Willkommen im User-Forum von mailbox.org
 

Login-Verlauf/History anzeigen?

9954869 hat dies geteilt, 21 Monaten her
beantwortet

Vielleicht bin ich nur sehr blöd, aber ich finde nirgends eine Login-History die mir zeigt, wer wann von welcher IP auf welche Mailbox zugegriffen hat. Gibt es das nicht?

Kommentare (16)

Foto
1

Nein, das gibt es nicht, weil die Aufgabe von mailbox.org gerade ist eine Provider bereitzustellen, der diese Daten NICHT erhebt. Wir erfassen sie nicht und wollen sie absichtlich auch nicht erfassen.


It's not a bug, it's a feature.


Ich habe tief im Hinterkopf OB man das irgendwann mal konfigurierbar macht; aber das hat keinen konkreten Plan.

Foto
1

Aha, alles klar. Dann kann man mein Supportmail auch ignorieren :)

Foto
1

Bitte dort ein "Ticket kann geschlossen werden hinterhersenden, sonst wird es mühsam doppelt bearbeitet.

Foto
1

OK, ist erledigt.

Foto
2

Auf der anderen Seite wäre es aber sehr nützlich, für sicherzustellen das das Konto nicht kompromitiert wurde. Es muss ja keine ewige Historie aufzeichnen, 1 Woche z.b. wäre sicher genug. Einstellbar damit alle Happy sind ;-)

Foto
1

Ich würde das auch als sehr nützlich empfinden +1

Foto
1

Laut Datenschutzerklärung werden diese Daten onehin schon jetzt 4 Tage lang gespeichert. Dieser Zeitraum steht also zur Verfügung.


Generell überwiegt aber meiner Meinung nach das Interesse/Recht auf Anonymität gegenüber des Komforts eine Historie einsehen zu können. Der Zeitraum sollte also wenn dann wirklich nur optional verlängert werden.

Foto
3

ich bin da anderer Meinung. Mailbox.org tut zwar viel um die Privatspähre zu schützen und bei Verschlüsselung zu unterstützen. Aber Maßnahmen die den Schutz den Kontos vor ungewollten Zugriff könnte mehr / besser sein.

Foto
1

ach so, Vorteil ist natürlich , das man merken würde wenn sich jemand seiner -Zugangsdaten und so auch seines Kontos bemächtigt....

Foto
1

Das ist natürlich richtig, wenn du diese Sorge aber wirklich hast kann ich auf jeden Fall das einrichten von 2FA empfehlen. Damit wird das Risiko doch massiv reduziert.

Foto
2

ja, aber das große Problem von 2FA beim Mailbox.org ist, das ich dann keine externen Accounts mehr einbinden kann... Sonst wäre ich dabei

Foto
3

Ich habe dazu vor drei Wochen etwas entdeckt, was ein Weg sein könnte.


Da das aber sehr heikel ist (wenn's nicht klappt sind alle externen Logins erstmal defekt) müssen wir das mühsam auf einem Testsystem aufbauen. Das wird noch dauern. :-(

Foto
1

Wär aber großartig! Viele "Power-User" (ich weiß, doofes Wort) haben denke ich genau dieses Problem, dass sie sowohl externe Konten als auch 2FA nutzen möchten. Und vermutlich (langsam/bald kann Firefox das ja auch ohne Addons) U2F. Langfristig wird ja eher das die Zukunft sein, darum wäre das vielleicht auch ähnlich wichtig.

Foto
Foto
2

Bei der Suche nach einer Möglichkeit die Login-Historie anzeigen zu lassen bin ich auf diese Diskussion gestoßen. Gibt es dazu etwas Neues? Soweit ich gesehen habe, kann man sich jetzt aktuelle Zugriffe auf das Webinterface anzeigen lassen, wobei jedoch andere Verbindungen wie die über IMAP offenbar nicht erfasst werden. Das hilft insofern auch nicht weiter, als dass man einen möglichen unbefugten Zugriff ja praktisch in flagranti erwischen müsste, in dem Moment, in welchem man sich gerade diese Liste anschaut.

Grundsätzlich ist zwar auch mein Wunsch das möglichst gar keine derartigen Daten gespeichert werden, aber das entspricht ja nicht der Realität. Wie schon oben von jemandem erwähnt wurde, werden die Daten (und leider noch einige andere) laut Datenschutzerklärung ohnehin erfasst und mehrere Tage gespeichert. Daher wäre es meines Erachtens auch kein Problem, wenn man sich diese Daten für seinen Account ansehen könnte. Manchmal kann es eben vorkommen, dass - aller Sicherheitsmaßnahmen zum Trotz - der Verdacht besteht, dass ein nicht authorisierter Zugriff auf das Konto erfolgt (ist). Das wäre doch sicher auch eine Entlastung des Supports der, wenn ich das in der Datenschutzerklärung richtig interpretiere, in solchen Fällen ggf. weiterhilft.

Foto
2

Hallo Name,


ich seh das ein bisschen anders. :)


Auch wenn die IP-Adresse erfasst und für vier Tage gespeichert wird, bedeutet das noch lange nicht, dass das Webinterface auf diese Daten auch Zugriff hat! Es gibt sicherlich nicht einfach nur den Server™ bei Mailbox.org wo das alles zusammen drauf ist was Du siehst. :) Oft werden solche Daten direkt an ein Remote-Log-System überführt, welches einfach nur Daten empfangen kann und im Idealfall alles verschlüsselt speichert. Man kann das sogar so realisieren, dass der Lesezugriff von mehr als einer Person authorisiert werden muss, um internen Missbrauch zu verhindern. Wie das konkret bei Mailbox umgesetzt ist weiß ich nicht. Ich möchte damit nur erläutern, dass es nicht so leicht sein kann, dass das im Webinterface angezeigt wird.


Des Weiteren stellt sich auch noch die Frage, ob man das alles überhaupt möchte. Dazu möchte ich zwei Punkte zu bedenken geben:


1. Wenn jemand Unbefugtes einen Account knacken sollte, kann er auch direkt auslesen von wo sich das Opfer jeweils eingeloggt und also evtl. aufgehalten hat. Das ist sicher nicht für alle User*innen schön. Vielleicht ist nämlich genau Deine IP/Standort das worauf es der Angreifer abgesehen hat? :)


2. Eine ähnliche Situation entsteht, wenn sich -aus welchen Gründen auch immer- zwei Menschen einen Account teilen. Vielleicht möchte eine Person nicht, dass die andere Person die IP-Adresse kennt. Kommunikation zwischen Whistleblower*in und Journalist*in nenn ich da mal als Beispiel. :)


Auch wenn mich persönlich weder das eine oder andere derzeit konkret betrifft, würde ich es bevorzugen, wenn das Webinterface per Defaultkeinen Zugriff auf die o.g. Log-Daten hat. Generell mag ich den Ansatz "Je weniger Daten irgendwo verfügbar sind, desdo weniger können abhanden kommen." ganz gern. Wenn das ganze optional per Opt-In für einzelne Accounts realsiert werden kann, habe ich selbstverständlich nichts dagegen. Dann wäre allerdings noch zu klären, wie man es hinbekommt, dass ein Angreifer es nicht einfach unbemerkt einschalten kann. :/


Abschließend bleibt noch die Frage, ob das oben gewünschte Feature eine IP-Historie zu haben überhaupt der Sicherheit dient. Dazu müsste man da schon regelmäßig reinschauen. Hand aufs Herz, würdet ihr das bei jedem Login machen? Oder steigt durch die Historie einfach nur die gefühlte Sicherheit™? :)

Foto
1

Laut Datenschutzerklärung kann der "Zugriff durch: Systemadministration, Support/Helpdesk" erfolgen. Wie der Zugriff auf diese Daten gesichert ist (Zugriff nur durch zwei Personen, o. ä. wie oben vermutet wurde) steht dort nicht. Wäre aber vielleicht eine interessante Info und ein Plus bzgl. Transparenz.

Wenn jemand derart gefährdet ist, dass ein Zugriff eines Angreifers oder einer anderen Person auf die IP-Adressen der Logins problematisch ist, dann sollte der Accountinhaber sowieso geeignete Maßnahmen ergreifen, dass dort erst gar keine IP-Adressen auftauchen, die auf den Standort schließen lassen. Und meistens ist in derartigen Fällen der Inhalt des Postfachs (wenn er nicht (sicher) verschlüsselt ist) ohnehin ebenfalls ein Problem.

Aber man könnte den Zugriff auf die Login-Historie auch gerne noch zusätzlich schützen. Dazu fallen mir spontan zwei Möglichkeiten ein:

- Zugriff nur mit einem extra dafür festgelegten Passwort.

- Ein zeitverzögerter Zugriff, bei dem die Daten ggf. erst am nächsten Tag einsehbar sind, aber man per E-Mail (aus Sicherheitsgründen wahlweise auch an eine externe Adresse) benachrichtigt wird, dass ein Zugriff angefordert wurde.

Auch mir wäre es lieber, wenn solche Daten nicht gespeichert würden. Werden sie aber, zusammen mit anderen:

"Gespeicherte Daten: Absender, Empfänger, Message-ID und Größe einer versandten oder empfangenen E-Mail."

"Gespeicherte Daten: Welcher Account hat sich wann von welcher IP-Adresse aus eingeloggt. Wenn Mails gelöscht werden, wird die Message-ID und Größe der gelöschten E-Mail gespeichert. Wird eine E-Mail in andere IMAP-Folder verschoben, wird die Message-ID und Größe der E-Mail sowie von wo nach wo sie verschoben wurde, gespeichert."

[Auszüge aus der Datenschutzerklärung]

Und die Frage, ob das Ganze mehr Sicherheit bzgl. Einbrüchen in den Account bringen würde, würde ich klar mir ja beantworten. Wie oben bereits geschrieben, geht es hier nicht nur um ein sporadisches Nachschauen, ob verdächtige Logins stattfanden, sondern vor allem um eine entsprechende Überprüfung im konkreten Verdachtsfall, ob ein unberechtigter Zugriff stattfand/-findet.