Willkommen im User-Forum von mailbox.org
 

Permanente Wegwerf-Adressen

rq hat dies geteilt, 33 Tage her
vorgeschlagen

Ich wollte das mal als Idee vorschlagen, weil etwas ähnliches auf Apple-Geräten bald eingeführt wird (vermutlich nur für iCloud Mail) und es sinnvoll erscheint. Die Idee dort ist, dass Apple einem für jede Registrierung eine permanente Wegwerfadresse erstellt, damit der User seine persönlichen Daten nicht herausgeben muss.

Die jetzigen Wegwerfadressen bei mailbox.org laufen nach 1 Monat ab, zusätzlich sind 11 Adressen zu wenig. Durch diese Einschränkung sind sie nicht geeignet "nur" die eigenen Daten zu schützen, wenn man sich irgendwo registriert. Besser wäre man könnte sich für jede Registrierung eine neue zufällige Adresse erstellen, die nicht abläuft, aber abschaltbar ist (z.B. falls man übermäßig zugespammt wird).

Kommentare (21)

Foto
1

@rq: Vielleicht darf ich mit Bezug auf den 2. Absatz folgenden Hinweis geben:

Es gibt einen in Deutschland gehosteten Dienst namens yadim.dismail.de. Dieser Dienst erscheint für das genannte Anwendungsgebiet durchaus geeignet zu sein, wenngleich es sich dort um reine und frei zugängliche Wegwerfadressen handelt.

Ein genauerer Blick lohnt sich, finde ich. :)

Foto
1

Nicht so was ich suche. Solche Dienste gibt es ja zuhauf. Ich will die Adressen ja behalten. Also ich registrier mich mehr oder weniger anonym bei sozialem Netzwerk A und will natürlich auch Benachrichtigungen erhalten und ggf. mal mein Passwort zurücksetzen wenn ich es verliere. Niemand sonst soll mein Passwort zurücksetzen können, was aber bei diesem dismail möglich wäre da das Postfach öffentlich zugänglich ist.

Foto
1

Wie kommst du denn auf dieses schmale Brett?

Natürlich: Der Vorteil (Wegwerf-E-Mail-Adresse) ist so gestaltet gleichzeitig auch ein Nachteil.

Aber: Wenn man einen Passwort zurücksetzen Prozess angestoßen hat, wird man wohl kaum unmittelbar danach den PC herunterfahren und einkaufen gehen oder in den Urlaub fahren. Dann wartet man halt die paar Sekunden auf den Eingang der Bestätigungs-E-Mail und führt die Bestätigung (in der Regel mittels Link in der E-Mail) sofort aus. Der Bestätigungslink selber ist von diesem Moment an wertlos, weil er mit dem Abschluss des Prozesses seine Gültigkeit verliert. Der temporäre Posteingang (Wegwerf-E-Mail-Adresse) kann daraufhin vollständig (manuell) geleert werden und alles ist im grünen Bereich.

Ein potenzieller Angreifer müsste also just in diesem Moment darauf zugreifen und dir den Prozess sprichwörtlich vor der Nase wegschnappen. So ähnlich wie bei 3-2-1-meins. Sowas ist zwar grundsätzlich nicht ausgeschlossen, dürfte in der Realität aber sehr, sehr unwahrscheinlich sein.

Foto
1

Ein potenzieller Angreifer müsste also just in diesem Moment darauf zugreifen und dir den Prozess sprichwörtlich vor der Nase wegschnappen. 
Oder halt einfach selbst den Prozess anstoßen und heimlich das Passwort ändern. Während du dich noch fragst, wieso du nicht mehr in den Account kommst, wurde die hinterlegte mail Adresse lange geändert. Futsch ist der Accout. Für immer.

Foto
1

Die Webseite, die Du nutzt, wurde kompromittiert und Deine Mail-Adresse befindet sich in einer Passwortdatenbank, wie es so oft der Fall ist, wenn Daten abhandenkommen.

Jetzt lädt jemand die Datenbank samt Mail-Adresse runter.

Oh, wie praktisch, denkt er sich. Ich brauche hier gar kein Passwort zum einloggen, denn dank einer ungesicherten Wegwerfadresse, kann ich die Mail auf der Webseite eintragen, um Passwortrücksetzung bitten und mich direkt bedienen...

Warum? Weil Wegwerfmails dieser Art nicht gesichert sind, sondern jeder Zugriff hat, der sie kennt.

Falls die Frage kommt, wie man den Prozess anstossen sollte, wenn man die Mail nicht kennt ;)

Foto
Foto
2

Ich möchte nicht, dass jemand zufällig meine Logindaten ändern kann. Deswegen gerade für den genannten Zweck suboptimal.


Die Idee des Threaderöffners finde ich gut. Wenn bestimmt auch schwer zu realisieren. Doch dafür würde ich auch ein hochwertigeres Paket ordern, wenn es dort wie eingangs beschrieben möglich wäre.

Foto
1

@ Stephan

Das ist ja auch ein reiner E-Mail-Wegwerfdienst. Korrekte Benutzung vorausgesetzt, kann ich deine Bedenken eigentlich nicht teilen. Nach Abschluss des entsprechenden Vorganges (bspw. Bestätigungs-E-Mail) löscht man dort den oder die Inhalte einfach manuell (Buttons "Download" und "Löschen" vorhanden) und schwupps sind sie verschwunden. Erfolgt keine Löschung durch den Benutzer, wird 3 Tage bzw. 72 Stunden nach Zugang die Löschung vom System automatisch ausgeführt.

Foto
2

Kommt jemand in den Besitz meiner eMail, kann er mein Passwort zurücksetzen, sich einloggen und machen worauf er Lust hat.


Es reicht ein Datenleck wie jüngst bei Younow aus.


Also sehr unsicher.

Foto
Foto
3

"Permanente Wegwerfadresse" ist eigentlich ein Wiederspruch in sich selbst.

Entweder permanent oder wegwerf.

Das was der Threaderöffner wünscht sind in Wirklichkeit massenhaft Aliase.

Nachtrag:

Für den Tarif für 2,50 Euro/Monat gibt es 25 Aliase.

Also eigentlich ist der Wunsch schon erfüllt ;-)

Foto
1

So war das nicht gemeint. Ich will eine 1:1-Zuordnung zwischen Service und "Alias".

Mit Aliassen wäre es theoretisch möglich aber richtiger Aufwand. Zuerst muss ich mir einen Zufallsstring generieren, dann mühsam den Alias anlegen und verwenden. Stattdessen will ich eine Browser-Extension vielleicht "Login mit mailbox.org", die erkennt dann die Domain der Seite und erstellt einen neuen "Alias" für mich und schützt so meine Daten. Also in etwa so bequem wie dieses datenschutzfeindliche "Login mit facebook".

25 wären natürlich auch zu wenig. Ich habe deutlich mehr als 25 Logins.

Foto
2

Die Idee gefällt mir sehr, rq.

Ja, 25 Aliase sind dafür viel zu wenig.Hier wären 75-100 ideal für die meisten Nutzer, denke ich, wenn es darum geht zu separieren.

Genau genommen macht es sogar sehr viel Sinn, eine individuelle - abschaltbare - Mailadresse zu nutzen.

Wie ich eingangs beschrieb wurden bei Younow die Tage massenhaft Daten freigelegt. Darunter auch die Mailadressen.

Nutzer dieser Daten können nun z. B. Spam versenden oder Einlogversuche starten. Das wird umgangen mit Deinem gewünschten Vorgehen, rq. Daher befürworte ich es.

Ich nutze für das generieren von Zufallsstrings bitwarden. Opensource, sicher, sehr zuverlässig und in der Preis-/Leistung ungeschlagen.

In der Tat sind es viele Aliase, die Du suchst.

Foto
Foto
2

Wird eine Webseite kompromittiert und die Mailadresse veröffentlicht in Datenbanken, dann kann ein potenzieller Datendieb direkt das Passwort zurücksetzen und sich einloggen.


Warum? Weil die Wegwerfadresse nicht gesichert ist.


Kein schmales Brett. Sondern eine hausgemachte Sicherheitslücke die unfassbar peinlich ist.


Doch jeder mag es nutzen, wie er mag.

Foto
1

Möglich wäre z.B. du hast dich mit diesem dismail bei facebook registriert, dann loggst du dich auf irgendeiner Seite A mit "Login mit Facebook" ein. Facebook gibt nun deine Wegwerfadresse weiter an diese Seite. Jetzt muss nur noch Seite A gehackt werden und jeder hat Zugriff auf dein Facebook-Konto (über Passwort-vergessen-Funktion).

Foto
1

"Login mit Facebook" - das (a)soziale Netzwerk: Mal abgesehen davon dass ich NIEMALS auf die Idee käme diesen "Service" bzw. dieses vermeintliche "soziale Netzwerk" überhaupt zu nutzen, ist die Überlegung grundsätzlich natürlich schon richtig.

Aber ganz ehrlich: Für dieses Anwendungsgebiet ist der Wegwerf-E-Mail-Dienst von "dismail.de", der sich im Übrigen deutlich von anderen seiner Art unterscheidet, auch gar nicht vorgesehen. Erklärtes Ziel dieses Dienstes ist es Bulk, Junk, Spam helfen zu vermeiden (siehe Quote unten).

Optimal (einfach und unkompliziert) ist dieser Dienst einsetzbar, wenn man irgendwo internetweit einen Service nutzen möchte, dafür aber eine gültige E-Mail-Adresse angeben muss. Dann nutzt man halt idealerweise eine solche frei wählbare und frei zugängliche Wegwerf-E-Mail-Adresse.

[quote="yadim.dismail.de"]

This is a disposable mailbox service. Whoever knows your username, can read your emails. Emails will be deleted after 3 days.

This disposable mailbox keeps your main mailbox clean from spam.

Just choose an address and use it on websites you don't trust and don't want to use your main email address. Once you are done, you can just forget about the mailbox. All the spam stays here and does not fill up your main mailbox.

You select the address you want to use and received emails will be displayed automatically. There is no registration and no passwords. If you know the address, you can read the emails. Basically, all emails are public. So don't use it for sensitive data.

[/quote]

MECSA-Abfrageergebnis für "yadim.dismail.de" vom 21.07.2019:

https://mecsa.jrc.ec.europa.eu/de/finderRequest/b598fd6d39d627d2bb9f21f0c6ef6dbd

MECSA-Abfrageergebnis für "t-online.de" vom 12.07.2019:

https://mecsa.jrc.ec.europa.eu/de/finderRequest/2950a9687a267445a653a8ee9e2313f7

MECSA-Abfrageergebnis für "dismail.de" vom 15.06.2019:

https://mecsa.jrc.ec.europa.eu/de/finderRequest/5ca5d4c41fef5f93ff69abc4a778bcb6

Foto
1

Du kannst jetzt aufhören Werbung für den Service zu machen. Es nervt nur noch. Du kannst gerne deine Argumente vortragen, aber musst diese nicht als Werbung tarnen.

1. hat es mit meinem Vorschlag überhaupt nichts zu tun und

2. ist das in kleinster weise etwas Neues. Solche Services gibt es tausende im Netz.

Foto
1

Werbung?! Und was ist mit deiner Werbung für das (a)soziale Netzwerk «F» sowie dessen Produkte (z. B.: Global Login). Ist das etwa die "bessere Werbung"?!

Foto
Foto
1

Wie es auch ginge...


- Nutzung von mailbox.org mit eigener Domain

- Nutzung von Catchall

- Für jeden Dienst (Login) eigene Adresse verwenden, bspw. im Format „amazon.<Datum und Uhrzeit der Loginerzeugung>@meinedomain.de

- Bei Spam kann über Sieve gefiltert werden

- Mit Sieve könnte auch alles verworfen werden, bis auf die gewünschten „Login-Adressen“


Macht natürlich insgesamt mehr Arbeit als der Thread-Vorschlag, ist aber ein funktionaler „Workaround“

Foto
1

@ 7842928

Dein Ansatz bringt mich auf die Idee, dass man zumindest übergangsweise auf das Subaddressing als Ersatzmethode zurückgreifen könnte.

Ist nicht gleichwertig zu einer Wegwerfadresse, aber das funktioniert im Allgemeinen erstaunlich gut.

Foto
1

Oder du versuchst es einfach mit Mail Extensions, davon kannst du auch beliebig viele anlegen

https://kb.mailbox.org/display/MBOKB/Wie+man+Mail+Extensions+verwendet

Foto
1

@ 2230986

Subaddressing und Mail Extensions ist dasselbe. ;)

Foto