1
Vraag
2
Reacties
EVrije

Level 4
  • 30Posts
  • 2Oplossingen
  • 11Likes

Ik krijg MailServer niet meer aan de gang.

Mijn hardware configuratie bestaat uit een server (met Windows Home Server 2011), een desktop (met Windows 10Pro), een laptop (met Windows XP) en een 2e laptop (met Windows 10Home). Al jaren heb ik een eigen mail server (hMailServer) draaien. Hiermee kon ik probleemloos eigen emails versturen en ontvangen (ik heb daarvoor een eigen domein naam geregistreerd), xxx@evrije.nl werkte perfect, totdat een paar maanden geleden mijn WHS het liet afweten (moederbord kapot gegaan). Tijdelijk de mail server verplaatst naar de W10 desktop computer, en dit werkte ook. Ik wilde graag m'n WHS weer terug, vanwege de client backup mogelijkheid. Dus een nieuw moederbord gemonteerd en WHS opnieuw geinstalleerd. Alle benodigde poorten in firewall en router open gezet. En toch lukt het niet om email te ontvangen. Ik heb een testmail verstuurd vanuit mijn ziggo mail naar zowel mijn ziggo mail account als naar mijn eigen xxx@evrije.nl account. Op ziggo mail krijg ik mijn testmail terug en een undeliveral melding voor de mail naar xxx@evrije.nl. Pingen naar evrije.nl geeft eveneens time outs, ondanks dat wel het juiste IP-adres is gevonden. Een ping vanuit de ziggo modem naar evrije.nl geeft wel de juiste response.
Wie weet raad?
Oplossing

Geaccepteerde oplossingen
EVrije
Topicstarter
Level 4
  • 30Posts
  • 2Oplossingen
  • 11Likes
Allemaal bedankt voor de reacties. Om meneer ZPiep 'tegemoet' te komen heb ik tijdelijk alle internet toegang voor de server en de xp laptop uit gezet. De server heeft eigenlijk alleen de mail instelling nodig, en periodiek even internet om wat updates down te loaden. De xp laptop moet ik alleen soms overnemen als ik iets met Delph moet doen, maar heeft ook zelden internet toegang nodig. Als ik 1x per week of zo iets een update sessie doe, kan ik die wel aan zetten.
Ook ben ik op zoek naar andere server software. Maar dat is niet echt eenvoudig (prijstechnisch). En dan ben ik ook weer dankzij meneer ZPiep in de verschillende beveiligingen gedoken. O.a voor de DKIM instelling heb ik de toezegging van de klantenservice dat zij de benodigde DKIM records voor mij aanmaken.
Morgen ga ik weer verder puzzelen. Dan zet ik de mail poorten weer open, pas ik voor zover ik dat kan en begrijp oom de instellingen aan (STARTTLS, IMAP).
Wordt vervolgd...

Bekijk in context

19 Reacties 19
Michael Z1
Oud Community Moderator
Oud Community Moderator
  • 2609Posts
  • 346Oplossingen
  • 522Likes
Welkom op onze Community, EVrije. Top dat je ons hebt gevonden.

Bedankt voor de vrij uitgebreide en goed dat je zelf al zaken hebt gecheckt. Ik heb zelf vrij weinig kaas gegeten van mailservers, maar misschien weet hanh of efok je op de goede weg te helpen.
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
Er is gelijk te zien al heel veel niet op de juiste stand wat betreft veiligheid.

Bij veel zaken zal e.a. nu al niet meer werken of anders later problemen gaan geven.
Diverse minimaal benodigde protocollen zal men of indien nog mogelijk manueel dienen toe te voegen of instellen, als dat nog mogelijk is.

Hiervoor kan men vaak e.a. vinden in log en error files van de diverse software.
Zo ook in de mailheaders die je terug krijgt enz.

Als het op andere software wel werkt daar naar kijken en zoeken.
Zelfs indien het op andere goed gaat wil nog niet zeggen dat je wel up to date bent wat veiligheid betreft.
Gebruik je die mail ook zakelijk is zoiets verplicht ivm AVG wetgeving en meer.

Is de software niet meer ondersteund of bijna aflopende zou ik al helemaal mijn vingers wat betreft de ozo belangrijke mail af laten. ( check alles dus windows home server 2011 en je hmailserver en alle clients, routers / firewall firmware enz enz)

Iemand helpen ondersteunen die met te oude niet veilige zaken werkt en wil blijven werken is overigens ook niet handig, en kan bij problemen met afschuiven aansprakelijkheid enz ... geven :rage:


Hier maar een paar puntjes hmm https://internet.nl/mail/evrije.nl/195700/

Zie het positief je hebt nu de kans ineens alles up to date te krijgen en zetten.

Want Windows Home Server 2011 is al ergens per 2016 niet meer safe en supported door microsoft dus stel je iedereen die met jou mailt bloot aan onnodige risico's , buiten je gehele eigen netwerk thuis ook nog eens
https://blogs.technet.microsoft.com/sbs/2017/07/03/windows-home-server-2011-end-of-mainstream-support/

Dan valt mij de broek af als ik zoiets tegenkom vanaf onze aansluiting op een remote inlog pagina kunnen komen van een server waar Microsoft al ergens 2016 de stekker uit getrokken heeft wat security en support betreft
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes
EVrije

Het eerste wat je natuurlijk invalt is: er zal wel iets niet goed zijn ingesteld rond je Mail Server op het vernieuwde WHS systeem.
Maar daar kom ik niet mee weg bij jou als je tussentijds de boel met succes tijdelijk hebt kunnen draaien op een Win10 systeem.
Toch zeg ik flauw: loop alles nog ff na. Mijn uitgangspunt is verder: dat zit wel weer goed.
Op evt security issues met WHS ga ik niet in, want ik ken ze niet bij voorbaat. Dat moet je zelf maar in de gaten houden en verder doen wat je het beste lijkt voor je network.

Ik focus ff op de bereikbaarheid van het Domain evrije.nl
Ik kan dit hier goed bereiken met ping en traceroute. Ook je hosts mail, ftp en www.
Het Ip van het domain (en de hosts) is je externe IPv4 adres aka .........upc-f.chello.nl
Is een dynamisch Ip, toch? Zo ja, dan zou ik dit anders aanpakken mbv DDNS. Dit is een terzijde, waarop we kunnen terugkomen.
Je schrijft:
.... undeliveral melding voor de mail naar xxx@evrije.nl. Pingen naar evrije.nl geeft eveneens time outs, ondanks dat wel het juiste IP-adres is gevonden. Een ping vanuit de ziggo modem naar evrije.nl geeft wel de juiste response.

In je Modem/Router zit kennelijk een ping utility die goed werkt naar evrije.nl. Is het een ConnectBox? Zo ja: Draait er IPv4 Firmware op of IPv6 Dual Stack? Bekijk Beheer>Informatie om te zien of er ook IPv6 adressen in het spel kunnen zijn. Denk overigens van niet, want niets wijst daarop. Is voor alle zekerheid.
Zie aangehechte voorbeeldplaatjes voor Dual Stack resp IPv4.

De ping die mislukt, doe je dat op een systeem in je netwerk?
Zit dat systeem op je Modem/Router aangesloten zonder een andere Router ertussen? Wat zijn de adresgegevens van dat systeem? Laat ipconfig /all zien, na wegpoetsen externe adresinfo.

Tenslotte dit nog:
https://dnslytics.com/domain/evrije.nl

FF naar beneden Scrollen..... Die MX Records van de DNS, vind ik wat gek. Maar dat hoeft niet per se fout te zijn.
Het lijkt me goed dat efok ff meekijkt.
Die heeft ook een eigen Mail Server + domain.

Hoor van je.
Gr Han
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
hanh

ben het niet met je eens HAN iedereen zou hier support moeten weigeren en zou ook gelijk afgesloten moeten worden na waarschuwing met tijdlimiet.

Dit soort zaken vormen een hoog extra veiligheid risico voor iedereen op het web, hackers kunnen deze machine zo overnemen en vanaf deze bijv een ziekenhuis hacken enz.

Dat is echt overduidelijk grove nalatigheid en bij misbruik hierdoor is de beheerder aansprakelijk, bij op de hoogte zijn of kunnen zijn mogelijk zelfs de ISP!

https://discovery.cryptosense.com/analyze/evrije.nl/6e8d3d5

Ik denk niet dat efok daar gaat helpen :wink: zolang die oude troep gebruikt blijft worden

Vulnerability to the POODLE attackSupport for SSL 3.0


enne alle Microsoft lekken vanaf plm 2016
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes
Zpiep Zou kunnen, maar daar ga ik me niet mee bezig houden.
Ik zoom in op het probleem dat TS ons voorlegt.
Jij doet de rest, als je dat nodig vindt.
Han
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
hanh wrote:
Zpiep Zou kunnen, maar daar ga ik me niet mee bezig houden.
Ik zoom in op het probleem dat TS ons voorlegt.
Jij doet de rest, als je dat nodig vindt.
Han


2 verschillende inzichten ik start ten alle tijde indien zichtbaar bij het niet supporten van onveilige zaken in het algemeen in ieders dus ook jou belang.

Elke gehackte machine kan dodelijker blijken dan 1 kogel namelijk:wink:
EVrije
Topicstarter
Level 4
  • 30Posts
  • 2Oplossingen
  • 11Likes
De oude software is deels noodzakelijk: de laptop met XP is nog nodig om een Delphi 6 ontwikkel omgeving in de lucht te houden. En de home server voldoet nog goed, maar zou eigenlijk vervangen moeten worden, maar de alternatieven zijn nogal prijzig voor een privé systeem.
De configuratie: Desktop met WHS, desktop met W10 pro, laptop met W10 Home via een 1GB switch verboden met de Ziggo Connect Box. De Laptop met XP is nog via een 10MB switch verbonden met de 1GB switch. Alle computers hebben een vast ip adres. De computernaam van de server is EVRIJE. Home server kan/mag niet worden ingesteld als domein controller, dus zit alles in een workgroup.
Ik denk dat Hanh gelijk heeft om de focus op de bereikbaarheid te leggen. Ik ping naar evrije.nl van af mijn laptop of mijn server:
C:\Users\evrij>ping evrije.nl
Pinging evrije.nl [80.56.205.5] with 32 bytes of data:
Request timed out.
(Hier is ook nog iets geks aan de hand: ondanks dat ik de gebruiker evrije heb aangemaakt heeft W10 er de user evrij gemaakt, maar dit volledig terzijde). In de Connect Box zit inderdaad een ping mechaniek. Er draait alleen IPv4 Firmware.
Ik heb een domein naam evrije.nl geregistreerd bij DeHeeg.nl, waar ik ook een DNS Only account heb. De MX records zijn door de klantenservice van DeHeeg ingevuld.

En, heel vreemd, gister middag kwamen er ineens 2 mails door... Daar na niet meer. Ik was wel aan het rommelen met de firewall en de port-forwarding. Aan/uit zetten, poorten openen etc. Helaas )heel stom) weet ik niet wat ik heb gedaan om die 2 mails binnen te krijgen. Het zou dus zomaar kunnen zijn dat ik veel meer geduld moet hebben en pas na een herstart een volgende ping moet proberen.

Tot slot nog een reactie voor meneer ZPiep: ik kan me voorstellen dat u boos bent op mij vanwege mijn onwetendheid en het feit dat ik home server blijf gebruiken, maar u kunt uw punt ook in normaal Nederlands maken.
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
EVrije wrote:
Tot slot nog een reactie voor meneer ZPiep: ik kan me voorstellen dat u boos bent op mij vanwege mijn onwetendheid en het feit dat ik home server blijf gebruiken, maar u kunt uw punt ook in normaal Nederlands maken.


AHA hier hebben we het weer. iemand die problemen heeft met taal gaat men gelijk in eerst reply daarop aanvallen i.p.v. te zorgen dat er geen vorm van belediging en geen discriminatie is voor mensen die minder goed kunnen lezen en schrijven in Nederlands phoe. Gaat u ook zo om met gehandicapten?

U bent in gewoon Nederlands een onverantwoord persoon als ik u met duidelijke links en screenprint reeds heb laten weten dat u machine compleet te hacken is vanaf het web, en elk bijna klein kind dus via u machine mogelijk zelfs een heel ziekenhuis plat kan leggen.

Dat is grove nalatigheid zoiets als wapenvergunning hebben maar u pistooltje open en bloot op de achterbank van u geparkeerde cabrio laten liggen.

Bij niet voldoende kennis bent u hier bij deze op gewezen en doe er uw voordeel mee, die windows xp machine hoort ook niet meer op een netwerk die ook op het web zit, indien dat het geval is.

Het hele web staat vol met waarschuwingen en u blijft........
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
Verder over die firma DEheeg.nl

Heb ik al vaker ook bij klanten gewaarschuwd dat ze mensen in cyber gevaar brengen.
mail.deheeg.nl. SSLv3 gebruiken ze nog enz enz


Ook die hebben op het web met diverse aan spullen en hun support eigenlijk niets te zoeken, sslv3 is al jaren uit de boze maar dat is maar 1 klein ieniminei voorbeeldje

Bewijzen bij niet een mening en alleen opmerking maar dus vaststaande feiten hier te checken overigens.

https://discovery.cryptosense.com/analyze/DeHeeg.nl/4ef3880

Totaal onverantwoord die Firma!

Dit ook meer dan 10 jaar achter lopend en ook toen wisten ze al niet van wanten

ns.eatserver.nl

Support for SSH version 1
Trigger The server supports SSH-1. ContextThe recommended SSH protocol is SSH-2, adopted as a standard in 2006 (RFC 4251) and identified as "SSH-2.0". SSH-1, designed in 1995, is now discouraged. Servers claiming compatibility with both versions use "SSH-1.99" in their version string.
EVrije
Topicstarter
Level 4
  • 30Posts
  • 2Oplossingen
  • 11Likes
Nog 1 reactie, en dan laat ik het erbij.
Het is niet mijn bedoeling om u aan te vallen op uw taalgebruik. U bent misschien wel een buitenlander, en in dat geval is uw Nederlands zeer waarschijnlijk veel beter dan mijn kennis van uw taal. Er zijn alleen 2 dingen waar ik mij aan stoor: Er zijn een groot aantal verschillende gebruiker niveaus, u bent een 'goeroe', en ik ben een leek op internet gebied. Dat houdt onder andere in dat wij een volledig ander gebruik van internet hebben. U zit waarschijnlijk veel meer op technische sites, en ik, ach ik browse zo maar wat. Het feit dat ik weet dat de support voor WHS is stopgezet wil op zich niet zeggen dat ik kan inschatten hoe veel groter een risico wordt. Als mijn moederbord niet kapot was gegaan had ik nog steeds met een werkende WHS gezeten, en had u niets ervan geweten (en ik ook niet). Een 2e punt is dat ik gewoon veel moeite heb om te begrijpen wat u precies bedoeld.
Dus mijn excuses als u zich voelt aangevallen. Dat was zo in ieder geval niet bedoeld. Verder is deze topic niet bedoelt om zo in dit soort discussies te geraken. Daarom laat ik het verder hierbij.
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
Aha laat dat van die taal maar zitten :wink: dat is echt letterlijk een handicap van mij en ben ik ja gevoelig... enne wel Nederlander

Enne ik bedoel het nog steeds goed alleen dat iemand dan als men die kennis tracht te delen ( en wil wijzen op de vele gevaren), toch eigenwijs wil zijn snap ik weer niet.

Dergelijke machines aangesloten op het web zijn een gevaar omdat ze makkelijk hackbaar zijn.

En alles wat makkelijk hackbaar is kunnen criminelen en erger inzetten voor cyber aanvallen, dat gaat automatisch mogelijk zonder dat u er kennis van krijgt of heeft.

ER staan zo tig duizenden server en andere devices in Nederland waarmee die criminelen e.a. aan bijv infrastructuur maar ook u huisarts trachten schade toe te brengen of geld afpersen enz.

Op het moment dat even pistooltje van hierboven iemand u zegt he u vergeet u pistool op de achterbank, zal u deze ook daar wegnemen verwacht ik.

Is zoiets als ondanks APK afkeur toch blijven doorrijden met defecte remmen

en die personen help ik dan ook niet met aanduwen, dit niet alleen omdat door schuld dan een kind.... maar ik daarin dan verantwoording van mij kant voor neem weer met defecte remmen de weg op tracht te voorkomen

Zo wel duidelijk? EVrije

En bij wet is het zelfs verboden om onveilige zaken die misbruikt kunnen worden op het web aan te sluiten. ( dit vooral in het geval zodra men die kennis door waarschuwing heeft gekregen of had kunnen / moeten hebben)

Verder alles wat men aan het web heeft aangesloten is ( nu nog) de eindgebruiker verwantwoordelijk voor het up to date houden en dus ook regelmatig controleren of er aan beveiliging wat gedaan dient te worden. ( men kan zich daartoe bij veel partijen inschrijven op een soort maillist om dan bericht te krijgen over belangrijke updates) Bij microsoft producten heeft en komen er waarschuwingen vanuit de systemen
efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes
Oef, Het mag wel wat minder fel allemaal hoor. Ik draai ook een eigen mailserver, maar dan Postfix, op Ubuntu. Ander verhaal.

op dit moment is poort 25 op evrije.nl gewoon niet bereikbaar, dus daar zit iets niet lekker.Kun je poort 25 intern wel bereiken?
Kan gewoon met telnet worden getest op die poort.

Verder zie ik wel poort 110, dus die mailserver is wel in de lucht. Plain text inlog op poort 110 doe ik zelf allang niet meer aan. Ik kende de hmailserver niet eerlijk gezegd, het is open source en lijkt wel te worden onderhouden. Je kan ook instellen welke TLS versies je wilt ondersteunen, dus dat is wel te fixen, naar moderne standaarden. Maar ik zou wel naar pop3s (of imaps) gaan. Kun je een restrictie op het maximale aantal inlogpogingen zetten, op deze mailserver? Is wel een dingetje, want heel China klopt graag dagelijks aan, is mijn ervaring.

Ik ben het er wel mee eens, dat je echt uit moet kijken wat je aan services direct op het web hangt. Een rdp sessie, zou ik ook liever niet bereikbaar niet vanaf het web, zeker niet op een outdated platform. En een remote login via https ook niet.
Je zou er voor kunnen kiezen om een openvpn server of iets dergelijks op te zetten, en van daaruit naar je rdp, als je dat wilt.
Dan houdt je je WHS gewoon goed afgeschermd,en hoeft die poort 443 en 3389 domweg niet open.
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 498Likes
EVrije,

Misschien brengt Zpiep het wat hard over maar in essentie heeft hij wel gelijk, het is zowel onveilig voor u als externe partijen om apparatuur welke niet meer voorzien wordt van veiligheid updates direct aan het internet bloot te stellen.

Delfy 6 zou volgens deze post gewoon op Windows 10 moeten kunnen werken echter niet direct vanuit standaard instal.

En met betrekking tot uw eigen server, overweeg eens een Synology of QNAP NAS als deze in uw behoefte kunnen voorzien, deze zijn over het algemeen goedkoper en gemakkelijker in onderhoud dan Windows Servers.

Als u om welke reden dan ook niet wilt of kunt upgraden zorg dat er tenminste een goed security pakket op de verouderde machines geïnstalleerd staat en volg efok 's advies op.

MVG
EVrije
Topicstarter
Level 4
  • 30Posts
  • 2Oplossingen
  • 11Likes
Allemaal bedankt voor de reacties. Om meneer ZPiep 'tegemoet' te komen heb ik tijdelijk alle internet toegang voor de server en de xp laptop uit gezet. De server heeft eigenlijk alleen de mail instelling nodig, en periodiek even internet om wat updates down te loaden. De xp laptop moet ik alleen soms overnemen als ik iets met Delph moet doen, maar heeft ook zelden internet toegang nodig. Als ik 1x per week of zo iets een update sessie doe, kan ik die wel aan zetten.
Ook ben ik op zoek naar andere server software. Maar dat is niet echt eenvoudig (prijstechnisch). En dan ben ik ook weer dankzij meneer ZPiep in de verschillende beveiligingen gedoken. O.a voor de DKIM instelling heb ik de toezegging van de klantenservice dat zij de benodigde DKIM records voor mij aanmaken.
Morgen ga ik weer verder puzzelen. Dan zet ik de mail poorten weer open, pas ik voor zover ik dat kan en begrijp oom de instellingen aan (STARTTLS, IMAP).
Wordt vervolgd...
efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes
Ubuntu server is gratis, om even prijstechnisch te blijven...?, maar daar moet je wel even in willen duiken, als je een Windows man bent.
hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes
EVrije
Je schreef nav van een vraag van mij:
Ik ping naar evrije.nl van af mijn laptop of mijn server:
C:\Users\evrij>ping evrije.nl
Pinging evrije.nl [80.56.205.5] with 32 bytes of data:
Request timed out.

Dit is te verklaren uit het feit dat de ConnectBox geen so-called NAT loopback heeft.
De ping utility in de ConnectBox blijkt dit te kunnen omzeilen.
Grappig weetje. Niks aan de hand dus.

Ik schreef:
Die MX Records van de DNS, vind ik wat gek. Maar dat hoeft niet per se fout te zijn.

Het is inderdaad niet fout van je Domain Provider dit zo aan te pakken voor de hosts.
Weet eigenlijk niet of dit handigheidje common practice is.

Ik zie dat je aan het kijken bent het over een andere boeg te gooien met je Email Serving.
Wel goed blijven opletten bij je Port Forwards. Daar is/was toch wel iets mee aan de hand, zag ik in een reaktie die je gaf en door tests van efok..

Succes ermee,
Han
Anne H
Community Developer
Community Developer
  • 3866Posts
  • 225Oplossingen
  • 1576Likes
Hallo EVrije Welkom op onze Community!

Ondanks dat er meteen enorm de diepte in is gegaan, zijn er toch een paar tips uitgelicht en overgebracht. Mijn tip: Overweeg ook eens een hostingpakket met goede e-mail ondersteuning. Dat is er al voor 2 tientjes per jaar en dan hoef je ook geen server te onderhouden thuis. Tenzij je dat juist leuk vind natuurlijk 😉

Kan ik het topic sluiten?
EVrije
Topicstarter
Level 4
  • 30Posts
  • 2Oplossingen
  • 11Likes
Ja, denk wel dat de topic gesloten mag worden. Ik ben best wel met m'n neus op de feiten gedrukt. Ik heb ook een hoop geleerd, zeker op veiligheidsgebied.
Hoe ik dingen ga oplossen, en in welke volgorde, weet ik nog niet. Wel weet ik dat m;n xp laptop van het internet af blijft. En de home server vooralsnog zoveel mogelijk.
Zpiep

Level 1
  • 725Posts
  • 3Oplossingen
  • 65Likes
EVrije IK heb net even geliked, en succes verder, ook met bijblijven want dat is best een taak op zich :wink:


Oja waarom ik zo hard ben wat veiligheid betreft ik kom vaak de ellende tegen om op te ruimen, aanvallen hebben dan vanaf dat soort systemen of erger server van zgn goede (vooral de cheap) hosters ook in nl plaatsgevonden. ( huilen, jankende mensen enz tot bijna failliet)
E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic