SSL/TLS Encryptie

Begrijp hoe Imply je email verkeer beveiligt met moderne encryptie

Standaard encrypted:
Alle verbindingen met Imply gebruiken automatisch SSL/TLS encryptie. Je emails zijn veilig tijdens transport en opslag.

Wat is SSL/TLS?

SSL (Secure Sockets Layer) en TLS (Transport Layer Security) zijn encryptie protocollen die communicatie tussen je email client en de mailserver beveiligen:

Confidentialiteit - Niemand kan je emails lezen tijdens verzending
Integriteit - Emails kunnen niet worden aangepast onderweg
Authenticiteit - Je communiceert daadwerkelijk met Imply's servers

SSL vs TLS:
SSL is verouderd en onveilig. Imply gebruikt alleen moderne TLS versies (1.2 en 1.3). De term "SSL" wordt nog vaak gebruikt, maar eigenlijk bedoelen we TLS.

Imply's TLS configuratie

Ondersteunde protocollen

Protocol	Status	Opmerking
TLS 1.3	✅ Ondersteund	Preferred, snelste en veiligste
TLS 1.2	✅ Ondersteund	Compatibiliteit met oudere clients
TLS 1.1	❌ Niet ondersteund	Verouderd en onveilig
TLS 1.0	❌ Niet ondersteund	Verouderd en onveilig
SSL 3.0	❌ Niet ondersteund	Verouderd en onveilig

Cipher suites

Imply gebruikt alleen moderne, veilige cipher suites:

# Preferred ciphers (TLS 1.3)
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

# Legacy ciphers (TLS 1.2)
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-CHACHA20-POLY1305

Zwakke ciphers uitgeschakeld:
RC4, 3DES, en andere onveilige ciphers zijn uitgeschakeld. Dit kan betekenen dat zeer oude email clients niet kunnen verbinden.

SSL/TLS voor email protocols

IMAP met SSL/TLS

Methode	Poort	Beschrijving
IMAPS (SSL/TLS)	993	Direct encrypted connection - Aanbevolen
IMAP (STARTTLS)	143	Start onversleuteld, upgrade naar TLS

SMTP met SSL/TLS

Methode	Poort	Beschrijving
SMTP (STARTTLS)	587	Submission port met TLS - Aanbevolen
SMTPS (SSL/TLS)	465	Direct encrypted connection

POP3 met SSL/TLS (niet aanbevolen)

Methode	Poort	Beschrijving
POP3S (SSL/TLS)	995	Direct encrypted connection
POP3 (STARTTLS)	110	Start onversleuteld, upgrade naar TLS

SSL certificaten

Let's Encrypt certificaten

Imply gebruikt gratis Let's Encrypt certificaten met automatische vernieuwing:

Geldig voor 90 dagen
Automatisch vernieuwd na 60 dagen
Vertrouwd door alle moderne browsers en email clients
2048-bit RSA of ECDSA P-256 keys

Certificaat informatie opvragen

Check het SSL certificaat van je mailserver:

# Check IMAP certificaat
openssl s_client -connect mail.jouwdomein.nl:993 -showcerts

# Check SMTP certificaat
openssl s_client -starttls smtp -connect mail.jouwdomein.nl:587

# Certificaat details
echo | openssl s_client -connect mail.jouwdomein.nl:993 2>/dev/null | \
  openssl x509 -noout -dates -subject -issuer

Certificaat validatie

Email clients controleren automatisch:

Certificaat is niet verlopen
Certificaat is uitgegeven door een vertrouwde CA
Hostname in certificaat komt overeen met server
Certificaat is niet ingetrokken

STARTTLS vs Direct SSL/TLS

STARTTLS (Opportunistic encryption)

Verbinding start onversleuteld, upgrade naar TLS als beide kanten het ondersteunen:

Client: EHLO client.example.com
Server: 250-STARTTLS
Client: STARTTLS
Server: 220 Ready to start TLS
[TLS handshake]
[Nu encrypted communicatie]

STARTTLS risico:
Bij STARTTLS kan een aanvaller de upgrade verzoeken blokkeren (MITM attack). Imply's configuratie vereist altijd TLS voor authenticatie.

Direct SSL/TLS (Implicit encryption)

Verbinding is direct encrypted vanaf het begin:

[TLS handshake meteen bij verbinding]
[Alle communicatie is encrypted]

Aanbeveling:
Gebruik poort 993 (IMAPS) en 465 (SMTPS) voor direct SSL/TLS waar mogelijk. Dit is veiliger dan STARTTLS.

Perfect Forward Secrecy (PFS)

Imply gebruikt Perfect Forward Secrecy om je emails te beschermen, zelfs als een private key in de toekomst gelekt wordt:

Elke sessie gebruikt unieke encryption keys
Session keys worden niet opgeslagen
Oude emails kunnen niet worden gedecrypt met nieuwe keys
Implementatie via ECDHE cipher suites

End-to-end encryptie

TLS vs E2EE:
TLS encrypt email tijdens transport (client ↔ server). Voor end-to-end encryptie (verzender ↔ ontvanger) gebruik je PGP of S/MIME.

PGP/GPG encryptie

Voor volledige end-to-end encryptie:

Genereer PGP key pair (bijv. met GnuPG)

Publiceer je public key

Versleutel emails met ontvanger's public key

Ontvanger decrypteert met private key

Imply ondersteunt PGP via email clients zoals Thunderbird met Enigmail of Apple Mail met GPGTools.

S/MIME encryptie

Alternatief voor PGP, geïntegreerd in veel email clients:

Verkrijg S/MIME certificaat van CA
Installeer in email client
Sign en encrypt emails automatisch
Ontvanger heeft jouw public certificaat nodig

TLS testing

Via command line

Test TLS configuratie met OpenSSL:

# Test TLS 1.3 support
openssl s_client -connect mail.jouwdomein.nl:993 -tls1_3

# Test TLS 1.2 support
openssl s_client -connect mail.jouwdomein.nl:993 -tls1_2

# Test specific cipher
openssl s_client -connect mail.jouwdomein.nl:993 \
  -cipher 'ECDHE-RSA-AES256-GCM-SHA384'

# Show all supported ciphers
nmap --script ssl-enum-ciphers -p 993 mail.jouwdomein.nl

Online tools

SSL Labs Server Test - Uitgebreide SSL/TLS analyse
CheckTLS - Email specific TLS checker
Hardenize - Complete security scan

MTA-STS (Mail Transfer Agent Strict Transport Security)

MTA-STS forceert TLS voor email tussen servers:

MTA-STS policy toevoegen

Voeg DNS TXT record toe:

Type	Naam	Waarde
TXT	_mta-sts.jouwdomein.nl	`v=STSv1; id=20250115T120000;`

Host policy bestand op https://mta-sts.jouwdomein.nl/.well-known/mta-sts.txt:

version: STSv1
mode: enforce
mx: mail.jouwdomein.nl
max_age: 604800

TLS-RPT (TLS Reporting)

Ontvang rapporten over TLS failures:

Type	Naam	Waarde
TXT	_smtp._tls.jouwdomein.nl	`v=TLSRPTv1; rua=mailto:tls-reports@jouwdomein.nl`

Troubleshooting

Certificate errors

"Certificate name mismatch"

Gebruik de correcte hostname in je email client:

✅ Correct: mail.jouwdomein.nl
❌ Fout: IP adres (bijv. 192.0.2.100)
❌ Fout: Andere hostname

"Certificate not trusted"

Update je email client naar de nieuwste versie
Check of Let's Encrypt root certificates geïnstalleerd zijn
Verifieer dat certificaat niet verlopen is

"Certificate expired"

Normaal gesproken automatisch vernieuwd door Imply
Wacht 1 uur en probeer opnieuw
Neem contact op met support als probleem blijft

Connection errors

"SSL/TLS handshake failed"

Check of je de juiste poort gebruikt (993/587/465)
Verifieer dat SSL/TLS is ingeschakeld in je client
Test met OpenSSL of verbinding mogelijk is
Update email client (zeer oude clients ondersteunen geen TLS 1.2+)

"Protocol version mismatch"

Je client probeert verouderde SSL/TLS te gebruiken
Update je email client naar een nieuwere versie
Moderne clients ondersteunen TLS 1.2/1.3 automatisch

Best practices

Gebruik altijd SSL/TLS - Schakel nooit plain text verbindingen in
Prefer direct TLS - Gebruik poort 993/465 in plaats van STARTTLS waar mogelijk
Update email clients - Voor ondersteuning van moderne TLS versies
Verifieer certificaten - Accepteer geen ongeldige certificaten
Monitor expiratie - Hoewel automatisch vernieuwd, monitor voor zekerheid
Implementeer MTA-STS - Voor server-to-server TLS enforcement
Overweeg E2EE - Voor zeer gevoelige communicatie, gebruik PGP/S/MIME

Encryptie overzicht

Laag	Methode	Beschermt tegen
Transport (client → server)	TLS 1.2/1.3	Man-in-the-middle, sniffing
Opslag (server)	AES-256	Unauthorized disk access
End-to-end (optioneel)	PGP/S/MIME	Server compromise, legal requests
Wachtwoorden	bcrypt	Database leaks

Volledig beschermd:
Met TLS, disk encryption, en optioneel PGP/S/MIME zijn je emails beschermd tijdens transport, opslag, en end-to-end.

Meer hulp nodig?
Voor SSL/TLS vragen of certificaat problemen, neem contact op met support@imply.nl.