ID.nl logo
E-mails versleutelen doe je zo
© PXimport
Huis

E-mails versleutelen doe je zo

Privacygevoelige boodschappen noteer je niet op een papiertje dat je ergens achteloos laat rondslingeren. Maar je verstuurt ze waarschijnlijk wel via e-mail, hoewel ook dat medium helemaal niet zo veilig is. Met end-to-end-encryptie kun je je berichten wél met meer vertrouwen doorsturen. We bespreken een aantal mogelijkheden.

Tip 01: Tools en diensten

In het kader ‘E-mailprotocollen’ iets verderop in dit artikel lees je waarom het versturen van (privacygevoelige) e-mail niet echt betrouwbaar is. Wil je de inhoud van je e-mails daadwerkelijk afschermen, dan zou je de tekst in een document kunnen plaatsen dat je vervolgens lokaal versleutelt voordat je het als bijlage verstuurt. Dat kan bijvoorbeeld met het gratis EncryptOnClick of door het in een versleuteld archiefbestand onder te brengen met een tool als 7-Zip. Daarna moet je nog wel het bijbehorende wachtwoord veilig aan de ontvanger doorgeven.

Of je maakt gebruik van een gespecialiseerde maildienst als ProtonMail of Tutanota. Beide diensten zijn ook gratis te gebruiken, met enige beperkingen. Toch moet je er maar op vertrouwen dat het om betrouwbare diensten gaat, die geen achterdeuren – naar bijvoorbeeld de overheid toe – hebben ingebouwd.

©PXimport

E-mailprotocollen

SMTP, het standaardprotocol voor het versturen van e-mail, heeft helaas geen ingebouwde voorzieningen op het vlak van encryptie of authenticatie. Uitbreidingen en standaarden als TLS en STARTTLS (Transport Layer Security) zorgen weliswaar voor versleuteling, maar die geldt alleen tijdens het transport tussen je eigen pc en de mailserver van je mailprovider. De provider zou je mail dus kunnen (laten) bekijken. Je hebt evenmin zicht op wat er tijdens het verdere transport gebeurt, via tussenliggende mailservers. Intussen zijn er wel standaarden als DANE (DNS-based Authentication of Name Entities) en MTA-STS (Mail Transfer Agent - Strict Transport security), maar die zijn vooral gericht op het tegengaan van ‘man-in-the-middle’-aanvallen tijdens het mailtransport. Bovendien is er voor deze standaarden vooralsnog nog weinig ondersteuning bij mailproviders. In afwachting van een breed gedragen oplossing (lees: een nieuw e-mailprotocol) moeten we ons dus met extra hulpmiddelen behelpen. Je leest er meer over in de rest van dit artikel.

©PXimport

Tip 02: CA en certificaat

Maak je liever geen gebruik van externe servers die instaan voor de versleuteling van verstuurde mails, dan kun je de installatie van je eigen digitale certificaat overwegen. Ook zo’n certificaat moet je regelen via een externe instantie, een zogenoemde certificaatautoriteit, ofwel CA, maar die partij krijgt jouw eigenlijke mails zelf nooit in handen. Een CA treedt namelijk op als een vertrouwde derde partij’ die je alleen een officieel certificaat bezorgt.

Zo’n certificaat is eigenlijk een sleutelpaar met een publieke en een privésleutel, waarbij de ene sleutel niet (zomaar) uit de andere kan worden afgeleid. De CA garandeert eigenlijk alleen dat het certificaat daadwerkelijk toebehoort aan de partij die in dat certificaat staat vermeld.

Wanneer je nu een e-mail met jouw privésleutel versleutelt, dan weet de ontvanger automatisch dat de mail daadwerkelijk van jou afkomstig is, aangezien die alleen met jouw publieke sleutel kan worden ontsleuteld. Wanneer je dit bericht voor het versturen tevens versleutelt met de publieke sleutel van de beoogde ontvanger, dan kan alleen hij je bericht ontsleutelen met zijn privésleutel. Dit is in grote lijnen hoe versleuteling van e-mail op basis van digitale certificaten werkt.

Tip 03: Aanvraag

Digital certificaten worden vooral in de bedrijfswereld gebruikt. Dat heeft onder meer te maken met het feit dat zo’n certificaat doorgaans niet gratis is. We kennen slechts een paar CA’s die ook gratis certificaten uitgeeft, zoals CaCert en Actalis. Wij gaan met deze laatste aan de slag, onder meer vanwege de eenvoudige aanvraagprocedure. Houd er wel rekening mee dat je aangevraagde certificaat slechts één jaar geldig is en dat zo’n gratis certificaat uitsluitend aan je e-mailadres is gekoppeld. Er worden geen verdere identiteitscontroles gevraagd of uitgevoerd, zoals je fysieke adres of legitimatiebewijs.

Om een certificaat aan te vragen, ga je naar Actalis. In dit online formulier vul je het e-mailadres in waarmee je versleutelde berichten wilt sturen. Plaats een vinkje bij Ik ben geen robot en druk op de knop Send verification mail. Even later ontvang je een bevestigingsmail en vul je de ontvangen code in bij Verification code.

Verklaar je akkoord met de twee voorwaarden en bevestig met Submit request. Als het goed is, verschijnt nu een wachtwoord in je browser. Noteer dit goed, want je hebt dit nodig om met je certificaat aan de slag te kunnen.

©PXimport

Een CA levert als vertrouwde derde partij je digitale certificaat af

-

Tip 04: Installatie

Intussen heb je nog een of twee mails ontvangen van Actalis (weliswaar in het Italiaans, maar laten vertalen via www.deepl.com doet vaak wonderen). De bijbehorende bijlage is het belangrijkste: zodra je dit zip-bestand hebt uitgepakt, zie je je certificaat in de vorm van een pfx-bestand (Personal inFormation eXchange). Dubbelklik op dit bestand om het certificaat op je systeem te installeren. De wizard Certificaat importeren neemt het nu over. 

Laat Huidige gebruiker geselecteerd en klik op Volgende (2x) om te bevestigen dat je het betreffende bestand daadwerkelijk wilt importeren. Vul het wachtwoord in dat je eerder hebt genoteerd en plaats bij voorkeur een vinkje bij Deze sleutel als exporteerbaar aanmerken […], zodat je later een back-up van je sleutelpaar kunt maken. Druk nogmaals op Volgende (2x) en bevestig met Voltooien.

©PXimport

Tip 05: Controle

De wizard meldt dat de import is gelukt, maar is dat ook zo? Dat zoek je als volgt uit. Druk op Windows-toets+R en voer certmgr.msc uit. Open de mappen Persoonlijk / Certificaten. In de certificatenlijst hoort nu ook Actalis Client Authentication CA te staan, gekoppeld aan je eerder doorgegeven e-mailadres. Het is geen slecht idee hiervan meteen een back-up te maken. Klik met rechts op dit certificaat en kies Alle taken / Exporteren. De wizard Certificaat exporteren duikt op. 

Klik op Volgende, selecteer Ja, de persoonlijke sleutel exporteren en druk weer op Volgende (2x). Geef een wachtwoord op (2x) en klik op Volgende. Bewaar het pfx-bestand bij voorkeur op een extern en veilig medium. Rond af met Voltooien en met OK.

©PXimport

Bij een paar CA’s kun je ook voor een gratis certificaat terecht

-

Tip 06: Handtekening

Je digitale certificaat is geïnstalleerd en klaar voor gebruik. We tonen je eerst hoe je hiermee een e-mail ondertekent met je privésleutel, zodat de ontvanger (met je publieke sleutel) weet dat het daadwerkelijk van jou afkomstig is.

We nemen Microsoft Outlook als voorbeeld, vooral omdat webclients doorgaans niet overweg kunnen met zulke certificaten. Start de mailclient op en ga naar Bestand / Opties. Open de rubriek Vertrouwenscentrum en klik op Instellingen voor het Vertrouwenscentrum. Kies E-mailbeveiliging en klik op Instellingen. Druk op de bovenste knop Kiezen en op Meer keuzes. Selecteer het Actalis-certificaat en druk op OK. Herhaal dit, indien nodig, voor de onderste knop Kiezen. Vul een gepaste naam in en klik op OK (3x).

Outlook weet nu genoeg. Open een venster voor het opstellen van een nieuw bericht. Ga naar het menu Opties en druk op de knop Ondertekenen. Deze kleurt nu donkergrijs. Stuur je testbericht (bijvoorbeeld) naar jezelf. Als je dit ontvangen bericht vervolgens opent in Outlook zie je rechtsboven een rood zegelpictogram staan. Klik hierop en kies Details voor meer informatie over het certificaat. Je bericht werd met succes digitaal ondertekend.

Tip 07: Versleuteling

Ondertekenen is één zaak, versleutelen is een andere. Om een uitgaand bericht te kunnen versleutelen, heb je dus wel eerst de publieke sleutel van de beoogde ontvanger nodig. Echt moeilijk is dat niet, aangezien je die sleutel automatisch ontvangt zodra die een ondertekende mail naar je stuurt.

Dit wil je natuurlijk wel even uittesten en daar heb je dus in principe een tweede persoon voor nodig: desnoods probeer je het door zelf een tweede certificaat aan te vragen dat je dan koppelt aan een van je andere e-mailadressen.

Een versleuteld bericht verstuur je als volgt. Stel een nieuw bericht op, open het menu Opties, klik op Versleutelen / Versleutelen met S/MIME en op Ondertekenen. Verstuur je bericht. Wanneer de ontvanger dit binnenkrijgt, ziet hij rechtsboven niet alleen een rood zegel, maar tevens een hangslotje, als indicatie dat het bericht daadwerkelijk werd versleuteld. Door op dit hangslotje te klikken, krijgt hij hier meer informatie over. Outlook zal het bericht nu automatisch met de privésleutel van de ontvanger ontsleutelen, zodat hij de mail probleemloos kan lezen.

©PXimport

Tip 08: OpenPGP

Er is nog een andere manier om e-mails veilig te versleutelen: de OpenPGP-standaard (PGP staat voor Pretty Good Privacy), die eveneens werkt op basis van een sleutelpaar met een publieke en een privésleutel. In tegenstelling tot een digitaal certificaat van een CA als Actalis maak je hier zelf je certificaat.

Wij gebruiken hiervoor de gratis tool Gpg4win, die werkt met de officiële opensource-implementatie GPG oftewel GnuPG. Je vindt die op www.gpg4win.org. Druk hier op de groene knop, duid (eventueel) $0 aan als donatiebedrag en bevestig met Download. Voor macOS bestaat er een trouwens vergelijkbare tool: GPGTools.

Je start de installatie met een dubbelklik op het gedownloade programmabestand. Druk op Volgende en laat de vinkjes ongemoeid, zodat in ieder geval de onderdelen Kleopatra (de beheermodule voor je digitale certificaat) en GpgOL (plug-in om in Outlook-mails te kunnen versleutelen en ontsleutelen) alvast geïnstalleerd worden. 

Met het onderdeel GpgEx kun je ook afzonderlijke bestanden versleutelen. Dit kan handig zijn maar laten we hier verder onbesproken. Bevestig je keuze met Volgende / Installeren / Volgende. Laat het vinkje staan bij Kleopatra uitvoeren en rond af met Voltooien. Het icoontje van Kleopatra duikt nu op in het systeemvak van Windows. Start Kleopatra toch niet op, dan kan dat nog handmatig vanuit het Windows-startmenu.

©PXimport

Met OpenPGP kun je ook zelf je digitale certificaten aanmaken

-

Tip 09: Sleutelaanmaak

Klik met rechts op het Kleopatra-icoon en kies Open-certificaatbeheerder (indien die niet automatisch opstart). De bedoeling is namelijk dat je nu eerst je eigen sleutelpaar maakt. Klik hiervoor op Bestand / Nieuw sleutelpaar. Vervolgens selecteer je Een persoonlijk OpenPGP-sleutelpaar aanmaken. Houd er wel rekening mee dat je langs deze weg geen erkende CA gebruikt, maar dat je vertrouwt op (de integriteit van) je kennissen – en omgekeerd.

Vul de gevraagde gegevens in bij de velden Naam en E-mail, bij de laatste het adres waarop je versleutelde berichten wilt kunnen ontvangen. Maak eventueel meerdere sleutelparen als je over verschillende e-mailadressen beschikt. Druk op de knop Geavanceerde instellingen als je in technische details geïnteresseerd bent, zoals de gebruikte encryptie (standaard RSA 3072 bit), of als je de vervaldatum van je certificaat wilt aanpassen (standaard twee jaar). Zet bij voorkeur een vinkje bij de optie De gegenereerde sleutel met een wachtwoord beschermen en bevestig met Aanmaken

Vul een sterk wachtwoord in bij Passphrase (2x) en druk op OK. Na enige verwerkingstijd is je sleutelpaar gereed. In principe kun je nu al op Finish drukken, maar wij adviseren de suggestie Reservekopie van uw sleutelpaar maken op te volgen. Zo heb je toch een back-up bij de hand in het geval je sleutelpaar ooit corrupt of verloren raakt.

Open na afloop het tabblad Certificaten: het nieuwe gecreëerde sleutelpaar is toegevoegd op het tabblad Vertrouwde certificaten.

©PXimport

Tip 10: Import

Het is natuurlijk de bedoeling dat jouw kennissen versleutelde berichten naar jou kunnen versturen en omgekeerd. Daarvoor moeten ze dan wel ook zelf Gpg4win (of een compatibele tool) installeren en ook over jouw publieke sleutel beschikken. Hiermee kunnen ze berichten dan versleutelen, zodat alleen jij die met je privésleutel kunt ontsleutelen.

Je kunt je publieke sleutel bijvoorbeeld als volgt aan kennissen bezorgen.

Klik in Kleopatra op het tabblad Certificaten met rechts op je certificaat, kies Exporteren en sla het bestand public.asc op. Dit tekstbestand bezorg je vervolgens aan jouw kennissen of je kunt het zelfs publiceren op een website of een blog.

Stel, een van jouw contacten heeft dit bestand ontvangen. Ook hij start dan Kleopatra op zijn pc, waar hij Importeren kiest en naar het sleutelbestand verwijst. Hij bevestigt de vraag of hij de vingerafdruk wilt controleren met Ja en klikt vervolgens op Certificeer. Zodra hij bevestigt met het wachtwoord van zijn eigen certificaat en bevestigt met OK wordt het geïmporteerde en vertrouwde certificaat toegevoegd.

©PXimport

Tip 11: Mailencryptie

Alles is nu klaar om berichten naar die kennis versleuteld te verzenden. Start Outlook en stel een nieuw bericht op. Let er op een e-mailadres te kiezen waaraan je eerder een certificaat had gekoppeld. Vul in het Aan-veld het e-mailadres van je kennis in, evenals een onderwerp en je ‘geheime’ boodschap. Je kiest bij voorkeur een neutrale onderwerpsregel, omdat die niet samen met het eigenlijke bericht versleuteld wordt.

In de knoppenbalk van Outlook hoort nu ook de knop GpgOL zichtbaar te zijn, mogelijk verstopt onder de knop Meer opdrachten. Klik hier op het pijlknopje bovenaan en kies Beveiligen (zodat het vakje grijs kleurt). Bij het verzenden van het bericht ga je best nog even na of het juiste e-mailadres van je kennis is geselecteerd, waarna OpenPGP ervoor zorgt dat de eigenlijke tekst door een versleutelde versie wordt vervangen.

Over naar de ontvangende partij. Zodra je kennis Outlook start en het bericht opent dat je hem hebt verstuurd, wordt dat normaliter automatisch ontsleuteld, aangezien GpgOL automatisch zijn bijbehorende privésleutel opzoekt, eventueel na het intikken van zijn wachtwoord.

©PXimport

▼ Volgende artikel
Jouw foto's op jouw pc of NAS: veilig, privé en slim
© Andrey Sinenkiy
Huis

Jouw foto's op jouw pc of NAS: veilig, privé en slim

Diensten als iCloud-foto’s en Google Foto’s zijn handig om je foto’s te back-uppen, beheren en delen. Alleen is de online opslagruimte beperkt. Ook je kijkt naar je privacy, zijn deze oplossingen niet altijd ideaal. Er zijn gelukkig gratis tools waarmee je bijna dezelfde ervaring hebt als bij deze online diensten. Je zet je foto’s niet in de cloud, maar gewoon op je eigen pc of NAS.

In dit artikel laten we zien hoe je je eigen foto's beheert, zonder afhankelijk te zijn van clouddiensten zoals Google Foto’s of iCloud:

  • Installeer Immich via Docker op je pc
    • Stel automatische ordening op basis van metadata in
    • Upload en beheer foto’s via de webinterface of mobiele app
    • Deel foto's of albums met vrienden of familie
    • Maak automatische back-ups van je smartphone
  • Gebruik Synology Photos als je een Synology-NAS bezit
    • Deel albums met andere NAS-gebruikers of via een openbare link
    • Gebruik slimme functies zoals de tijdlijn,en mensen- en objectherkenning
    • Synchroniseer je foto's automatisch via de Synology Photos-app

Vind je foto's in de cloud niet erg? Lees dan: Ode aan orde: je immense fotocollectie beheer je zo

Er is weinig mis met de gespecialiseerde cloudopslagdiensten van Apple, Google, Microsoft (OneDrive) en Dropbox. Je kunt hiermee prima foto’s bewaren en delen. De tools zijn voor dit gebruik zelfs uitstekend, maar de opslagruimte is vaak beperkt en het blijven cloudoplossingen. Je bestanden staan dus ergens anders opgeslagen.

Overweeg je een alternatief om foto’s te synchroniseren zonder cloudopslag, dan zijn er meerdere opties, zoals Nextcloud (met de Photos-app), PhotoPrism, digiKam en Piwigo. Wij zijn gecharmeerd van de opensource-dienst Immich en Synology Photos, die je specifiek voor de Synology-NAS kunt gebruiken. Beide tools bieden functies als automatische fotoback-ups, album- en gebruikersbeheer, gezichtsherkenning, tijdlijnweergave, tagging, locatiegebaseerd zoeken, delen, raw-bestanden en toegang via een webinterface. Kortom, er is weinig in de cloudoplossingen dat je bij deze gratis tools niet vindt. We maken eerst kennis met Immich (uitgesproken als het Engelse ‘image’) en daarna met Synology Photos. We focussen ons hierbij op de installatie, de initiële configuratie en het basisgebruik.

Immich

Docker-installatie

Immich wordt frequent geüpdatet en is beschikbaar voor meerdere platformen. Wij gaan aan de slag met de installatie onder Windows. Dit doen we via het gratis Docker Desktop. Docker Desktop beheert containers, een soort lichte, afgescheiden virtuele omgevingen met alle benodigde apps, services en instellingen. Installeer de app met enkele muisklikken en start deze op (de eerste keer kun je op Accept en tweemaal op Skip klikken). Minimaliseer vervolgens het venster, maar laat de app actief.

Goed om te weten: je kunt Immich via Docker ook op je NAS installeren, wat hier ook wel Container Manager (Synology) of Container Station (QNAP) genoemd. In dit artikel gaan we hier alleen niet verder op in.

Docker Desktop heb je met een paar muisklikken geïnstalleerd en opgestart.

Voorbereiding

Immich installeren we dus als Docker-container. Eerst voer je enkele voorbereidingen uit. Open de verkenner en ga naar de map Linux (onderaan). Open vervolgens de submap docker-desktop en dan Home. Maak hier een map met jouw naam en daarbinnen de submap Docker. Binnen deze docker-map maak je de map Immich-app aan. Het pad wordt dus: \\wsl.localhost\docker-desktop\home\<je_naam>\docker\immich-app.

Creëer nu twee submappen in een andere map op een schijf met genoeg opslagruimte: Library en Postgres (bijvoorbeeld C:\Users\<je_accountnaam>\Docker\Immich\library).

Navigeer nu in de verkenner naar de map Immich-app. Houd de Shift-toets ingedrukt, klik met rechts op een lege plek en kies PowerShell-venster hier openen. Houd de verkenner geopend en ga via deze pagina naar de downloadsite. Klik bij Get docker-compose.yml file op het documenten-pictogram (Copy), plak dit in PowerShell met Ctrl+V en druk op Enter om het yml-bestand te downloaden. Herhaal dit voor het commando bij Get .env file, zodat zowel het yml-bestand als het env-bestand in de map Immich-app staan.

Open het env-bestand in een teksteditor, bijvoorbeeld Notepad++ of Kladblok, en pas de volgende variabelen aan:

UPLOAD_LOCATION=C:\Users\<je_accountnaam>\Docker\Immich\library
DB_DATA_LOCATION=C:\Users\<je_accountnaam>\Docker\Immich\postgres
TZ=Europe/Amsterdam
DB_PASSWORD=<eigen wachtwoord>

Zorg ervoor dat de paden kloppen met jouw situatie en sla het aangepaste bestand op.

Voordat je de container installeert, moet je eerst enkele variabelen aanpassen in het env-bestand.

Installatie

Alles is nu klaar om de Docker-container met Immich te draaien. Ga terug naar de map Immich-app en voer het commando docker-compose up -d uit. Dit zorgt ervoor dat alle benodigde onderdelen worden gedownload en uitgevoerd. Na enkele minuten zie je in het Docker Desktop-venster, bij Containers, dat de vier Immich-onderdelen actief zijn. Test dit direct door Localhost:2283 op de adresbalk van je browser in te vullen. Dit is de standaardpoort waarop Immich draait; dit zie je bij Immich_server in het Docker-containeroverzicht. Als het nodig is, kun je het poortnummer aanpassen in het yml-bestand. Klik in de webinterface op Aan de slag om daadwerkelijk met Immich te starten.

Je kunt de containers op elk moment stoppen en starten vanuit Docker Desktop. Dit doe je in de rubriek Containers: selecteer Immich en druk op Stop of Start.

De vier containers zijn gestart en Immich is nu bereikbaar vanuit de webinterface.

Configuratie

Je begint met het aanmaken van een beheerdersaccount. Vul de gevraagde gegevens in en bevestig met Registreren. Log daarna in met het opgegeven e-mailadres en wachtwoord.

Klik in het welkomstvenster op Thema, kies Licht of Donker, en ga naar Privacy. Hier kun je de kaartfunctie inschakelen (om foto’s via coördinaten op een kaart te tonen) en de versiecontrole activeren (voor het ontvangen van updates).

Ga vervolgens naar Opslagtemplate en bepaal of je fotobestanden automatisch wilt ordenen op basis van metadata. Als dit ingeschakeld is, kun je bij Voorinstelling een structuur kiezen met een sjabloon. Kies bijvoorbeeld voor {{y}}-{{MMMM}}-{{dd}}/{{filename}}. Bevestig met Klaar.

Je kunt via een sjabloon je foto’s bewaren op basis van bepaalde metadata.

Basisgebruik

Links in de webinterface zie je een venster met onderdelen als Foto’s, Verkennen, Kaart, Delen, Favorieten, Albums en Gereedschap. Open Foto’s, klik op de plusknop en selecteer de gewenste fotobestanden. De geüploade foto’s verschijnen als miniaturen in een tijdlijn. Bovenaan zie je een zoekbalk met rechts een filterknop om media te selecteren op onder meer naam, plaats, camera, datum en type. Gebruik Uploaden (rechtsboven) om extra foto’s toe te voegen.

Selecteer een of meer foto’s. Rechtsboven verschijnen meerdere knoppen, zoals Toevoegen aan favorieten (voor de rubriek Favorieten) en een menu om de selectie te downloaden, archiveren, verwijderen, de datum of locatie te wijzigen, of miniaturen en metadata te vernieuwen.

Via Toevoegen aan kun je foto’s aan een album toevoegen. Klik op +Nieuw album om een album te maken dat je terugvindt in de rubriek Albums. Gebruik Verkennen in het linkervenster om foto’s gegroepeerd te zien op tijd, locatie of – via AI – op herkenbare objecten, gezichten of thema’s, zoals berglandschappen.

De webinterface van Immich heeft wel wat weg van Google Foto’s.

Back-ups en delen

Je vindt in de webinterface ook de optie Delen. Klik hierop, voeg een beschrijving toe en eventueel een wachtwoord. Geef aan of de ontvanger foto’s mag downloaden en/of uploaden. Stel hiervoor een verloopdatum in, bijvoorbeeld over 1 dag. Klik op Link maken om een link te genereren. Deze link is mogelijk http://localhost<…>, maar je kunt dit aanpassen naar het interne ip-adres van je Immich-server, of een extern adres dat vanaf internet bereikbaar is (zie tekstkader ‘Vanaf het internet’).

Wil je media delen met specifieke personen? Klik hiervoor rechtsboven op je accountpictogram en kies Beheer. Ga naar Gebruikers, klik op Gebruiker aanmaken, vul de gegevens in en bevestig. Bij het openen van een fotoselectie of album kun je dan via de deelknop direct de gewenste gebruiker(s) selecteren, zodat de media in hun webomgeving beschikbaar zijn.

Voor Android en iOS kun je de mobiele Immich-app installeren. Vul het ip-adres van je Immich-server in en meld je aan. Tik op de upload-knop, geef Immich de nodige machtigingen en kies Selecteer om aan te geven welke fotoalbums de app moet back-uppen naar je server. Zet Albums synchroniseren aan om dit te automatiseren en bevestig met Back-up uitvoeren.

Immich is ook beschikbaar als mobiele app, wat handig is voor (automatische) mediaback-ups.

Synology Photos

Voorbereiding

We gaan uit van een Synology-NAS (Network Attached Storage) die via een webinterface toegankelijk is. Verbind via je browser met de webinterface van DSM, het Synology-besturingssysteem.

Open nu eerst het Configuratiescherm, kies Gebruiker en groep, ga naar Geavanceerd en zorg dat Gebruiker basismap inschakelen is ingeschakeld (op het gewenste volume). Bevestig met Toepassen. Open daarna de app File Station, waar je ziet dat de mappen Home en Homes (met persoonlijke submappen voor elke NAS-gebruiker) zijn aangemaakt.

Ga vervolgens naar Package Center in het hoofdmenu. Als de app Synology Photos nog niet is geïnstalleerd, zoek dan naar de naam van deze app. Klik vervolgens op Installeren en daarna op Openen. Klik rechtsboven op je profielicoon, kies Instellingen en open het tabblad Gedeelde ruimte. Schakel eventueel Gedeelde ruimte in en bevestig met Opslaan. Gedeelde media worden nu standaard opgeslagen in de map \photo.

Het is even wennen, maar je persoonlijke media en je gedeelde media belanden voortaan in de daarvoor bestemde mappen.

Gedeelde media

Als je nu foto’s met bijvoorbeeld familieleden wilt delen die toegang hebben tot je NAS, volg dan deze stappen. Ga naar Configuratiescherm / Gebruiker en groep, open het tabblad Groep en klik op Maken. Geef een groepsnaam op (bijvoorbeeld Familie) en druk op Volgende. Selecteer de gewenste leden, druk drie keer op Volgende en vink Synology Photos in de kolom Toestaan aan. Bevestig met Volgende (tweemaal) en met Voltooid.

Open vervolgens de app Synology Photos. Bij Instellingen / Gedeelde ruimte klik je op Toegangsmachtigingen instellen. Selecteer de groep (Familie) en kies Volledige toegang in de uitklapmenu’s. Bevestig met de plusknop en klik op Opslaan. Zet daarna op het tabblad Gedeelde ruimte een vinkje bij zowel Gezichtsherkenning inschakelen in Gedeelde ruimte als Onderwerpherkenning inschakelen in Gedeelde ruimte. Bevestig met Opslaan.

Test de instellingen door een gebruiker uit de groep aan te melden op je NAS, bijvoorbeeld via een incognito-tabblad in je browser. Zodra deze gebruiker Synology Photos opent, kan ook hij media uploaden in zowel de persoonlijke ruimte als de gedeelde ruimte. Links bovenaan in het applicatievenster kun je tussen deze ruimtes schakelen. De inhoud van deze ruimtes kun je overigens ook op bestandsniveau beheren via de overeenkomstige mappen in File Station (althans als administrator).

Als lid van de groep Familie krijgt deze gebruiker meteen ook toegang tot de gedeelde ruimte.

Basisgebruik

We laten nu zien hoe je met fotoalbums werkt. Gebruik eerst de knop Filter tonen (rechtsboven) om filters te activeren en snel de gewenste foto’s te vinden. Selecteer vervolgens een reeks foto’s; er verschijnt een rode balk. Klik hier op de plus-knop Toevoegen aan album, kies +Nieuw album, vul een naam in en druk op OK. Ga naar Albums (tweede knop) in het applicatievenster. Hier kun je foto’s opvragen volgens Recent toegevoegd, Labels en Locaties en, indien eerder ingeschakeld, volgens Mensen (gezichtsherkenning) en Onderwerpen (objectherkenning). Je albums vind je hier ook. Met de plus-knop rechtsboven kun je hier nieuwe albums maken.

Ga met de muisaanwijzer boven een album staan; er verschijnt een knop met drie puntjes. Klik op Delen. Schakel Koppeling delen in en stel bij Privacy-instellingen in of het album Privé of Openbaar is (eventueel met downloadmachtiging). Bij Privé selecteer je bij Lijst van genodigden de gewenste gebruiker(s) of groep(en) en geef je de machtigingen aan: Weergave, Downloaden of Provider (beheerder). Je kunt ook een wachtwoord en vervaldatum instellen. Kopieer de link en bevestig met Opslaan.

Klik op Delen (derde knop) in het applicatievenster en kies Fotoverzoek. Klik op Fotoverzoek maken, vul een onderwerpsregel in, selecteer een bestemmingsmap en bevestig met Verzoek maken. Je hoeft nu alleen maar de link te sturen naar de mensen van wie je graag foto’s wilt ontvangen voor je collectie.

Goed om te weten: er is ook een mobiele app voor Android en iOS van Synology Photos met de functie Photo Backup. Daarmee synchroniseer je opgeslagen foto’s en video’s.

Je kiest zelf met wie je albums deelt en met welke machtigingen je dat doet.

Vanaf het internet

Je fotocollectie, beheerd met een tool als Immich of via je Synology-NAS, is standaard niet toegankelijk voor ongeautoriseerde personen buiten je netwerk. Wil je dat dit wel kan? Dan kun je bij een Synology-NAS de ingebouwde functie QuickConnect inschakelen via het Configuratiescherm in DSM, bij Externe toegang. In de praktijk moet je alleen vaak aan de slag met technieken als poortdoorverwijzing op je router. Of je moet een VPN-server installeren zoals WireGuard, eventueel gecombineerd met een eigen hostnaam via dynamisch DNS om het probleem van een wisselend extern ip-adres te omzeilen.

We hebben helaas niet de ruimte om hier dieper op in te gaan. Binnen je eigen netwerk kun je in elk geval probleemloos je fotoalbums beheren en delen.

Ook onderweg kun je je via de mobiele app en je QuickConnect-ID aanmelden bij Synology Photos op je NAS.

▼ Volgende artikel
Review Denon AH-C500W – Oordopjes schieten helaas tekort
© Wesley Akkerman
Huis

Review Denon AH-C500W – Oordopjes schieten helaas tekort

De Denon AH-C500W-oortjes beloven vanwege de open pasvorm comfort en omgevingsbewustzijn. In de praktijk pakt dit concept echter minder goed uit. Het ontbreken van rubber oortips resulteert in een pasvorm die niet echt aansluit op de gehoorgang.

Oké
Conclusie

De Denon AH-C500W probeert met een open ontwerp een omgevingsbewuste luisterervaring te bieden, maar schiet op meerdere vlakken tekort. De pasvorm is onstabiel, de aanraakbediening irritant en het geluid – met name de bas – valt tegen. Daardoor voelt dit model vooral aan als een ongelukkig compromis.

Plus- en minpunten
  • Heel licht ontwerp
  • Heldere sound
  • Equalizer binnen de app
  • Blijven niet goed zitten
  • Audio mist duidelijke baslaag
  • Karige app

Het ontwerp van de Denon AH-C500W is volgens de fabrikant gericht op comfort; daarvoor heeft de fabrikant een zogenaamde 'open pasvorm' in het leven geroepen die niet diep in je gehoorgang zit. Hierdoor voelen de oordopjes licht aan en kun je ze lang zonder enige irritatie dragen. Bovendien blijf je goed in verbinding met je omgeving, omdat er geen ruisonderdrukking is en de dopjes zelf niets tegenhouden. Dat zijn allemaal mooie manieren van omdenken. De AH-C500W-dopjes hebben dan ook geen rubber tips die in je oren gaan en de boel afsluiten, maar vallen bij bewegingen daardoor ook makkelijk uit je oren.

De oordopjes beschikken over moderne technologie zoals bluetooth 5.3 met multipoint-connectiviteit, waardoor je met twee apparaten tegelijk kunt verbinden. De totale batterijduur bedraagt 24 uur, inclusief de oplaadcase. Dankzij de IPX4-classificatie zijn ze bestand tegen zweet en spatwater, maar gezien de vorm zijn ze niet echt geschikt voor sporters. De bediening verloopt via gevoelige aanraakoppervlakken op de oordopjes of via de gratis app. Verder hebben ze microfoons met beamforming voor heldere telefoongesprekken.

©Wesley Akkerman

Gladde oortjes

Aan de functionaliteit ligt het dus zeker niet. Denon zet daarmee in op een breed publiek. We vinden het alleen jammer dat de oortjes geen rubber tips hebben, want die helpen vaak bij het blijven zitten in de gehoorgang. We realiseren ons dat dit een persoonlijke voorkeur is; er zijn immers nog steeds mensen die liever gladde oordopjes hebben dan rubber of siliconen oortips die je dieper in je oor moet duwen. Maar als je lang haar hebt, je veel met je hoofd beweegt of de oordopjes met de hand (en niet via de app) bedient, is de kans groot dat je ze verplaatst of dat ze uit je oren vallen.

We vinden de bediening op de oortjes sowieso behoorlijk gevoelig, maar gelukkig kun je die uitschakelen via de gratis Denon Headphones-app. Dat hebben wij dan ook gedaan. We hebben ze regelmatig beter in onze oren moeten draaien, omdat ze niet bleven zitten, en hebben daardoor regelmatig onbedoeld functies geactiveerd. Bovendien beschikt de app over een vijfpunts equalizer. Heel handig, want daarmee verbeter je het geluid daadwerkelijk. Helaas kun je je eigen instellingen niet opslaan; als je terug wilt naar oude settings, dan moet je die handmatig invoeren.

©Wesley Akkerman

Het open karakter

Omdat de Denon AH-C500W een open karakter heeft, zijn ze lastig te vergelijken met oordopjes die wel beschikken over enige afsluiting. Maar dat is dan ook precies de bedoeling. Het is maar net wat je van een setje oortjes verlangt. En eerlijk is eerlijk: ze zijn zo licht dat je ze bijna niet voelt zitten. Door dit karakter klinkt de muziek heel helder, terwijl je ondertussen alles nog meekrijgt vanuit je omgeving. In het openbaar vervoer is dat een nachtmerrie, maar we denken niet dat Denon verwacht dat je ze overal gebruikt.

Verder is ons duidelijk dat de Denon AH-C500W flink wat kracht mist. Zonder equalizerinstellingen vallen de lagere tonen helemaal weg, waardoor je voornamelijk naar de vocalen en hogere segmenten luistert. Met de traditionele glimlachinstellingen van de equalizer (zie de screenshots verderop) trek je het middensegment verder weg van de audioweergave, maar geef je wel een flinke boost aan het onderste deel. Daardoor klinkt de muziek al wat aangenamer. Maar oordopjes met een betere afsluiting zullen in dit geval altijd beter klinken dan de AH-C500W.

©Wesley Akkerman

Open of gesloten?

Je zou de Denon AH-C500W daardoor beter kunnen vergelijken met oordopjes die je meer boven je gehoorgang plaatst – denk aan de Openfit 2+ van Shokz. Daar klinkt de soundstage daadwerkelijk warm, vol en gedetailleerd, en daar kunnen we de Denon-oortjes niet altijd op betrappen. Helemaal eerlijk is de vergelijking trouwens niet, omdat het producten uit twee technisch verschillende groepen zijn. Maar in onze beleving legt dit setje het af tegen oortjes met afsluiting en écht open oordoppen. Het is het net niet, zogezegd.

Daar speelt het ontwerp ook een grote rol in. De Denon AH-C500W's blijven minder goed zitten dan open modellen die je met een haakje om je oren bevestigt. Je bent ze bovendien voortdurend aan het bijdraaien om maar een goede pasvorm te vinden. Wellicht ligt dat deels aan de oren van ondergetekende, maar dat is nu eenmaal wel de ervaring. Ze doen bovendien sterk denken aan de AIrPods. En daardoor hebben we ook het idee dat Denon meer het Apple-publiek wil aanspreken. Een onbegonnen zaak, aangezien die mensen meestal al voorzien zijn.

©Wesley Akkerman

Denon AH-C500W kopen?

De Denon AH-C500W wil zichzelf met zijn open ontwerp neerzetten als een alternatieve keuze voor wie omgevingsbewust wil blijven. In de praktijk pakt dit concept echter minder goed uit. Het ontbreken van rubber oortips resulteert in een onrustige pasvorm, waardoor de oordopjes bij de minste beweging al dreigen uit te vallen. Deze constante noodzaak tot bijstellen leidt tot frustratie, mede door de overgevoelige aanraakbediening. Gelukkig kun je die via de app uitschakelen, maar dat verandert verder niets aan het idee dat ze niet echt lekker zitten.

Ook op audiogebied overtuigen de oortjes niet helemaal. Het open karakter levert een helder geluid op, maar de basweergave is ondermaats en vereist flinke aanpassingen via de equalizer, waarvan je de instellingen frustrerend genoeg niet kunt opslaan. De AH-C500W's vallen hierdoor in een lastig niemandsland: ze missen de geluidsisolatie en krachtige bas van afgesloten oordopjes en de stabiele pasvorm van échte open-ear modellen met oorhaken. Uiteindelijk voelen de oordopjes aan als een compromis dat op de belangrijkste vlakken helaas tekortschiet.