Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Synology Mailserver

11-07-2015, 01:18 door Tjaaa, 14 reacties
Hey iedereen,

Ik heb sinds kort met mijn Synology nas een eigen mailserver opgezet. Dit werkt als een zonnetje, en met eigen domeinnaam.
Echter, heb ik een vraagje m.b.t. de veiligheid van de mailserver. Ik heb een eigen domeinnaam plus een geldig ssl certificaat omdat ik dit echt nodig vind en het denk dat hiermee de veiligheid al veel beter is. Ik heb in de firewall instellingen van de nas, mailpoorten (enkel imap ssl en smtp tls) opengezet van overal ter wereld. Nas staat trouwens niet in DMZ, dus alleen de poorten die ik echt nodig heb, staan open. Is wel zo handig als je webmail via https wil benaderen en/of email wil ophalen via de clients op apparatuur (zonder certificaat fout dus). Verder heb ik de beheerwebsite van DSM enkel voor Nederlandse ipadressen open staan, en de rest van de wereld word geblokt. Ook heb ik ip blokkade aan staan wat inhoud dat er maximaal 2 keer een fout wachtwoord ingevuld hoeft te worden, en dan word dat ipadres op de blokkade lijst gezet. Desnoods (ga ik op vakantie zeker gebruiken, dus staat ook open voor de rest van de wereld) maak ik een VPN verbinding voor ik e-mail ofzo ophaal. 2 stap verificatie staat trouwens ook aan. Niet voor alle accounts, maar admin in ieder geval wel. De andere accounts hebben verder toch geen of minder rechten.

Mijn vraag: moet ik meer stappen zetten om de veiligheid te verhogen? Ik weet dat 100% veiligheid het niet gaat worden, maar zijn er misschien dingetjes die nog gedaan kunnen worden, bijvoorbeeld firewall?
Ooh, en nog belangrijker denk ik: is de Synology Mailserver package überhaupt veilig? Ik stel dat wel zo allemaal in, maar misschien is het niet veilig. Nu is het niet heel belangrijke mail wat erin staat, maar... toch wil ik voorkomen dat een onbevoegde persoon toegang krijgt tot mijn persoonlijke e-mail omdat het mijn mail is, en niet die van anderen. Hebben hier misschien meerdere mensen ervaring met een eigen mailserver, en wat moet er nog meer getroffen worden om de veiligheid te waarborgen? En hoe zit dat met de NSA en ISP's? Kunnen hun zien met wie ik mail en/of wat er in die mail staat? Ik ben echt iemand die alles zo veilig mogelijk wil hebben haha.

Alvast bedankt!
Reacties (14)
11-07-2015, 07:53 door Anoniem
Ik herken het dilemma. Allemaal leuke "speeltjes" die kwaadwillenden ook leuk vinden. Ik merk veel 'inlog'-pogingen via IMAP op mijn synology. Na enkele pogingen wordt deze keurig geblokt door Synology. Grote delen van de wereld heb ik standaard geblokt voor dit protocol.
IMAP is een makkelijk target omdat het poortnummer min of meer vast ligt, en dus bekend is. Voor vrienden zet ik wel eens iets ter download, foto's in een zipje bijvoorbeeld, via http. Niet via poort 80, dat is to obvious, maar een moeilijker te raden poort. En de URL publiceer ik nergens, dus weinig kans dat scriptkiddies bij de foto's kunnen. Voor mij veilig genoeg. Op poort 80 staat een dummy website met tamelijk lege pagina. (Poort 80 helemaal dichtzetten kan je systeem weer extra verdacht en dus interessant maken.)

Een extra slag die je zou kunnen maken is IMAP niet meer rechtstreeks benaderbaar te stellen, maar enkel via je VPN. Andere overweging kan zijn de installatie van een 2e apache http-server (middels ipkg, google hierop hoe je dit toevoegt) voor de afwijkende poorten. Omdat deze los staat van die van synology, blijven de de conf-bestanden intact. Werkt voor mij.
11-07-2015, 09:20 door Anoniem
Het hebben van een eigen domeinnaam en geldig SSL certificaat heeft TOTAAL GEEN positief effect op de veiligheid
van de mailserver!
Als je er een warm gevoel bij krijgt om te betalen, prima, maar het levert echt niks op.
Het enige wat je hier mee bereikt is dat anderen kunnen "vertrouwen" dat ze praten met jouw server in plaats van met
een man-in-the-middle. Echter mailsoftware die dat controleert die zal meestal niet de verbinding afbreken als dit niet
klopt maar alleen dit feit loggen en de mail gewoon over de gehackte verbinding sturen.
Dan nog is er niks met de veiligheid van je server gebeurd maar alleen met de integriteit van de mail die er heen gaat.

Of het veilig is daar kun je niks van zeggen. Wellicht is het vandaag veilig, en wordt er morgen weer een gigantisch
lek in OpenSSL gevonden waardoor je server wijd open ligt. Wat dat betreft is het gebruik van SSL eerder een vergroting
van het risico, omdat die software zo brak is. Software zou in principe wel veilig kunnen zijn maar dan moet de
functionaliteit wel duidelijk en begrensd zijn. Echter "men" wil dat tegenwoordig niet meer (kijk maar eens wat een kermis
je al opgetuigd hebt op je NAS) en dan zijn er zoveel plekken waar het fout kan gaan, moedwillig of per ongeluk, dat
je er niet meer van uit kan gaan dat het veilig is.
11-07-2015, 14:31 door BaseMent
Zo te lezen heb je je prima voorbereid.
Belangrijkste aanbeveling is uiteraard "maak regelmatig backups".
Je zou nog kunnen overwegen om de IMAP en SMTP porten te veranderen van de standaard waarden af. Dat scheelt je in ieder geval in login pogingen. Verder, als jij nooit in china komt kan je je IMAP port dichtzetten. Dar ga je toch nooit je mail lezen
Veel providers vinden het verder niet goed als je port 25 koud aan het internet hangt omdat ze last krijgen met blacklisting als jij spam verstuurd en verlangen dus dat je smarthost naar de provider. De andere kan op kan dat vaak ook, dan stel jij je DNS entries zo in dat de mail eerst naar de provider gaat en daarna pas naar jou,
In ieder geval werk(te) dat zo bij KPN, ik heb nooit last gehad van aanvallen. Ik ga er dan wel vanuit dat je een consumenten DSL aansluiting hebt.
Waar je je niet zo goed tegen kunt beschermen is een kwetsbaarheid in je Synology. Als daar iets mis is, kan je er weinig aan doen, hou je NAS dus actueel (maar maak altijd eerst een backup voordat je nieuwe software installeert). Synology heeft wat dat betreft bij mijn weten een goede naam (zoek maar eens op het internet, waak zijn succesvolle hacks het gevolg van niet goed gepatchte servers.
SSL is leuk, maar als alleen bekenden op jouw server inloggen is een gekocht certificaat misschien overkill, maar goed, duur zijn ze niet.

Over NSA en overheid. Als je via een smarthost mail verstuurt, houdt de versleuteling even op bij de provider, is dus een aanvalsvector. Blijft de mail lokaal (dus er wordt alleen mail verstuurd van mijndomein.org naar mijndomein.org) dan is het encrypt. Maar ik doe geen uitspraak of het veilig is, want ik heb geen idee wat overheden allemaal kunnen.

Andere gedachte die ik heb is dat een mailserver thuis wel een flinke aderlating is op het gebied van beschikbaarheid. Je bent afhankelijk van de uptime van een lijntje naar je huis (heb je de beschikbaarheid wel eens gemeten?) en natuurlijk ben je afhankelijk van je energieleverancier. En dan maar hopen dat je Syno niet meegenomen wordt bij een eventuele inbraak. En wat als een spammer ineens jouw domein "leent" om spam te versturen en jij 10 gig aan undeliverables te verwerken? (ik heb daar vaal last van gehad). En dan maar wachten tot het ophoudt...

Maar belangrijkste, maak backup
11-07-2015, 22:26 door Tjaaa
Bedankt voor alle reacties. Ik ga morgen dingen aanpassen zoals de poorten in de mailserver. Ik wist helemaal niet dat het gebruik van ssl certificaten geen verschil maakt met de veiligheid. In Outlook en de email applicatie op mijn note 3 werd er een certificaatfout weergeven en dat ik beter niet kon verbinden. Nu is dat gelukkig weg doordat ik een geldig certificaat gebruik. Toch geeft het me een fijner gevoel. Banken gebruiken denk ik niet voor niets ssl verbindingen, om gegevens te versleutelen. Maar kan ik dus in principe elke poort gebruiken? Ik kijk hier wel even mee uit, omdat op guest netwerken op campings en/of hotspots soms verschillende poorten dicht staan, waardoor ik dus niet kan mailen. Ik kan dan altijd nog via de ssl webmail mailen, maar toch. Ik denk dat een poort onder de 600 goed is. Welke weet ik nog niet, daar moet ik nog even over nadenken. Op internet las ik dat als ik een chinees ipadres (of welk land dan ook), dat ik dan van dat land geen mail kan ontvangen. Weet niet of dit ook echt zo is. Lijkt me ergens ook wel logisch dat dat zo werkt.

Ik heb weer een hele boel geleerd, dus dat ga ik zeker weten meenemen :D
11-07-2015, 23:56 door Ralvo
Door Anoniem: Het hebben van een eigen domeinnaam en geldig SSL certificaat heeft TOTAAL GEEN positief effect op de veiligheid
van de mailserver!
Als je er een warm gevoel bij krijgt om te betalen, prima, maar het levert echt niks op.
Het enige wat je hier mee bereikt is dat anderen kunnen "vertrouwen" dat ze praten met jouw server in plaats van met
een man-in-the-middle. Echter mailsoftware die dat controleert die zal meestal niet de verbinding afbreken als dit niet
klopt maar alleen dit feit loggen en de mail gewoon over de gehackte verbinding sturen.
Dan nog is er niks met de veiligheid van je server gebeurd maar alleen met de integriteit van de mail die er heen gaat.

Of het veilig is daar kun je niks van zeggen. Wellicht is het vandaag veilig, en wordt er morgen weer een gigantisch
lek in OpenSSL gevonden waardoor je server wijd open ligt. Wat dat betreft is het gebruik van SSL eerder een vergroting
van het risico, omdat die software zo brak is. Software zou in principe wel veilig kunnen zijn maar dan moet de
functionaliteit wel duidelijk en begrensd zijn. Echter "men" wil dat tegenwoordig niet meer (kijk maar eens wat een kermis
je al opgetuigd hebt op je NAS) en dan zijn er zoveel plekken waar het fout kan gaan, moedwillig of per ongeluk, dat
je er niet meer van uit kan gaan dat het veilig is.
Ik vind een reactie als deze dan weer een beetje jammer. TS is echt goed bezig om zijn mailserver zo goed mogelijk te beveiligen en vraagt om aanvullende tips. Niet om reacties die alles botweg onderuit halen.

@Tjaaa: succes ermee! Je bent sowieso op de goede weg.
12-07-2015, 11:32 door Anoniem
Door Tjaaa:Ik wist helemaal niet dat het gebruik van ssl certificaten geen verschil maakt met de veiligheid. In Outlook en de email applicatie op mijn note 3 werd er een certificaatfout weergeven en dat ik beter niet kon verbinden. Nu is dat gelukkig weg doordat ik een geldig certificaat gebruik. Toch geeft het me een fijner gevoel. Banken gebruiken denk ik niet voor niets ssl verbindingen, om gegevens te versleutelen.

Banken hebben een heel ander doel daarmee dan beveiligen! Waar het om gaat is dat de klant van de bank er zeker van
moet zijn dat hij praat met de bank en niet met een oplichter op het moment dat hij zijn gegevens invult. Het certificaat
regelt dat. Het is dus niet zo dat daarmee de bank beveiligd wordt, maar het is de klant die beveiligd wordt.

Zo is het ook met jouw mailserver: je certificaat beveiligt niet je server, maar je client. Die melding van outlook geeft aan
dat ie niet kan vaststellen of hij wel met de server van Tjaaa communiceert, en nu kan hij dat wel. Dus je weet dan dat
er niet iemand onderweg zit mee te lezen of je mailtjes geeft die helemaal niet van de server komen.
Maar je server wordt daar niet veiliger door.
12-07-2015, 14:35 door Anoniem
@Tjaaa: Ik heb er ook over gedacht om een mailserver op mijn Synology te doen. Dan heb je altijd je eigen persoonlijk en volledig provider onafhankelijk e-mailadres. Maar mijn vraag is nu: Wat doe je als je eigen mailserver door een of andere redenen niet bereikbaar is en iemand stuurt op dat moment een mail? De verzender krijgt waarschijnlijk te zien dat het op dat moment een niet bestaand adres is? De mail zal dan nooit aankomen en je komt nooit meer te weten dat iemand een mail naar jou wilde sturen. Moet je dan niet op een of andere manier een "back-up" voor die mail hebben, waar die dan tijdelijk geparkeerd staat totdat jou mailserver weer in de lucht is? Hoe los jij dit op?
12-07-2015, 19:30 door Anoniem
Door Anoniem: @Tjaaa: Ik heb er ook over gedacht om een mailserver op mijn Synology te doen. Dan heb je altijd je eigen persoonlijk en volledig provider onafhankelijk e-mailadres. Maar mijn vraag is nu: Wat doe je als je eigen mailserver door een of andere redenen niet bereikbaar is en iemand stuurt op dat moment een mail? De verzender krijgt waarschijnlijk te zien dat het op dat moment een niet bestaand adres is? De mail zal dan nooit aankomen en je komt nooit meer te weten dat iemand een mail naar jou wilde sturen. Moet je dan niet op een of andere manier een "back-up" voor die mail hebben, waar die dan tijdelijk geparkeerd staat totdat jou mailserver weer in de lucht is? Hoe los jij dit op?
Als je niet weet hoe dit werkt en wat daaromheen de consequenties en oplossingen zijn kun je beter niet zelf een mailserver
gaan draaien. Wel zou je natuurlijk deze materie kunnen bestuderen. Maar er komt veel meer bij kijken om het goed
te doen. Ik denk dat je het dan beter aan een provider kunt overlaten, dan kun je evengoed wel een onafhankelijk mail
adres hebben.
12-07-2015, 21:18 door Anoniem
@ Anoniem 19.30 uur: Ik heb al wat gevonden om eens nader uit te gaan zoeken.

http://blog.mobile-harddisk.nl/tutorials/synology-mailserver-instellen-met-fallback-server/
12-07-2015, 21:31 door Tjaaa
@Anoniem, 14:35: Ik heb een fallback provider. Rollernet heet die provider. Op internet zijn artikelen te vinden hierover hoe je het best dit kunt instellen. Kijk hier maar eens: http://blog.mobile-harddisk.nl/tutorials/synology-mailserver-instellen-met-fallback-server/. Ik heb dat artikel goed gevolgt, en bij mij werkt het. Ik heb al vaker gehad dat ik om de een of andere reden geen mail meer kon verzenden en ontvangen, dus die mailtjes werden netjes bij rollernet opgeslagen. De nas heb ik toen opnieuw opgestart, en even later kwamen de mailtjes binnen. Toppie dus!

@Anoniem, 19:30: Ik zal er nog eens over nadenken. Misschien dat ik naar een provider ga overstappen, maar dat weet ik nog niet.

Ik ga alle informatie die iedereen hier reageert heeft, zeker meenemen en ga zeker een aantal dingetjes aanpassen. Bedankt voor alle reacties dus! :D
13-07-2015, 09:27 door BaseMent
Als je mailserver niet bereikbaar is, zullen je mails niet meteen afgewezen worden. Een mailserver probeert een x-aantal malen een mail af te leveren.
Weer op basis van mijn eigen ervaringen kan ik je vertellen dat pas na een paar dagen de zender zal zien dat je mail niet afgeleverd kan worden. Dus niet te lang op vakantie gaan.
13-07-2015, 10:47 door Erik van Straten
11-07-2015, 09:20 door Anoniem: Het hebben van een eigen domeinnaam en geldig SSL certificaat heeft TOTAAL GEEN positief effect op de veiligheid van de mailserver!
In aanvulling op wat Ralvo schreef: je hebt de post van de TS maar half gelezen. Naast "smtp tls" is sprake van "imap ssl", "webmail" en "beheerwebsite van DSM". Je hebt gelijk dat bij e-mail transport tussen mailservers van opportunistic TL encryption gebruik gemaakt wordt (zie https://blog.filippo.io/the-sad-state-of-smtp-encryption/), maar bij de andere drie verbindingen gaan authenticatiegegevens over de lijn, en het is absoluut zinvol om daarbij gebruik te maken van fatsoenlijke server-authenticatie en het versleutelen van de verbinding. Zelf een certificaat aanschaffen is ook heel leerzaam, met name als je erover na gaat denken wat daarbij allemaal kan misgaan - en daardoor meer begrip van de materie krijgt.

11-07-2015, 09:20 door Anoniem: Wellicht is het vandaag veilig, en wordt er morgen weer een gigantisch lek in OpenSSL gevonden waardoor je server wijd open ligt. Wat dat betreft is het gebruik van SSL eerder een vergroting van het risico, omdat die software zo brak is.
Heartbleed was een afschuwelijk lek, daar heb je gelijk in. Maar gezien de aandacht die de OpenSSL software sindsdien krijgt, vind ik het aantal ernstige lekken dat sinsdien in die software gevonden is, nogal meevallen.

@Tjaaa: persoonlijk zou ik nooit een beheerinterface direct aan internet hangen, maar deze bijv. via OpenVPN bereikbaar maken (dus geen "publieke" VPN service, maar de Synology NAS als OpenVPN server met client software op jouw PC, tablet of smartphone). OpenVPN maakt gebruik van OpenSSL, dus je moet wel updates in de gaten houden!
13-07-2015, 12:15 door Briolet
Door Tjaaa: @Anoniem, 14:35: Ik heb een fallback provider. Rollernet heet die provider. …
…dus die mailtjes werden netjes bij rollernet opgeslagen. De nas heb ik toen opnieuw opgestart, en even later kwamen de mailtjes binnen. Toppie dus!

Tja, mail via een fallback server laten lopen gaat goed totdat de afzender zijn mail met SFP beveiligd. Bij die mailtjes zal de afzender dan niet meer kloppen en de nas zal die dan bouncen.
Ik heb al een feature request bij Synology gedaan om een optie te hebben dit soort mail naar de spambox te verplaatsen i.p.v. te bouncen.
Bij mijn externe mail provider heb ik het ook al een keer meegemaakt dat een SFP beveiligde mail via hun fallback server liep en daardoor in mijn spambox kwam. En dus gelukkig niet volkomen geweigerd werd.

Ik heb dan liever geen fallback server en laat de verzendende partij het maar een paar dagen proberen. De meeste mailservers geven het pas na 2 à 3 dagen op, zodat je tijd genoeg hebt om een vastgelopen nas weer te herstarten.
13-07-2015, 19:15 door Anoniem
Ik heb ook een Synology. Een prachtig apparaat waar veel mee mogelijk is. Een aantal services waren ook enige tijd van buitenaf benaderbaar, met SSL erbij. Desondanks heb ik heb ik die mogelijkheid nu weer verbroken, de NAS is nu alleen via het LAN beschikbaar. Reden: Ik vertrouw het niet meer. Ik word gehinderd door zowel nieuwe kennis, als ontbrekende kennis. Nieuwe kennis: Wat een enorme hoeveelheid aanvalsmogelijkheden lijken er toch te zijn! En hoe lek is complexe software, telkens weer. De software wordt steeds complexer, en dat kan niet anders betekenen dan: Meer fouten.
Ontbrekende kennis: Ik vind mezelf niet goed genoeg om de NAS echt kundig & stevig dicht te timmeren met de middelen die ik heb, of die er zijn. Ik kan de kwaliteit van de Synology software ook niet goed beoordelen.

Jammer. Maar zo belangrijk vind ik het van buitenaf toegankelijk zijn nu ook weer niet.

Tav mail: E-mail is sowieso een onveilig systeem. Het heeft een paar fundamentele gebreken die nu, in de huidige tijd, niet meer op te lossen zijn. Althans niet door het helemaal op de schop te gooien (en daarmee incompatibel te maken).
De enige manier om veilig bericht-inhoud te versturen / ontvangen is PGP. Ik denk dat dit 100% veilig is, op dit moment en afgezien van meta-data. Dat biedt toch hoop? Want ik hoor ook vaak zeggen 100% veilig bestaat niet. Volgens mij bestaat het wel (of toch zeker 99,99999999%)

Maar ja. PGP gebruikt vrijwel niemand, daarom gebruik ik het ook zelden.
Buiten PGP is het beter om e-mail zo veilig als ansichtkaarten te beschouwen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.