Two-factor voor mail

Stel hier jouw vragen die niet binnen de andere categorieën passen.
Forumregels
Check eerst onze helpsectie (https://www.antagonist.nl/help) voordat je hier een vraag stelt. Voor de meeste vragen hebben we uitgebreide handleidingen met uitleg.
Frieda
Berichten: 38
Lid geworden op: 16 jun 2008, 07:46

Re: Two-factor voor mail

Bericht door Frieda » 13 nov 2020, 16:22

Ik ben hier omdat ik ook heel graag beter beveiligde mailtoegang zou willen hebben.

Blijkbaar is 't voor Antagonist moeilijk te regelen, maar ik googlede dít: protonmail met behoud van m'n eigen mail-account. Dat staat me wel aan.

https://alexandervanloon.nl/nederlands/?p=1176

Als jullie daar een handleiding voor zouden willen schrijven, zou dat een heleboel mensen kunnen helpen.

Zou dat kunnen?

Reno
Berichten: 179
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 13 nov 2020, 20:27

Frieda schreef:
13 nov 2020, 16:22
protonmail met behoud van m'n eigen mail-account. Dat staat me wel aan.

Hoe bedoel je dit? In het blogpost waarna je verwees wordt duidelijk uitgelegd dat je je domein-mailadres kunt behouden, maar dat de mailafwikkeling via Protonmail loopt. De mails lopen in dat geval helemaal NIET meer via Antagonist.

Als dat is wat je wilt, moet je blijkbaar een PLUS-abonnement aanschaffen bij Protonmail (naast het abonnement bij Antagonist. Bron: https://protonmail.com/nl/signup). Hiervoor moet je DNS-instellingen wijzigen, wat uitgelegd zal worden zodra je daar een abonnement hebt afgenomen.

Kortom: schaf een abonnement aan bij Protonmail als dit is wat je wilt. Ik weet bijna zeker dat zij vervolgens jou de stappen uitleggen om via hen de mails te versturen (staat ook in de blogpost).

Mind you dat deze blogpost is gemaakt in 2018, en Antagonist inmiddels o.a. de roundcube omgeving responsive heeft gemaakt
Frieda schreef:
13 nov 2020, 16:22
Blijkbaar is 't voor Antagonist moeilijk te regelen

Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet. Het kan gewoon niet. Persoonlijk vind ik ook niet dat webhosters dit zouden moeten implementeren. Protonmail ondersteunt de standaard protocollen niet, waardoor het instellen van de mail op apparaten voor mensen met minder technische affiniteit niet te doen is (https://protonmail.com/support/knowledg ... op3-setup/)

EDIT:

Zie hier een stappenplan. Deze is niet specifiek voor Antagonist, maar geeft wel exact de (technische) stappen aan die doorlopen moeten worden.

https://protonmail.com/support/knowledg ... e-domains/

jay073
Berichten: 3
Lid geworden op: 18 nov 2020, 08:11

Re: Two-factor voor mail

Bericht door jay073 » 18 nov 2020, 08:53

Reno schreef:
13 nov 2020, 20:27
Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet.
Dat is niet helemaal correct. Technisch gezien zou MFA aangezet kunnen worden, met app-specifieke wachtwoorden voor de IMAP/SMTP clients. De omgeving waar je deze wachtwoorden kunt genereren, bijvoorbeeld in "Mijn Antagonist", zou voorzien kunnen worden met MFA via TOTP-tokens of nog beter WebAuthn. Populaire IMAP en SMTP daemons bieden ondersteuning voor app-specifieke wachtwoorden, zie bijvoorbeeld deze random post voor Dovecot.

Echter: een dergelijke implementatie is helaas erg complex om te implementeren. Ik denk dat een interessante vraag is of de moeite opweegt tegen de voordelen. Puur hypothetisch, met een RCE-kwetsbaarheid in bijvoorbeeld Exim (1, 2) die volledige 'overname' van de server mogelijk maakt, maakt MFA geen verschil.

Zelf maak ik gebruik van een andere oplossing: ik download alle mail van de server en verwijder het vervolgens. Zelfs als mijn mailbox gehackt zou worden, valt de schade mee. Het is dan hooguit enkele dagen, in plaas van een archief van jaren. Bij mijn weten zijn er geen applicaties die dit met enkele klikken doen - maar is het iets meer moeite om dit te realiseren.

Een interessante ontwikkeling is DIME. De developers hebben een talk gegeven die het uitlegt op DEFCON 22. Het is een open standaard en de server (Magma) is ook volledig open-source. Echter is het nog in ontwikkeling en niet klaar voor een productie-omgeving.

Last but not least, er is ook een alternatief voor ProtonMail, het Belgische Mailfence. In tegenstelling tot PM bieden zij wel toegang tot IMAP en SMTP (met een betaald abonnement); hiervoor gebruiken ze app-specifieke wachtwoorden.

Reno
Berichten: 179
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 18 nov 2020, 18:47

jay073 schreef:
18 nov 2020, 08:53
Reno schreef:
13 nov 2020, 20:27
Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet.
Dat is niet helemaal correct. Technisch gezien zou MFA aangezet kunnen worden, met app-specifieke wachtwoorden voor de IMAP/SMTP clients. De omgeving waar je deze wachtwoorden kunt genereren, bijvoorbeeld in "Mijn Antagonist", zou voorzien kunnen worden met MFA via TOTP-tokens of nog beter WebAuthn. Populaire IMAP en SMTP daemons bieden ondersteuning voor app-specifieke wachtwoorden, zie bijvoorbeeld deze random post voor Dovecot.
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.

Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.

jay073
Berichten: 3
Lid geworden op: 18 nov 2020, 08:11

Re: Two-factor voor mail

Bericht door jay073 » 19 nov 2020, 11:19

Reno schreef:
18 nov 2020, 18:47
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.
Niet. Maar tot mijn grote spijt is diezelfde Jan Modaal (in de regel) niet actief bezig met MFA.
Reno schreef:
18 nov 2020, 18:47
Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.
Je standpunt ontken ik ook zeker niet. Email is decennia oud en niet ontworpen met de hedendaagse bedreigingen in het achterhoofd. Maar een echt alternatief - met een even brede adoptie - is er nog niet.

Reno
Berichten: 179
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 19 nov 2020, 18:52

jay073 schreef:
19 nov 2020, 11:19
Reno schreef:
18 nov 2020, 18:47
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.
Niet. Maar tot mijn grote spijt is diezelfde Jan Modaal (in de regel) niet actief bezig met MFA.
Reno schreef:
18 nov 2020, 18:47
Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.
Je standpunt ontken ik ook zeker niet. Email is decennia oud en niet ontworpen met de hedendaagse bedreigingen in het achterhoofd. Maar een echt alternatief - met een even brede adoptie - is er nog niet.
Sluit ik me bij aan. IMAP is in gebruiksgemak al een hele verbetering t.o.v. POP3, maar er is inderdaad nog geen (goed) alternatief voor deze protocollen. En ik vraag me af of we die op korte termijn kunnen verwachten...

Plaats reactie