Skip to content

- packages

Hetzner Server – Geïnstalleerde Packages (Samenvatting)

Beknopte reconstructie op basis van troubleshooting- en configuratiesessies. Dit is een functioneel overzicht (rol-gebaseerd), geen apt history dump.

1. Mailstack

MTA

  • postfix

IMAP/LMTP

  • dovecot-core
  • dovecot-imapd
  • dovecot-lmtpd

Authenticatie / SASL

  • libsasl2-modules

DKIM Signing

  • opendkim
  • opendkim-tools

2. TLS / Certificaten

  • certbot
  • python3-certbot

(voor Let's Encrypt certificaten gebruikt door Postfix/Dovecot/Nginx)

3. Web / Reverse Proxy

  • nginx

Gebruikt als: - reverse proxy - TLS terminatie - toegang tot interne services

4. Identity & SSO

Keycloak (handmatig geïnstalleerd)

Geplaatst onder:

/opt/keycloak/

Geen distro-package; tarball-installatie met systemd service.

OAuth2 Proxy (handmatig geïnstalleerd)

Binary geplaatst in:

/usr/local/bin/oauth2-proxy

Systemd unit voor bescherming van webdiensten via OIDC.

5. Firewall / Netwerk

  • nftables

Gebruikt voor: - inbound filtering - IMAPS/SMTP openstellen - dynamische sets (blacklist e.d.)

6. Diagnostische Tools (voor troubleshooting gebruikt)

  • dnsutils (dig)
  • netcat-openbsd (nc)
  • openssl
  • tshark
  • curl

Deze tools zijn gebruikt voor: - SMTP connectiviteit testen - TLS inspectie - DNS-validatie - packet capture

7. Overige systeemcomponenten

  • systemd (services voor postfix, dovecot, oauth2-proxy, keycloak)
  • rsync (deploy vanuit ontwikkelmachine)

8. Niet via APT geïnstalleerd (custom deployment)

Deze componenten zijn bewust handmatig geplaatst om versiecontrole te houden:

  • Keycloak
  • oauth2-proxy
  • diverse configuratiebestanden onder /etc/*
  • eigen deploy-scripts

9. Netwerkconfiguratie-aanpassing (geen package)

IPv6 is systeemwijd uitgeschakeld via sysctl-configuratie:

/etc/sysctl.d/99-disable-ipv6.conf

Dit was essentieel voor stabiele SMTP-connectiviteit.

10. Verificatie-commando (huidige status controleren)

Om de feitelijke installatiestatus te zien op de server:

dpkg -l | egrep 'postfix|dovecot|opendkim|nginx|certbot|nftables'

Voor handmatige installs:

ls -l /usr/local/bin/oauth2-proxy
ls -l /opt/keycloak

Samenvatting

De server draait een klassieke maar bewust "hands-on" samengestelde stack:

  • Postfix/Dovecot mailplatform
  • DKIM + TLS + DNS-authenticatie
  • Nginx als beveiligde toegangspoort
  • Keycloak + oauth2-proxy voor SSO
  • nftables als primaire firewall
  • Handmatige installatie waar versiecontrole gewenst was

Deze opzet vermijdt zware mail-suites en houdt volledige controle over alle lagen.