Rückmeldungen der mailbox.org BETA Tester

Ich sehe keine neue Weboberfläche.

Entschuldige, war nicht präzise ausgedrückt. Im Rahmen des Beta-Zugangs gibt es beim einloggen einen neuen Look. Der sieht soweit sehr ansprechend aus.

Hallo und vielen Dank für Ihre Beiträge! Ihre Kommentare sind sehr hilfreich und wir werden diese an unsere Produktmanager weiterleiten. Wir freuen uns sehr, wie engagiert Sie alle sind.

Mit herzlichen Grüßen

Ihr mailbox.org Team

Hi!

Ich habe 2fa aktiviert und das funktioniert auch. Aktuell habe ich den Laptop neu aufgesetzt und richte gerade Thunderbird wieder ein, und stolpere jetzt über den Fehler, dass unter der eingegebenen URL nach Eingabe meines Passworts kein Kalender unter dieser Adresse gefunden wird. Den Link habe ich aus dem Eigenschaftendialog des Kalenders Online. Mache ich da etwas falsch?

Lieben Gruß aus Wien

Peter

Zumindest funktioniert es mit normalem Passwort, wenn man das -sso in der URL entfernt. https://dav-sso.mailbox.org funktioniert weder mit normalem noch mit App Passwort. Offenbar sind wir Alpha-Tester! :)

Bei mir funktioniert es in der Apple-Kalander-App mit den neu generierten App-Passwörtern und der "alten" URL https://dav.mailbox.org/caldav/xyz... und ebenso in Thunderbird. Ich hatte allerdings vor ein paar Tagen in den bestehenden Accounts nur die Benutzer-/Passwort-Kombination auf die "App-Variante" geändert.

Nachtrag: Im eM Client funktioniert es mit mit der App-Benutzer-Passwort-Kombination nur mit der "alten" URL (dav.mailbox.org). Im Browser Vivaldi konnte ich soeben in der dortigen Kalender-App auch einen mit der "neuen" URL (dav-sso.mailbox.org) anlegen.

Ich werde wohl die Beta wieder verlassen und auf €1-Tarif umstellen. Unfassbar.

@zapata: Die Mailbenachrichtigung war schneller als Dein Löschen.;-)

Ich hatte die App-Passwörter nach der Beta-Anmeldung erstellt, also Beta war bereits aktiv; allerdings vor der 2FA-Aktivierung.

Wenn ich das sso aus dem Link entferne, klappt es und kann die Kalender in Thunderbird einbinden. Wurde das irgendwo schon dokumentiert als workaround?

Also so sieht der Link kopiert aus: https://dav-sso.mailbox.org/caldav/blablabla

Und so funktioniert er: https://dav.mailbox.org/caldav/blablabla

Cheers!

Peter

Mit den neu erstellten App-Passwörtern?

Bei mir funktioniert es wie oben geschrieben in Thunderbird und eMClient auch nur ohne "-sso", in der Kalender-App im Browser Vivaldi mit "-sso". Nachtrag: In der Kalender-App von MacOS 14.5 geht es auch mit "-sso".

Offiziell habe ich dazu nichts gelesen, aber gerade den Support darauf aufmerksam gemacht.

@thgeiges Ich habe jetzt folgendes gemacht:

- 2FA deaktiviert und dann neu angemeldet

- Neues App Passwort für CardDAV/CalDAV erstellt

- Neuen Test-Kalender angelegt

Funktioniert nicht, auch nicht mit dem Hauptkalender. Vivaldi streikt ebenfalls; Fehler: "Error parsing response from server."

Welche URL hast Du benutzt und welche lokale App außer Vivladi?

Die komplette URL mit dav-sso: https://dav-sso.mailbox.org/caldav/xxx. Ich habe aber auch die ohne "-sso" probiert.

Aktuell zeigt Vivaldi einen anderen Fehler: CalDAV service not found at 'https://dav-sso.mailbox.org/'. Please check if the URL is correctly typed. Error message 'Failed to fetch'.

Ich habe hier Thunderbird und Vivaldi.

Ich habe soeben noch einen vorläufig letzten Test gemacht mit Thunderbird unter Widows 10 (Sonst nutze ich überwiegend einen Mac). Dort war ich mit dem App-Passwort und der "-sso"-URL erfogreich.

Warten wir mal, was der Support dazu sagt. Normal bekomme ich zeitnah eine Rückmeldung.

Deleted.

Alles klar. Aktuell funktionieren also nur App-Passwörter, die vor der Aktivierung von Login 2.0 erstellt wurden. Das hat wohl @thgeiges vorhin gemeint. :-) Wird wohl eine lange Alpha/Beta-Phase. :-)

Dieses Problem habe ich auch. Mit der alten Anmeldemethode musste ich mich ca. einmal pro Woche anmelden (nervig), seit der Nutzung / Umstellung auf Anmeldung v2.0 jedoch mindestens einmal täglich (untragbar). Bitte unbedingt fixen!

An den Support: Wird an diesem Issue eigentlich gearbeitet oder ist das "works as designed"? Sollte zweiteres der Fall sein, werde ich mich aus der Beta zurückziehen und hoffen, dass das neue SSO niemals produktiv eingesetzt wird. Es ist ein Unding sich teils mehrmals am Tag so kompliziert anmelden zu müssen.

Hallo, ich habe meinen TOTP Code in 1Passwort gespeichert ( ich weiß nicht optimal) . Auf jeden Fall loggt er mich dann vollautomatisch ein. Vielleicht ist das ja was für dich

Nein, das passt für mich nicht. Ich möchte mich nicht täglich bei mailbox.org anmelden, ich möchte etwas nutzen, was seit mehreren Jahrzehten funktioniert und als Standard bezeichnet werden: Stay logged in

Es hat vorher funktioniert (auch nicht perfekt) und jetzt funktioniert es nicht mehr. Das ist inakzeptabel.

Erfahrungsgemäß wirst Du hier leider keine Antwort auf deine Fragen bekommen. Das weiß nur Mailbox.org und die äußern sich regelmäßig nicht dazu. Evtl. macht ein Wechsel für dich Sinn ? Es gibt ja mehr als genug Anbieter die das können - auch Datenschutzfreundliche -

> Das weiß nur Mailbox.org und die äußern sich regelmäßig nicht dazu.

Genau dieser Punkt ist sehr schade.

Ich habe eine Antwort vom Support bekommen.

Es handelt sich hierbei um eine Einschränkung unsererseits, so dass Sie nach ca. einem Tag automatisch aus unserem System abgemeldet werden. Es handelt sich also um ein ausdrücklich erwartetes Programmverhalten. Als Mailprovider müssen wir hier leider immer einen Spagat zwischen zu viel und zu wenig zulassen. Aus unserer Erfahrung heraus haben wir uns daher für diesen Wert von einem Tag entschieden. 

Hmm, und wieso gibt es dann die Option "Never"? Ich schätze mal sie können es nicht anders implementiere; dann kommen sie immer mit irgendeinem scheinheiligen Argument. Könnte man nicht einfach eine Warnung einblenden und den Kunden selbst entscheiden lassen? Aber ja, ein MUA ist sicher die bessere Wahl als dieser OX Mist.

Kannst du auch was anderes als rummeckern und rumätzen? Der Support hat geantwortet, dass bewusst entschieden wurde, einen neuen LogIn alle 24h zu erzwingen.

Kannst du lesen?

Von dir kommt immer nur miese Gemecker. Bist du ein Bot? Oder ein Maulwurf von einer Mailing-Klitsche?

Ich finde jeden Tag ausgeloggt zu werden auch echt eine Zumutung. Auf meinem Home Rechner möchte ich einfach nur mal kurz drauf schauen können, ohne mich jedes Mal (mit 2FA) einloggen zu müssen.

Kann man so etwas nicht konfigurierbar machen? So wie es eigentlich ja auch schon in den Einstellungen steht? Mit nie (oder mit zumindest mal eine Woche) oder für fremde Rechner dann wahlweise Stunden basiert?

Ich finde es erst mal verständlich, dass man den Zugang via Browser in das Backend, in dem man alle Einstellungen machen kann, nicht einfach unbegrenzt offen lässt.

Man kann ja vorschlagen, dass man das anders löst. Ansonsten kann man Thunderbird installieren und kann jederzeit mal eben nachschauen. Denn bei dem, der immer eingeloggt bleiben will, muss ja eh immer ein Rechner laufen.

Oder man holt sich Fair EMail für's Smartphone, da hat man die Mails auch immer zur Hand.

Will sagen: das hier ist noch ein Beta-Test.

Ich finde es gut, dass wir testen können, Feedback und Wünsche rückmelden, und sich das ganze entwickeln wird.

Oder anders gesagt: wer es schnell und Superduper will, nimmt halt Outlook. ;-)

Alles gut, ich freue mich ja über dieses neue Beta Programm.

Mich stören nur diese kurzen Session-Zeiten extrem im täglichen Ablauf, daher mein deutliches Feedback dazu. Es soll sich jetzt keiner angegriffen fühlen. Und nein, dann mach doch was anderes oder gehe woanders hin ist keine valide Antwort auf Feedback. Vorschläge habe ich auch gemacht.

Das Einstellungsbackend war doch (früher zumindest) immer in einer extra Session und man musste sich deutlich früher wieder komplett neu einloggen, wenn man dort etwas machen wollte. Das finde ich auch gut so.

Hi zapata,

danke für den Kommentar. Wir leiten das an unsere Administratoren weiter, die prüfen dann, was die Ursache ist und melden uns dann. Bis dahin bitten wir noch um ein wenig Geduld

Herzliche Grüße

Ihr mailbox.org-Team

Schon mal den Browsercache geleert?

Hallo zapata,

da gab es leider tatsächlich noch einen Fehler, den unsere Administratoren jetzt behoben haben. 2FA ist jetzt bei Ihnen deaktiviert.

Mit herzlichen Grüßen

Ihr mailbox.org-Team

Vielen Dank. Jetzt funktioniert es wieder.

Man kann ja ohne weiteres gleich mehrere Security-Codes anlegen. Ich benutze z.B. Reiner SCT Authenticator als Hardware (getrennt von jeglichem PC bzw. Smartphone und damit nicht angreifbar), Passwort-App am Smartphone und meinen Passwortmanager am PC, der solche Codes speichern kann.

Ein Passwort-Reset (https://kb.mailbox.org/de/privat/faq-oft-gestellte-fragen/passwort-vergessen) setzt auch 2FA zurück (https://kb.mailbox.org/de/privat/sicherheit-privatsphaere/die-zwei-faktor-authentifizierung-einrichten#hinweise-zur-nutzung-von-2fa---fehlersuche).

Ich meine die als "Backup Codes" oder "Recovery Codes" genannten, ca. 10-stelligen Zahlen-Buchstaben-Reihen. Die man eben nur für das Backup für den Verlust o. Defekt (der Hardware) des zweiten Faktors (TOTP) nutzen sollte.

Empfohlen wird oft, diese auf Papier abzuschreiben oder diese direkt auszudrucken (ohne auf dem PC, etc. zwischenzuspeichern). Sinnvollerweise nicht direkt im gleichen Medium wie der erste Faktor (s. z.B. Diskussion auf Security Stack Exchange). D.h. nicht im Passwortmanager bzw. Passwort-App.

Die Deaktivierung mittels Passwort-Reset sehe ich als Option nur für die Beta-Phase, d.h. ich gehe davon aus, dass dies danach nicht mehr möglich ist.

Die Deaktivierung mittels Passwort-Reset wird m.E. auch nach der Beta-Phase noch funktionieren, denn dies war schon vor der Beta mit den alten 2FA-Optionen so. Du musst in diesem Fall eben 2FA gleich wieder neu einrichten.

Welche andere Möglichkeit siehst Du sonst bei 2FA, wenn man selbst keine "Vorsorge" getroffen hat (kommt leider oft vor ;-) ) und auf die Mithilfe von mailbox.org angewiesen bist?

Was ist denn der Vorteil von Backup-Codes? Du kannst ein zweites "Gerät" hinzufügen und den TOTP-Schlüssel auf einen Zettel drucken als Backup. Im Bedarfsfall kannst du dann dieses Secret in einen TOTP-Generator deiner Wahl eintippen und hast wieder gültige 2FA-Codes.

Ich will damit aber nicht sagen, dass ich Backup-Codes prinzipiell ablehne.

Bzgl. dem Rücksetzen von Passwort/2FA: Ich denke, da muss man genau schauen, was man möchte und dass man den Schutz nicht effektiv durch die Rücksetzmöglichkeit aushebeln kann. Applikationspasswörter für IMAP sind z.B. zwingende Voraussetzung, damit die neue 2FA Sinn macht. Rücksetzmöglichkeit per eigener Mailzugang sollte deaktiviert werden können.

Es ist übrigens schon jetzt möglich, sich auszusperren, wenn man keine alternativen Methoden anlegt und z.B. das Passwort vergisst.

Ist schon bekannt, wann das neue 2FA für alle ausgerollt wird?

Hauptsache das Logo in OX wurde angepasst. :-)

Es werden schon wieder App-Passwörter mit username = E-Mail Adresse angelegt.

@zapata , dein Problem habe ich nicht reproduzieren können.

Mir missfallen deine gehässige Beiträge in diesem Forum. Hilft dem Anbieter und dem Nutzer nicht wirklich weiter. Wirklich schade, wenn du mit mailbox unzufrieden bist aber musst du uns das alle immer spüren lassen? Geht einem langsam auf die Nerven.

Und schon wieder werden App-Passwörter mit Username = E-Mail Adresse angelegt.

mailbox.org kann gerne meinen Account reparieren und/oder auf ein funktionierendes System verlegen.

Das passiert bei mir im Augenblick auch.

*** Beitrag mit Relativierung wieder gelöscht.***

EDIT: Ich halte meine Kritik aufrecht. Ich habe gerade mit der neuen 2FA ein App-Passwort für CardDAV erstellt. Ich kann das Adressbuch mit meinem iPhone (Adressbuch-App über DAV) öffnen, obwohl ich die neue Beta 2FA aktiviert habe, und laut Blog damit eigentlich der Zugang zu sein sollte. Zusätzlich und danach habe ich testweise ein App-Passwort erstellt. Trotzdem kann ich mich mit dem Hauptpasswort über DAV anmelden. Damit ist wie ich oben schon gesagt habe, die neue 2FA ad absurdum geführt. Solange ich zwei Faktoren für die Weboberfläche benötige, aber fast alle Dienste mit dem erste Faktor über Apps bedienen kann, dann ist 2FA sinnlos.

Ja, echt traurig, was hier abgeht. Seit Jahren wird über eine neue verbesserte 2FA diskutiert und dann bekommt man so etwas als Beta vorgesetzt. Ich habe mich mittlerweile wieder von der Beta verabschiedet. Light-Tarif läuft noch bis April 2027. Ob es bis dahin fertig wird?

@mailbox.org: Genau dieser Kritik stimme ich zu 100% zu.
Auch ich nutze Mailbox.org auch auf anderen Rechnern unterwegs, wo ich keinen Mailclient verwenden darf. Da ist die Kombination persönliche PIN + 2FA-Key für unterwegs perfekt, weil man sich genau wie Hans schreibt, NICHT das Hauptpasswort merken muss.
Auch ich habe ein 20stelliger, per KeePass generiertes Passwort, das ich keinesfalls auf anderen Rechnern zur Hand habe und auch nicht vom Handy abtippen kann/will.
Genau wie Hans möchte auch ich nicht mein Hauptpasswort auf anderen Rechnern eingeben müssen.
Weil das wirklich ein Problem ist für mich, verlasse ich die Beta auch lieber vorerst mal.

...und wie lange dauert es noch bis zum Update der neuen Produktversion? Open X-change ist mittlerweile bei v8.31 angelangt. Mitte Februar war die Rede vom Update dieses Jahr. Vielleicht weiß der Nikolaus mehr... ;-)