Melding dat certificaat is verlopen bij het versturen van e-mail via MacBook Air

Het lijkt dat je voor de uitgaande server nog de oude mail.planet.nl ingesteld hebt. Dat is tegenwoordig smtp.kpnmail.nl en blijkbaar ondersteunt KPN de oude namen ineens niet meer. (Dus: veranderen, en ook TLS aanvinken en poort 587 invullen.)

Kijk ook meteen je andere instellingen even na, zoals je ze vindt op E-mail instellen voor Windows, Outlook of Apple.

Ofwel: als je ergens imap.planet.nl hebt staan, maak daar dan imap.kpnmail.nl van (en SSL aanvinken en poort 993 invullen). Idem voor pop.planet.nl versus pop.kpnmail.nl (en SSL aanvinken en poort 995 invullen).

En technische achtergrond, misschien een foutje, of misschien beleid van KPN:

openssl s_client -starttls smtp -showcerts -connect mail.planet.nl:587 -servername mail.planet.nl
...
Certificate chain
 0 s:CN=smtp.kpnmail.nl
   i:C=GB, O=Sectigo Limited, CN=Sectigo Public Server Authentication CA DV R36
   a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
   v:NotBefore: Feb  9 00:00:00 2026 GMT; NotAfter: Feb  9 23:59:59 2027 GMT

Hierboven zie je dat mail.planet.nl zichzelf voorstelt als smtp.kpnmail.nl. En je e‑mailprogramma klaagt daar terecht over.

Of misschien werd dezelfde naam mail.planet.nl ook gebruikt voor IMAP en POP. Ofwel: als je dat bij de inkomende server ziet staan, dan zou ik die voor IMAP alvast veranderen in imap.kpnmail.nl, of voor POP in pop.kpnmail.nl.

Nou ja, E-mail instellen voor Windows, Outlook of Apple legt het beter uit dan ik. 🤓

Hallo ​@PjotrLink ,

Heb je dit nog steeds? Bij een ander soortgelijk topic is het probleem opgelost omdat de einddatum van het certificaat is aangepast.

Even de computer opnieuw opstarten is dan de oplossing.

Nieuwsgierig: welk topic bedoel je?

Eerst een heel lang verhaal voor de geïnteresseerden:

In het topic Waar vind ik de instellingen voor uitgaande mail: smtp.kpnmail.nl had de gebruiker bij versturen inderdaad ”een melding dat iets [...] is verlopen”. Ik denk dat in dat topic voorheen smtp.kpnplanet.nl gebruikt werd. Maar die oude servernaam gaat sinds deze week om een andere reden fout. Want net als bij mail.planet.nl zoals hierboven door ​@PjotrLink gebruikt wordt, stelt de server zich met dat nieuwe certificaat voor als smtp.kpnmail.nl, en dat zal je e-mailprogramma terecht weigeren:

openssl s_client -starttls smtp -showcerts -connect smtp.kpnplanet.nl:587 -servername smtp.kpnplanet.nl
...
Certificate chain
 0 s:CN=smtp.kpnmail.nl
   i:C=GB, O=Sectigo Limited, CN=Sectigo Public Server Authentication CA DV R36
   a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
   v:NotBefore: Feb  9 00:00:00 2026 GMT; NotAfter: Feb  9 23:59:59 2027 GMT

Om te zien welke domeinnamen de server voor een bepaalde servernaam ondersteunt:

openssl s_client -starttls smtp -connect smtp.kpnplanet.nl:587 -servername smtp.kpnplanet.nl </dev/null 2>/dev/null | openssl x509 -noout -text | grep -e Subject: -e DNS:

Subject: CN=smtp.kpnmail.nl
DNS:smtp.kpnmail.nl, DNS:mail.kpnmail.nl, DNS:smtp.telfort.nl

Hierboven geen kpnplanet.nl meer. Dus dat is fout voor het nieuwe certificaat voor deze servernaam, of KPN ondersteunt die oude naam niet meer. (Gezien de lijst met alternatieven denk ik inmiddels dat het een foutje is...)

En ik denk dat de gebruiker in dat topic wel degelijk de instellingen veranderd heeft om de nieuwe servernamen met kpnmail.nl te gebruiken. Wachten, of opnieuw opstarten, heeft in dat topic volgens mij ook niet geholpen. 🤓

Trouwens, veel (maar niet alle) mogelijke domeinen verwijzen naar hetzelfde IP-adres. Dus naar dezelfde server. Je kunt met -servername voor dezelfde -connect om een andere naam op die server vragen. Hier bijvoorbeeld CN=smtp.xs4all.nl in het antwoord:

openssl s_client -starttls smtp -showcerts -connect smtp.kpnplanet.nl:587 -servername smtp.xs4all.nl
...
Certificate chain
 0 s:CN=smtp.xs4all.nl
   i:C=GB, O=Sectigo Limited, CN=Sectigo Public Server Authentication CA DV R36
   a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
   v:NotBefore: Sep 15 00:00:00 2025 GMT; NotAfter: Oct 16 23:59:59 2026 GMT

(En ja, -servername mag je ook weglaten, dan wordt gewoon de naam uit -connect gebruikt.)

Easter egg, XS4ALL ondersteunt ook tikfouten:

openssl s_client -starttls smtp -connect smtp.kpnplanet.nl:587 -servername smtp.xs4all.nl </dev/null 2>/dev/null | openssl x509 -noout -text | grep -e Subject: -e DNS:

Subject: CN=smtp.xs4all.nl
DNS:smtp.xs4all.nl, DNS:smpt.xs4all.nl, DNS:smtp-ipv4.xs4all.nl, DNS:smtps.xs4all.nl, DNS:stmp.xs4all.nl

Tja, eenmaal begonnen kun je dat nooit meer stoppen. 😎

In dat topic bleek trouwens ook dat voor ophalen nog weer een andere variant gebruikt werd, pop.kpnplanet.nl. Die werkt ook niet meer met SSL, en ik denk al langer dan deze week, want daar reageert de server met CN=pop.kpnmail.nl:

openssl s_client -showcerts -connect pop.kpnplanet.nl:995 -servername pop.kpnplanet.nl
...
Certificate chain
 0 s:CN=pop.kpnmail.nl
   i:C=GB, O=Sectigo Limited, CN=Sectigo Public Server Authentication CA DV R36
   a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
   v:NotBefore: Jul  4 00:00:00 2025 GMT; NotAfter: Aug  4 23:59:59 2026 GMT

Maar daar moest ik wel iets beter kijken, want pop.kpnplanet.nl staat wel degelijk als alternative naam genoemd. Dus die snelle check hierboven geeft eigenlijk geen uitsluitsel. Maar dit wel, dus ophalen via die oude naam kan nog gewoon:

openssl s_client -connect pop.kpnplanet.nl:995 </dev/null 2>/dev/null | openssl x509 -noout -text | grep -e Subject: -e DNS:

Subject: CN=pop.kpnmail.nl
DNS:pop.kpnmail.nl, DNS:pop.freeler.nl, DNS:pop.hetnet.nl, DNS:pop.kpnplanet.nl, DNS:pop.planet.nl

Misschien had die gebruiker daar helemaal geen SSL voor het ophalen ingeschakeld?

Terug naar dit topic: voor versturen via mail.planet.nl  zie ik nu nog steeds dezelfde resultaten uit mijn eerste reactie. En volledige controle geeft:

openssl s_client -starttls smtp -connect mail.planet.nl:587 -servername mail.planet.nl </dev/null 2>/dev/null | openssl x509 -noout -text | grep -e Subject: -e DNS:

Subject: CN=smtp.kpnmail.nl
DNS:smtp.kpnmail.nl, DNS:mail.kpnmail.nl, DNS:smtp.telfort.nl

Ofwel: het certificaat bij dat domein is nu fout, want verwijst (standaard) naar smtp.kpnmail.nl, en mail.planet.nl wordt in het nieuwe certificaat van deze week niet meer als alternatief ondersteund.

​@PjotrLink, ik zou de instellingen dus lekker veranderen (de documentatie volgen) zodat verzenden vandaag weer werkt. En zodat je toekomstige fouten met oude domeinnamen voor bent.

​@Arjan van B 

Dat heb je (geloof ik) zelf al gevonden: 

Oké, dan denk ik niet dat wachten of opnieuw opstarten daar de oplossing was. Niet dat het uitmaakt, maar altijd nieuwsgierig. En misschien reageert die gebruiker nog op mijn vraag daarover. 🤓

Ik verwacht dat het probleem inmiddels is opgelost. En ach, de meeste mensen doen hun computer uit na gebruik en dan is opnieuw opstarten sowieso niet nodig inderdaad. 
 

Maar het belangrijkste is:
 

Goedemorgen ​@PjotrLink , bedankt voor jouw bericht en welkom hier op onze Community :)

Goed om te zien dat je al zoveel goede reacties hebt mogen ontvangen vanuit de Community; inmiddels zijn we een paar dagen verder en ik ben benieuwd wat op dit moment de stand van zaken is! Is het probleem met het verlopen certificaat nog actueel of is het inmiddels verholpen? Omdat we niks meer van je hebben gehoord, ga ik er stiekem vanuit dat het probleem reeds is verholpen 🙏🏻

​@Jan van KPN, de huidige certificaten die deze week in gebruik zijn genomen op de SMTP servers, ondersteunen volgens mij nog steeds mail.planet.nl en smtp.kpnplanet.nl niet? Wat de oude wél deden?

Is er iemand die weet of dat een bewuste keuze is, of domweg een foutje?

openssl s_client -starttls smtp -connect mail.planet.nl:587 </dev/null 2>/dev/null | openssl x509 -noout -text | grep -e Subject: -e DNS:

Subject: CN=smtp.kpnmail.nl
DNS:smtp.kpnmail.nl, DNS:mail.kpnmail.nl, DNS:smtp.telfort.nl

openssl s_client -starttls smtp -connect smtp.kpnplanet.nl:587 </dev/null 2>/dev/null | openssl x509 -noout -text | grep -e Subject: -e DNS:

Subject: CN=smtp.kpnmail.nl
DNS:smtp.kpnmail.nl, DNS:mail.kpnmail.nl, DNS:smtp.telfort.nl

Met de instellingen uit de huidige documentatie moet alles wel werken.

Trouwens, het certificaat in dit topic was niet verlopen; ​@PjotrLink was een jaartje in de war. Uit de schermafdruk:

Verloopt op: woensdag 10 februari 2027 om 00:59:59 Midden-Europese standaardtijd

Het probleem is het volgende, bij gebruik van mail.planet.nl:

Naam van certificaat 'smtp.kpnmail.nl' komt niet overeen met invoer