Webmail en e-mail beveiligen met SSL/TLS-certificaten

Wanneer u e-mail gebruikt kunnen kwaadwillenden uw e-mails of inloggegevens onderscheppen, lezen en aanpassen, waardoor uw vertrouwelijke informatie in gevaar komt. U voelt u een stuk veiliger wanneer u uw e-mailverbindingen beschermt met SSL/TLS-certificaten. Hier wordt uitgelegd welke verbindingen u zou moeten beveiligen en hoe u dit kunt doen.

Het pad dat een e-mail aflegt van de afzender naar de ontvanger kent een aantal zwakke punten. SSL/TLS-certificaten beschermen gevoelige gegevens door de verbinding te versleutelen. Voor een allround bescherming bij het gebruik van e-mail moet u een SSL/TLS-certificaat gebruiken om het proces van het versturen en ontvangen van e-mail te beveiligen. Dit proces bestaat uit de volgende stappen:

  • De verbinding tussen de browser van een gebruiker en de webmail die op een webserver wordt uitgevoerd. Om het makkelijk te houden noemen we dit hier “webmail beveiligen”.
  • De verbinding tussen de mailserver van Plesk en de MTA van de afzender. Dit noemen we simpelweg “de mailserver van Plesk beveiligen”.

1 Webmail beveiligen

Als u via webmail toegang zoekt tot uw postvak, wordt er een verbinding tot stand gebracht tussen uw browser en de webmail die op een webserver wordt uitgevoerd. Om te voorkomen dat heen en weer gestuurde e-mails en inloggegevens worden afgeluisterd is webmail standaard beveiligd met hetzelfde zelfgetekende SSL/TLS-certificaat als waarmee Plesk wordt beveiligd. Dit zelfgetekende certificaat versleutelt de overgedragen informatie, maar steeds wanneer u uw webmail opent ziet u een waarschuwing verschijnen over een onveilig SSL/TLS-certificaat. Als u deze waarschuwing niet meer wilt zien, moet u webmail met een geldig SSL/TLS-certificaat beveiligen.

Webmail met een SSL/TLS-certificaat beveiligen:

  1. Zorg voor een zogenaamd wildcard SSL/TLS-certificaat of een SAN-certificaat, die het mogelijk maakt om webmail.<domein> in SAN in te stellen. U kunt dit op de volgende manieren doen:

    Notitie

    We raden u sterk aan voor deze optie te kiezen, omdat één wildcard-certificaat alle benodigde e-mailverbindingen kan beveiligen.

  2. Ga naar Mail > tabblad “Mailinstellingen”, klik op de domeinnaam, selecteer het SSL/TLS-certificaat voor webmail en klik vervolgens op OK.

2 De mailserver van Plesk beveiligen

Vraag uw hostingprovider of de mailserver van Plesk is beveiligd met een geldig SSL/TLS-certificaat (en dus niet met het zelfgetekende SSL/TLS-certificaat waarmee de mailserver standaard wordt beveiligd). Hiermee wordt de verbinding tussen de Plesk-mailserver en de MTA van de afzenders versleuteld zodat e-mails die u ontvangt niet kunnen worden onderschept.

Tenzij u voor een exclusieve server betaalt, is er hierbij wel een probleem. Steeds wanneer u uw postvak opent krijgt u een waarschuwing te zien over een onveilig SSL/TLS-certificaat. Dit gebeurt, omdat de e-mailclient een detecteert dat de domeinnaam waaraan het certificaat aan is toegewezen (de domeinnaam van de Plesk-server) en de domeinnaam van de e-mail niet met elkaar overeenkomen. Daarom beschouwen de meeste e-mailclients het e-mailservercertificaat als niet-vertrouwd.

Als u de mailsoftware Postfix of Dovecot gebruikt (in Plesk voor Linux) of MailEnable (in Plesk voor Windows), dan kunt u dit probleem, waarbij het certificaat niet op de juiste naam is gesteld, oplossen door een SSL/TLS-certificaat toe te wijzen aan de e-mail voor een individueel domein.

Voor andere e-mailclients (bijvoorbeeld qmail of Courier) is het op dit moment niet mogelijk om een afzonderlijk SSL/TLS-certificaat toe te wijzen voor de e-mail van een individueel domein. Of de verbinding met de mailserver al dan niet beveiligd is hangt af van hoe uw e-mailprogramma omgaat met niet-vertrouwde certificaten:

  • Het e-mailprogramma is verbonden met de mailserver via SSL/TLS, hoewel er een waarschuwing kan worden gegeven dat het certificaat niet wordt vertrouwd. In dit geval wordt de verbinding tussen uw e-mail en de afzender wel versleuteld en zijn ontvangen en verstuurde e-mails beveiligd tegen onderschepping.
  • Het e-mailprogramma weigerde verbinding te maken met de mailserver via SSL/TLS en u moet daarom wel een niet-versleutelde verbinding gebruiken. In dit geval kunnen de e-mails die u ontvangt en verstuurt worden onderschept. We raden u aan over te stappen naar een e-mailprogramma waarmee verbinding via SSL/TLS mogelijk is, ook als het certificaat niet wordt vertrouwd.

Notitie

Er is nog een andere manier om het probleem te verhelpen waarbij een certificaat niet overeenkomt met de naam van uw webmail. Als u de mailserver in Plesk gebruikt, dan kunt u uw e-mailprogramma instellen om de naam van het hoofddomein van de server te gebruiken. Stel bijvoorbeeld dat het domein van uw server server.com` is en het individuele domein dat u gebruikt is ``voorbeeld.nl. Wanneer de mailserver is beveiligd met een SSL/TLS-certificaat dat is toegewezen aan server.com, dan kunt u de naam van de mailserver wijzigen van mail.voorbeeld.nl naar server.com in de instellingen van uw e-mailprogramma.

3 Een SSL/TLS-certificaat aan de e-mail van een domein toewijzen

Als u de mailsoftware Postfix of Dovecot gebruikt (in Plesk voor Linux) of MailEnable (in Plesk voor Windows), dan kunt u de e-mail voor een domein beveiligen met een individueel SSL/TLS-certificaat. We raden u aan dit te doen wanneer uw e-mailprogramma waarschuwt dat het SSL/TLS-certificaat waarmee de e-mailserver wordt beveiligd niet kan worden geverifieerd. Nadat u de e-mail voor een domein hebt beveiligd met een individueel SSL/TLS-certificaat zal de mailserver het certificaat waarmee uw e-mail wordt beveiligd gebruiken in plaats van het certificaat dat door uw hostingprovider is ingesteld voor de server als geheel. Hierdoor zal de waarschuwing niet meer getoond.

Notitie

Een SSL/TLS-certificaat dat is ingesteld voor het beveiligen van de e-mail voor een domein zal de verbinding alleen beveiligen als de Plesk-mailserver ook met een SSL/TLS-certificaat is beveiligd. Vraag uw hostingprovider of de mailserver van Plesk ook met een geldig SSL/TLS-certificaat is beveiligd.

E-mail voor een specifiek domein met een SSL/TLS-certificaat beveiligen:

  1. Zorg voor een zogenaamd wildcard SSL/TLS-certificaat of een SAN-certificaat, die het mogelijk maakt om mail.<domein> in SAN in te stellen. U kunt dit op de volgende manieren doen:

    Notitie

    Als u al beschikt over een wildcard SSL/TLS-certificaat voor het beveiligen van webmail, dan gaat u direct naar stap 2 om de e-mail voor uw domein met ditzelfde certificaat te beveiligen.

    Notitie

    We raden u aan een gratis wildcard SSL/TLS-certificaat van Let’s Encrypt aan te vragen, omdat dit certificaat niet alleen de e-mail voor een domein, maar ook webmail, het domein zelf en verschillende subdomeinen (indien nodig) kan beveiligen.

  2. Ga naar Mail > tabblad “Mailinstellingen”, klik op de domeinnaam, selecteer het SSL/TLS-certificaat voor mail en klik vervolgens op OK.