Wij vinden veiligheid superbelangrijk. Daarom hebben we bijzonder veel beveiligingsmaatregelen getroffen. Niet alleen aan de voorkant, maar ook aan de achterkant. Je ziet ze niet altijd met het blote oog, omdat wij vinden dat jij je daar niet druk over hoeft te maken. Zo kun jij je focussen op waar jij goed in bent. Maar die maatregelen zijn daardoor niet minder belangrijk. En hierdoor loopt Silverstone Studio, en jij dus ook, wel voorop qua online veiligheid en privacy. Daarom geven we je graag een kijkje in de keuken!
Met zekerheid online
Wil je weten hoe je veilig kunt emailen? Lees dan dit artikel!
Veiligheid en gebruiksvriendelijkheid uitgebalanceerd
Veiligheid en gebruiksvriendelijkheid zitten elkaar eigenlijk altijd in de weg. Iets wat extreem veilig is, is namelijk vaak ook enorm onvriendelijk. Niet alleen iemand met kwade intenties, maar ook jij moet dan immers meer stappen nemen om de ingestelde beveiliging te omzeilen. Wij zijn daarom continu bezig om hierin de optimale balans te vinden.
Gratis SSL voor iedereen
Denk bijvoorbeeld aan onze unieke implementatie van Let's Encrypt. Het gebruiksgemak dat de standaard DirectAdmin-plugin bood, voldeed niet aan onze maatstaven. Onnodig complex en te veel limitaties. Met een solide ontwikkelde oplossing zorgen we daarom dat iedereen die bij Silverstone Studio host, gratis SSL heeft.
Standaard doorgestuurd naar HTTPS
En we gaan nog verder. We vinden namelijk dat SSL niet optioneel, maar de norm moet zijn. Startende websites worden bij ons daarom standaard doorgestuurd naar een veilige SSL-verbinding. Begin je met een nieuw hostingpakket of koppel je een nieuw domein aan een bestaande? Je bezoekers kunnen dan direct je website enkel over een versleutelde HTTPS-verbinding benaderen. Meteen het slotje in de adresbalk!
Veilig inloggen met twee-factor-authenticatie (2FA)
Met twee-factor-authenticatie (2FA) maak je inloggen veiliger. Naast het invoeren van je gebruikersnaam en wachtwoord is er dan ook een tweede stap vereist om toegang te krijgen. Als je enkel het wachtwoord weet, dan kom je er dus niet in.
Deze tweede factor kan een code zijn die je bijvoorbeeld met een app op je telefoon of per SMS ontvangt. Zo'n code is vaak niet permanent, maar slechts een korte tijd geldig. Iemand zou dus, zowel je wachtwoord als de tijdelijke reeks willekeurige getallen moeten weten – én moeten handelen in de korte tijd dat die code geldig is. Nagenoeg onmogelijk dus.
DNSSEC volledig automatisch voor je geregeld
Als je bij Silverstone Studio een domeinnaam registreert, dan zorgen wij voor jou dat die met DNSSEC is ondertekend. DNSSEC staat voor Domain Name System Security Extension en maakt het DNS-protocol veiliger. Het heeft als doel om DNS-informatie digitaal te ondertekenen, waardoor controleerbaar is of de inhoud is te vertrouwen.
Beveiliging van hosting
Moderne en veilige datacenters – uitsluitend in Nederland
Om jou de best mogelijke ervaring te bieden, maken we gebruik van de nieuwste servers en de beste tools voor serverbeheer. Onze servers plaatsen we uitsluitend in Nederlandse datacenters. Om specifiek te zijn: Previder en Equinix. Zij bieden voor ons de juiste beveiliging. Waar moet je aan denken?
Er zijn strikte beveiligingsmaatregelen getroffen voor inbraak, brand, stroomuitval en andere calamiteiten. Denk aan permanente camerabewaking, beveiligd hekwerk, extra verdikte muren en gravelbakken. Ook zijn er geavanceerde branddetectie- en brandblussystemen aanwezig en elektriciteitstoevoer wordt gegarandeerd door het gebruik van UPS-systemen en noodstroomaggregaten.
Om toegang tot het datacenter te krijgen, gelden er strikte aanmeldprocedures. Je identiteit wordt altijd gecontroleerd door vakbekwaam beveiligingspersoneel. Ook is er een vooraf aangelegde toegangslijst. Sta je daar niet op? Je komt dan niet binnen. Check ons informatiebeveiligingsbeleid voor een gedetailleerd overzicht van getroffen beveiligingsmaatregelen.
Maximale veiligheid en performance door containerisatie
Dat de servers op een veilige locatie staan, is natuurlijk van groot belang. Hoe wij deze servers inzetten om jou een snelle, veilige en betrouwbare dienstverlening te bieden, is nóg belangrijker. Dat doen we met behulp van containerisatie. Daarmee hebben we het beste van VPS en shared webhosting samengevoegd. Denk aan de kracht en flexibiliteit van VPS en de lage kosten en eenvoud van shared webhosting.
Bij containerisatie is je hostingpakket een afgeschermde container op de server. Elke container krijgt zijn eigen resources (CPU, I/O en RAM). Het gebruik van de ene container heeft geen invloed op andere gebruikers op de server. Zoals je zult begrijpen, komt dat de snelheid en veiligheid van je website flink ten goede. En dat is precies wat jou willen bieden met ons razendsnelle hostingplatform.
Meer inzicht dankzij LVE Stats 2
Je hostingpakket heeft bij ons eigen, gegarandeerde rekenkracht. Je wilt dan natuurlijk ook weten hoeveel resources je website gebruikt. Met LVE Stats 2 kan dat! Dit systeem verzamelt de gebruikersstatistieken van websites en geeft grafisch je verbruik weer. Deze handige grafieken kun je in DirectAdmin van je hostingpakket terugvinden.
Proactieve monitoring: voorkomen is beter dan genezen
Als er fouten binnen je website zijn, dan weet je dit liever voordat het impact heeft. Je hebt immers niets aan een website als je bezoekers hem niet kunnen bereiken. We bieden je daarom proactieve monitoring, zodat je de gezondheid van je websites nauwkeurig in de gaten kunt houden. Dit monitoringssysteem informeert je als je website bijvoorbeeld ineens meer rekenkracht verbruikt dan gebruikelijk. Zo kun je het oplossen, voordat het gevolgen heeft. Geen verrassingen dus!
Beveiliging van e-mail
Hier lees je over de maatregelen die wij hebben getroffen om jouw e-mail te beveiligen. Tijdens het verzenden en ontvangen e-mail zijn wij slechts een schakel in de gehele keten die nodig is om e-mail op de juiste plek op het internet te bezorgen. We gaan daarom specifiek in op de maatregelen die binnen onze mogelijkheden liggen. Het is voor jou belangrijk om te begrijpen waar deze grens ligt, daarom zullen we ons best doen ook dit zo duidelijk mogelijk uit te leggen.
De reikwijdte van onze beveiligingsmaatregelen
Voordat we in de beveiligingsmaatregelen duiken, is het belangrijk om te weten dat e-mailverkeer op het internet bestaat uit een schakel van servers. Elke server in deze keten is verantwoordelijk voor een deel van de afhandeling. De maatregelen die wij treffen, hebben alleen betrekking op ons deel van deze keten. Hieronder staat beschreven op welk punt voor de inkomende en uitgaande e-mail wij de regie voor de beveiliging overnemen of overdragen.
De reikwijdte van beveiliging voor inkomende e-mail
Onder inkomende e-mail verstaan we SMTP-verkeer van een externe mailserver, gericht aan een e-mailadres dat onder ons beheer valt. Misschien overbodig, maar goed om te vermelden: het gaat hier uitsluitend om SMTP-verkeer, niet om IMAP- of POP3-verkeer.
- Een gebruiker van een externe e-maildienst wil een e-mail sturen naar een e-mailadres dat onder ons beheer valt.
- Deze server neemt contact op met één van onze mailservers.
- Onze mailserver deelt de verzendende server mede dat het deze verbinding wil versleutelen met ons certificaat.
- Het is nu aan de externe mailserver om te besluiten of het gebruik wil maken van de door ons aangeboden netwerkversleuteling.
- Onafhankelijk van de uitkomst van bovenstaande aangeboden keuze accepteren we de e-mail.
Dit kan dus over een versleutelde of onversleutelde verbinding lopen. Hier hebben wij geen invloed op, maar onze systemen doen ons best de verbinding te versleutelen. Als bijvoorbeeld de verzendende partij geen SSL ondersteunt, dan is netwerkversleuteling niet mogelijk en accepteren wij de e-mail alsnog. Het is helaas technisch niet mogelijk om netwerkversleuteling in het gehele pad dat een e-mail aflegt af te dwingen. - Wij nemen de e-mail in ontvangst. Vanaf hier nemen wij de regie voor het veilig afhandelen van deze e-mail over.
- Wij zullen de e-mail afleveren in de bijhorende mailbox of doorsturen, afhankelijk van hoe je dit hebt ingesteld.
De reikwijdte van beveiliging voor uitgaande e-mail
Voor uitgaande e-mail gelden min of meer dezelfde stappen, alleen zijn wij in deze situatie de verzendende partij die een e-mail op een andere plek op het internet wil afleveren. Het gaat hier weer enkel om SMTP-verkeer en dus geen IMAP of POP3.
- Een gebruiker van ons platform verstuurt een e-mail of wij sturen en forwarden een e-mail als je dit hebt ingesteld.
- Voor het afleveren van deze e-mail maakt onze server contact met de externe mailserver.
Als de externe server onze server aanbiedt de verbinding te beveiligen, dan accepteren we de aangeboden netwerkversleuteling. Als dit niet aan ons systeem wordt aangeboden, bijvoorbeeld omdat de ontvangende partij geen netwerkversleuteling ondersteunt, dan zal de e-mail over een onversleutelde verbinding worden verstuurd. Naast het niet kunnen afdwingen van versleuteling, hebben we ook geen invloed op de gebruikte versleutelingstechniek en het gebruikte certificaat van de ontvangende server. - Zodra de ontvangende partij de e-mail in ontvangst heeft genomen, dragen wij de beveiliging van de afgeleverde e-mail over. Vanaf dit moment hebben wij dus geen invloed meer op de beveiliging van deze gegevens.
Beveiligingsmaatregelen voor afhandeling van inkomende e-mail
Zoals hierboven beschreven, nemen wij de regie voor het beveiligen van e-mail over zodra ons systeem deze heeft geaccepteerd. Tijdens het ontvangstproces doet onze server zijn best de netwerkverbinding te versleutelen, maar we kunnen dit niet verplichten of garanderen. Als ons systeem de e-mail heeft geaccepteerd, passen we vanaf dat moment de onderstaande maatregelen toe om e-mailgegevens te beschermen.
- Onze systemen doen hun best om de netwerkverbinding te versleutelen.
- We controleren de e-mail op virussen, trojans en malware.
- We controleren de e-mail op SPAM als je dit hebt ingesteld.
- E-mailverkeer binnen onze eigen systemen verloopt altijd over een versleutelde verbinding.
- De e-mail wordt na ontvangst opgeslagen binnen de container van je hostingpakket. Andere gebruikers van het systeem kunnen hier niet bij.
Beveiligingsmaatregelen voor afhandeling van uitgaande e-mail
Er zijn een aantal beveiligingsmaatregelen die wij treffen om je gegevens te beschermen tot het moment dat een e-mail ons netwerk verlaat.
- Onze systemen doen hun best om de netwerkverbinding naar externe mailservers te versleutelen.
- We controleren de e-mail op virussen, trojans en malware.
- We controleren de e-mail op SPAM. Dit doen we voor alle uitgaande e-mail, ongeacht of je filtering voor inkomende e-mail hebt ingesteld.
SPF
Het Sender Policy Framework (SPF) lost dit op. Daarmee wordt gecontroleerd of diegene die de mail heeft verstuurd volgens de daadwerkelijke afzender ook gemachtigd is om dit te doen. Vergelijk dit met een kaart versturen via de post. Je kunt daar ieder willekeurig afzenderadres op schrijven. Zo kun je een kaart versturen onder andermans naam. Gezien dat met e-mail ook kan, is juist daarom het SPF-record zo belangrijk. In dat record staat opgenomen via welke IP-adressen er namens jouw domein e-mail mag versturen. Er is dan alleen nog niet geverifiëerd of e-mails onderweg zijn aangepast. Dat brengt ons bij DKIM.
DKIM
In 2019 rolden we DKIM uit voor al onze domeinnamen op ons hostingplatform. Dat staat voor DomainKeys Identified Mail. Met deze techniek ondertekent de verzendende mailserver e-mails met een sleutel, een soort van handtekening. Dat stelt de ontvangende mailserver in staat om te controleren of het bericht onderweg is gewijzigd. Dankzij SPF en DKIM wapen jij je zo beter tegen spoofing. Bij Silverstone Studio hoef je naar deze technieken niet om te kijken. Gebruik je onze mailserver, dan zorgen wij dat het SPF-record van je domein goed staat en e-mails met DKIM zijn ondertekend.
DMARC
DKIM wordt vaak in één adem genoemd met DMARC, ofwel Domain-based Message Authentication, Reporting & Conformance. Daarmee krijg je inzicht in e-mailstromen en bepaal je wat ontvangende partijen met falende DKIM- en SPF-checks moeten doen. Het schrijven van een DMARC-policy kan best ingewikkeld zijn. We ontwikkelden daarom DMARCify, een handige tool die je helpt om DMARC in te stellen voor jouw domeinnaam. Je klikt zo snel een beleid in elkaar dat perfect aansluit op je domeinnaam.
DANE
Bij STARTTLS als versleuteling begint het protocol zonder encryptie. Pas bij het juiste commando start het een TLS-sessie. Slaagt het er niet in om een beveiligde verbinding op te zetten, dan gaat het gewoon in plain-text. Gezien het probeert en niets afdwingt, wordt dit ook wel opportunistic TLS genoemd. Ook een kwaadwillende kan deze upgrade naar versleuteling tegenhouden.
Er is daarom DNS-based Authentication of Named Entities (DANE) ontwikkeld. Met DANE publiceer je een vingerafdruk van het TLS-certificaat in DNS, waardoor TLS kan worden afgedwongen. Lukt het opzetten van een versleutelde verbinding niet, dan weigert de verzendende mailserver de mail te versturen. Om die reden is DANE van belang en rolden we het in 2019 uit voor zo'n 35.000+ domeinen.
Beveiligingsmaatregelen voor de toegang tot opgeslagen e-mail
E-mails die zijn afgehandeld en dus niet inkomend of uitgaand zijn, worden opgeslagen binnen je webhostingpakket. Alleen personen met juiste inloggegevens of die toegang hebben tot het beheeraccount kunnen bij deze gegevens. De toegang is beschermd met onderstaande maatregelen.
- We gebruiken een inbraakbeveiligingssysteem dat bij meerdere verkeerde inlogpogingen het bijbehorende IP-adres blokkeert.
- Het benaderen van je mailbox via onze webmail verloopt uitsluitend over een versleutelde netwerkverbinding. Wij bieden geen onbeveiligde verbinding aan op deze omgeving.
- Het benaderen van je mailbox via IMAP/POP verloopt via een versleutelde netwerkverbinding, mits je dit juist ingesteld hebt. Bekijk deze handleiding voor een overzicht van aanbevolen instellingen.
Toegang tot e-mailbestanden voor andere gebruikers van het systeem is afgeschermd door middel van containerisatie. - Om in te loggen op een mailbox is een gebruikersnaam en wachtwoord vereist. Voor een zo hoog mogelijk beveiligingsniveau is het belangrijk dat je een sterk wachtwoord kiest en deze regelmatig wijzigt.