Wanneer je een e-mailprogramma instelt, kom je vaak termen tegen als SSL, TLS en STARTTLS. Allemaal hebben ze te maken met de beveiliging van de verbinding tussen jouw mailprogramma en de mailserver. Maar wat betekenen ze precies, en welke instellingen gebruik je het beste? In dit artikel leggen we de verschillen uit.
SSL: de oude standaard
SSL (Secure Sockets Layer) was de eerste techniek om e-mailverbindingen te versleutelen. Inmiddels is SSL verouderd en onveilig verklaard. Versies SSLv2 en SSLv3 worden al jaren niet meer ondersteund door moderne mailservers en clients.
Kortom: gebruik nooit meer SSL. Zie je in een handleiding of mailprogramma nog ‘SSL’ staan, dan bedoelt men daar in de praktijk meestal TLS mee.
TLS: de huidige standaard
TLS (Transport Layer Security) is de opvolger van SSL en heeft een aantal belangrijke beveiligingsverbeteringen. Momenteel zijn er vier officiële versies van TLS: 1.0, 1.1, 1.2 en 1.3.
- TLS 1.0 en 1.1: niet meer veilig, overal uitgeschakeld.
- TLS 1.2: nog breed in gebruik, niet aanbevolen.
- TLS 1.3: de nieuwste versie, sneller en veiliger, inmiddels ondersteund door vrijwel alle moderne mailservers en clients.
Met TLS wordt de volledige verbinding versleuteld, waardoor e-mails en inloggegevens beschermd zijn tegen meekijken.
Op de servers van Stip Hosting zijn TLS 1.0 en en 1.1 uitgeschakeld en worden alleen TLS 1.2 en TLS 1.3 ondersteund.
STARTTLS: de ‘upgrade’
STARTTLS is geen apart protocol, maar een commando waarmee een gewone (onversleutelde) verbinding kan worden opgewaardeerd naar een versleutelde TLS-verbinding.
Bijv. je maakt verbinding op poort 143 (IMAP) of poort 587 (SMTP), begint onversleuteld, en schakelt daarna via STARTTLS over op TLS.
Dit is al jaren een veelgebruikte methode.
Risico’s van STARTTLS
In moderne configuraties worden je gebruikersnaam en wachtwoord pas ná het opzetten van de TLS-verbinding verzonden. Ze gaan dus versleuteld over de lijn.
Er bestaan echter risico’s zoals STARTTLS-stripping: een aanval waarbij een kwaadwillende probeert te voorkomen dat de verbinding naar TLS wordt omgezet. Daarom raden steeds meer partijen aan om direct met TLS te starten (zie hieronder).
Impliciet TLS (‘directe TLS’)
Naast STARTTLS bestaat ook impliciet TLS: hierbij wordt de verbinding meteen vanaf het begin beveiligd.
Voorbeelden:
- IMAPS op poort 993
- POP3S op poort 995
- SMTPS (mail versturen) op poort 465
Sinds RFC 8314 (2018) is dit de voorkeursmethode voor e-mailtoegang en mailverzending. Het idee is simpel: altijd beginnen met een veilige verbinding, en ‘cleartext’ zoveel mogelijk vermijden.
Welke instellingen gebruik je nu het beste?
Anno 2025 zijn dit de aanbevolen keuzes:
- Inkomende mail (IMAP/POP3): gebruik poort 993 (IMAP) of 995 (POP3) met TLS.
- Uitgaande mail (SMTP): gebruik poort 465 (implicit TLS) of poort 587 met STARTTLS.
Samengevat
- SSL is verouderd en niet meer veilig.
- TLS is de huidige standaard (gebruik minimaal TLS 1.2, liever TLS 1.3).
- STARTTLS maakt een gewone verbinding alsnog veilig, maar heeft risico’s. Impliciet TLS is veiliger.
- Best practice anno 2025: gebruik waar mogelijk directe TLS-verbindingen (bijv. IMAPS op 993, SMTPS op 465).
Wat betekent dit voor jou als klant?
Bij Stip Hosting zijn onze mailservers standaard ingesteld op moderne beveiliging. We ondersteunen TLS 1.2 en 1.3, en raden aan om je e-mailprogramma altijd zo in te stellen dat je direct met TLS begint. Zo ben je zeker dat je e-mail veilig verzonden en ontvangen wordt.
Dit artikel is oorspronkelijk gepubliceerd op 21 februari 2020 en is voor het laatst geactualiseerd op 25 september 2025.