Entscheidungshilfe mailbox.org

> 2FA für Clients hat es meines Wissens nach noch nie gegeben. Zumindest bei IMAP und SMTP ist das ja auch im Protokoll gar nicht vorgesehen.

Okay, dann wurde und wird es vermutlich nicht unterstützt. Das wäre denke ich dann leider ein Dealbreaker vor allem in Kombination mit

>Es gibt keine Benachrichtigung über neue Clients. Du siehst nur, wann ein Passwort zuletzt verwendet wurde.

schade, irgendwie fehlt immer der letzte Baustein zum Glück :/

>Mit einem Applikationspasswort für E-Mail lässt sich sogar der gesamte Account übernehmen (ausschaltbar unter Sicherheit / Passwort-Reset)

Das ist die oft diskutierte "sende ein Reset Link an einen noch per IMAP verbundenen Client"- Schwachstelle, richtig?

Ja, es ist genau diese Einstellung.

Wenn du einen Dienst suchst, der auf Standards wie IMAP (1986) und SMTP (1981) basiert, kollidiert das mit deinen Anforderungen bzgl. Sicherheit. Diese Protokoll sehen weder eine eindeutige Identifikation des Clients noch eine Zwei-Faktor-Authentifizierung vor. Bei Mailbox müsstest du dich auf den Zugriff über die Weboberfläche beschränken.

Gegen welches Angriffsszenario willst du dich denn wappnen?

Tuta und Proton haben kein imap oder smtp. Das ist dann sicherer. ;)

>Gegen welches Angriffsszenario willst du dich denn wappnen?

Naja, wie beschrieben. App Passwort wird z.b. durch Sicherheitslücke abgezogen und dann vor allem unbemerkt verwendet. Ich weiß nicht, wie sicher Mail-Clients in der Hinsicht sind, aber irgendwo wirds wohl in Klartext zu lesen sein ... Mir fehlt zumindest die Rückmeldungen, dass irgendwas komisches vor sich geht ... ich wüsste nicht, wie man sonst den Schutz erhöhen könnte. Über welches Protokoll funktionieren denn Anbieter, die Oauth anbieten?

>Tuta und Proton haben kein imap oder smtp. Das ist dann sicherer. ;)

Soweit ich das sehe ist man dann aber in deren Apps "gefangen", oder?

Richtig, denn die Protokolle können kein 2FA. Wie sollen die denn einen TOTP Pin abfragen?
Die meisten Passwörter werden aber auf andere weise geklaut.

Du kannst auch den Mail Guard einschalten und das Passwort für dich behalten. Dann sind alle gespeicherten Mails sicher.

Wenn das nicht reicht, bleibt nur ein Anbieter mit eigener App und Yubikey Support.

>Wenn das nicht reicht, bleibt nur ein Anbieter mit eigener App und Yubikey Support.

Was macht denn der Yubikey support für diesen Fall besser? Bis auf das der zweite Faktor ein Hardwaregerät ist, funktioniert IMAP doch dann trotzdem nur ohne 2FA ...

Hab gerade mal geoggelt und es scheint so, als wenn die "Großen" wie MS oder Google da proprietäre Sachen fahren um MFA zu ermöglichen? Wundert mich, dass es dafür noch keinen allgemeinen Standard gibt ...

Eine Mail App vom Anbieter ... ach ich weiß nicht ... die Mail Clients wie Apple Mail sind schon ziemlich ausgereift in meinen Augen ... proprietäre Clients sind vermutlich nicht so schön zu bedienen, ich denke da werde ich mich recht schnell an fehlenden features stören ... das ist zumindest mein Erfahrung mit anderen Eigenkreationen ...

Die haben auch kein MFA oder kein imap.

Yubikeys sind sicherer als TOTP aber das kann imap auch nicht. Es geht um eigene App, ohne imap, aber mit Yubikey.

Probiere die Apps und Programme doch erst mal aus und Proton hat für die PCs und Macs eine Bridge. Die holt die Mails sicher ab und du kannst sie mit Betterbird lesen.

> Die haben auch kein MFA oder kein imap.

bin mir ziemlich sicher in diversen Email-Programmen ein 2FA Popup für MS bekommen zu haben, darunter auch Thunderbird (mit entsprechenden Plugin, wenn ich mich recht entsinne) ... auch musste ich vorher ein App Password einrichten und mich damit anmelden ... danach kam das Popup und ich musste den zweiten Faktor eingeben ... also irgendwie gehts scheinbar auch bei einigen Anbietern.

Bin mir nicht sicher, ob ich mir zu viele Gedanken mache und wie realistisch so ein Szenario wirklich ist, wenn man das PW nur einmal beim einrichten des Clients eingibt und man es dann nicht mal im Passwordmanager speichern müsste, weil man es ja nie wieder braucht ... außerdem scheinen 95% aller Nutzer kein MFA für ihre Email Clients zu nutzen ...

Du sagst es doch schon, du bekommst auch dort ein App Passwort. Wäre dabei 2FA nötig, müsstest du die Pin bei jedem Mail Abruf und Versenden eingeben.

Die 2FA Abfrage ist für die Ausstellung des App Passworts.

Zu viele Gedanken... kommt auf deine Anforderungen an. Was nützt es dir, wenn dein Mailserver wie Fort Knox ist und dann sendest du Mails an Google oder M$ und die landen alle in deiner permanenten Akte bei den Behörden?

Mache dir vielleicht erst Gedanken, ob deine Mails alle verschlüsselt versendet werden. Das nutzen leider nur die wenigsten Leute.

Scheinbar verwechsel ich das gerade mit dem Oauth Popup, welches kommt, wenn man ein MS Konto im Thunderbird einrichten will. Dort muss man sich im Popup erst mal einloggen, auch mit einem zweiten Faktor, wenn hinterlegt, dann wird im nächsten Schritt nach Berechtigungen für Thunderbird gefragt ... was danach im Hintergrund passiert, weiss ich leider nicht ... oder wird dort im Prinzip nur das Ausstellen des App-Kennworts authorisiert, welches dann hinterher die ganze Zeit lokal im Client liegt? Also das was man manuell macht im mailbox.org konto passiert dort via Oauth automatisch? So tief steck ich leider dann doch nicht drin ...

Die 2FA Pins gelten nur für maximal 30s. Das wäre für Mail Programme etwas unpraktisch.

Um das mal aufzulösen: IMAP und SMTP beherrschen als Protokolle aus den 80ern keine komplexen Authentifizierungsschritte. Der Standard ist daher immer noch die Kombination aus Nutzername und Passwort. Soll die Anmeldung wie bei Outlook über OAuth laufen, so muss dafür ein separater Kanal (zu erkennen am sich öffnenden Browserfenster) genutzt werden. Das Ergebnis ist ein Access-Token mit begrenzter Gültigkeitsdauer, das dann für IMAP und SMTP benutzt wird.

Womit wir auf das besprochene Angriffsszenario zurückkommen: Wer ein Passwort aus dem E-Mail-Client auslesen kann, kann das auch für ein Access-Token und hat damit die gleiche Art von Zugriff. Der Unterschied ist nur, dass dieser zeitlich begrenzt ist. Das wäre also nur von Vorteil, wenn ein Angreifer den Zugriff auf das Mail-Programm nur kurz innehat und wieder verliert.

Ganz generell hat man aber ganz andere Probleme, wenn ein bösartiger Akteur es soweit geschafft hat, dass er auf das Dateisystem des Mail-Programms zugreifen kann.

>Wer ein Passwort aus dem E-Mail-Client auslesen kann, kann das auch für ein Access-Token und hat damit die gleiche Art von Zugriff. Der Unterschied ist nur, dass dieser zeitlich begrenzt ist.

Viel schlimmer wäre ja eigentlich, wenn der Refresh Token noch dazu entwendet wird, dann bekommt der Angreifer sogar jedes mal einen neuen Access Token ... und das unbegrenzt lange (sofern man es nicht erkennt und den Zugang revoked)

>Ganz generell hat man aber ganz andere Probleme, wenn ein bösartiger Akteur es soweit geschafft hat, dass er auf das Dateisystem des Mail-Programms zugreifen kann.

Also Summa sumarum ist es eher ein zu vernachlässigendes Szenario, wenn man sich einigermaßen "sicher" mit der Technik durch den Raum bewegt und/oder nicht gerade ein hochrangiges Ziel für wen auch immer ist, oder?

Meine Bedenken rühren daher, dass mein einziges geplantes Email-Postfach (zur Zeit bei BigTech über mehrere Konten verstreut) in Zukunft ja der zentrale Punkt für alle anderen möglichen Konten sind, wie z.b. Bank, Paypal etc., also vor allem überall da wo Geld fließt. Es wäre eine Kathastrophe, wenn plötzlich jemand fremdes in der Lage ist, dort Resets durchzuführen.

Klar sind für die wichtigen Dinge 2FA und andere maximal mögliche Sicherheitsmechanismen aktiviert, aber ein Reset der Accounts bei vielen Anbietern geht oft nur (sinnvoll) über die Email ... und da sollte wenigstens das Haupt-Emailkonto doch maximal sicher sein, oder wie seht ihr das?

PS: Hab heute irgendwo gelesen, dass die meisten der Emailnutzer nicht mal 2FA für ihr Email-Konto und/oder anderen Services aktiviert haben (Bequemlichkeit?) ... in Kombination mit einem lächerlich leichten Passwort, wovon bei so einen Verhalten sicher auszugehen ist, sind das aus sicht eines Angreifers doch eher die low hanging fruits, oder?

Du siehst das richtig. Kombination aus Unwissenheit, Ignoranz und Faulheit.

Du kannst ein Sicherheitskonto einplanen. Eines das Yubikeys (oder ähnliches) verwendet. Das verwendest du dann nur für Kontowiederherstellungen.

Meistens reicht es aber völlig aus, wenn du überall einzigartige und gute Passwörter verwendest. Die meisten Einbrüche passieren, weil viele überall das gleiche Passwort verwenden oder ein schlechtes.

Wenn du dann noch überall eine eigene Email Adresse (Alias) verwendest, dann hast du noch einen weiteren Faktor.

p.s. Ich habe das gerade noch einmal getestet. Ich habe hier bei Mailbox eine Email Adresse zum Anmelden und die verwende ich nirgendwo anders. Anmelden funktioniert nur mit dieser Adresse.

Diverse andere Adressen verwende ich zum Mailen.

Wenn man Applikationspasswörter verwendet, und wenn man für den Webmailer 2FA verwendet, und wenn man die Passwortresetfunktion auf die eigene Mailadresse deaktiviert hat und ein anderen Weg hat (am besten separate geheime Emailadresse), und dann für jeden Zugang andere Logindaten verwendet (idR über einen Passwortmanager, der gut geschützt ist), dann denke ich dass das sehr sicher ist und das Risiko sehr gering.

Es macht aber trotzdem Sinn, dass man sich damit beschäftigt, was passiert, wenn man angegriffen wurde, und Daten/Passwörter ausgespäht wurden. Und das würde dann bedeuten, dass man z.B. die Passwortresetfunktion mal ausprobiert, um es auch in Panik und unter Stress zu schaffen, und dass man sich daneben vielleicht aufschreibt und überlegt, was sonst noch zu tun ist und in welcher Reihenfolge. Was schon mal durchdacht wurde, und schriftlich fixiert wurde, ist im Fall in dem man in Panik ist, leichter abzuarbeiten. In Fall eines erfolgreichen Angriffs macht es vielleicht Sinn, dass eigene Konto komplett zu sperren und übergangsweise das Konto von Frau/Freund/Kind/Eltern zu verwenden. Hierzu müssen aber natürlich vorher Absprachen bestehen wie das geht. Ich glaube bei Heise gabs mal so eine Anleitung für den worst-case. Letztlich sagt die Statistik, dass die Mehrzahl von Angreifern "rein gelassen wurde", also es sich nicht um einen hochkomplexen Angriff handelt, sondern um ganz banales Phishing oder social engineering.

Nachtrag: Meine eigene Domain habe ich unter anderem auch deswegen, weil im Falle einer Übernahme des Mailaccounts bei mailbox.org (höchste unwahrscheinlich) ich jederzeit die MX-Server auf einen anderen Anbieter stellen kann. So hat der Angreifer zwar mein Postfach, aber bekommt keine Mails mehr ... und das Versenden wird wegen Dkim und dmark und spf erschwert. Und dass zusätzlich mir noch die Domain geklaut wird, ist sehr unwahrscheinlich. Selbst wenn der Zugang zum DNS-Anbieter geklaut wurde, kann man über die DENIC bei der man mit Name und Anschrift registriert ist, versuchen die Domain zurück zu bekommen.

Das mit der Domain ist natürlich ein sinnvoller Zusatz. Das werde ich mir auf jeden Fall auch nochmal anschauen ... ich habe mich bisher allerdings immer gescheut, weil mir kein sinnvoller (und vor allem unbelegter) Name einfällt. Mir fehlt es da absolut an Kreativität. Einen Namen zu wählen, ohne dass derjenige, den man die völlig bekloppt klingende Mailadresse diktiert, nicht jedesmal schmunzeln muss, ist scheinbar nicht so einfach :D

Klar gibt es mittlerweile tausende "neue" TLD neben den .com .de etc, aber auch da ist entweder das meiste belegt oder klingt eben nicht sehr "seriös" ... andererseits verstehe ich auch nicht, warum eine @vorname.nachname.de kombi so beliebt ist, da man ja überall direkt seinen vor und nachnamen freiwillig rausgibt ... aber ist wohl ein anderes thema ;)

Alternativ kannst du SimpleLogin verwenden. Dort bekommst du unbegrenzt Aliase. Die Mails leitest du an deine Mailadresse weiter. Diese Weiterleitung kannst du noch schneller ändern, als den Domaineintrag.

Die Domain kannst du dir dann noch in Ruhe überlegen. ;)

Ja, das Refresh-Token ist natürlich noch einmal "schlimmer" in den Händen der Angreifer. Wobei auch Refresh-Token häufig ein Ablaufdatum haben. Ich wollte meine Erklärung aber nicht unnötig kompliziert machen.

Generell beschäftige ich mich seit über zwei Jahrzehnten mit IT-Sicherheit und kann das von einuser geschriebene nur unterschreiben. Für mein persönliches Sicherheitsbedürfnis reicht das, was Mailbox aktuell bietet, vollkommen aus. Eine Unterstützung des Logins für FIDO2-Keys wäre das Sahnehäubchen.

Zusätzlich würde ich noch auf Clients aus vertrauenswürdigen Quellen sowie zeitnahe Updates von Applikationen und Betriebssystem hinweisen. Wenn man dann noch ausschließlich einzigartige, zufallsgenerierte Passwörter verwendet, ist man deutlich sicherer als ein Großteil der anderen Nutzer da draußen.

Tipp für die Domain: Denk dir ein paar Buchstaben aus und hänge ein "tech.de" dran, etwa "xyztech.de". Leider hat Netcup den Deal für heute wegen der steigenden Hardware-Kosten abgesagt, sonst hätte man sich da günstig eine Domain klicken können.

Netcup hat jetzt doch Domains im Angebot.

.de für 13c/Monat

Hab gerade schon geschaut, das scheint ein sehr gutes Angebot!

Kurze Frage dazu, da ich noch nie eine Domain registriert habe und ich relativ viele private Daten wie Anschrift etc. von mir beim Registrierungsprozess eingeben müsste ... sind diese Daten danach öffentlich, z.b. per WHOIS einsehbar? Also ich rede jetzt nich davon, dass man bei "berechtigtem" Interesse Zugriff darauf bekommt, sondern dass die Daten so im Internet stehen, sodass ich die nächsten Jahre mit tausenden Spammails und Anrufen rechnen muss ??? Konnte dazu leider nichts eindeutiges finden und es gibt wohl auch mittlerweile etliche Gesetzesänderungen ...

Ich habe heute bei meinem nachgesehen und die stehen selber drin als Inhaber. Bei Netcup weiß ich es nicht aber du kannst fragen oder einfach mal €2.13 investieren und es ausprobieren.

Naja, das Geld ist ja in der Betragshöhe sogar nebensächlich, aber wenn ich die Daten einmal eingegeben habe, sind sie ja schwer aus dem Internet wieder rauszubekommen ... hab sogar gelesen, jemand hat monatelang gegen Suchmaschineneinträge gekämpft, eh seine privaten Daten endlich weg waren ...

Wenn ich es richtig verstanden habe, müssen bei .de Domains die Daten von Privatpersonen geschützt werden ... aber ist eben nur so halb aggregiertes in 5 Minuten zusammengesuchtes möglicherweise Halbwissen ...

Dachte auch mehr daran, dass du dir das Angebot sicherst und dann in Ruhe fragst. Ich habe nachgesehen und die Domain Angebote sind schon weg. :(

Bei All-Inkl kostet die .de Domain nur €3.98/Jahr. Netcup Normalpreis ist €5.04.

Bin leider nicht eher dazu gekommen :( Bei all-inkl sehe ich im moment nur 9,90 EUR :/

Da hatte ich eben eine Reseller Seite. Das ist wohl die falsche Preisliste. https://all-inkl.com/reseller/domains/

Dann doch die 5,04 von Netcup.

Bin heute früh nochmal auf die Seite und hatte noch einen aktiven Warenkorb^^hab den checkout versucht und es hat tatsächlich noch geklappt ... habe also noch den Angebotspreis ergattert! Wobei es jetzt auch nicht unbedingt einen riesigen Unterschied gemacht hätte ob 4 EUR oder 6 EUR .. oder gar 10 EUR ... klar, bei mehreren Domains läppert sich das, aber für den Einstieg reicht es erstmal so^^

Zur Offenlegung der Daten: Ich habe nochmal nachgeschaut, da es eine .de Domain ist, ist diese bei Denic registriert und man kann lediglich den Registrar (in dem Fall Netcup) bei einem whois auffinden. Wenn man PLZ oder gar die hinterlegt Email kennt, kann man sich auf der whois abfrage seite einen Link zur Überprüfung der Daten zusenden lassen. Ganz wichtig: Über einen zugesendeten Link and die für die Domain hinterlegte Email-Adresse! Und nich direkt auf der Denic Seite selbst, nachdem man lediglich die PLZ weiß ...

Ich denke das reicht zum Schutz der persönlichen Daten ...

Glück muss man haben.

Noch eine Frage theoretischer Natur: Mal angenommen, man registriert eine Domain und baut darauf über Jahre seine komplette Kommunikation nach außen auf. Also Banking, behördliche/offizielle Kontakte etc.

Jetzt vergisst man und/oder ist sonstweitig verhindert und versäumt es irgendwie die Domain zu "halten", weil man z.b. seine Rechnung nicht gezahlt hat ... wie auch immer das passieren kann, sei dahingestellt ...

Kann jetzt theoretisch (auch im winzigen "die Domain ist jetzt frei" Moment) jemand anderes die Domain auf sich registrieren und bekommt die volle Kommunikation des Vorgängers ab? Das wäre ja theoretisch zumindest äußerst unangenehm ... noch viel spannender und vermutlicher häufiger vorkommend: wie "zieht" man denn von einer Domain auf eine andere um, ohne irgendeinen Service/Kommunikationspartner zu vergessen?

Wa ich eigentlich fragen will: Ist das zumindest ein theoretischer Nachteil einer eigenen Domain? Werden z.b. @mailbox.org Adressen irgendwann wieder frei, oder bleiben diese, einmal benutzt, eben "besetzt"?

Oder was übersehe ich hier ^^

Das kann passieren. Es gibt einen Millionär, der mit Domain Reservierungen reich geworden ist.

Was meinst du mit umziehen? Von harry.de zu otto.de? Da müsstest du allen Kontakten natürlich deine neue Email Adresse mitteilen.

Willst du aber von Google zu Mailbox umziehen, musst du nur die DNS Einträger ändern.

genau, von einer domain zu einer anderen ... mal angenommen, die bisherige domain ist einem nach einigen jahren nicht mehr angemessen genug. Es gibt quasi keine Art "Nachsendeauftrag" wie bei der Post ... also ich glaube zwar, ich weiß wo ich überall mit email angemeldet bin, aber zu 100% weiß ich es eben doch nicht ... und wenn die adresse einmal wieder frei ist, wars das ja mit ändern des zugangs, da man ja keine passwort reset mails etc. mehr empfangen kann ... stattdessen erhält der neue besitzer diese daten und kann zumindest theoretisch unfug betreiben ...

Genau wie dein Wechsel von Google zu Mailbox. Neue Adresse musst du jedem mitteilen.

Es gibt aber ein paar Hilfsmittel. Manche würden eine Auto-Antwort verwenden. Dann bekommen aber auch alle Spammer deine neue Adresse.

Besser eine Weiterleitung an die neue Adresse und jeden Informieren.

Alternativ die alte Mailadresse noch eine Weile abrufen. Bei Google kann die alte Adresse ja ewig weiterlaufen, bis nichts mehr kommt.

Für Services und Logins verwende ich nur SimpleLogin. Dort muss ich nur die neue Adresse eintragen und alles geht an die neue Adresse.

Neben SimpleLogin gibt es auch noch Addy. Der Nachteil bei beiden ist, dass dann wieder alle E-Mails über einen anderen Server laufen und ein Fix mit "Ich biege den MX selbst um" nicht funktioniert.

Zumindest solange du nichts falsches sagst.

Hallo Matthias,

vielen Dank für Ihr Feedback. Es tut mir leid zu hören, dass Sie mit dem Drive und unseren FAQ so unzufrieden sind. Wir haben eine neue Stelle geschaffen und auch kürzlich besetzt, die sich darum kümmert unsere Hilfeseiten und Anleitungen zu überarbeiten. Hier wird in den nächsten Wochen und Monaten einiges passieren.

Es wäre natürlich sehr hilfreich, wenn Sie uns etwas konkreter sagen können, womit Sie unzufrieden waren und wie wir Ihnen weiterhelfen können.

Mit freundlichen Grüßen

---

Felix Kaspar
Teamlead
mailbox Support

Ein paar nützliche Links:

• Knowledge Base für Privatkunden
• Knowledge Base für Business Kunden

Ich bin zwar nicht gefragt aber einen Punkt habe ich. Inkompatibel mit Cryptomator. Sind die Dateinamen zu lang?

Hi Matthias, danke für deine Anregung.

Gmail ist gerade eines der letzten Optionen, weil ich ja genau von diesen BigTech Konzernen weg will. Die Daten sind dort meiner Erfahrung nach vielleicht komfortabler zugänglich und vielleicht wird doch auch in Teilen mehr für Sicherheit angeboten (Fido, Oauth etc.), aber was nützt das, wenn man im Zweifel ohnehin gläsern ist ...