Tegenwoordig is e-mail gewoon — bijna iedereen gebruikt het en denkt er niet over na hoe het werkt. Een beetje zoals je het normaal vindt om naar je werk te rijden met je auto. Om te rijden hoef je toch niet te weten hoe die auto in elkaar zit.
Met e-mail is het bijna hetzelfde — het werkt toch gewoon…
Ik heb door de jaren heen gezien dat het aan de aanbiederskant nogal veranderde. Er komen steeds meer eisen bij waar je aan moet voldoen als je bijvoorbeeld een hotmail.com-adres wil bereiken. Microsoft staat bekend als bijzonder streng bij het ontvangen van mail. Het lijkt erop dat ze die regels hebben moeten instellen om allerlei onzin en kwaadaardige mails met bijlagen buiten te houden. (I wonder why…)
Dus toen ik besloot om brainfusion.nl op een VPS te zetten — webserver, databaseserver en mailserver allemaal zelfstandig — had ik er nog geen rekening mee gehouden hoe VPS’en in een kwaad daglicht zijn komen te staan. Vele individuen die ongein wilden uithalen, hebben dat blijkbaar op VPS’en gedaan: spammailerdiensten, botnets en erger.
Om het resultaat te verklappen: ja, het is gelukt — de mail werkt.
Voor de technische mensen die geïnteresseerd zijn in wat er allemaal bij komt kijken — lees hieronder:
Poort 25 — Stappenplan: mailserver volledig zelfstandig
Uitgevoerd: 2026-06-16 | Server: FS1-1COINH (178.105.222.179)
Uitgangssituatie
- Poort 25 open (Hetzner goedgekeurd)
- Postfix actief, relayhost nog via een externe relay
- Abundomy-mailer nog geconfigureerd op externe relay
- Deliverability-stack al klaar: PTR ✓ SPF ✓ DKIM ✓ DMARC ✓ MX ✓
Doel
Uitgaande mail verloopt volledig via eigen Postfix op mail.brainfusion.nl, zonder afhankelijkheid van een externe relay. De Abundomy-app stuurt e-mailverificaties ook via de eigen server.
✅ Stap 1 — IP-reputatie controleren
Doel: controleer of het server-IP op spamblocklists staat vóór we de externe relay verwijderen.
| Blocklist | Status |
|---|---|
| Spamhaus ZEN/SBL/XBL/PBL | ℹ️ Query geweigerd — normaal voor datacenter-IP’s zonder abonnement |
| Barracuda BRBL | ✅ Schoon |
| SORBS | ✅ Schoon |
| SpamCop | ✅ Schoon |
| Abusix | ✅ Schoon |
| UCEProtect L1 | ✅ Schoon |
| UCEProtect L2 (netblock) | ✅ Schoon |
| Validity / ReturnPath | ✅ Schoon |
| Microsoft SNDS | ℹ️ Vereist account — handmatige check via postmaster.microsoft.com |
Conclusie: IP-reputatie schoon. Geen blockers voor directe verzending.
✅ Stap 2 — Deliverability droogtest via mail-tester.com
Doel: baseline-score meten terwijl de externe relay nog actief is.
Een testmail verstuurd via mail-tester.com — score met relay: 6,2 / 10.
| Bevinding | Oorzaak |
|---|---|
| −3 “afzenderadres niet toegestaan” | Het relay-IP staat niet in de SPF-record van brainfusion.nl |
| Check DMARC policy state | p=none = monitoring-modus, geen handhaving |
| −0,8 SpamAssassin | Kleine penaltysom, deels relay-gerelateerd |
Verwachte score na verwijdering relay: ~9,2 / 10 — het werd nog beter (zie stap 5).
✅ Stap 3 — Relayhost uit Postfix verwijderen
Doel: Postfix levert voortaan direct af via poort 25, zonder tussenstation.
postconf -e 'relayhost='
sed -i '/reikiwereld/d' /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
systemctl reload postfixResultaat: relayhost leeg ✅ · SASL-credentials verwijderd ✅ · Postfix herladen ✅
✅ Stap 4 — Directe testmail naar Gmail + headerscheck
Doel: bevestig dat mail aankomt en de e-mailheaders correct zijn zonder relay-tussenstation.
Testmail verstuurd van patrick@brainfusion.nl naar Gmail. Controle via “Origineel weergeven”:
- Inbox (niet spam) ✅
- SPF: PASS ✅
- DKIM: PASS —
d=brainfusion.nl✅ - DMARC: PASS ✅
- Geen extern relay-hop in de Received-chain ✅
- TLS 1.3 naar Gmail ✅
- Aflevertijd: 0 seconden ✅
✅ Stap 5 — mail-tester.com score na directe verzending
Doel: vergelijk met de baseline uit stap 2 en bevestig de verbetering.
🎯 10 / 10
Perfecte score na verwijdering van de relay — alle controles groen. Beter dan verwacht.
✅ Stap 6 — Abundomy-mailer omzetten naar eigen server
Doel: de Abundomy-app stuurt e-mailverificaties via de eigen server in plaats van de externe relay.
| Parameter | Oud | Nieuw |
|---|---|---|
SMTP_HOST |
mail.reikiwereld.eu | mail.brainfusion.nl |
SMTP_USER |
noreply@reikiwereld.eu | noreply@brainfusion.nl |
MAIL_FROM |
noreply@reikiwereld.eu | noreply@brainfusion.nl |
SMTP_TLS_INSECURE |
1 | (verwijderd) |
Resultaat: SMTP-authenticatie getest met Python → Verzonden OK ✅
✅ Stap 7 — Abundomy-mailer testen
Doel: bevestig dat de Abundomy-app nog e-mailverificaties verstuurt naar eindgebruikers.
- Verificatiemail aangekomen ✅
- Afzender:
noreply@brainfusion.nl✅ - ⚠️ Mail belandde in de spamfolder — verwacht voor een nieuw verzendadres zonder reputatiehistorie. Verbetert vanzelf na meerdere afleveringen.
✅ Stap 8 — WordPress-contactformulier testen
Doel: bevestig dat de WordPress-systeemmail nog werkt na de wijzigingen.
- Mail aangekomen ✅
- ⚠️ Spam-folder — WordPress stuurde als
wordpress@brainfusion.nl, een onbekend afzenderadres - Fix toegepast: afzender ingesteld op
patrick@brainfusion.nlmet naam “Brainfusion” ✅
✅ Stap 9 — SRV- en autoconfig-DNS bijwerken
Doel: e-mailclients zoals iPhone, Outlook en Thunderbird configureren automatisch via brainfusion.nl.
| DNS-record | Waarde |
|---|---|
autoconfig (A) |
178.105.222.179 ✅ |
_imaps._tcp (SRV) |
0 100 993 mail.brainfusion.nl. ✅ |
_submission._tcp (SRV) |
0 100 587 mail.brainfusion.nl. ✅ |
_pop3s._tcp (SRV) |
0 100 995 mail.brainfusion.nl. ✅ |
_autodiscover._tcp (SRV) |
0 100 443 mail.brainfusion.nl. ✅ |
Autoconfig XML beschikbaar op https://brainfusion.nl/.well-known/autoconfig/mail/config-v1.1.xml ✅
✅ Stap 10 — Alle externe afhankelijkheden verwijderd
Doel: geen enkele verwijzing meer naar de externe relay in configuratie of DNS.
- Postfix SASL-credentials opgeschoond ✅
- Abundomy-mailer geconfigureerd op eigen server ✅
- Abundomy libp2p-bootstrapvermelding verwijderd ✅
- Mailwachtrij leeg ✅
- DNS SRV/autoconfig bijgewerkt ✅
- Oud DKIM-record (
default2606._domainkey) verwijderd uit DNS ✅
Eindresultaat: mail en IPFS volledig onafhankelijk. Alle externe afhankelijkheden verwijderd.