Willkommen im User-Forum von mailbox.org
 

Rückmeldungen der mailbox.org BETA Tester

7586310 hat dies geteilt, 5 Monaten her
vorgeschlagen

Salut, ich fange mal an, meine Rückmeldungen zur Beta hier aufzuschreiben. Ich habe das bewusst unter Idee einsortiert, da es eine Beta ist, und für mich Dinge, die da auffallen, nicht wirklich Probleme sind.

Einrichtung der neuen 2FA: die Einrichtung ist sehr einfach. Noch geht das nur per Authenticator-App, aber es funktioniert. Cool ist das Single-Sign-On. Weitere Verfahren sollen folgen, es sind wohl auch App-Passwörter für IMAP und weitere geplant.

Single-Sign-On: das funktioniert, aber noch nicht für alle von Mailbox angebotenen Dienste. Es wäre auch toll, wenn dann alle Links (auch die zum Forum und Support) auf der Website auftauchen wenn man eingeloggt ist, weil man dann alle Bereiche wirklich per SSO aus dem Backend erreichen kann. Ich nutze mailbox.org auf meinen mobilen Geräten nämlich ab sofort nur noch per Web, weil ich mit dem SSO überall direkt hinkommen, und so lokale Apps und lokal gespeicherte Daten vermeide.

Alternativ wäre es toll, wenn man einzelne Dienste nach einer einheitlichen SubDomain-Bezeichnung ansteuern könnte, sowas wie userforum.mailbox.org, blog.mailbox.org etc. Das wäre leichter zu merken.

App-Passwörter: ich wollte nach Aktivierung der neuen 2FA die App-Passwörter nutzen. Diese scheinen aber nicht zu funktionieren in der Beta, ich muss derzeit das Hauptpasswort nutzen.

Antworten (12)

Foto
1

2FA: Es funktioniert auch mit der Authenticator-Hardware von Reiner SCT, mit der Passwort-App auf einem iPhone oder mit dem Passwort-Manager Enpass (und sicher auch anderen).

Single-Sign-On: Kann ich komplett unterstreichen.

App-Passwörter: Bei mir funktioniert es problemlos. Eingerichtet nach Beta-Beitritt, aber vor 2FA-Einrichtung. Verwende(te) die mailbox.org-Anmeldung und nicht die Anmeldung mit eigener Domain. Da scheint es unterschiedl. Varianten der Erzeugung der Passwörter zu geben (https://userforum.mailbox.org/topic/7683-2fa-beta-applikationspassworter-fur-caldavcarddav).

Foto
1

Hallo @7586310, danke für den Anfang. Tolle Idee!


Zwei-Faktor-Authentifizierung: Die Einrichtung funktionier einwandfrei und sehr einfach. Bisher keine Probleme feststellen können. Läuft mit gängigen Apps wie z. B. OTP Auth (iOS).

Single-Sign-On: Schließe mich den beiden Vorredner an.

Applikationspasswörter: Bisher keine Fehler feststellen können. Diese funktionieren wie vor der Beta auch, einwandfrei. Freue mich, sobald dort auch IMAP unterstützt wird.

Weboberfläche: Das neue Design für die Weboberfläche ist sehr ansprechend.

Foto
1

Ich sehe keine neue Weboberfläche.

Foto
1

Entschuldige, war nicht präzise ausgedrückt. Im Rahmen des Beta-Zugangs gibt es beim einloggen einen neuen Look. Der sieht soweit sehr ansprechend aus.

1bd63ec0b64591b92a50f6b06be60ee3

Foto
1

Hallo und vielen Dank für Ihre Beiträge! Ihre Kommentare sind sehr hilfreich und wir werden diese an unsere Produktmanager weiterleiten. Wir freuen uns sehr, wie engagiert Sie alle sind.

Mit herzlichen Grüßen

Ihr mailbox.org Team

Foto
1

Hi!


Ich habe 2fa aktiviert und das funktioniert auch. Aktuell habe ich den Laptop neu aufgesetzt und richte gerade Thunderbird wieder ein, und stolpere jetzt über den Fehler, dass unter der eingegebenen URL nach Eingabe meines Passworts kein Kalender unter dieser Adresse gefunden wird. Den Link habe ich aus dem Eigenschaftendialog des Kalenders Online. Mache ich da etwas falsch?


Lieben Gruß aus Wien

Peter

Foto
1

Zumindest funktioniert es mit normalem Passwort, wenn man das -sso in der URL entfernt. https://dav-sso.mailbox.org funktioniert weder mit normalem noch mit App Passwort. Offenbar sind wir Alpha-Tester! :)

Foto
1

Bei mir funktioniert es in der Apple-Kalander-App mit den neu generierten App-Passwörtern und der "alten" URL https://dav.mailbox.org/caldav/xyz... und ebenso in Thunderbird. Ich hatte allerdings vor ein paar Tagen in den bestehenden Accounts nur die Benutzer-/Passwort-Kombination auf die "App-Variante" geändert.

Foto
1

Nachtrag: Im eM Client funktioniert es mit mit der App-Benutzer-Passwort-Kombination nur mit der "alten" URL (dav.mailbox.org). Im Browser Vivaldi konnte ich soeben in der dortigen Kalender-App auch einen mit der "neuen" URL (dav-sso.mailbox.org) anlegen.

Foto
1

Ich werde wohl die Beta wieder verlassen und auf €1-Tarif umstellen. Unfassbar.

Foto
1

@zapata: Die Mailbenachrichtigung war schneller als Dein Löschen.;-)

Ich hatte die App-Passwörter nach der Beta-Anmeldung erstellt, also Beta war bereits aktiv; allerdings vor der 2FA-Aktivierung.

Foto
1

Wenn ich das sso aus dem Link entferne, klappt es und kann die Kalender in Thunderbird einbinden. Wurde das irgendwo schon dokumentiert als workaround?

Also so sieht der Link kopiert aus: https://dav-sso.mailbox.org/caldav/blablabla

Und so funktioniert er: https://dav.mailbox.org/caldav/blablabla

Cheers!

Peter

Foto
2

Mit den neu erstellten App-Passwörtern?

Bei mir funktioniert es wie oben geschrieben in Thunderbird und eMClient auch nur ohne "-sso", in der Kalender-App im Browser Vivaldi mit "-sso". Nachtrag: In der Kalender-App von MacOS 14.5 geht es auch mit "-sso".

Offiziell habe ich dazu nichts gelesen, aber gerade den Support darauf aufmerksam gemacht.

Foto
1

@thgeiges Ich habe jetzt folgendes gemacht:

- 2FA deaktiviert und dann neu angemeldet

- Neues App Passwort für CardDAV/CalDAV erstellt

- Neuen Test-Kalender angelegt


Funktioniert nicht, auch nicht mit dem Hauptkalender. Vivaldi streikt ebenfalls; Fehler: "Error parsing response from server."

Foto
1

Welche URL hast Du benutzt und welche lokale App außer Vivladi?

Foto
1

Die komplette URL mit dav-sso: https://dav-sso.mailbox.org/caldav/xxx. Ich habe aber auch die ohne "-sso" probiert.

Aktuell zeigt Vivaldi einen anderen Fehler: CalDAV service not found at 'https://dav-sso.mailbox.org/'. Please check if the URL is correctly typed. Error message 'Failed to fetch'.

Ich habe hier Thunderbird und Vivaldi.

Foto
1

Ich habe soeben noch einen vorläufig letzten Test gemacht mit Thunderbird unter Widows 10 (Sonst nutze ich überwiegend einen Mac). Dort war ich mit dem App-Passwort und der "-sso"-URL erfogreich.

Warten wir mal, was der Support dazu sagt. Normal bekomme ich zeitnah eine Rückmeldung.

Foto
1

Deleted.

Foto
1

Alles klar. Aktuell funktionieren also nur App-Passwörter, die vor der Aktivierung von Login 2.0 erstellt wurden. Das hat wohl @thgeiges vorhin gemeint. :-) Wird wohl eine lange Alpha/Beta-Phase. :-)

Foto
Foto
3

Die neue 2FA funktioniert gut. Allerdings muss ich mich ständig, mehrmals am Tag, neu einloggen, da die Sitzung beendet wurde. Unter "Sicherheit" ist nach wie vor bei "Automatisch Abmelden: Nie" ausgewählt.

Foto
5

Dieses Problem habe ich auch. Mit der alten Anmeldemethode musste ich mich ca. einmal pro Woche anmelden (nervig), seit der Nutzung / Umstellung auf Anmeldung v2.0 jedoch mindestens einmal täglich (untragbar). Bitte unbedingt fixen!

Foto
1

An den Support: Wird an diesem Issue eigentlich gearbeitet oder ist das "works as designed"? Sollte zweiteres der Fall sein, werde ich mich aus der Beta zurückziehen und hoffen, dass das neue SSO niemals produktiv eingesetzt wird. Es ist ein Unding sich teils mehrmals am Tag so kompliziert anmelden zu müssen.

Foto
1

Hallo, ich habe meinen TOTP Code in 1Passwort gespeichert ( ich weiß nicht optimal) . Auf jeden Fall loggt er mich dann vollautomatisch ein. Vielleicht ist das ja was für dich

Foto
1

Nein, das passt für mich nicht. Ich möchte mich nicht täglich bei mailbox.org anmelden, ich möchte etwas nutzen, was seit mehreren Jahrzehten funktioniert und als Standard bezeichnet werden: Stay logged in

Es hat vorher funktioniert (auch nicht perfekt) und jetzt funktioniert es nicht mehr. Das ist inakzeptabel.

Foto
1

Erfahrungsgemäß wirst Du hier leider keine Antwort auf deine Fragen bekommen. Das weiß nur Mailbox.org und die äußern sich regelmäßig nicht dazu. Evtl. macht ein Wechsel für dich Sinn ? Es gibt ja mehr als genug Anbieter die das können - auch Datenschutzfreundliche -

Foto
1

> Das weiß nur Mailbox.org und die äußern sich regelmäßig nicht dazu.

Genau dieser Punkt ist sehr schade.

Foto
2

Ich habe eine Antwort vom Support bekommen.

Es handelt sich hierbei um eine Einschränkung unsererseits, so dass Sie nach ca. einem Tag automatisch aus unserem System abgemeldet werden. Es handelt sich also um ein ausdrücklich erwartetes Programmverhalten. Als Mailprovider müssen wir hier leider immer einen Spagat zwischen zu viel und zu wenig zulassen. Aus unserer Erfahrung heraus haben wir uns daher für diesen Wert von einem Tag entschieden. 
Diese durch die Umstellung einhergehende Einschränkung finde ich sehr schade, da sich mich täglich betrifft und einfach nur nervig ist. Entweder werde ich zu Thunderbird wechseln oder mich von Mailbox.org verabschieden.

Foto
1

Hmm, und wieso gibt es dann die Option "Never"? Ich schätze mal sie können es nicht anders implementiere; dann kommen sie immer mit irgendeinem scheinheiligen Argument. Könnte man nicht einfach eine Warnung einblenden und den Kunden selbst entscheiden lassen? Aber ja, ein MUA ist sicher die bessere Wahl als dieser OX Mist.

Foto
4

Kannst du auch was anderes als rummeckern und rumätzen? Der Support hat geantwortet, dass bewusst entschieden wurde, einen neuen LogIn alle 24h zu erzwingen.


Kannst du lesen?


Von dir kommt immer nur miese Gemecker. Bist du ein Bot? Oder ein Maulwurf von einer Mailing-Klitsche?

Foto
1

Ich finde jeden Tag ausgeloggt zu werden auch echt eine Zumutung. Auf meinem Home Rechner möchte ich einfach nur mal kurz drauf schauen können, ohne mich jedes Mal (mit 2FA) einloggen zu müssen.

Kann man so etwas nicht konfigurierbar machen? So wie es eigentlich ja auch schon in den Einstellungen steht? Mit nie (oder mit zumindest mal eine Woche) oder für fremde Rechner dann wahlweise Stunden basiert?

Foto
1

Ich finde es erst mal verständlich, dass man den Zugang via Browser in das Backend, in dem man alle Einstellungen machen kann, nicht einfach unbegrenzt offen lässt.


Man kann ja vorschlagen, dass man das anders löst. Ansonsten kann man Thunderbird installieren und kann jederzeit mal eben nachschauen. Denn bei dem, der immer eingeloggt bleiben will, muss ja eh immer ein Rechner laufen.


Oder man holt sich Fair EMail für's Smartphone, da hat man die Mails auch immer zur Hand.


Will sagen: das hier ist noch ein Beta-Test.


Ich finde es gut, dass wir testen können, Feedback und Wünsche rückmelden, und sich das ganze entwickeln wird.


Oder anders gesagt: wer es schnell und Superduper will, nimmt halt Outlook. ;-)

Foto
1

Alles gut, ich freue mich ja über dieses neue Beta Programm.

Mich stören nur diese kurzen Session-Zeiten extrem im täglichen Ablauf, daher mein deutliches Feedback dazu. Es soll sich jetzt keiner angegriffen fühlen. Und nein, dann mach doch was anderes oder gehe woanders hin ist keine valide Antwort auf Feedback. Vorschläge habe ich auch gemacht.



Das Einstellungsbackend war doch (früher zumindest) immer in einer extra Session und man musste sich deutlich früher wieder komplett neu einloggen, wenn man dort etwas machen wollte. Das finde ich auch gut so.

Foto
Foto
2

Hi,

ich habe gerade eben mal Login 2.0 getestet und das ist mir aufgefallen:

  • Die Reihenfolge bei der 2FA-Einrichtung ist strange (Schritt 1, Vorhandene 2FA-Geräte, Schritt 2 & 3). Vorhandene Geräte sollte nicht in der Mitte sein.
  • Wenn man bereits ein TOTP-Gerät hat und ein weiteres hinzufügt und im Eingabefeld von Schritt 3 Enter drückt, wird nicht das neue TOTP hinzugefügt, sondern das bereits existierende gelöscht (Beide Buttons haben type=submit).
  • Alle Schritte: Sätze bitte mit Satzzeichen abschließen.
  • Schritt 3: Geben Sie den generierten TOTP-Code hier ein und klicken Sie auf 'Überprüfen und TOTP aktivieren'. Ich finde genau diesen Button nicht.
  • Für die Nutzung abseits technikaffiner Betauser sollte es Erklärungen geben, was TOTP ist bzw. das ganze erklären, z.B. Link auf KB-Artikel mit Details.


  • Ausloggen im Forum führt zur Keycloak-Logout-Page, beim Support wird man ohne Nachfrage direkt aus Keycloak ausgeloggt. Kann man das nicht da auch so wie im Forum machen?
  • Könnt ihr die Keycloak Account Console verfügbar machen? (So wie das in der Opentalk-Keycloak-Instanz bereits der Fall war).
  • Wenn ich nach Aktivierung von Login 2.0 App-Passwörter anlege, sind die bei mir nach userid@userid. Ich möchte in diesem Zusammenhang nochmal auf diesen Vorschlag hinweisen.


Grundsätzlich solltet ihr überlegen, wie ihr Feedback sammeln wollt. Hier im Forum ohne eigene Kategorie etc. scheint mir nicht optimal zu sein.

Foto
1

Ich habe temporär die BETA verlassen. Wieso wird nach der Reaktivierung der BETA und LOGIN 2.0 plötzlich nach einem OTP gefragt, obwohl ich das noch nicht eingerichtet habe? Ich habe das zuvor deaktiviert... Vor dem Verlassen der BETA und vor der Neueinrichtung der BETA und mich dazwischen immer abgemeldet. OTP habe ich natürlich schon gelöscht; jetzt darf ich wohl das Passwort zurücksetzen. s/BETA/ALPHA?

Foto
1

Hi zapata,

danke für den Kommentar. Wir leiten das an unsere Administratoren weiter, die prüfen dann, was die Ursache ist und melden uns dann. Bis dahin bitten wir noch um ein wenig Geduld

Herzliche Grüße

Ihr mailbox.org-Team

Foto
Foto
1

Passwort zurückgesetzt und es wird noch immer nach dem OTP gefragt. Wollt ihr euch euren "guten" Ruf komplett ruinieren?

Foto
1

Schon mal den Browsercache geleert?

Foto
2

Hallo zapata,

da gab es leider tatsächlich noch einen Fehler, den unsere Administratoren jetzt behoben haben. 2FA ist jetzt bei Ihnen deaktiviert.

Mit herzlichen Grüßen

Ihr mailbox.org-Team

Foto
2

Vielen Dank. Jetzt funktioniert es wieder.

Foto
Foto
1

Backup Security-Codes

Werden Security-Codes als Backup-Funktion noch hinzugefügt? Ich möchte ungern extra ein zweites Smartphone, etc. nur für diesen Fall anschaffen. Einen zweiten Security-Key evtl. schon, aber diese Möglichkeit gibt es ja (noch?) nicht.

In jedem Fall sollte für ein sehr deutlicher Hinweis dazu, dass bei verlorenem 2FA-Gerät der Login prinzipiell nicht mehr möglich ist. Oder gibt es doch dafür Hintertüren?

Foto
1

Man kann ja ohne weiteres gleich mehrere Security-Codes anlegen. Ich benutze z.B. Reiner SCT Authenticator als Hardware (getrennt von jeglichem PC bzw. Smartphone und damit nicht angreifbar), Passwort-App am Smartphone und meinen Passwortmanager am PC, der solche Codes speichern kann.

Ein Passwort-Reset (https://kb.mailbox.org/de/privat/faq-oft-gestellte-fragen/passwort-vergessen) setzt auch 2FA zurück (https://kb.mailbox.org/de/privat/sicherheit-privatsphaere/die-zwei-faktor-authentifizierung-einrichten#hinweise-zur-nutzung-von-2fa---fehlersuche).

Foto
1

Ich meine die als "Backup Codes" oder "Recovery Codes" genannten, ca. 10-stelligen Zahlen-Buchstaben-Reihen. Die man eben nur für das Backup für den Verlust o. Defekt (der Hardware) des zweiten Faktors (TOTP) nutzen sollte.


Empfohlen wird oft, diese auf Papier abzuschreiben oder diese direkt auszudrucken (ohne auf dem PC, etc. zwischenzuspeichern). Sinnvollerweise nicht direkt im gleichen Medium wie der erste Faktor (s. z.B. Diskussion auf Security Stack Exchange). D.h. nicht im Passwortmanager bzw. Passwort-App.


Die Deaktivierung mittels Passwort-Reset sehe ich als Option nur für die Beta-Phase, d.h. ich gehe davon aus, dass dies danach nicht mehr möglich ist.

Foto
1

Die Deaktivierung mittels Passwort-Reset wird m.E. auch nach der Beta-Phase noch funktionieren, denn dies war schon vor der Beta mit den alten 2FA-Optionen so. Du musst in diesem Fall eben 2FA gleich wieder neu einrichten.

Welche andere Möglichkeit siehst Du sonst bei 2FA, wenn man selbst keine "Vorsorge" getroffen hat (kommt leider oft vor ;-) ) und auf die Mithilfe von mailbox.org angewiesen bist?

Foto
1

Was ist denn der Vorteil von Backup-Codes? Du kannst ein zweites "Gerät" hinzufügen und den TOTP-Schlüssel auf einen Zettel drucken als Backup. Im Bedarfsfall kannst du dann dieses Secret in einen TOTP-Generator deiner Wahl eintippen und hast wieder gültige 2FA-Codes.

Ich will damit aber nicht sagen, dass ich Backup-Codes prinzipiell ablehne.

Bzgl. dem Rücksetzen von Passwort/2FA: Ich denke, da muss man genau schauen, was man möchte und dass man den Schutz nicht effektiv durch die Rücksetzmöglichkeit aushebeln kann. Applikationspasswörter für IMAP sind z.B. zwingende Voraussetzung, damit die neue 2FA Sinn macht. Rücksetzmöglichkeit per eigener Mailzugang sollte deaktiviert werden können.

Es ist übrigens schon jetzt möglich, sich auszusperren, wenn man keine alternativen Methoden anlegt und z.B. das Passwort vergisst.

Foto
2

Ist schon bekannt, wann das neue 2FA für alle ausgerollt wird?

Foto
1

Hauptsache das Logo in OX wurde angepasst. :-)

7190bd1ec23dce836e7d8a81a5c00bbf

Foto
1

Es werden schon wieder App-Passwörter mit username = E-Mail Adresse angelegt. e2fb59c70bda8f658c4c295a92ee496a

Foto
4

@zapata , dein Problem habe ich nicht reproduzieren können.

Mir missfallen deine gehässige Beiträge in diesem Forum. Hilft dem Anbieter und dem Nutzer nicht wirklich weiter. Wirklich schade, wenn du mit mailbox unzufrieden bist aber musst du uns das alle immer spüren lassen? Geht einem langsam auf die Nerven.

Foto
1

Und schon wieder werden App-Passwörter mit Username = E-Mail Adresse angelegt.4af6f6490704d43c8325e946a8729d9b

mailbox.org kann gerne meinen Account reparieren und/oder auf ein funktionierendes System verlegen.

Foto
1

Das passiert bei mir im Augenblick auch.

Foto
Foto
1

Ich verstehe die Verbesserungen der Beta offenbar nicht, und finde die neue 2FA scheiße!

1.) Bei der neuen 2FA habe ich genau das Problem, vor dem die alte 2FA geschützt hat. Bei der alten 2FA habe ich mich NICHT mit meinem regulären Passwort angemeldet, sondern mit einem ANDEREN neuen Passwort in das der zweite Faktor integriert war. Geniale Idee. So konnte ich mich von einem unsicheren Gerät (z.B. GästePC im Hotel, Laptop bei Freunden, PC auf der Arbeit etc.) einwählen, ohne dass mein Hauptpasswort eingegeben werden musste. Mit der neuen 2FA gebe ich aber das Hauptpasswort ein!!! Wähle ich mich also auf einem unsicheren Gerät mit 2FA ein, dann hat jeder der die Kontrolle über dieses unsichere Gerät hat, sofort mein Hauptpasswort, und kann auf mein Postfach zugreifen (mails lesen und in meinem Namen versenden), sowie eventuell auch auf Kalender, Adressbuch und Drive. Um das zu umgehen müsste ich erst mühsam für jeden Zugangsweg ein separates App-passwort eingeben ... in der Hoffnung dass ich keinen Zugangsweg vergesse und damit offen lasse. Aktuell ist das übrigens noch gar nicht möglich, da es kein separates imap bzw. smtp-Passwort gibt!!! Die neue 2FA ist für mich ein krasser Rückschritt was die Sicherheit anbelangt. Reine Kosmetik für Leute die sich sicher fühlen wollen aber entweder keine Ahnung haben, oder gänzlich andere Anforderungen wie ich. 2FA ist meines Wissens NICHT dafür gedacht, dass ich ein unsicheres Billigpasswort wie qwertz123 durch einen zweiten Faktor absichere, sondern dafür, dass ich mich von unsicheren Geräten einwählen kann, ohne dass man damit mein Hauptpasswort in die Finger bekommt, und damit über die Umwege IMAP, SMTP, caldav, carddav, webdav etc.) doch wieder auf all meine Daten zugreifen kann. Sofern ich auf dem Holzweg bin, bitte ich um Erhellung, aber ich finde die neue 2FA scheiße, und die alte 2FA viel besser.

2.) Auch die Verbesserung von SSO verstehe ich auch nicht so ganz. Ich konnte mich bisher auf der OX-Weboberfläche immer schon ohne erneutes Passwort auf fast allen Diensten einwählen (Mail, Kalender, Adressbuch, Drive, Einstellungen, etc.). Lediglich das Forum und die Videokonferenzen waren separat. Natürlich ist das eine Verbesserung, aber jetzt m.E. nix weltbewegendes.

Mein persönliches FAZIT: Die Beta brauche ich nicht und will ich nicht! Sollte die Beta für alle ausgerollt werden, würde das bedeuten, dass ich mich bei meinem Arbeitgeber und bei meiner Freundin nicht mehr auf deren PCs in die Weboberfläche einwählen kann, weil ich damit meinem Arbeitgeber und meiner Freundin mein IMAP/SMTP Passwort mit Benutzernamen auf dem Silbertablett serviere. Die Lösung wie im Blog angekündigt, dass ich irgendwann IMAP und SMTP deaktivieren kann, ist doch keine Lösung! Dann kann ich ja gleich die Option nehmen "alles außer Webzugang deaktivieren". Das ist zwar vielleicht sicher, aber total unpraktisch. Weil nur noch über den Browser mailbox.org zu verwenden kommt für mich nicht in Frage. Ich verwende Mail/Adressbuch/Kalender und Drive fast nie über den Browser, sondern fast immer über Apps/Programme wie z.B. die Systemapps meiner Mobilgeräte (Smartphone, Tablet), oder Programme am PC (Thunderbird), etc... . Insofern ist die neue 2FA zumindest für mich ein krasser Rückschritt. Ich könnte mailbox.org dann nur noch von sicheren Geräten verwenden, die ausschließlich unter meiner Kontrolle sind ... genau dann ist aber 2FA komplett sinnlos .... immerhin könnte ich falls die Beta wirklich verpflichten für alle ausgerollt wird 2FA deaktivieren, und wäre wieder zurück in der Steinzeit, könnte aber weiterhin IMAP/SMTP etc. auf meinen mobilen Endgeräten mit Apps und am PC mit Drittprogrammen verwenden ohne ausschließlich auf die Weboberfläche von OX angewiesen zu sein.

Ach was bin ich heilfroh, dass ich die Beta nicht auf meinem normalen Account aktiviert habe, sondern auf einem Testaccount für den ich einen Monat eingezahlt habe. Und sorry für meinen etwas ungehobelten Unterton, aber ich bin wirklich ein bisschen entsetzt ... und hoffe dass ich da was falsch verstanden habe .... aber ich befürchte nicht.

Foto
1

*** Beitrag mit Relativierung wieder gelöscht.***

EDIT: Ich halte meine Kritik aufrecht. Ich habe gerade mit der neuen 2FA ein App-Passwort für CardDAV erstellt. Ich kann das Adressbuch mit meinem iPhone (Adressbuch-App über DAV) öffnen, obwohl ich die neue Beta 2FA aktiviert habe, und laut Blog damit eigentlich der Zugang zu sein sollte. Zusätzlich und danach habe ich testweise ein App-Passwort erstellt. Trotzdem kann ich mich mit dem Hauptpasswort über DAV anmelden. Damit ist wie ich oben schon gesagt habe, die neue 2FA ad absurdum geführt. Solange ich zwei Faktoren für die Weboberfläche benötige, aber fast alle Dienste mit dem erste Faktor über Apps bedienen kann, dann ist 2FA sinnlos.

Foto
2

Ja, echt traurig, was hier abgeht. Seit Jahren wird über eine neue verbesserte 2FA diskutiert und dann bekommt man so etwas als Beta vorgesetzt. Ich habe mich mittlerweile wieder von der Beta verabschiedet. Light-Tarif läuft noch bis April 2027. Ob es bis dahin fertig wird?

Foto
1

@mailbox.org: Genau dieser Kritik stimme ich zu 100% zu.
Auch ich nutze Mailbox.org auch auf anderen Rechnern unterwegs, wo ich keinen Mailclient verwenden darf. Da ist die Kombination persönliche PIN + 2FA-Key für unterwegs perfekt, weil man sich genau wie Hans schreibt, NICHT das Hauptpasswort merken muss.
Auch ich habe ein 20stelliger, per KeePass generiertes Passwort, das ich keinesfalls auf anderen Rechnern zur Hand habe und auch nicht vom Handy abtippen kann/will.
Genau wie Hans möchte auch ich nicht mein Hauptpasswort auf anderen Rechnern eingeben müssen.
Weil das wirklich ein Problem ist für mich, verlasse ich die Beta auch lieber vorerst mal.

Foto
Foto
5

Das fehlen eines separaten App Passworts für imap ist insofern dramatisch, da man über IMAP mit der Reset-funktion fürs Passwort (welche nicht deaktivirrt werden kann) selbiges rücksetzen kann. So sperrt ein Angreifer den Eigentümer des Postfachs aus. Da wir hier im Forum gelernt haben, dass die Regeln für einen manuellen Rest des Passworts über den Support sehr streng sind (es reicht nicht aus Geld vom eigenen Konto eingezahlt zu haben und über Infos zu den alten Mails zu verfügen) könnte ein Angreifer so den Account dauerhaft kapern.

Und nochmal möchte ich betonen dass die App-Passwörter bei mir nicht wie gewollt funktionieren. Ich kann trotz App-Passwörter das normale Passwort verwenden. Ein App Passwort sollte aber das Haptpasswort für den entsprechenden zugangsweg (z.b. kalender) deaktivieren …. Zumindest wenn ich in der 2FA das Hauptpasswort eingeben muss.

Foto
1

Wie lange läuft die Alpha noch?

Foto
2

...und wie lange dauert es noch bis zum Update der neuen Produktversion? Open X-change ist mittlerweile bei v8.31 angelangt. Mitte Februar war die Rede vom Update dieses Jahr. Vielleicht weiß der Nikolaus mehr... ;-)

Foto
1

@2230986, du beziehst dich auf den Blogbeitrag https://mailbox.org/de/post/wir-feiern-10-jahre-mailbox-org und diesen Wortlaut, oder?

Für dieses Jahr haben wir endlich die Runderneuerung unserer Weboberfläche in petto, auf die wir und unser Partner Open-Xchange über zwei Jahre lang hingearbeitet haben. Das wird viele neue Features und eine flüssige, schnelle Bedienung bringen – doch dazu mehr, wenn es so weit ist.

Wenn wir (irgendwann) erst die 8.0 bekommen, dann vielleicht gar nur als Beta, ..... dann gute Nacht Marie.

Foto
2

Genau, das war der Bezug. Tja, irgendwas scheint da in der Planung gehörig schief gegangen zu sein...

Foto
Foto
1

Edit:

Ich muss lernen, vor Foreneinträgen etwas länger zu recherchieren...

Unter der offiziellen Beta-Ankündigung im Blog steht die Antwort zu meiner Frage:

"Externe E-Mail-Clients mit IMAP oder SMTP benötigen weiterhin das normale Kundenpasswort (ohne 2FA). Zu einem späteren Zeipunkt werden wir die Option "hohes Sicherheitslevel" (IMAP deaktivieren) einführen".

Trotzdem: geht dann nur die komplette Deaktivierung von IMAP wenn man will, dass 2FA irgendwas bringt?


Ursprünglicher Kommentar:
Ich finde die 2FA grundsätzlich eine feine Sache.

Was mich aber gewundert hat, ist dass ich mich per IMAP ohne Probleme allein mit Mailadresse und Passwort anmelden konnte und so über Thunderbird ganz ohne 2FA Zugriff auf mein Konto hatte. Kommt das irgendwann noch? Im jetzigen Zustand ist die 2FA ja sonst nur dazu gut, dass man mal testen kann, wie nervig immer die Eingabe von zwei verschiedenen Passwörtern ist. Zusätzliche Sicherheit kann ich nicht feststellen.


Von anderen Anwendungen kenne ich es so, dass man bei der IMAP Einrichtung an das Passwort noch den aktuell generierten Zahlencode des Authentifikators anhängt.

Foto
2

App-Passwörter für IMAP und SMTP und OAUTH2 fehlen offenbar weiterhin. (Ob und) Wann das/etwas kommt, kann dir nur mailbox.org beantworten und die schweigen.

Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen