Soverin heeft op haar site een keurig lijstje staan met specificaties van haar mailservers.
For Nerds (Technical)
100% IPv6 enabled
DKIM/DMARC by default
SPF, DANE and DKIM enforcement
#6 worldwide 100% correct SMTP, DANE, TLSA
Email forwarding using SRS and ARC
Instant mail delivery, no queuing
Fully compliant (and more) with all email protocols and standards like GDPR, AVG, SPF, DANE, TLSA, TLS, BIMI, SRS, SSL, DNSSEC
In-house spam filter built into the platform
Op internet.nl wordt ook een keurige score gehaald (100%). Als ik met de site https://email-security-scans.org/ test kunnen een paar nuances worden aangebracht.
Here, we check whether your mailserver honors our TLSA/DANE records, i.e., not if you have DANE configured for your inbound mailservers.
When sending emails, your mailserver does not support DANE.
DANE is kennelijk alleen geconfigureerd inkomende mail en niet voor het verzenden van eigen mail (dat de ontvangende server gegevens kan ophalen van de Soverin mailserver).
The DNS resolver, your email provider/server relies on, does not support DNS resolution over IPv6.
Ook deze krijgt een minpunt (should improve).
Ik zie ook dit op de site van Soverin:
Yes. Our outbound SMTP servers check for TLSA records and honor them, if the certificate of the server does not match the fingerprint provided by the TLSA record we will not deliver the email.
For our inbound MX servers we publish TLSA records for the private key of the certificate, this means DANE supporting servers can check if they are really talking to our servers, secured with the intended certificate.
Dat lijkt dan niet te kloppen.
Ik kan het zelf niet helemaal duiden maar verbeteringen lijken wel mogelijk.
Groeten, Arjan