/wiki/Secure_Sockets_Layer.

[TopGear_1542]

Bedankt voor je reactie Briolet. Ik heb het stukje inderdaad niet gelezen.

Jij ook bedankt peeweesyn. Voor mij geldt dat het een gebrek aan technische kennis is. Daarom is de uitleg die je stuurt helder en duidelijk. Ik zal het nog eens goed doorlezen. Het probleem is denk ik ook definitiebegrip. Wat is nu precies een SMTP relay server? Wat praat wanneer met elkaar en op welke manier? M.a.w. ik wil graag meer weten dan puur het functionele gedeelte. Heb al heel wat gegoogled, maar echt een duidelijke uitleg heb ik niet gevonden. Blijkbaar zoek je beter dan ik

[Birdy]

Dit gevonden:

SMTP Relay, which stands for Simple Mail Transfer Protocol, lets you send email messages through your email account using your existing email service.
For example, you can continue to use Microsoft Outlook to compose, receive, and send email messages, but the actual email messages are processed through our SMTP relaying services.
This lets you bypass ISP restrictions on your outbound email messages and allows you to use your professional looking "sales@coolexample.com" email address rather than a general “sales@ispname” address.

Bron:http://support.godaddy.com/help/article/345/what-is-smtp-relay

En kijk eens hier naar:
http://www.isaserver.org/articles-tutorials/articles/smtprelayinboundoutbound.html

[Briolet]

Wat is nu precies een SMTP relay server?

Bijna alle ISP's die privé internet aansluitingen aanbieden, blokkeren poort 25 als de data niet naar hun eigen SMTP server gestuurd wordt. Dit is gewoon om spam vanaf hun aansluitingen te onderdrukken. Uitgaande mail moet via hun mailserver zodat ze de mail zelf op spam kunnen kontroleren. Dus de SMTP van MailServer zal zelden zijn mail zelfstandig kunnen afleveren. De SMTP relay server helpt hierbij door alle uitgaande mail via de SMTP server van je ISP provider te laten lopen.

Ik denk dat het overgrote deel van de gebruikers op dit forum deze optie nodig heeft om mail te kunnen versturen.

Zelf heb ik op al mijn mail cliënten mijn nas ingesteld als SMTP server. Ook mijn Ziggo mail, roundcube en andere externe mail adressen sturen alles via de nas. Ik had ook rechtstreeks de Ziggo SMTP server kunnen instellen en mijn mailserver op de nas kunnen overslaan, maar nu wordt al mijn uitgaande mail in de nas gelogd.

De nas stuurt het op zijn beurt wel weer door naar de SMPT server van Ziggo. (Ziggo is mijn ISP)

[TopGear_1542]

Bedankt voor al jullie reacties! Ik ben weer een stuk wijzer en weet nu hoe ik mijn instellingen moet interpreteren.