Vraag die ik had (wat is het verschil tussen mail.freedom.nl en webmail.freedom.nl is al beantwoord in Juiste webmail url) maar het viel me op dat ik op mail.freedom.nl kan inloggen zonder 2fa terwijl deze voor webmail.freedom.nl is geactiveerd. Hiermee lijkt me de 2fa overbodig gemaakt aangezien er een workaround aanwezig is.
Zijn er plannen om mail.freedom.nl op korte termijn offline te halen? Want het feit dat ik er kan inloggen zonder 2fa is wat mij betreft onwenselijk
Groeten, HCF
@HCF Hmmmm… dat is inderdaad niet iets wat handig is.
Probleem is dat webmail.freedom.nl van Freedom Internet is (of die gebruiken we) en mail.freedom.nl is van Bits of Freedom en daar gaan we als Freedom Internet niet over.
Dat deze offline gehaald zou worden is denk ik niet wat er gaat gebeuren. Maar we moeten even goed kijken hoe we dit zouden kunnen gelijktrekken/fixen.
Geen idee of dat gaat lukken, maar ik ga het hier intern even aankaarten. Geen idee hoe snel en of dit op te lossen zou zijn… maar we gaan het wel zien.
Bedankt voor het snelle antwoord!
Dan maar hopen dat Bits of Freedom ook iets als 2fa wil aanzetten 
In principe zou je nog kunnen zorgen dat er voor IMAP logins een ander wachtwoord gebruikt kan worden. Dat kan tegenwoordig via de authenticatie regels in de MIJN omgeving.
Dan kun je daar dus een ander wachtwoord voor aanmaken en voor de webmail 2FA aanzetten en met wachtwoord en gebruikersnaam inloggen. Of zelfs IMAP toegang helemaal uitzetten, kan ook. 
Daarom is het ook wel fijn als op mail.freedom.nl en webmail.freedom.nl 2FA hetzelfde werkt. Gaat naar gekeken worden…
Je kunt ook voor de MIJN omgeving (‘dashboard’) een ander wachtwoord opgeven dan welke je gebruikt voor je mail account bijvoorbeeld.
2FA staat inderdaad nog niet op de MIJNfreedom omgeving.
In het menu in de MIJNomgeving zitten de tools voor het opzetten van authenticatieregels:
En er zijn verschillende diensten waarvoor je authenticatieregels kunt aanmaken:
En een authenticatie regel kan zijn, dat je bijvoorbeeld een bepaald IP-adres (of alle) geen toegang geeft tot een bepaalde dienst. Of daar een ander wachtwoord voor wilt gebruiken.
@Sven Bedoel je zoiets? MIJNfreedom - Authenticatie sessies en regels | Freedom
Dat je geen antwoord krijgt is geen onwil. Dus het vragen naar een reactie is niet nodig. Je krijgt een reactie op het moment dat ik die kan geven.
Er zit een soort orde in de regels, maar die zou ik even moeten testen.
Wat nu mijn idee is dat je eerst een regel moet aanmaken die alle IP-adressen blokkeert en daarna een regel aanmaakt voor een enkel IP-adres die je toegang geeft met een opgegeven wachtwoord.
Maar het kan ook zijn dat je dit dan andersom zou moeten instellen. Maar goed… dat moet ik nog even goed testen. Maar dat gaat niet volgende week gebeuren. Dus je kan dit eventueel zelf ook testen.
Net even een testje gedaan maar kan via mail.freedom.nl (Bits of Freedom) ook bij de email box van mijn eigen domein (via Freedom Internet), ZONDER 2FA.
Dat terwijl ik juist via het Dashboard/‘MIJN’ omgeving regels heb ingesteld om alles dicht te timmeren.
Als je dan via een externe site die niet in beheer is van Freedom en waar ze naar eigen zeggen niets aan kunnen doen bij een Freedom Internet mailbox kunt komen vind ik dat behoorlijk onacceptabel.
Hoe kan het dat een externe site als mail.freedom.nl (Bits of Freedom) toegang heeft to mailboxen van domeinen die onder beheer van Freedom Internet zijn?
Dit is echt een behoorlijk groot risico en oversight qua security m.i.
Heb het gevoel dat toegang tot mijn mailbox op mijn eigen domein open staat (als je het wachtwoord hebt) voor een hoop partijen?
@GG85 Eigenlijk heel simpel. Dezelfde reden als het feit dat je de mail in elke willekeurige e-mail client kunt instellen zonder 2FA.
In principe zoals hierboven al aangegeven is er op dit moment om de 2FA heen te werken. Dat klopt. Zijn we ons van bewust en wordt naar gekeken hoe dit te fixen.
Mocht je op dit moment zorgen hebben over de mogelijkheid dat er ingelogd kan worden via de webmail, kun je in de authenticatie sessies de webmail service blokkeren en de mail ontvangen via een eigen webmail client (waarvan je dan mogelijk het IP-adres hebt toegestaan).
Daarnaast is het natuurlijk altijd verstandig om een sterk wachtwoord (van minimaal 12 tekens, maar liever meer. Denk dan bijvoorbeeld aan een wachtwoordzin.) te hebben. Op IMAP en de SMTP server zit sowieso geen 2FA. Daar zal je sowieso altijd rekening mee moeten houden (dus authenticatie regels voor aanmaken of deze blokkeren voor alle IP-adressen).
Dank voor je snelle reactie. Ik begrijp dat IMAP en SMTP geen 2FA ondersteunen. Daarom heb ik die via het Dashboard/‘MIJN’ Omgeving ook gekoppend aan specifieke IP adressen en/of geblokked.
Mijn idee is dat op die manier 2FA geforceerd wordt voor alles buiten mijn eigen IP/Thuisnetwerk.
Mijn standaard manier van mail ophalen en verzenden is via webmail.freedom.nl + 2FA.
Af en toe haal ik dan vanaf mijn thuisadres via IMAP mail op om te backuppen.
Waar het mis gaat is dat blijkbaar een 3e partij (Bits of Freedom) via een externe site mail.freedom.nl bij mijn inbox (eigen domein that is, begrijp dat @freedom.nl misschien anders werkt) kan komen. Dat moet toch sowieso niet kunnen en heeft toch niets met “hoe email werkt” te maken? Het hele mail.freedom.nl zou toch geen toegang tot mijn mailbox moeten hebben net zoals Outlook.com dat niet heeft? Zeker niet van een domein anders dan @freedom.nl
Een tijdelijke oplossing zou idd zijn om Webmail toegang ook te linken aan mijn Freedom IP maar dan kan ik alsnog (zonder VPN naar huis) alleen maar “thuis” bij mijn mail.
Uiteraard begrijp ik de noodzaak van een goed wachtwoord maar email is zo ongeveer de toegang tot iemands totale online (en deels offline) leven. Met iemands email kan je bij zijn of haar Digid, Sociale media en andere zaken zoals winkelen, online bankieren etc.
Een van de redenen waarom ik bij XS4ALL weg ben gegaan is dat ze geen 2FA meer ondersteunden en toegang tot IMAP/POP3 niet af kon schermen.
Dat Freedom dit nu ook niet goed op orde heeft is voor mij echt een issue. Zeker omdat je tegenwoordig relatief makkelijk iemands 06-nummer kunt hijacken en het hele password vergeten = sms-je ook niet heel veilig is.
Mail beveiliging zou wat mij betreft heel erg hoog op het prioriteitenlijstje moeten staan.
Ha, ik ben op het forum terecht gekomen omdat ik eerder deze week hetzelfde probleem ontdekte. Accounts netjes dichtspijkerd met MFA, tik per ongeluk mail.freedom.nl ipv webmail.freedom.nl in en kon tot mijn verbazing direct inloggen zonder MFA.
Dit is wel een beetje jammer en ik begrijp de uitleg dat het een andere organisatie is niet helemaal. En inderdaad, idealiter zou je voor SMTP/IMAP wéér een andere username/password combinatie willen hebben.
Ben benieuwd of en wanneer hier een oplossing voor komt. Op deze manier heeft MFA geen enkele zin.
Andere korte (in mijn eigen woorden) uitleg:
ooit liet XS4ALL zich inlijven door KPN; we zien nu de gevolgen.
Bij het ontwerpen van Freedom-internet wilde men voorkomen dat dit weer kan gebeuren. Daarom is het eigendom van de naam Freedom.NL neergelegd bij Bits-Of-Freedom. Die verkopen hun eigendom niet.
Om te zorgen dat jouw “eigendom” niet onder je vingers wordt verkocht,
blijft dus de URL Mail.Freedom.NL bij B-o-F.
Als oplossing stel ik het volgende voor:
de URL Mail.Freedom laten waar-ie is, maar meteen re-directen naar Webmail.Freedom.
In het bijzondere geval dal Freedom.NL ooit ‘gek’ gaat doen, kan B-o-F meteen de redirect eraf halen.
Zoals ik al zei: dit zijn mijn woorden. Meer precies lees je het op https://freedom.nl/over-freedom/waar-freedom-voor-staat/onze-oprichting
Er is een vrij eenvoudige oplossing in principe, laat op http(s) vlak mail.freedom.nl redirecten naar webmail.freedom.nl
2FA is dan aanwezig op http(s). Voor imap en smtp is dat niet praktisch, daarvoor zijn app passwords nuttiger. Maar het haalt gok ik de ergste angel er uit
Dat zou lukken als mail.freedom.nl en webmail.freedom.nl aan dezelfde partij zouden hangen.
mail.freedom.nl = Bits of Freedom webmail
webmail.freedom.nl = Freedom Internet webmail
Is hier nog iets van voortgang op geboekt?
Begrijp dat de email via Soverin loopt en dat alles wat bij Soverin kan komen (via Soverin Webmail, mail.freedom.nl) dus 2FA kan omzeilen (dat is het probleem toch?) maar hier zou toch wel iets aan te doen moeten zijn?
Nu is het hele 2FA eigenlijk een wassen neus. Zelfs als je bijvoorbeeld IMAP toegang blokkeert via Authenticatieregels in mijnFreedom kan je alsnog met alleen een wachtwoord inloggen door Soverin webmail of mail.freedom.nl te gebuiken.
In dit geval is status hetzelfde als in december. Mocht er verandering in komen, dan verwacht ik dat we daar zeker ook een nieuwsartikel van maken in de nieuwsbrief of apart op de website.
Voor zover ik weet is dit niet op deze manier op te lossen. webmail.freedom.nl en mail.freedom.nl komen bijvoorbeeld ook op dezelfde load balancer uit.
Voor nu is het vervelend dat er omheen gewerkt kan worden, want dat zou natuurlijk niet moeten gebeuren. Maar de enige oplossing die ik nu eigenlijk zie is het met authenticatieregels afschermen van de webmail en alles buiten de ingestelde ranges via IMAP uitlezen waar mogelijk.
Natuurlijk zijn we nog steeds wel naar een betere oplossing aan het zoeken, maar zoals al vermeld… verwacht ik dat we dat in een nieuwsberichtje te kennen geven wanneer we dat gevonden hebben.
