Willkommen im mailbox User Forum
 
Neues Thema
mailbox User ForumThemaFrageAllgemeines
Eigenschaften
Kategorie Allgemeines

Entscheidungshilfe mailbox.org

Hmmm hat dies geteilt, 7 Stunden her
unbeantwortet

Hallo,

ich habe einige Diskussionen hier mitgelesen und es tut mir leid, wenn ich den x. thread dazu aufmache, aber ich brauche bald eine Entscheidung, da ich im Moment noch im Probezeitraum und auf der suche nach einem Datenschutz-starken und sicheren Emailanbieter bin. Bin mir allerdings noch nicht schlüssig, da ich noch andere Kandidaten in der Pipeline habe.

Grundsätzlich gefällt mir mailbox.org von seinen Funktionen her sehr gut und die Einrichtung war mMn für alles Bisherige relativ easy. Mit irgendwelchen fehlenden "fancy features" könnte ich gut leben. Das Gesamtpaket stimmt an sich für mich.

Außer beim Thema Sicherheit möchte ich wenige bis keine Abstriche machen, bitte klärt mich hierzu auf, falls ich etwas falsch verstanden habe.

Hier nochmal für mich die sicherheits-relevanten Dinge zusammengefasst:

- 2FA ist im Moment lediglich für die Anmeldung auf der Weboberfläche aktiv, richtig?

- 2FA für client apps gab es scheinbar mal (?) aber wurde mit dem "Login 2.0" im letzten Jahr abgeschafft und es gibt jetzt "nur" noch App Passwörter?

- Yubikeys/FIDO etc. gab es auch mal, gibt es jetzt nicht mehr und wird es auch nicht mehr geben? Falls doch, wie lange wird es dauern bis es diese (wieder) gibt?

- Wenn ich es richtig verstanden habe: Die App-Passwörter sind von Natur aus "gescoped" und verhindern zwar die Übernahme des gesamten Accounts, Emails können trotzdem z.b. bei Diebstahl des App Passwords aus einer Sicherheitslücke des Clients heraus zu einem "unbemerkten" Mitlesen der Mails, Kalendereinträge etc. durch Dritte führen, weil ja z.b. nicht geprüft wird, dass es eine neue Anmeldung gab?

Ein OAuth Verfahren (auch bei aktivierten App Passwörtern) würde das jedoch effektiv verhindern, weil bei einer neuen Anmeldung nach dem zweiten Faktor gefragt wird und das Passwort eines bereits verbundenen Clients nicht einfach wiederverwendet werden kann, richtig?

- ergo gibt es auch keinerlei Benachrichtigung, wenn sich ein neuer Client mit einem vorhandenen, wie auch immer geleakten App-Passwort anmeldet, richtig? Der "Angreifer" hätte dann einfach bis zum Wechsel des App Passworts unbemerkt Zugriff auf sämtliche Emails.

- zum Reset über Telefonpasswort habe ich es so verstanden: Wenn ich dort ein Passwort hinterlege, sage ich dieses dann bei Verlust des zugriffs zum Account einfach innerhalb der Supportzeiten am Telefon durch und bekomme meinen Zugang wieder?

Ich wollte neulich ein solches Passwort in den Einstellungen vergeben, das durfte aber scheinbar zumindest nicht länger als 20 Zeichen sein (habe es nicht weiter probiert) und manche Zeichen waren augeschlossen. 20 Zeichen ist für ein Passwort zwar nicht unbedingt kurz, für heutige Zeit aber auch nicht unbedingt zu lang ist. Ist das so gewollt, da durch eine maximal Anzahl an "Versuchen" am Telefon die Zeichenlänge "nicht so wichtig" ist? By the way, wie viele "Versuche" hätte man denn, wenn man sich wie auch immer geartet "verspricht" ?

Sorry für die Frage, aber ich kenne so eine Art Authentifizierung nur von manch Telefonsservices, dort war man meines Empfinden nachs entweder sehr strikt, weil O ist eben keine 0 und man hat direkt einen neuen Zugang anfordern müssen, oder das andere extrem, dass man teilweise sogar am Telefon eine weile gemeinsam rum raten konnte ...

- und zu guter letzt: wenn keines der unter "Reset" aufgeführten Möglichkeiten, also Email, SMS, Telefonpasswort mehr funktioniert, ist der Account definitiv "verloren" ? Dann helfen auch keine (natürlich weit vorher) hinterlegten persönlichen Daten wie Anschrift etc. mehr, auch wenn man dadurch eindeutig identifiziert werden könnte?

Viele Grüße und Danke

1 Ich habe die gleiche Frage

Antworten (1)

Foto
1
Stephan 6 Stunden her
  • Ja, 2FA gibt es aktuell nur für das Webinterface.
  • 2FA für Clients hat es meines Wissens nach noch nie gegeben. Zumindest bei IMAP und SMTP ist das ja auch im Protokoll gar nicht vorgesehen.
  • Yubikeys gab es mal und wenn ich mich recht erinnere, konnte man die sogar bei Mailbox bestellen. Sollen auch bald wieder unterstützt werden, aber einen festen Zeitrahmen gibt es nicht.
  • Mit einem Applikationspasswort für E-Mail lässt sich sogar der gesamte Account übernehmen (ausschaltbar unter Sicherheit / Passwort-Reset)
  • Es gibt keine Benachrichtigung über neue Clients. Du siehst nur, wann ein Passwort zuletzt verwendet wurde.
  • Der genaue Vorgang des Passwort-Reset ist in der Knowledge Base beschrieben.
  • Ich denke nicht, dass die Länge oder Komplexität des Telefon-Passworts sehr wichtig ist, da Brute-Force-Attacken nicht möglich sind.

Antworten
Foto
1
Hmmm 6 Stunden her

> 2FA für Clients hat es meines Wissens nach noch nie gegeben. Zumindest bei IMAP und SMTP ist das ja auch im Protokoll gar nicht vorgesehen.

Okay, dann wurde und wird es vermutlich nicht unterstützt. Das wäre denke ich dann leider ein Dealbreaker vor allem in Kombination mit

>Es gibt keine Benachrichtigung über neue Clients. Du siehst nur, wann ein Passwort zuletzt verwendet wurde.

schade, irgendwie fehlt immer der letzte Baustein zum Glück :/

>Mit einem Applikationspasswort für E-Mail lässt sich sogar der gesamte Account übernehmen (ausschaltbar unter Sicherheit / Passwort-Reset)

Das ist die oft diskutierte "sende ein Reset Link an einen noch per IMAP verbundenen Client"- Schwachstelle, richtig?

Foto
1
Stephan 5 Stunden her

Ja, es ist genau diese Einstellung.

Wenn du einen Dienst suchst, der auf Standards wie IMAP (1986) und SMTP (1981) basiert, kollidiert das mit deinen Anforderungen bzgl. Sicherheit. Diese Protokoll sehen weder eine eindeutige Identifikation des Clients noch eine Zwei-Faktor-Authentifizierung vor. Bei Mailbox müsstest du dich auf den Zugriff über die Weboberfläche beschränken.

Gegen welches Angriffsszenario willst du dich denn wappnen?

Foto
1
4030395M 2 Stunden her

Tuta und Proton haben kein imap oder smtp. Das ist dann sicherer. ;)

Foto
1
Hmmm 1 Stunde her

>Gegen welches Angriffsszenario willst du dich denn wappnen?

Naja, wie beschrieben. App Passwort wird z.b. durch Sicherheitslücke abgezogen und dann vor allem unbemerkt verwendet. Ich weiß nicht, wie sicher Mail-Clients in der Hinsicht sind, aber irgendwo wirds wohl in Klartext zu lesen sein ... Mir fehlt zumindest die Rückmeldungen, dass irgendwas komisches vor sich geht ... ich wüsste nicht, wie man sonst den Schutz erhöhen könnte. Über welches Protokoll funktionieren denn Anbieter, die Oauth anbieten?

>Tuta und Proton haben kein imap oder smtp. Das ist dann sicherer. ;)

Soweit ich das sehe ist man dann aber in deren Apps "gefangen", oder?

Foto
1
4030395M 1 Stunde her

Richtig, denn die Protokolle können kein 2FA. Wie sollen die denn einen TOTP Pin abfragen?
Die meisten Passwörter werden aber auf andere weise geklaut.

Du kannst auch den Mail Guard einschalten und das Passwort für dich behalten. Dann sind alle gespeicherten Mails sicher.

Wenn das nicht reicht, bleibt nur ein Anbieter mit eigener App und Yubikey Support.

Foto
1
Hmmm 1 Stunde her

>Wenn das nicht reicht, bleibt nur ein Anbieter mit eigener App und Yubikey Support.

Was macht denn der Yubikey support für diesen Fall besser? Bis auf das der zweite Faktor ein Hardwaregerät ist, funktioniert IMAP doch dann trotzdem nur ohne 2FA ...

Hab gerade mal geoggelt und es scheint so, als wenn die "Großen" wie MS oder Google da proprietäre Sachen fahren um MFA zu ermöglichen? Wundert mich, dass es dafür noch keinen allgemeinen Standard gibt ...

Eine Mail App vom Anbieter ... ach ich weiß nicht ... die Mail Clients wie Apple Mail sind schon ziemlich ausgereift in meinen Augen ... proprietäre Clients sind vermutlich nicht so schön zu bedienen, ich denke da werde ich mich recht schnell an fehlenden features stören ... das ist zumindest mein Erfahrung mit anderen Eigenkreationen ...

Foto
1
4030395M 1 Stunde her

Die haben auch kein MFA oder kein imap.

Yubikeys sind sicherer als TOTP aber das kann imap auch nicht. Es geht um eigene App, ohne imap, aber mit Yubikey.

Probiere die Apps und Programme doch erst mal aus und Proton hat für die PCs und Macs eine Bridge. Die holt die Mails sicher ab und du kannst sie mit Betterbird lesen.

Foto
1
Hmmm 1 Stunde her

> Die haben auch kein MFA oder kein imap.

bin mir ziemlich sicher in diversen Email-Programmen ein 2FA Popup für MS bekommen zu haben, darunter auch Thunderbird (mit entsprechenden Plugin, wenn ich mich recht entsinne) ... auch musste ich vorher ein App Password einrichten und mich damit anmelden ... danach kam das Popup und ich musste den zweiten Faktor eingeben ... also irgendwie gehts scheinbar auch bei einigen Anbietern.

Bin mir nicht sicher, ob ich mir zu viele Gedanken mache und wie realistisch so ein Szenario wirklich ist, wenn man das PW nur einmal beim einrichten des Clients eingibt und man es dann nicht mal im Passwordmanager speichern müsste, weil man es ja nie wieder braucht ... außerdem scheinen 95% aller Nutzer kein MFA für ihre Email Clients zu nutzen ...

Foto
1
4030395M 1 Stunde her

Du sagst es doch schon, du bekommst auch dort ein App Passwort. Wäre dabei 2FA nötig, müsstest du die Pin bei jedem Mail Abruf und Versenden eingeben.

Die 2FA Abfrage ist für die Ausstellung des App Passworts.


Zu viele Gedanken... kommt auf deine Anforderungen an. Was nützt es dir, wenn dein Mailserver wie Fort Knox ist und dann sendest du Mails an Google oder M$ und die landen alle in deiner permanenten Akte bei den Behörden?

Mache dir vielleicht erst Gedanken, ob deine Mails alle verschlüsselt versendet werden. Das nutzen leider nur die wenigsten Leute.

Foto
1
Hmmm 48 Minuten her

Scheinbar verwechsel ich das gerade mit dem Oauth Popup, welches kommt, wenn man ein MS Konto im Thunderbird einrichten will. Dort muss man sich im Popup erst mal einloggen, auch mit einem zweiten Faktor, wenn hinterlegt, dann wird im nächsten Schritt nach Berechtigungen für Thunderbird gefragt ... was danach im Hintergrund passiert, weiss ich leider nicht ... oder wird dort im Prinzip nur das Ausstellen des App-Kennworts authorisiert, welches dann hinterher die ganze Zeit lokal im Client liegt? Also das was man manuell macht im mailbox.org konto passiert dort via Oauth automatisch? So tief steck ich leider dann doch nicht drin ...

Foto
1
4030395M 46 Minuten her

Die 2FA Pins gelten nur für maximal 30s. Das wäre für Mail Programme etwas unpraktisch.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen
You can't vote. Please authorize!