Voor een veilige website en e-mail is het van belang om te zorgen dat je website en je e-mail instellingen voldoen aan de huidige normen. Om dat te controleren kun je een test uitvoeren op internet.nl. Hier worden een hoop tests uitgevoerd, je krijgt vervolgens een score afhankelijk van hoe goed je website en e-mail aan moderne standaarden voldoen.
Voor klanten van Greenhost is het mogelijk hier een score van 100% te halen! Wij staan daarom ook genoemd op de internet.nl Hosters Hall of Fame!
Het behalen van een score van 100% kunnen we helaas nog niet voor je automatiseren. Er zijn wat opties die je zelf moet inschakelen in ons Service Centre en andere opties wijzig je in de code van je website.
In deze blogpost helpen we je met de meest voorkomende struikelblokken. Op naar de 100%!
Als je hierbij ergens tegen aan loopt, laat het ons dan weten, dan geven we graag extra uitleg!
Je kunt op internet.nl twee tests doen die we toe willen lichten; de websitetest en de e-mailtest. We beginnen met het website deel, daarna bespreken we de e-mailtests.
In deze blogpost wordt er vanuit gegaan dat je gebruik maakt van onze Hosting dienst. Gebruik je een VPS? Dan is deze handleiding grotendeels ook relevant, je bent dan alleen voor meer van de configuratie zelf verantwoordelijk.
Wij adviseren om eerst de test op internet.nl uit te voeren. Je ziet dan vanzelf welke tests nog voor een lagere score zorgen, je kunt die punten dan in deze blogpost opzoeken en verhelpen. De onderstaande kopjes staan op dezelfde volgorde als de test resultaten op internet.nl.
Inhoud
Website
Modern adres (IPv6)
Wat is IPv6?
Je kunt bij ons voor je website naast het bekende IPv4 adres ook een IPv6 adres instellen. We schreven in 2011 al over IPv6 in deze stokoude blogpost.
De tekst over "Chinezen" leest vanuit 2024 wat vreemd. Maar de voorspelling klopt; de groei van gebruikers in Aziƫ maakte de IPv4 schaarste daar veel hoger dan in het westen en daardoor is nu de adoptie van IPv6 daar al een stuk verder. Dat de rest van de wereld nu nog achter de feiten aanloopt is eigenlijk beschamend; als de schaarste in de VS of Europa zo hoog was geweest dan zou de uitrol wereldwijd vermoedelijk al een stuk verder zijn.
De uitleg is nog steeds nuttig, dus wil je weten wat IPv6 is en waarom je dit instelt, dan kun je de post zeker nog even doorlezen.
Instellen IPv6
Je domeinnaam is normaliter al met een IPv4-adres aan je hostingpakket verbonden. Je kunt hier nu ook een IPv6-adres aan toevoegen. Je doet dit in ons Service Centre onder "Hosting" op de pagina "DNS Records".
Bovenaan de tabel met DNS records zie je het IPv4-adres en het IPv6-adres van het hostingpakket vermeld.
- Klik op "Nieuw record".
- Voer het volgende in:
- Record: @
- Type: AAAA (IPv6)
- Bestemming: voer hier het IPv6 adres in
- TTL: veld leeg laten
- Klik op "Maak aan"
Het AAAA
record zou nu in de tabel terug te zien moeten zien.
Ben je een VPS gebruiker en wil je ook een IPv6 adres toevoegen aan je VPS? Neem dan contact met ons op, en geef aan om welke VPS het gaat, dan helpen we je vanaf daar verder.
Ondertekende domeinnaam (DNSSEC)
Wat is DNSSEC?
Misschien heb je in de vorige stap een IPv6 adres aan het DNS van je domeinnaam toegevoegd. Maar hoe kan je websitebezoeker er nou verzekerd van zijn dat zij ook dat IP-adres terugkrijgen? Dat er geen kwaadwillende hacker, overheid of internetprovider is die ze stiekem ergens anders heen wijst? DNSSEC is ingevoerd om deze antwoorden van het DNS te beveiligen.
DNSSEC instellen
We stellen DNSSEC standaard voor je in, dus als het goed is krijg je hier direct al een groen vinkje.
Toch kan het voorkomen dat DNSSEC niet vanzelf werkt. Bijvoorbeeld: - wanneer je een externe nameserver gebruikt (in dat geval wordt DNSSEC automatisch uitgeschakeld). - Sommige TLD's ondersteunen nog geen DNSSEC. - Er kan een configuratiefout zijn ontstaan.
Werkt DNSSEC nog niet, neem dan contact met ons op, dan kunnen we kijken of we dit kunnen verhelpen.
Beveiligde verbinding (HTTPS)
Wat is HTTPS/TLS?
Het TLS certificaat is ervoor verantwoordelijk dat de verbinding van de bezoekers met jouw website versleuteld gebeurt. Je herkent dit aan een slotje in de adresbalk en het feit dat er geen waarschuwing te zien is over de beveiliging van je website.
Instellen en/of verbeteren van de configuratie van het TLS-certificaat
Je kunt voor deze stap onze bestaande handleiding voor het instellen van een TLS-certificaat volgen. De tests van internet.nl willen dat je het certificaat activeert en daarbij "Forceren" en "HSTS" inschakelt.
Ben je een VPS gebruiker? Dan ben je zelf verantwoordelijk voor het instellen en configureren van de TLS-certificaten. We raden aan om hiervoor Let's Encrypt te gebruiken.
Beveiligingsopties
Wat zijn deze beveiligingsopties?
Je kunt in de code van je website wat regels voor het gebruik opgeven. Dat doe je in de "security headers" en in het security.txt bestand.
Je kunt hiermee bijvoorbeeld voorkomen dat iemand jouw website laadt in een externe site om op die manier informatie die je bezoekers invoeren af te kunnen luisteren .
Beveiligingsopties instellen
Deze opties zijn voor het behalen van de 100% score allemaal optioneel.
We raden aan om hier te kijken naar het advies van internet.nl en zelf te overwegen hoe relevant deze opties voor jouw website zijn.
Je kunt de meeste opties vervolgens toevoegen via het .htaccess bestand.
Route-autorisatie (RPKI)
Wat is RPKI?
RPKI is een extra beveiligingssysteem dat actief is op het BGP systeem. BGP is het systeem dat verantwoordelijk is voor het vinden van de beste "route" naar een server aan de hand van het IP-adres. RPKI maakt dit beter bestand tegen (bewuste of onbewuste) fouten.
Hoe stel ik dit in?
Dit stellen wij automatisch in voor al onze IP-adressen en servers.
Mocht dit onverhoopt toch niet werken dan horen we dat natuurlijk graag.
Modern adres (IPv6)
Wat is IPv6?
Zie de uitleg hierboven bij het vergelijkbare Website - IPv6 onderdeel.
Hoe stel ik dit in?
Onze mailservers zijn al te bereiken via IPv6. Als je onze mailservers gebruikt hoef je hiervoor niets in te stellen.
Ondertekende domeinnamen (DNSSEC)
Zie de uitleg hierboven bij het vergelijkbare Website - DNSSEC onderdeel.
Echtheidswaarmerken tegen phishing (DMARC, DKIM en SPF)
Wat is SPF?
Met een SPF-record kun je aangeven welke mailservers e-mail mogen versturen namens jouw domeinnaam.
Standaard maken wij een record voor je aan, waarin we het versturen van de Greenhost mailservers toestaan. Het is mogelijk dit aan te passen, als je bijvoorbeeld ook e-mail wilt versturen vanuit de servers van een nieuwsbriefprovider, of e-mails met facturen vanuit een extern boekhoudprogramma.
Hoe stel ik SPF in?
Het SPF-record wijzig je, of maak je aan, in het DNS.
Dat kun je in de meeste gevallen instellen in ons Service Centre, onder "Hosting" > "DNS Records". Als je gebruik maakt van externe nameservers stel je dit in bij de beheerder van die nameservers.
Een SPF-record is altijd een type TXT
record. Het eerste veld (record) is: @
.
De inhoud van het SPF-record (het bestemming-veld) bestaat uit verschillende delen. Dat kan er bijvoorbeeld zo uit zien:
"v=spf1 mx include:spf.greenhost.nl include:_spf.automattic.com -all"
Het begint altijd met v=spf1
gevolgd door een spatie. Dit deel geeft aan dat het een SPF-record is.
Daarna volgen een aantal waardes, gescheiden door spaties, deze waardes verwijzen naar de servers die mail mogen versturen. In het voorbeeld zijn dat drie waardes (dikgedrukt):
"v=spf1
mx
include:spf.greenhost.nl
include:_spf.automattic.com
-all
"
Vaak wordt mx
of a
gebruikt in het SPF record, om te verwijzen naar de MX of A records van het domein zelf. Dat is niet nodig wanneer je de mailservers van Greenhost gebruikt.
Daarna zie je include:spf.greenhost.nl
dit geeft aan dat het versturen van e-mail is toegestaan vanaf alle servers die vermeld worden onder spf.greenhost.nl
. Dit is voldoende voor alle e-mails die verzonden worden via de servers van Greenhost.
Als je daarnaast ook nog e-mail wilt versturen vanaf een andere server, kun je de waarde die door de beheerder van die mailserver wordt aangeleverd hier invoegen. In het voorbeeld is dat gedaan voor de servers van Wordpress.com met include:_spf.automattic.com
.
Het record eindigt meestal met ~all
of -all
. Hiermee geef je aan wat er moet gebeuren met e-mails verzonden van een server die niet zijn vermeld in de eerder genoemde delen. Wanneer je wilt dat deze e-mails geweigerd worden kun je kiezen voor -all
. Wil je niet dat ze geweigerd worden maar wel dat ze strenger behandeld worden als mogelijke spam berichten? Dan kun je kiezen voor ~all
.
Wanneer als laatste waarde nog ?all
staat, of zelfs +all
dan geef je in feite aan dat je wilt dat e-mails vanaf alle servers geaccepteerd worden. Er wordt dan in feite niets gedaan met de resultaten van de SPF controle. We raden daarom dus aan om te kiezen voor -all
of ~all
.
Wat is DKIM?
DKIM is bedoeld als manier om te bewijzen dat een e-mail is verzonden vanaf de correcte mailserver.
Spammers kunnen bij het versturen van hun berichten, er voor kiezen om een ander adres op te geven als afzender. Dat wordt ook wel spoofing genoemd. DKIM is bedoeld om dat tegen te gaan, door een extra bewijs toe te voegen aan correct verzonden e-mails. Dit is een bewijs dat een spammer vanaf een andere server niet kan toevoegen.
Dit extra bewijs wordt toegevoegd door de versturende mailserver. Deze maakt een hash van de tekst en koppen (onderwerp, afzender, ontvanger, etc.) van de e-mail, als een soort cryptografische "vingerafdruk". Dit wordt toegevoegd als extra (normaliter onzichtbare) kop in de e-mail. Deze hash wordt gemaakt met behulp van een private key die op de versturende server aanwezig is.
Op de ontvangende mailserver kan deze hash vervolgens gecontroleerd worden. Hiervoor wordt de public key gebruikt. De public key is te vinden in het DNS van de domeinnaam vanaf waar de e-mail wordt verzonden. Wanneer de hash klopt, weet de ontvangende server dat deze e-mail alleen verzonden kan zijn vanaf de server waarop de bijbehorende private key stond.
Hoe stel ik DKIM in?
DKIM moet worden ingesteld per uitgaande mailserver die je gebruikt.
Verstuur je alleen e-mail via de servers van Greenhost? Dan is DKIM in te schakelen via het Service Centre onder "Hosting" > "E-mailinstellingen".
Maak je gebruik van onze nameservers? Dan stellen wij bij het inschakelen automatisch het DNS voor je in. Wanneer je externe nameservers gebruikt, zul je zelf de getoonde DKIM-key moeten toevoegen op die nameservers.
Wanneer je (ook) e-mail verstuurt via andere servers, dan kun je met de beheerders van die servers contact opnemen om hen te vragen hoe je DKIM bij hen configureert. Je zult hiervoor dan vermoedelijk een regel aan het DNS bij ons moeten toevoegen.
Wat is DMARC
Met het DMARC record kun je aangeven hoe streng je wilt dat een ontvangende mailserver is op het controleren van SPF en DKIM records.
SPF records hebben de optie (met de laatste waarde, ~all
of -all
) om duidelijk te maken hoe streng een e-mail die niet overeenkomt moet worden beoordeeld. DKIM heeft daar echter helemaal geen optie voor. Met DMARC kun je dit instellen, samen met nog wat andere opties.
Hoe stel ik DMARC in?
Een DMARC-record is altijd een type TXT
record. Het eerste veld (record) is altijd: _dmarc
.
In het laatste veld (bestemming) staat de daadwerkelijke informatie.
Laten we beginnen met de simpelst mogelijke configuratie:
"v=DMARC1; p=none;"
De aanhalingstekens aan het begin en einde horen bij het TXT record, die kunnen we voor nu even vergeten.
Daarna bestaat het record uit meerdere stukjes in de vorm van:
instelling=waarde;
De eerste daarvan geeft aan welke versie DMARC record dit is:
v=DMARC1;
Daarna zien we:
p=none;
Hier staat "p" voor policy, oftewel: wat willen we dat er gebeurd met e-mails waarvan de DKIM en SPF instellingen niet kloppen? Er zijn hier 3 opties: "none", "quarantine" of "reject".
"None" geeft aan dat er geen actie moet worden ondernomen.
Met "quarantine" geef je aan dat e-mails die niet matchen moeten worden doorgestuurd naar het spamfilter van de ontvanger.
Wanneer je kiest voor "reject" geef je aan dat onjuist geconfigureerde e-mails geheel moeten worden geweigerd.
Voor een 100% score vereist internet.nl dat je hier voor "quarantine" of "reject" kiest.
Er zijn nog meer opties die je via je DMARC record kunt instellen, maar die laten we voor nu buiten beschouwing.
Beveiligde mailserver-verbinding (STARTTLS en DANE)
Wat houdt dit in?
Wanneer een e-mail wordt verzonden maakt de mailserver van de afzender een verbinding met mailservers van de ontvanger. Deze verbinding was vroeger vaak onbeveiligd, of alleen optioneel beveiligd. Tegenwoordig is het geaccepteerd gebruik om alleen beveiligde verbindingen te accepteren en onbeveiligde verbindingen te weigeren.
Hoe stel ik dit in?
Dit is iets dat wij voor je instellen. Als je onze mailservers gebruikt hoef je hiervoor zelf niets te doen.
Route-autorisatie (RPKI)
Zie de uitleg hierboven bij het vergelijkbare Website - Route-autorisatie RPKI onderdeel.