Skip to main content

Sinds maart 2020 zijn de internetprotocollen TLS 1.0 en 1.1 end of life. Dat betekent dat ze niet meer actief ondersteund worden door browsers. T-Mobile heeft deze protocollen nog 2 jaar ondersteund op onze e-mailservers. We gaan daar zeer binnenkort mee stoppen.

Daar zal 99% van de gebruikers (voor zover die überhaupt gebruik maken van onze e-mailservice) niks van merken. Versleuteld verbinden met onze mailservers kan dan enkel nog met TLS 1.2. Alle recente computers, smartphones en tablets ondersteunen TLS 1.2. Echter, gebruikers die nog gebruik maken van enkele verouderde apparaten kunnen binnenkort onze e-mailservers niet meer bereiken. Dat geldt zowel voor webmail als POP/SMTP/Imap toegang. Onversleuteld verbinden blijft wel mogelijk voor deze apparaten, maar we raden dit uiteraard af omdat je e-mail dan onversleuteld over het internet verstuurd wordt.

 

Mocht je binnenkort problemen hebben met het verbinden met onze mailservers, of krijg je een “secure connection failed" melding als je webmail opent, dan kan dit hieraan liggen. Het kan ook zijn dat een oudere TLS variant geforceerd wordt via instellingen van je client of browser.

 

Ik heb een lijstje gemaakt met systemen die in ieder geval geen TLS 1.2 ondersteunen. Dit zijn allemaal besturingssystemen die al 10 jaar niet meer op nieuwe apparaten geleverd worden.

 

  • Windows Vista (of ouder, zoals XP)
  • Windows Server 2008 (zonder servicepack, R2 ondersteunt TLS 1.2 wel)
  • Mac OS X 10.8 (of ouder)
  • IOS 4 of lager op  iPhone/iPad/iPod
  • MobileIron Core 9.4 of lager (ook bekend als Mobile@Work, een soort OS overlay om bedrijfstelefoons te versleutelen)
  • Android 4.4.4 of lager
  • Windows Phone 8.0 of lager

 

Voor browsers geldt: Alle gangbare browsers die in de afgelopen 5 jaar geupdate zijn ondersteunen TLS 1.2

Voor Linux gebruikers: er zijn te veel distributies om deze allemaal te controleren. In de regel geldt dat elke distributie van de afgelopen 10 jaar minimaal TLS 1.2 ondersteunt, of met een package ondersteund kan worden. Zie hiervoor de documentatie van je Linux Distributie.

Daar zal 99% van de gebruikers (voor zover die überhaupt gebruik maken van onze e-mailservice) niks van merken. Versleuteld verbinden met onze mailservers kan dan enkel nog met TLS 1.2.

 

Enkel TLS 1.2 of wordt dan ook direct TLS 1.3 mee gecompiled?

Misschien is het ook een idee om ten tijden van dit onderhoud ook direct te kijken waarom de IPv6 adressen van de mailservers onbereikbaar zijn terwijl de AAAA-Records wel zijn opgenomen in de zone-file ?

Ook is het geen gek idee om eens te kijken of DKIM, SPF, TLSA en- / of DMARC kan worden toegevoegd. Levert weer een stukje veiligheid en betrouwbaarheid op.

 

Hey @Gerrit078, goede suggesties!

TLS1.3 ondersteunt dit platform helaas niet. Daarvoor zullen we eerst naar een nieuw e-mailplatform moeten migreren. Aangezien 1.2 nog steeds gebruikelijk is, zie ik dat niet zo snel gebeuren. 

IPV6 ga ik achteraan. Daar weet ik zelf te weinig vanaf. De rest zijn we wel mee bezig, maar heeft nog wel wat aanloop.

 

 

Heb je ook weer gelijk in, voor zoiets als TLS 1.3 is het net even teveel van het goede 😂

Internet.NL onder Modern adres (IPv6) → Mailserver(s) zie je dat er voor de mailserver(s) wel IPv6 adressen opgegeven zijn, deze zijn echter voor geen enkele mailserver bereikbaar waardoor ze alsnog geforceerd worden om gebruik te maken van IPv4. 

ForumvoorwaardenCookie instellingen