Two-factor voor mail

Stel hier jouw vragen die niet binnen de andere categorieën passen.
Forumregels
Check eerst onze helpsectie (https://www.antagonist.nl/help) voordat je hier een vraag stelt. Voor de meeste vragen hebben we uitgebreide handleidingen met uitleg.
Frieda
Berichten: 38
Lid geworden op: 16 jun 2008, 07:46

Re: Two-factor voor mail

Bericht door Frieda » 13 nov 2020, 16:22

Ik ben hier omdat ik ook heel graag beter beveiligde mailtoegang zou willen hebben.

Blijkbaar is 't voor Antagonist moeilijk te regelen, maar ik googlede dít: protonmail met behoud van m'n eigen mail-account. Dat staat me wel aan.

https://alexandervanloon.nl/nederlands/?p=1176

Als jullie daar een handleiding voor zouden willen schrijven, zou dat een heleboel mensen kunnen helpen.

Zou dat kunnen?

Reno
Berichten: 198
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 13 nov 2020, 20:27

Frieda schreef:
13 nov 2020, 16:22
protonmail met behoud van m'n eigen mail-account. Dat staat me wel aan.

Hoe bedoel je dit? In het blogpost waarna je verwees wordt duidelijk uitgelegd dat je je domein-mailadres kunt behouden, maar dat de mailafwikkeling via Protonmail loopt. De mails lopen in dat geval helemaal NIET meer via Antagonist.

Als dat is wat je wilt, moet je blijkbaar een PLUS-abonnement aanschaffen bij Protonmail (naast het abonnement bij Antagonist. Bron: https://protonmail.com/nl/signup). Hiervoor moet je DNS-instellingen wijzigen, wat uitgelegd zal worden zodra je daar een abonnement hebt afgenomen.

Kortom: schaf een abonnement aan bij Protonmail als dit is wat je wilt. Ik weet bijna zeker dat zij vervolgens jou de stappen uitleggen om via hen de mails te versturen (staat ook in de blogpost).

Mind you dat deze blogpost is gemaakt in 2018, en Antagonist inmiddels o.a. de roundcube omgeving responsive heeft gemaakt
Frieda schreef:
13 nov 2020, 16:22
Blijkbaar is 't voor Antagonist moeilijk te regelen

Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet. Het kan gewoon niet. Persoonlijk vind ik ook niet dat webhosters dit zouden moeten implementeren. Protonmail ondersteunt de standaard protocollen niet, waardoor het instellen van de mail op apparaten voor mensen met minder technische affiniteit niet te doen is (https://protonmail.com/support/knowledg ... op3-setup/)

EDIT:

Zie hier een stappenplan. Deze is niet specifiek voor Antagonist, maar geeft wel exact de (technische) stappen aan die doorlopen moeten worden.

https://protonmail.com/support/knowledg ... e-domains/

jay073
Berichten: 3
Lid geworden op: 18 nov 2020, 08:11

Re: Two-factor voor mail

Bericht door jay073 » 18 nov 2020, 08:53

Reno schreef:
13 nov 2020, 20:27
Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet.
Dat is niet helemaal correct. Technisch gezien zou MFA aangezet kunnen worden, met app-specifieke wachtwoorden voor de IMAP/SMTP clients. De omgeving waar je deze wachtwoorden kunt genereren, bijvoorbeeld in "Mijn Antagonist", zou voorzien kunnen worden met MFA via TOTP-tokens of nog beter WebAuthn. Populaire IMAP en SMTP daemons bieden ondersteuning voor app-specifieke wachtwoorden, zie bijvoorbeeld deze random post voor Dovecot.

Echter: een dergelijke implementatie is helaas erg complex om te implementeren. Ik denk dat een interessante vraag is of de moeite opweegt tegen de voordelen. Puur hypothetisch, met een RCE-kwetsbaarheid in bijvoorbeeld Exim (1, 2) die volledige 'overname' van de server mogelijk maakt, maakt MFA geen verschil.

Zelf maak ik gebruik van een andere oplossing: ik download alle mail van de server en verwijder het vervolgens. Zelfs als mijn mailbox gehackt zou worden, valt de schade mee. Het is dan hooguit enkele dagen, in plaas van een archief van jaren. Bij mijn weten zijn er geen applicaties die dit met enkele klikken doen - maar is het iets meer moeite om dit te realiseren.

Een interessante ontwikkeling is DIME. De developers hebben een talk gegeven die het uitlegt op DEFCON 22. Het is een open standaard en de server (Magma) is ook volledig open-source. Echter is het nog in ontwikkeling en niet klaar voor een productie-omgeving.

Last but not least, er is ook een alternatief voor ProtonMail, het Belgische Mailfence. In tegenstelling tot PM bieden zij wel toegang tot IMAP en SMTP (met een betaald abonnement); hiervoor gebruiken ze app-specifieke wachtwoorden.

Reno
Berichten: 198
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 18 nov 2020, 18:47

jay073 schreef:
18 nov 2020, 08:53
Reno schreef:
13 nov 2020, 20:27
Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet.
Dat is niet helemaal correct. Technisch gezien zou MFA aangezet kunnen worden, met app-specifieke wachtwoorden voor de IMAP/SMTP clients. De omgeving waar je deze wachtwoorden kunt genereren, bijvoorbeeld in "Mijn Antagonist", zou voorzien kunnen worden met MFA via TOTP-tokens of nog beter WebAuthn. Populaire IMAP en SMTP daemons bieden ondersteuning voor app-specifieke wachtwoorden, zie bijvoorbeeld deze random post voor Dovecot.
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.

Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.

jay073
Berichten: 3
Lid geworden op: 18 nov 2020, 08:11

Re: Two-factor voor mail

Bericht door jay073 » 19 nov 2020, 11:19

Reno schreef:
18 nov 2020, 18:47
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.
Niet. Maar tot mijn grote spijt is diezelfde Jan Modaal (in de regel) niet actief bezig met MFA.
Reno schreef:
18 nov 2020, 18:47
Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.
Je standpunt ontken ik ook zeker niet. Email is decennia oud en niet ontworpen met de hedendaagse bedreigingen in het achterhoofd. Maar een echt alternatief - met een even brede adoptie - is er nog niet.

Reno
Berichten: 198
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 19 nov 2020, 18:52

jay073 schreef:
19 nov 2020, 11:19
Reno schreef:
18 nov 2020, 18:47
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.
Niet. Maar tot mijn grote spijt is diezelfde Jan Modaal (in de regel) niet actief bezig met MFA.
Reno schreef:
18 nov 2020, 18:47
Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.
Je standpunt ontken ik ook zeker niet. Email is decennia oud en niet ontworpen met de hedendaagse bedreigingen in het achterhoofd. Maar een echt alternatief - met een even brede adoptie - is er nog niet.
Sluit ik me bij aan. IMAP is in gebruiksgemak al een hele verbetering t.o.v. POP3, maar er is inderdaad nog geen (goed) alternatief voor deze protocollen. En ik vraag me af of we die op korte termijn kunnen verwachten...

hallway
Berichten: 11
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 12 apr 2021, 07:30

Joris de Leeuw schreef:
05 sep 2018, 13:28
Bij Antagonist kiezen we er bewust voor om het in een keer goed te doen. Wij zijn niet van het halve werk en halve oplossingen. Dit kost dus wellicht meer werk, maar uiteindelijk zorg je voor een makkelijker begrijpbaarder en ook betrouwbaardere omgeving. Dit is mede de reden dat onze SSL implementatie zo betrouwbaar werkt. Het kost flink meer tijd in ontwikkeling, maar uiteindelijk levert het een betrouwbaardere en zelfs snellere situatie op.
2FA enkel voor webmail zou Antagonist juist uniek kunnen maken - net zoals de manier waarop jullie SSL certificaten automatisch installeren zou je ook 2FA voor webmail kunnen aanbieden:
  • - Detecteer of iemand gebruik maakt van IMAP/SMTP
    - Zo ja, laat geen optie zien om 2FA aan te zetten
    - Zo nee, laat dan een optie zien om 2FA aan te zetten (en geef aan dat bij inschakelen van 2FA toegang via IMAP/SMTP automatisch zal worden uitgezet)
Mensen die nu al IMAP/SMTP gebruiken komen zo niet in grote problemen.

De relatief nieuwe responsive interfacestijl van Antagonist is erg fijn om mee te werken. Eerder zou je dan nog kunnen zeggen dat IMAP/SMTP toegang nodig zou zijn voor toegang op mobiel, maar vanwege de responsive interfacestijl hoeft dat niet persé.

hallway
Berichten: 11
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 12 okt 2021, 07:07

Op dit moment is 2FA voor webmail mogelijk, maar IMAP en SMTP zijn nog bereikbaar zonder 2FA.

Zou OAuth2 in Roundcube 1.5 de oplossing zijn? Zie https://github.com/roundcube/roundcubem ... on:-OAuth2

Begrijp ik het goed dat je met OAuth2 en XOAUTH ervoor kan zorgen dat je IMAP en SMTP ook kan voorzien van 2FA? Door in te loggen via een account elders (bijv. Mijn Antagonist) waar 2FA aan staat?

En zo ja zou dit een oplossing zijn voor Antagonist? Bijvoorbeeld door het Mijn Antagonist account (met 2FA aan) te gebruiken voor inloggen op webmail, IMAP en SMTP?

Joris de Leeuw
Antagonist staff
Berichten: 1344
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 12 okt 2021, 13:40

Dat zou in theorie kunnen, maar verandert de situatie niet geheel. Mailprogramma's dienen dan alsnog ook oAuth2 te snappen wat in veel gevallen nog niet zo is. Anders zit je nog steeds met je wachtwoord op IMAP.

Daarnaast dient ons mailplatform dan ook oAuth2 te doen wat ook een uitdaging is. De plugin zorgt er dus enkel voor dat Roundcube zelf oAuth kan praten met een mailplatform. De plugin is dus maar een klein stukje in de gehele puzzel.

Mocht dit uiteindelijk kunnen wil je dat per mailaccount hebben. Niet dat alles alsnog op 1 login leunt. Dan is het alsnog niet veilig.

Voor nu is het dus nog een flinke puzzel voordat we het op een goede, maar ook voor klanten begrijpbare manier kunnen implementeren. Al is het zeker interessant en zijn dit ook zaken waar we op de achtergrond over nadenken.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

hallway
Berichten: 11
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 13 okt 2021, 10:05

Joris de Leeuw schreef:
12 okt 2021, 13:40
Mailprogramma's dienen dan alsnog ook oAuth2 te snappen wat in veel gevallen nog niet zo is. Anders zit je nog steeds met je wachtwoord op IMAP.
Hier zou Antagonist juist een bijdrage kunnen leveren. Zodra er steeds meer aanbieders zijn die oAuth2 ondersteunen krijgen de makers van mailprogramma's hier steeds meer vragen over om dit ook te ondersteunen. Van gebruikers zoals ik, en anderen die graag oAuth2 ondersteuning willen.

Daarnaast zou Antagonist hierin een voortrekkersrol kunnen innemen en actief mailprogramma's kunnen benaderen om oAuth2 via Antagonist te ondersteunen.
Joris de Leeuw schreef:
12 okt 2021, 13:40
De plugin zorgt er dus enkel voor dat Roundcube zelf oAuth kan praten met een mailplatform. De plugin is dus maar een klein stukje in de gehele puzzel.
Klopt het wel dat dit slechts een plugin is? Ik was in de veronderstelling dat OAuth2 straks standaard in Roundcube zit vanaf versie 1.5 (nu nog beta) en dat je daar dan geen aparte plugin voor nodig hebt.
Joris de Leeuw schreef:
12 okt 2021, 13:40
Voor nu is het dus nog een flinke puzzel voordat we het op een goede, maar ook voor klanten begrijpbare manier kunnen implementeren.
Ik zal je nog een verhaal vertellen... Een aantal maanden geleden had ik een klant (ik ben reseller) die maar niet kon inloggen op de mail. Dat was nog voordat jullie het nieuwe menu in de header hadden. Bleek uiteindelijk te zijn dat diegene elke keer probeerde in te loggen op Mijn Antagonist, maar diegene moest natuurlijk inloggen op mail.antagonist.nl.

Voor klanten is het uiteindelijk alleen maar overzichtelijker om 1 plek te hebben waar ze voor alles kunnen inloggen. En veiliger als 2FA mogelijk is. Het is natuurlijk een hoop werk om dit achter de schermen voor elkaar te krijgen, maar uiteindelijk wel overzichtelijker en eenvoudiger voor de klant.

Joris de Leeuw
Antagonist staff
Berichten: 1344
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 14 okt 2021, 10:37

hallway schreef:
13 okt 2021, 10:05
Klopt het wel dat dit slechts een plugin is? Ik was in de veronderstelling dat OAuth2 straks standaard in Roundcube zit vanaf versie 1.5 (nu nog beta) en dat je daar dan geen aparte plugin voor nodig hebt.
Dat klopt inderdaad. Echter is dit maar een klein stukje van de puzzel. Die oAuth2 functionaliteit dien je dan te laten koppelen aan een OAuth2 provider. Dat hebben wij verder niet.

Een OAuth2 provider is in veel gevallen een portaal waar je naar wordt omleid en je iets moet doen ter validatie. Dat kan een simpel knopje zijn als 'Ga door' (niet heel veilig dus) of daadwerkelijk een login met additionele 2FA.

Het beste voorbeeld van een oAuth2 provider is overigens DigiD. Welke overheidswebsite je ook zit je kan altijd er bij met 1 gezamelijke authenticatie via DigiD. DigiD is helaas niet voor bedrijven beschikbaar. Dat zou anders veel mensen het online leven flink makkelijker maken gezien je dan nergens meer een wachtwoord voor nodig hebt. Al begrijp ik dat het privacy bezwaren hebt zoiets te doen mocht zoiets ooit mogelijk worden voor bedrijven.

Dat zelf een oAuth 2 provider opzetten die goed en ook makkelijk werkt voor iemand die ergens bij wilt gaat dus niet over één nacht ijs. We kunnen daarbij beter realistisch te zijn dat we dit niet zomaar met ons kleine team kunnen bouwen.

Ik acht de kans dus groter dat we zoiets in een toekomstig platform meenemen gezien je dan alles vanaf de basis opnieuw kan opbouwen.

Natuurlijk is zo'n mechaniek toevoegen super cool. Dus dit is echt iets wat we in ons achterhoofd houden.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

hallway
Berichten: 11
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 26 okt 2021, 14:35

18 oktober heeft Roundcube deze blog geplaatst: Roundcube 1.5.0 released

OAuth2/XOauth support (with plugin hooks) is nu beschikbaar. Het is een klein onderdeel van de puzzel om 2FA voor Antagonist webmail mogelijk te maken. Maar het is leuk om te weten dat dit nu beschikbaar is.

Als je kijkt op de Roundcube wiki configuration page for OAuth2 dan zie je dat Éloi Rivard die voor het laatst heeft bewerkt. Via zijn profiel > https://github.com/azmeuk > https://yaal.coop/ > https://gitlab.com/yaal/canaille/ kan je zien dat hij werkt aan een OpenID Connect provider "Canaille". (2FA staat nog op de wensenlijst...)
Zou je hiermee een OAuth2 provider kunnen opzetten? Wellicht interessant voor een toekomstig Mijn Antagonist platform?

Joris de Leeuw
Antagonist staff
Berichten: 1344
Lid geworden op: 13 feb 2016, 20:15

Re: Two-factor voor mail

Bericht door Joris de Leeuw » 01 nov 2021, 11:16

Hallo Hallway,

Dat zijn zeker interessante ontwikkelingen.

De vraag is echter wel of je dat via Mijn Antagonist wilt laten werken. Veel hostingpakketten worden ook door klanten van klanten gebruikt of medewerkers van een bedrijf. Je wilt niet dat iedereen eerst administratief bij ons ook nog als klant moet registreren.

Het beste kan je dit via een eigen paneel (DirectAdmin oid) regelen zodat je zelf oAuth kan instellen voor mailaccounts.

Dat zijn zaken waar wij dus nog diep over na moeten denken hoe en of dit kan. Waarbij het ook makkelijk dient te werken.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Plaats reactie