Winkelwagen

/ VPS-Infrastructuur

Alles over de zelfontwikkelde VPS-infrastructuur

Register now

/ Up to date

/ Nieuws

Lancering PerformanceVPS

Meer info
Hulp nodig?

    Sorry, we konden geen resultaten vinden voor jouw zoekopdracht.

    TLS 1.0 en 1.1 uitschakelen op je mailserver

    Transport Layer Security (TLS) is de opvolger van SSL en wordt gebruikt om de communicatie op een computernetwerk te beveiligen (bijvoorbeeld het internet). Denk hierbij bijvoorbeeld aan het beveiligen van de verbinding vanaf jouw computer naar een website of mailserver. Wanneer men tegenwoordig over SSL praat, wordt eigenlijk altijd TLS bedoelt.

    Er zijn inmiddels de nodige TLS-versies uitgekomen, waarvan TLS 1.0 en TLS 1.1 al sinds juni 2018 een zogeheten 'End of Life' status bereikt hebben. Dit betekent dat deze versies geen updates meer krijgen en het gebruik ervan potentieel onveilig is.

    Voor backwards compatibility, hebben we TLS 1.0 en TLS 1.1 tot eind 2021 ondersteunt op de VPS-mailservice. Om veiligheidsredenen hebben we eind 2021 echter besloten deze oudere TLS-versies per eind april 2022 niet langer te ondersteunen. Mocht je je TLS-versie niet kunnen updaten, dan raden we aan om de VPS-mailservice uit te schakelen en rechtstreeks vanaf je VPS te mailen.

    Wanneer je gebruik maakt van de VPS-mailservice, is het belangrijk om ervoor te zorgen dat je TLS 1.2 of nieuwer ondersteunt. De meeste mailsoftware is slim genoeg om automatisch de nieuwste beschikbare TLS-versie te gebruiken. Het uitschakelen van TLS1.0 of 1.1 is dus optioneel als je server al TLS 1.2 of nieuwer ondersteunt.

    In deze handleiding laten we zien hoe je controleert welke TLS versie je gebruikt op je mailserver en hoe je op je mailserver TLS 1.0 of 1.1 uitschakelt.

    • Ongeacht welk besturingssysteem of mailserver je gebruikt, is het belangrijk dat deze up-to-date zijn. Controleer daarom eerst of er updates beschikbaar zijn en installeer die indien aanwezig. De meeste software is namelijk dusdanig slim ingesteld dat die automatisch de laatst beschikbare TLS-versie gebruikt.
       
    • De stappen in deze handleiding zijn bedoelt om op je op weg te helpen, maar individuele stappen kunnen bij verouderde installaties afwijken. We bieden geen garanties voor besturingssystemen en softwareversies die inmiddels een End of Life status bereikt hebben.
       
    • DirectAdmin en cPanel gebruiken automatisch de meest up-to-date TLS-versie. Als je server up-to-date is, zijn er verder dan ook geen acties vereist.

    Controleren of je al TLS 1.2 of nieuwer gebruikt in Linux

     

    First things first! Welke TLS-versie gebruikt je server eigenlijk? Er is in Linux een commando waarmee je dit eenvoudig kunt controleren:

    openssl s_client -connect 123.123.123.123:465
    • Vervang 123.123.123.123 door het IP-adres van je mailserver (of de hostname).
    • Je kunt mailpoort 465 veranderen naar bijvoorbeeld 587, 993 of 995 (SMTP, IMAP en POP3 over TLS respectievelijk), maar in de praktijk laten alle mailpoorten met dit commando dezelfde, nieuwst ondersteunde TLS-versie terugzien.
    • Voor het controleren van je TLS-versie voor de VPS-mailservice is het alleen nodig om, afhankelijk van je setup, poort 465 of 587 te controleren.

    Het commando hierboven laat alleen de nieuwste TLS-versie zien die jouw mailserver standaard gebruikt. Om te controleren of je ook TLS 1.0 of 1.1 nog ondersteunt gebruik je respectievelijk:

    openssl s_client -tls1 -connect 123.123.123.123:465
    openssl s_client -tls1_1 -connect 123.123.123.123:465

    Je krijgt bij deze commando's de nodige informatie te zien, maar hoeft alleen naar het volgende stukje te kijken:

    ---
    read R BLOCK
    ---
    Post-Handshake New Session Ticket arrived:
    SSL-Session:
        Protocol  : TLSv1.3
        Cipher    : TLS_AES_256_GCM_SHA384

    Zie je na het eerste commando Protocol : TLSv1.2 of Protocol : TLSv1.3 terug? Gefeliciteerd! Jouw server maakt al gebruik van een veilige TLS-versie.

    Zie je na het eerste commando Protocol : TLSv1.0 of Protocol : TLSv1.1? Update dan eerst volledig je VPS met de onderstaande commando's, herstart je VPS en kijk dan met het eerdere commando of je nu wel TLSv1.2 of TLSv1.3 terugziet. Zo niet, ga dan verder met de volgende paragraven (afhankelijk van je gebruikte mailsoftware).

    Ubuntu / Debian:

    apt -y update && apt -y upgrade

    CentOS/AlmaLinux:

    yum -y update

    TLS 1.2+ gebruiken voor Plesk-installaties

     

    Plesk staat je eenvoudig toe om eenvoudig de gebruikte TLS-versies aan te passen (Plesk installaties vanaf 2019 gebruiken al TLS 1.2).  In deze handleiding laten we zien hoe je TLS 1.0 en 1.1 uit zet in Plesk.


    TLS 1.0 en 1.1 uitschakelen in Dovecot

     

    Ongeacht of je Postfix of Exim gebruikt om mail te versturen, heb je, als je ook mail wil kunnen ontvangen, op een Linux distro Dovecot nodig. Dit betekent gelukkig dat de configuratie (zo goed als) hetzelfde is voor verschillende besturingssystemen en als bonus steekt die ook vrij eenvoudig in elkaar.

    De eenvoudigste oplossing is simpelweg om Dovecot (en je hele server) up-to-date te houden. In de recentste versies van Dovecot zijn TLS 1.0 en 1.1 uitgeschakeld. Zelfs bij iets minder recente versies wordt al automatisch de meest recente TLS-versie gebruikt.

    Wil je toch handmatig TLS 1.0 en 1.1 uitzetten, pas dan de configuratie aan als volgt:

     

    Stap 1

    Open de SSL-configuratie van Dovecot, meestal is dit:

    nano /etc/dovecot/conf.d/10-ssl.conf

     

    Stap 2

    Voeg de volgende regel toe aan het bestand.

    ssl_min_protocol = TLSv1.2

    Voor oudere versies van Dovecot dan 2.3 moet dit zijn:

    Ins ssl_protocols = TLSv1.2 

    Sla de wijzigingen op en sluit het bestand (ctrl + > > enter). Herstart tot slot Dovecot:

    systemctl restart dovecot

    TLS 1.0 en 1.1 uitschakelen in Postfix

     

    Postfix ondersteunt TLS 1.2 vanaf versie 2.6 en TLS 1.3 vanaf versie 3.4 en nieuwer. Je gebruikte versie controleer je met het commando:

    postconf -d | grep mail_version

    Als je installatie up-to-date genoeg is, stel je een minimum van TLS 1.2 in als volgt:

     

    Stap 1

    Open de configuratie van Postfix, voor de meeste besturingssystemen is dit:

    nano /etc/postfix/main.conf

     

    Stap 2

    Voeg de volgende regels toe onderaan het bestand:

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
    smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
    smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

    Sla de wijzigingen op en sluit het bestand (ctrl + > > enter). Herstart tot slot je VPS.


    TLS 1.0 en 1.1 uitschakelen in Exim

     

    Stap 1

    Open de configuratie van Exim, afhankelijk van je besturingssysteem kan de naam van het configuratiebestand verschillen, bijvoorbeeld:

    Ubuntu / Debian:

    nano /etc/exim4/exim4.conf.template

    CentOS / AlmaLinux / Rocky Linux

    nano /etc/exim/exim.conf

     

    Stap 2

    Voeg de volgende regel toe aan het bestand boven de regel 'auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}'. auth_advertise_hosts staat doorgaans bij het openen van het bestand direct in het eerste blok.

    tls_require_ciphers = SECURE192:!VERS-SSL3.0:!VERS-TLS1.0:!VERS-TLS1.1:!VERS-DTLS0.9:!VERS-DTLS1.0 

    Afhankelijk van je setup kan het zijn dat jouw server een andere set ciphers ondersteunt. Mocht je na deze stappen niet met Exim kunnen verbinden, kun je de volgende instellingen proberen:

    tls_require_ciphers = SUITEB192:!VERS-SSL3.0:!VERS-TLS1.0:!VERS-TLS1.1:+VERS-TLS1.2:-ARCFOUR-128

    Sla de wijzigingen op en sluit het bestand (ctrl + > > enter). Herstart tot slot je VPS.


    TLS 1.0 en 1.1 uitschakelen voor Exchange Server

     

    Stap 1

    Het is belangrijk om eerst te kijken of je server eigenlijk wel TLS 1.0 en/of TLS 1.1 ondersteunt en je niet al volledig up-to-date bent. Dit kun je eenvoudig doen door het register te controleren.

    Klik op de Windows Start-knop, type 'regedit' en klik op 'Registry Editor' in de zoekresultaten.

    windows search for regedit


     

    Stap 2

    Geef boven in de Registry Editor het adres 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\' op, of klik in de mappenstructuur aan de linkerkant tot je in deze map uitkomt.

    Zie je hier geen extra mappen voor TLS 1.0 en 1.1? Dan gebruik je al geen TLS 1.0 en 1.1 en ben je klaar met deze handleiding.

    regedit tls protocls


     

    Stap 3

    Voor je daadwerkelijk TLS 1.0 en 1.1 uit zet, is het belangrijk dat je server klaar is voor het uitschakelen van beide en exclusief gebruiken van TLS 1.2. Neem hiervoor eerst de volgende twee handleidingen van Microsoft door:


     

    Stap 4

    Druk op de Windows Start-knop en type 'Notepad'. Klik in de resultaten met de rechter muisknop en selecteer 'Run as Administrator'.

    windows start find notepad runas admin


     

    Stap 5

    Geef het bestand de volgende inhoud:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000 

    Sla vervolgens het bestand op met de naam en extensie TLS10-Disable.reg (Selecteer achter 'Save as type' de optie 'All files').

    save as reg filesave as reg file


     

    Stap 6

    Dubbelklik op het zojuist aangemaakte bestand en klik op 'Yes' om te accepteren dat de inhoud aan je register wordt toegevoegd.


     

    Stap 7

    Herhaal stap 4 t/m 6 maar geef deze keer het bestand de naam TLS11-Disable.reg en de volgende inhoud:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000001
    "Enabled"=dword:00000000 

    Je bent nu klaar met het uitschakelen van TLS 1.0 en 1.1 op je Exchange Server.


     

    Daarmee zijn we aan het eind gekomen van deze handleiding over het uitschakelen van TLS 1.0 en 1.1 op diverse mailservers.

    Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op