Skip to content

- Mail: - Testprocedure

Mail Testprocedure – Validatie & Deliverability

Doel: controleren dat de mailserver correct verzendt, het juiste certificaat presenteert en berichten worden geaccepteerd door o.a. Gmail en Proton.

0. Preconditions

  • DNS (MX/SPF/DKIM/DMARC) is gepubliceerd
  • rDNS (PTR) wijst naar mail.<domain>
  • Poorten 25, 587, 993 open in nftables
  • IPv6 uitgeschakeld of correct geconfigureerd

1. DNS-validatie

MX

dig +short MX <domain>

Moet verwijzen naar mail.<domain>.

SPF

dig +short TXT <domain>

Controleer aanwezigheid van:

v=spf1 mx -all

DKIM

dig +short TXT mail._domainkey.<domain>

Moet een DKIM public key tonen.

DMARC

dig +short TXT _dmarc.<domain>

2. rDNS (PTR) check

dig -x <server-ip> +short

Moet exact teruggeven:

mail.<domain>.

Controle forward-confirmation:

dig +short mail.<domain>

Moet weer het server-IP opleveren.

3. SMTP-connectiviteit (extern)

Test outbound connectie:

nc -vz alt1.gmail-smtp-in.l.google.com 25

Succes = port 25 niet geblokkeerd.

4. TLS-certificaat controleren

IMAPS

openssl s_client -connect mail.<domain>:993 -servername mail.<domain>

Controleer: - CN = mail. - Issuer = Let's Encrypt - Verify return code: 0 (ok)

Submission (STARTTLS)

openssl s_client -starttls smtp -connect mail.<domain>:587

5. Authenticatie testen (submission)

Gebruik een testmail via CLI:

echo "test" | mail -s "SMTP test" user@gmail.com

Of met swaks (indien beschikbaar):

swaks --to user@gmail.com --from test@<domain> --server mail.<domain> --auth LOGIN

6. Logcontrole tijdens verzending

Open tweede terminal:

journalctl -f -u postfix

Zoek naar: - status=sent - TLS handshake success - Geen timeouts

7. Header-analyse bij ontvangst (Gmail / Proton)

Open ontvangen mail → "Show original" / "View headers".

Controleer:

SPF

SPF=PASS

DKIM

DKIM=PASS

DMARC

DMARC=PASS

Received-chain

Moet tonen dat Google/Proton direct jouw server accepteerde.

Geen extra relay of softfail.

8. TLS-kwaliteit bij ontvangende partij

Headers moeten bevatten:

using TLS1.2 or TLS1.3

Geen "unencrypted" hop.

9. Reputatie / blacklist quick check

Controleer of IP schoon is:

curl https://dnsbl.spfbl.net/dnsbl/<server-ip>

Of gebruik externe tools (handmatig): - mxtoolbox.com - mail-tester.com

10. Functionele acceptatietest

Verstuur testmails naar: - Gmail - Proton - Outlook (optioneel)

Controleer: - Geen spamfolder - Geen vertraging (>10s) - Geen greylisting retries

11. Performance check

Meet SMTP connectietijd:

time nc -vz alt1.gmail-smtp-in.l.google.com 25

Moet <1s zijn.

12. Wat een correcte setup kenmerkt

Werkende mailserver vertoont:

  • Directe SMTP connecties
  • Geldig TLS-certificaat
  • SPF/DKIM/DMARC = PASS
  • rDNS klopt exact
  • Geen IPv6 timeouts
  • Acceptatie door Gmail/Proton zonder relay

Samenvatting

Als alle bovenstaande stappen slagen, functioneert de mailserver volledig conform moderne ontvangende providers en is deliverability technisch correct ingericht.