Geen verbinding moegelijk met Freedom mailserver vanuit Nokia Android telefoon

Ik heb een Nokia 8 (Model TA-1012) telefoon en ik gebruik daarop gmail als mail client. Dit werkt goed met mijn gmail account en met mijn xs4all account. Als ik mij freedom account configureer krijg ik de melding dat het niet mogelijk is om verbinding te krijgen met de server.
Als inkomende server gebruik ik imap.freedom.nl met poort 993 en met SSL/TLS beveiliging,
als uitgaande server gebruik is smtp.freedom.nl met poort 465 en met SSL/TLS beveiliging.
Mijn vrouw heeft dezelfde telefoon en zij heeft met de outlook app dezelfde problemen.
Wie kent dit probleem en weet hoe ik dit kan oplossen?

Freedom gebruikt letsencrypt certificaten. In elk geval voor de webserver en deze site, dus ik vermoed ook voor de mail omgeving. Android en vooral de oudere varianten zijn geen fan van letsencrypt certificaten en die worden dan ook niet vertrouwd. Dat of het gaat fout op de root CA die is gewijzigd in de letsencrypt chain, die niet in de oudere androids zit.

Prive heb ik ook uitdagingen (gehad) met android en letsencrypt… tot ik op Lineage overgestapt ben. Ik heb geen zin om goed werkende hardware te vervangen omdat een leverancier de software niet update. (De Nokia 6.1 doet het prima)

Ik gebruik voor inkomend poort 143 met STARTTLS
en voor uitgaand poort 587 ook met STARTTLS.

1 like

Freedom/soverin is vrij strikt met haar ssl/tls ondersteuning en ik vermoed dat je android mogelijk wat “verouderd” is. Het poort nummer zelf zegt niet zo veel of en op welk security-level inhoudelijk wordt toegepast.

Welke android versie draai je op die doosjes ?

Ik gebruik Android-versie: 9. Dit is de laatste versie die ik kan krijgen op mijn systeem.

Als je van wat freubelen (of een uitdaging) houdt, er zijn alternatieve roms voor Android 12 en 13 te vinden voor de Nokia 8. Mijn Nokia 6.1 draait nu Lineage 20 (Android 13)

Draaien alle apps die op Android draaien ook op Lineage? Is er ergens een handleiding voor het installeren van Lineage?

Ik vermoed dat je probleem is/wordt dat het door Freedom (vanwege Soverin) opgelegde - brave jongetjes - TLS v1.3. niet volledig is/wordt ondersteund op Android 9. De gebruikte certificerings libraries zijn simpelweg gedateerd.
Om goed mee te komen zul je Android 10 of hoger moeten draaien (wier zooi ws over niet al te lang ook weer achterhaald zal gaan zijn).

Niet zo erg lang geleden heeft Freedom/Soverin onderhoud gedaan door in haar ogen, oude TLS-zooi op te doeken. Bepaalde combinaties van versleuteling worden dan niet meer verwerkt. Zelf was ik ook in die oude boot meegezonken en reden dat ik voor sommige mail/diensten ben overgestapt naar een andere provider die gewoon alles (ook veilig nog) doet wat ik wil met TLSv1.2
Discussie is vrijwel zinloos met elementen die zelf b(l)ij zijn met opleggen van de nieuw(st)e veiligheidseisen. Zelf zou ik willen dat ik als gebruiker daarvoor bij Freedom kon/mocht kiezen.

Lineage is Android, net zoals RedHat, Debian, Ubuntu,… Linux zijn.
Sterker nog, Android gebruikt de Linux kernel, maar dan aangepast voor mobiele apparaten.

Van elk image dat wordt ontwikkeld en gepost op xda bevat de eerste post in de threat de handleiding om de software te installeren.

Ik zou haast zeggen, als je nog ergens een ouder apparaat hebt, een dat je niet dagelijks nodig hebt, kan je daar mee oefenen als er een image voor is. Het is niet echt een klusje voor iemand die nog nooit een computer heeft geinstalleerd. De handleidingen zijn goed, maar je moet dit rustig uit kunnen zoeken als het de eerste keer is.

Ehm, ‘de nieuwste’ klopt beperkt. De 1.3 versie is inderdaad de laatste standaard van TLS, maar dateert uit 2018. Deze ondersteunt geen key exchange en encryptie protocollen die bekend onveilig zijn.

TLS 1.2 ‘ook veilig’ volgens jou dateert uit 2008 en laat ANON key exchange toe die onveilig is. Wat nog erger is, naast een voorraad onveilige cypers die ondersteund worden, ondersteunt TLS 1.2 ook de cyper None (geen). Je bent dus 100% overgeleverd aan de instellingen van de service provider,

Nu gaat het hier ‘maar’ om email, een protocol dat in zichzelf al onveilig is (smtp is voorlopig nog steeds meestal unencrypted), maar ik ben wel zuinig op m’n login gegevens.

Edit: bron

Als gezegd, discussie over onveilig net als gezond, is vrijwel onmogelijk omdat een zg onafhankelijke organisatie voor daarmee onmondig gemaakte gebruiker, bepaald heeft dat whatever TLSx.x (on)veilig is.

Waarom - wederom - dit verhaal omdat ik zou willen pleiten dat een betrokkene zelf zou moeten mogen bepalen of en hoe (on)veilig die de eigen mail wil versturen/ontvangen. Vrijheid is ook accepteren dat anderen een andere keuze (willen) maken.

Het lijkt mij volstrekt ongewenst dat een ‘vul-in’ instelling of provider zoals Freedom gaat bepalen, laat staan opleggen wat voor iemand (on)veilig is.
De betrokken providers moeten hooguit voorzien in beveiligingsniveaus als keuze en zich verder niet bemoeien met gebruikers die dat voor zichzelf anders kiezen.
Iemand die dan TLS1.3/2023 wil toepassen moet dat kunnen, net als de persoon die gewoon plat poort 25 wil hanteren.

Het lastige is ook dat de definitie van (on)veilig volstrekt arbitrair is en puur afhangt van situatie, gebruik en ook persoon.

Je kan nog heel hard zeggen dat van het Hilton af springen gezond is en dan heb je op zich ook wel gelijk… de landing onderaan is het ongezonde deel.

Zo is TLS 1.2 ook ‘veilig’. Zolang er niemand mee leest is het veilig, maar je hebt mogelijk geen encryptie of in elk geval een hele grote kans op een makkelijk te kraken cypher.

Die keuze heb je ook, alleen niet bij Freedom dat zegt te staan voor veilig internet gebruik met behoud van privacy. Als je security en privacy bewust bent, mail je via freedom. Als het je niets uit maakt mag je overal mailen bij organisaties die dit aanbieden, alleen freedom biedt die optie niet. Op zich logisch dat je als organisatie die voor veilig en privacy gaat dit niet aanbiedt. (overigens als je het niet wil, waarom dan extra betalen voor freedom? Ze zijn niet de goedkoopste aanbieder.)
Geen enkele zichzelf respecterende provider zal ‘plat poort 25’ accepteren voor het verzenden van de email. Dan staan ze binnen seconden in de top 10 van spam lijsten. (dat doen ze sinds de vorige eeuw al niet meer)

Als je dat echt wil staat niets je in de weg om zelf een server op te zetten. Heb ik ook gedaan, alleen niet om de reden dat ik het onveiliger wil, maar omdat mijn mail niemand iets aan gaat, ook de provider niet. (en ik heb m’n domein sinds '98, dat laat ik niet los :wink: )

Als je niet zelf iets wil opzetten dan ben je heel erg afhankelijk van de partijen die iets aanbieden en die dekken zichzelf op allerlei mogelijke manieren in. Ik denk dat je een flinke kluif gaat hebben aan het vinden van een mail provider die nog een 15 jaar oud protocol prefereert over een 5 jaar oude bewezen veiligere variant.
Gmail is er een die TLS 1.2 ondersteumt. met een beperkte en gepubliceerde lijst cyphers. Google zal oudere android devices niet buiten gaan sluiten. Dan weet je overigens wel zeker dat de Amerikaanse overheid meeleest.

Je hanteert, net als andere organisaties in dezelfde stroming, moralistische afwegingen. Redenaties die voor de voorstanders vanzelfsprekend zijn omdat voor hun een andere (wils)keuze voor zichzelf van geen belang is.
Dit ligt anders in mijn zienswijze waarbij ik juist en expliciet daartoe de keuze daartoe wil laten bij de gebruiker.

Dat ik vrij ben om zelf een eigen server op te zetten is een schijnredenatie van vrijheden om geen discussie meer te hoeven hebben. Een mailserver die niet met de buitenwereld kan communiceren is zo iets als geld hebben dat niet is te besteden.

Waar ik vooral tegen ageer is het voortdurend opleggen van ‘veiligheidsnormen’ en dat dan verpakken met dat dit heel normaal zou zijn voor een ‘zichzelf respecterende entiteit’ die staat voor vrijheden en privacy als keuze.

En ja, wanneer ik als overwogen keuze van het ‘Hilton’ of andere berg af wil springen, moet ik dat zelf mogen bepalen. Net als een Hilton dat zelf mag weigeren en een andere partij dat weer mag toestaan.
Hooguit zal ik als voorwaarde van een keuze dan vooraf de rekening moeten voldoen om aangedane rommel op te - laten - ruimen.

Wat is en zou er op tegen zijn dat ik plat SMTP/25 of POP3 kan doen via Freedom ?
Dat niet (willen aan)bieden op grond van ‘veiligheid’ is een drogreden uit het boekje omdat men die keuze niet wil (hoeven) bieden.

Freedom zou prima “een” in haar ogen minder veilig aangeboden mail, alsnog kunnen veilig doorsturen via haar transportstandaarden naar anderen.

Waarom moet ik als Freedom gebruiker verplicht veilig TLS/SSL mailen met MIJN eigen provider ?
Een debater zou inbrengen, dat als iemand die ‘vrijheid’ van een andere keuze niet wenst, moet die niet bij Freedom zijn. En dan: is er idd geen discussie (meer mogelijk).

Ik vind het zelf wel prettig/makkelijk als een provider mij voorstelt om een bepaald niveau van veiligheid te kunnen krijgen en houden.
Kan me ook goed voorstellen dat het aanbieden van oudere/minder veilige protocollen risico’s betekent voor de provider-infrastructuur als ook dat het beduidend extra kosten gaat betekenen om het een en ander te moeten ondersteunen. Wie gaat dat betalen?

Ik vind de discussie die zich heeft ontwikkeld naar aanleiding van mijn vraag leerzaam. Er is echter nog iets dat ik niet helemaal begrijp. Ik heb een oude IPAD die al jaren geen nieuwe updates krijgt. Het gevolg hiervan is dat allerlei apps het niet meer doen. Het mail programma werkt nog wel en daarmee kan ik gewoon contact leggen met de mail servers van freedom. Als de certificaten belangrijk zijn, waar haalt dan mijn oude IPAD die certificaten vandaan.
De optie op Lineage OS te installeren lijkt me interessant. Omdat ik vaak Linux heb geinstalleerd schrik ik daar niet voor terug. Ik ga me erin verdiepen en ik ben benieuwd of dit handig is. Wat ik me vooral afvraag is wat ik mot doen bij een update. Gaat dat niet zo als bij een update van Android of moet je na een update alle apps opnieuw installeren en configureren.

Als gezegd is daarin nu dus geen keuze mogelijk. Wanneer een keuze (meer)kosten teweeg zou brengen, zouden die naar rato kunnen worden doorbelast. Hellend vlak verder want ik betaal nu ook (voor) dingen in het totaalpakket die ik zelf niet gebruik.
Hierbij gezegd dat het hebben van een “keuze” duurder kan worden gemaakt dan het aanbieden van maar één dure smaak.

Hoewel ik hier denk, dat juist het afzien van niet benodigde techniek uiteindelijk flink goedkoper zal uitpakken. Ik zou bv thuis niet mijn systeem/hardware, of hier telefoon of oude android 2.1 tablet, hoeven te vervangen om toch te kunnen mailen. Omgekeerd hoeft Freedom die achterhaalde of onveilig geachte virtuele-mailserver ook niet te onderhouden of te patchen. Kortom, die kosten zullen wel erg meevallen.

NB: Ik heb het over het kunnen aanbieden & afnemen van mijn mail als eerste stap aan/bij mijn provider. Dat een provider zelf die mail via haar universele (veiligheids)normen uitwisselt met andere partijen, is dan haar verdienste.

Als de ipad eind 2018 of later nog een update heeft gehad is er een grote kans dat de libraries die nodig zijn voor TLS 1.3 support er gewoon in zitten. Apple heeft wel erg prijzige hardware, maar de software support is uitmuntend. Het is dan ook in Apple’s voordeel als hardware lang bruikbaar blijft.

Google levert ook security updates voor Android, maar heeft blijkbaar besloten de TLS 1.3 ondersteuning niet toe te voegen aan Android 9. Daarnaast is het aan de fabrikanten om de software te updaten, niet aan google. Er zijn er een hele hoop die de insteek ‘koop maar een nieuwe telefoon’ hebben als de klant een recentere Android wil. De meeste merken levereb oongeveer 2 jaar updates, kort genoeg om binnen een major versie nog updates te moten leveren en lang genoeg om aan de wettelijke eisen te voldoen.

Nop, een update (binnen de major) gaat op dezelfde wijze als de Android van de leverancier. Dat is in het geval van een ‘official’ Lineage image. Bij de unofficial versies moet je zelf naar recovery booten en de update starten. (Als je twrp gebruikt kan je zelfs eerst een backup maken voorde upgrade te starten)

Major updates gaan meestal gepaard met een format van de partities. Extra voordeel is dat je met magisk kan rooten en dan tools als titanium backup kan gebruiken om apps en voornamelijk instellingen terug te zetten. Helaas heb ik wel gemerkt dat van 12 naar 13 de instellingen niet te herstellen zijn. (maar dat is voor het eerst sinds Andoid 3 dat dat niet werkt met de apps die ik gebruik)