Two-factor voor mail

Stel hier jouw vragen die niet binnen de andere categorieën passen.
Forumregels
Check eerst onze helpsectie (https://www.antagonist.nl/help) voordat je hier een vraag stelt. Voor de meeste vragen hebben we uitgebreide handleidingen met uitleg.
Frieda
Berichten: 38
Lid geworden op: 16 jun 2008, 07:46

Re: Two-factor voor mail

Bericht door Frieda » 13 nov 2020, 16:22

Ik ben hier omdat ik ook heel graag beter beveiligde mailtoegang zou willen hebben.

Blijkbaar is 't voor Antagonist moeilijk te regelen, maar ik googlede dít: protonmail met behoud van m'n eigen mail-account. Dat staat me wel aan.

https://alexandervanloon.nl/nederlands/?p=1176

Als jullie daar een handleiding voor zouden willen schrijven, zou dat een heleboel mensen kunnen helpen.

Zou dat kunnen?

Reno
Berichten: 193
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 13 nov 2020, 20:27

Frieda schreef:
13 nov 2020, 16:22
protonmail met behoud van m'n eigen mail-account. Dat staat me wel aan.

Hoe bedoel je dit? In het blogpost waarna je verwees wordt duidelijk uitgelegd dat je je domein-mailadres kunt behouden, maar dat de mailafwikkeling via Protonmail loopt. De mails lopen in dat geval helemaal NIET meer via Antagonist.

Als dat is wat je wilt, moet je blijkbaar een PLUS-abonnement aanschaffen bij Protonmail (naast het abonnement bij Antagonist. Bron: https://protonmail.com/nl/signup). Hiervoor moet je DNS-instellingen wijzigen, wat uitgelegd zal worden zodra je daar een abonnement hebt afgenomen.

Kortom: schaf een abonnement aan bij Protonmail als dit is wat je wilt. Ik weet bijna zeker dat zij vervolgens jou de stappen uitleggen om via hen de mails te versturen (staat ook in de blogpost).

Mind you dat deze blogpost is gemaakt in 2018, en Antagonist inmiddels o.a. de roundcube omgeving responsive heeft gemaakt
Frieda schreef:
13 nov 2020, 16:22
Blijkbaar is 't voor Antagonist moeilijk te regelen

Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet. Het kan gewoon niet. Persoonlijk vind ik ook niet dat webhosters dit zouden moeten implementeren. Protonmail ondersteunt de standaard protocollen niet, waardoor het instellen van de mail op apparaten voor mensen met minder technische affiniteit niet te doen is (https://protonmail.com/support/knowledg ... op3-setup/)

EDIT:

Zie hier een stappenplan. Deze is niet specifiek voor Antagonist, maar geeft wel exact de (technische) stappen aan die doorlopen moeten worden.

https://protonmail.com/support/knowledg ... e-domains/

jay073
Berichten: 3
Lid geworden op: 18 nov 2020, 08:11

Re: Two-factor voor mail

Bericht door jay073 » 18 nov 2020, 08:53

Reno schreef:
13 nov 2020, 20:27
Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet.
Dat is niet helemaal correct. Technisch gezien zou MFA aangezet kunnen worden, met app-specifieke wachtwoorden voor de IMAP/SMTP clients. De omgeving waar je deze wachtwoorden kunt genereren, bijvoorbeeld in "Mijn Antagonist", zou voorzien kunnen worden met MFA via TOTP-tokens of nog beter WebAuthn. Populaire IMAP en SMTP daemons bieden ondersteuning voor app-specifieke wachtwoorden, zie bijvoorbeeld deze random post voor Dovecot.

Echter: een dergelijke implementatie is helaas erg complex om te implementeren. Ik denk dat een interessante vraag is of de moeite opweegt tegen de voordelen. Puur hypothetisch, met een RCE-kwetsbaarheid in bijvoorbeeld Exim (1, 2) die volledige 'overname' van de server mogelijk maakt, maakt MFA geen verschil.

Zelf maak ik gebruik van een andere oplossing: ik download alle mail van de server en verwijder het vervolgens. Zelfs als mijn mailbox gehackt zou worden, valt de schade mee. Het is dan hooguit enkele dagen, in plaas van een archief van jaren. Bij mijn weten zijn er geen applicaties die dit met enkele klikken doen - maar is het iets meer moeite om dit te realiseren.

Een interessante ontwikkeling is DIME. De developers hebben een talk gegeven die het uitlegt op DEFCON 22. Het is een open standaard en de server (Magma) is ook volledig open-source. Echter is het nog in ontwikkeling en niet klaar voor een productie-omgeving.

Last but not least, er is ook een alternatief voor ProtonMail, het Belgische Mailfence. In tegenstelling tot PM bieden zij wel toegang tot IMAP en SMTP (met een betaald abonnement); hiervoor gebruiken ze app-specifieke wachtwoorden.

Reno
Berichten: 193
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 18 nov 2020, 18:47

jay073 schreef:
18 nov 2020, 08:53
Reno schreef:
13 nov 2020, 20:27
Dit is niet alleen moeilijk voor Antagonist om te regelen; dit is helemaal niet te regelen. Voor geen enkele host. Zo werken de mail protocollen simpelweg niet.
Dat is niet helemaal correct. Technisch gezien zou MFA aangezet kunnen worden, met app-specifieke wachtwoorden voor de IMAP/SMTP clients. De omgeving waar je deze wachtwoorden kunt genereren, bijvoorbeeld in "Mijn Antagonist", zou voorzien kunnen worden met MFA via TOTP-tokens of nog beter WebAuthn. Populaire IMAP en SMTP daemons bieden ondersteuning voor app-specifieke wachtwoorden, zie bijvoorbeeld deze random post voor Dovecot.
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.

Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.

jay073
Berichten: 3
Lid geworden op: 18 nov 2020, 08:11

Re: Two-factor voor mail

Bericht door jay073 » 19 nov 2020, 11:19

Reno schreef:
18 nov 2020, 18:47
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.
Niet. Maar tot mijn grote spijt is diezelfde Jan Modaal (in de regel) niet actief bezig met MFA.
Reno schreef:
18 nov 2020, 18:47
Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.
Je standpunt ontken ik ook zeker niet. Email is decennia oud en niet ontworpen met de hedendaagse bedreigingen in het achterhoofd. Maar een echt alternatief - met een even brede adoptie - is er nog niet.

Reno
Berichten: 193
Lid geworden op: 22 jan 2010, 18:25

Re: Two-factor voor mail

Bericht door Reno » 19 nov 2020, 18:52

jay073 schreef:
19 nov 2020, 11:19
Reno schreef:
18 nov 2020, 18:47
En hoe gaat de doorsnee gebruiker ala Jan Modaal hiermee om? Je kunt de omgeving waarin je werkt wel met 2FA beveiligen, maar dat beveiligt het protocol nog niet. Riekt naar schijnveiligheid.
Niet. Maar tot mijn grote spijt is diezelfde Jan Modaal (in de regel) niet actief bezig met MFA.
Reno schreef:
18 nov 2020, 18:47
Uiteindelijk moet je je mail nog kunnen openen in Outlook of kunnen koppelen aan Gmail, Hotmail of iets soortgelijks, afweging gebruiksgemak/veiligheid.

Standpunt dat je het protocol an sich niet (verder) kunt beveiligen met 2FA/MFA staat nog steeds.
Je standpunt ontken ik ook zeker niet. Email is decennia oud en niet ontworpen met de hedendaagse bedreigingen in het achterhoofd. Maar een echt alternatief - met een even brede adoptie - is er nog niet.
Sluit ik me bij aan. IMAP is in gebruiksgemak al een hele verbetering t.o.v. POP3, maar er is inderdaad nog geen (goed) alternatief voor deze protocollen. En ik vraag me af of we die op korte termijn kunnen verwachten...

hallway
Berichten: 8
Lid geworden op: 04 sep 2018, 09:31

Re: Two-factor voor mail

Bericht door hallway » 12 apr 2021, 07:30

Joris de Leeuw schreef:
05 sep 2018, 13:28
Bij Antagonist kiezen we er bewust voor om het in een keer goed te doen. Wij zijn niet van het halve werk en halve oplossingen. Dit kost dus wellicht meer werk, maar uiteindelijk zorg je voor een makkelijker begrijpbaarder en ook betrouwbaardere omgeving. Dit is mede de reden dat onze SSL implementatie zo betrouwbaar werkt. Het kost flink meer tijd in ontwikkeling, maar uiteindelijk levert het een betrouwbaardere en zelfs snellere situatie op.
2FA enkel voor webmail zou Antagonist juist uniek kunnen maken - net zoals de manier waarop jullie SSL certificaten automatisch installeren zou je ook 2FA voor webmail kunnen aanbieden:
  • - Detecteer of iemand gebruik maakt van IMAP/SMTP
    - Zo ja, laat geen optie zien om 2FA aan te zetten
    - Zo nee, laat dan een optie zien om 2FA aan te zetten (en geef aan dat bij inschakelen van 2FA toegang via IMAP/SMTP automatisch zal worden uitgezet)
Mensen die nu al IMAP/SMTP gebruiken komen zo niet in grote problemen.

De relatief nieuwe responsive interfacestijl van Antagonist is erg fijn om mee te werken. Eerder zou je dan nog kunnen zeggen dat IMAP/SMTP toegang nodig zou zijn voor toegang op mobiel, maar vanwege de responsive interfacestijl hoeft dat niet persé.

Plaats reactie