Geen 2fa op mail.freedom.nl

Vraag die ik had (wat is het verschil tussen mail.freedom.nl en webmail.freedom.nl is al beantwoord in Juiste webmail url) maar het viel me op dat ik op mail.freedom.nl kan inloggen zonder 2fa terwijl deze voor webmail.freedom.nl is geactiveerd. Hiermee lijkt me de 2fa overbodig gemaakt aangezien er een workaround aanwezig is.

Zijn er plannen om mail.freedom.nl op korte termijn offline te halen? Want het feit dat ik er kan inloggen zonder 2fa is wat mij betreft onwenselijk

Groeten, HCF

1 like

@HCF Hmmmm… dat is inderdaad niet iets wat handig is.

Probleem is dat webmail.freedom.nl van Freedom Internet is (of die gebruiken we) en mail.freedom.nl is van Bits of Freedom en daar gaan we als Freedom Internet niet over.

Dat deze offline gehaald zou worden is denk ik niet wat er gaat gebeuren. Maar we moeten even goed kijken hoe we dit zouden kunnen gelijktrekken/fixen.

Geen idee of dat gaat lukken, maar ik ga het hier intern even aankaarten. Geen idee hoe snel en of dit op te lossen zou zijn… maar we gaan het wel zien.

3 likes

Bedankt voor het snelle antwoord!

Dan maar hopen dat Bits of Freedom ook iets als 2fa wil aanzetten :slight_smile:

Naar ik begrijp is er altijd een workaround mogelijk en heeft 2fa in webmail geen toegevoegde waarde, namelijk door username en password gewoon in een thunderbird/outlook of bv je telefoon email in te voeren.

Zie ook enkele posts in:

1 like

In principe zou je nog kunnen zorgen dat er voor IMAP logins een ander wachtwoord gebruikt kan worden. Dat kan tegenwoordig via de authenticatie regels in de MIJN omgeving.

Dan kun je daar dus een ander wachtwoord voor aanmaken en voor de webmail 2FA aanzetten en met wachtwoord en gebruikersnaam inloggen. Of zelfs IMAP toegang helemaal uitzetten, kan ook. :wink:

Daarom is het ook wel fijn als op mail.freedom.nl en webmail.freedom.nl 2FA hetzelfde werkt. Gaat naar gekeken worden…

Ik heb geen kennis van de technische kant, maar probeer wel de logische kant te bekijken voordat ik regels toevoeg(waarvan ik niet eens weet hoe dat moet en wat daar precies in zou moeten staan), dus toch nog een enkele vraag:

Zolang er voor de MIJN omgeving geen 2fa is, kun je dan toch nog gewoon daar inloggen en die regels weer uitschakelen(in de hoofdaccount)? En dan weer IMAP inloggen?
Zeker zolang die sim swap kwetsbaarheid blijft bestaan als extra risico?

Je kunt ook voor de MIJN omgeving (‘dashboard’) een ander wachtwoord opgeven dan welke je gebruikt voor je mail account bijvoorbeeld.

2FA staat inderdaad nog niet op de MIJNfreedom omgeving.

In het menu in de MIJNomgeving zitten de tools voor het opzetten van authenticatieregels:

En er zijn verschillende diensten waarvoor je authenticatieregels kunt aanmaken:

En een authenticatie regel kan zijn, dat je bijvoorbeeld een bepaald IP-adres (of alle) geen toegang geeft tot een bepaalde dienst. Of daar een ander wachtwoord voor wilt gebruiken.

Maar is het dan een optie om voor nitwits zoals ik eens een aantal voorbeelden te maken? Zodat mensen zoals ik precies weten wat ze moeten doen om de MIJN omgeving wat extra te beveiligen zonder dat iedereen apart de helpdesk lastig gaat vallen?

Bijvoorbeeld alleen in kunnen loggen in de MIJN omgeving vanaf mijn ip adres?
Iedereen heeft een IPv4 en IPv6 adres, wat zou ik daar dan PRECIES in moeten vullen?

Mogelijk is het dan ook wat om die suggesties/voorbeelden op de website onder helpdesk MIJN omgeving te zetten, zodat mensen die privacy bewust zijn, maar weinig van techniek weten toch via jouw voorbeelden/stappenplan een aantal extra (veiligheids)instellingen kunnen doen waarvan ze het bestaan nu niet kennen en/of de kennis niet in huis hebben?

Mogelijke opties zijn misschien?:

-alleen inloggen in MIJN omgeving vanaf eigen IP adres, maar kun je dan nog “wachtwoord vergeten” vanaf een andere lokatie dan je eigen IP adres?
-of andersom, alleen “wachtwoord vergeten” vanaf eigen IP, maar kun je dan nog wel inloggen op MIJN omgeving vanaf andere omgeving dan je eigen IP?
-enz enz.

Kortom, als Freedom inderdaad bepaalde voorbeelden zou maken, zou het wel handig/goed zijn als er ook bij beschreven staat wat de consequenties daarvan zijn.

Zodat niet mensen van alles instellen omdat ze dat veilig lijkt, maar als ze dan een keer in het buitenland zijn en webmail willen benaderen of hun wachtwoord zijn vergeten, dat ze er niet dan pas achter komen dat ze zelf ingesteld hebben dat dit alleen vanaf het thuis IP adres kan.
Jullie hebben ook wel wat anders te doen dan dat soort door klanten zelf veroorzaakte problemen oplossen. :wink:

1 like

@Sven Bedoel je zoiets? MIJNfreedom - Authenticatie sessies en regels | Freedom

Dat je geen antwoord krijgt is geen onwil. Dus het vragen naar een reactie is niet nodig. Je krijgt een reactie op het moment dat ik die kan geven.

2 likes

Dank je Bastiaan, ik bedoelde overigens met antwoord: “ja goed plan, staat op to do lijst”, of “nee te ingewikkeld want…”

Dit is al meteen de uitvoering en dat is heel positief, maar snap dat dat wegens drukte niet meteen prioriteit kan hebben.

Toch nog een vraag:
Wat ik eigenlijk graag zou willen is alleen in kunnen loggen vanaf mijn thuis IP en verder niet.
Kan dat ook en zo ja hoe?
En zo ja moet ik dan mijn ipv4 en ipv6 invullen?

Dit lijkt me namelijk iets wat meer mensen zouden willen voor extra beveiliging van de Mijnomgeving zolang er geen 2fa voor die omgeving is.
Als het mogelijk is zou ik graag lezen hoe ik dat precies moet doen. Juist om te voorkomen dat ik of anderen jullie extra gaan belasten met individuele problemen/vragen.

Er zit een soort orde in de regels, maar die zou ik even moeten testen.

Wat nu mijn idee is dat je eerst een regel moet aanmaken die alle IP-adressen blokkeert en daarna een regel aanmaakt voor een enkel IP-adres die je toegang geeft met een opgegeven wachtwoord.

Maar het kan ook zijn dat je dit dan andersom zou moeten instellen. Maar goed… dat moet ik nog even goed testen. Maar dat gaat niet volgende week gebeuren. Dus je kan dit eventueel zelf ook testen.

Ik wil dit gerust zelf testen, maar de kans lijkt dan zeker aanwezig dat ik mezelf buitensluit van mij eigen dashboard als de test mislukt, en dan heeft de helpdesk weer extra werk.

Dus misschien is het dan toch verstandiger om te wachten tot jij of iemand anders v Freedom getest heeft hoe dit precies kan.
Zal daarna dan zelf wel testen hoe het zit met wachtwoord resetten met wachtwoord vergeten, want dan weten we ook meteen of dit inloggen alleen vanaf eigen IP ook meteen bescherming biedt tegen sim swap.

Net even een testje gedaan maar kan via mail.freedom.nl (Bits of Freedom) ook bij de email box van mijn eigen domein (via Freedom Internet), ZONDER 2FA.
Dat terwijl ik juist via het Dashboard/‘MIJN’ omgeving regels heb ingesteld om alles dicht te timmeren.
Als je dan via een externe site die niet in beheer is van Freedom en waar ze naar eigen zeggen niets aan kunnen doen bij een Freedom Internet mailbox kunt komen vind ik dat behoorlijk onacceptabel.
Hoe kan het dat een externe site als mail.freedom.nl (Bits of Freedom) toegang heeft to mailboxen van domeinen die onder beheer van Freedom Internet zijn?

Dit is echt een behoorlijk groot risico en oversight qua security m.i.

Heb het gevoel dat toegang tot mijn mailbox op mijn eigen domein open staat (als je het wachtwoord hebt) voor een hoop partijen?

@GG85 Eigenlijk heel simpel. Dezelfde reden als het feit dat je de mail in elke willekeurige e-mail client kunt instellen zonder 2FA.

In principe zoals hierboven al aangegeven is er op dit moment om de 2FA heen te werken. Dat klopt. Zijn we ons van bewust en wordt naar gekeken hoe dit te fixen.

Mocht je op dit moment zorgen hebben over de mogelijkheid dat er ingelogd kan worden via de webmail, kun je in de authenticatie sessies de webmail service blokkeren en de mail ontvangen via een eigen webmail client (waarvan je dan mogelijk het IP-adres hebt toegestaan).

Daarnaast is het natuurlijk altijd verstandig om een sterk wachtwoord (van minimaal 12 tekens, maar liever meer. Denk dan bijvoorbeeld aan een wachtwoordzin.) te hebben. Op IMAP en de SMTP server zit sowieso geen 2FA. Daar zal je sowieso altijd rekening mee moeten houden (dus authenticatie regels voor aanmaken of deze blokkeren voor alle IP-adressen).

Dank voor je snelle reactie. Ik begrijp dat IMAP en SMTP geen 2FA ondersteunen. Daarom heb ik die via het Dashboard/‘MIJN’ Omgeving ook gekoppend aan specifieke IP adressen en/of geblokked.
Mijn idee is dat op die manier 2FA geforceerd wordt voor alles buiten mijn eigen IP/Thuisnetwerk.
Mijn standaard manier van mail ophalen en verzenden is via webmail.freedom.nl + 2FA.
Af en toe haal ik dan vanaf mijn thuisadres via IMAP mail op om te backuppen.

Waar het mis gaat is dat blijkbaar een 3e partij (Bits of Freedom) via een externe site mail.freedom.nl bij mijn inbox (eigen domein that is, begrijp dat @freedom.nl misschien anders werkt) kan komen. Dat moet toch sowieso niet kunnen en heeft toch niets met “hoe email werkt” te maken? Het hele mail.freedom.nl zou toch geen toegang tot mijn mailbox moeten hebben net zoals Outlook.com dat niet heeft? Zeker niet van een domein anders dan @freedom.nl

Een tijdelijke oplossing zou idd zijn om Webmail toegang ook te linken aan mijn Freedom IP maar dan kan ik alsnog (zonder VPN naar huis) alleen maar “thuis” bij mijn mail.

Uiteraard begrijp ik de noodzaak van een goed wachtwoord maar email is zo ongeveer de toegang tot iemands totale online (en deels offline) leven. Met iemands email kan je bij zijn of haar Digid, Sociale media en andere zaken zoals winkelen, online bankieren etc.
Een van de redenen waarom ik bij XS4ALL weg ben gegaan is dat ze geen 2FA meer ondersteunden en toegang tot IMAP/POP3 niet af kon schermen.

Dat Freedom dit nu ook niet goed op orde heeft is voor mij echt een issue. Zeker omdat je tegenwoordig relatief makkelijk iemands 06-nummer kunt hijacken en het hele password vergeten = sms-je ook niet heel veilig is.

Mail beveiliging zou wat mij betreft heel erg hoog op het prioriteitenlijstje moeten staan.

2 likes