Die Zwei-Faktor-Authentifizierung (2FA) einrichten
Seit April 2025 führen wir für unsere Kunden schrittweise den Login 2.0 und damit eine modernisierte Zwei-Faktor-Authentifizierung ein. Die für Sie passende Anleitung in diesem Artikel erkennen Sie am Titel des Menüs unter "Einstellungen | mailbox.org":
- Lautet das Untermenü "Zwei-Faktor-Authentifizierung", folgen Sie dem Setup mit TOTP-Code.
- Lautet das Untermenü "One Time-Passwörter", dann folgen sie der Anleitung für PIN + OTP-Token.
Was ist eine Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung (kurz 2FA), ist eine zusätzliche Sicherheitsmaßnahme, die eine erweiterte Form der Verifikation verlangt, um die Identität eines Nutzers zu bestätigen. Diese Methode kombiniert typischerweise das Passwort mit einem TOTP-Code (Zeitbasiertes Einmalpasswort).
2FA erhöht die Sicherheit erheblich, indem es das Risiko eines unbefugten Zugriffs auf Konten oder Systeme reduziert, selbst wenn ein Passwort kompromittiert wird. Es bietet einen zusätzlichen Schutzfaktor, da Angreifer nicht nur das Passwort, sondern auch den TOTP-Code benötigen würden.
Übersicht der 2FA-Methoden bei mailbox.org
- Der Login mit 2FA ist optional.
- Die Zwei-Faktor-Authentifizierung wird auch unterstützt, wenn Sie mailbox.org mit Ihrer eigenen Domain nutzen..
Software Token (2FA-App)
Auch "weiche" 2FA oder OTP-Generator genannt. Kompatibel sind alle OATH-, TOTP-, HOTP- oder mOTP- Generatoren. Benötigt werden dafür ein Smartphone, sowie eine 2FA-App (z.B. KeePass, Bitwarden oder Apple Passwörter).
Achten Sie bei Android darauf, dass die 2FA-App aus einer vertrauenswürdigen Quelle, wie zum Beispiel F-Droid stammt.
Hardware Token
- YubiKey von mailbox.org: Diese YubiKeys werden gegen einen YubiKey-Server authentifiziert, den wir selbst betreiben. Dadurch werden keine Daten mit der YubiCloud synchronisiert.
- YubiKeys von Yubico: Sie können auch einen über andere Händler erworbenen YubiKey vom Hersteller Yubico verwenden. In diesem Fall wird die Authentifizierung mit der weltweiten YubiCloud durchgeführt.
- HOTP- bzw. TOTP-kompatible Token: zum Beispiel Nitrokey Pro oder Nitrokey Storage.
2FA aktivieren - Software Token
Falls Sie 2FA aktiviert haben und den Zugriff auf Ihre 2FA-App oder den YubiKey verlieren, ist ein Zurücksetzen Ihres Passworts nur dann möglich, wenn Sie eine Passwort-Reset-Methode für Ihren Account hinterlegt haben.
Neues Setup mit TOTP-Code
Um die Zwei-Faktor-Authentifizierung zu aktivieren, navigieren Sie zu "Einstellungen | mailbox.org | Zwei-Faktor-Authentifizierung" (1), um in nur drei Schritten den Login mit 2FA einzurichten:
- Vergeben Sie einen Gerätenamen (2).
- Scannen Sie den QR-Code (3) mit Ihrer TOTP-App, oder tragen Sie das OTP-Secret manuell ein (z.B. KeePass, Bitwarden oder Apple Passwörter).
- Geben Sie im Textfeld (4) den mit Ihrer App generierten TOTP-Code ein und klicken Sie auf "Überprüfen und TOTP aktivieren" (5) (Abbildung 1).
Abbildung 1
Fertig. Die Anmeldung zum Webclient erfolgt beim nächsten Mal mit zusätzlicher Abfrage des TOTP-Codes.
Wenn Sie Ihre E-Mails mit einem externen Client abrufen (z.B. Thunderbird) und die Zwei-Faktor-Authentifizierung aktivieren, müssen Sie anschließend ein dediziertes E-Mail App-Passwort für diesen Client erstellen. Die Standard-Logindaten sind dann aus Sicherheitsgründen nicht mehr ausreichend.
Setup mit PIN + OTP-Token
Im mailbox.org-Office können Sie unter "Einstellungen (Zahnradsymbol oben rechts) | mailbox.org | One Time-Passwörter" die benötigten Einstellungen vornehmen:
-
Legen Sie die vierstellige PIN fest: Die PIN darf Groß- und Kleinbuchstaben sowie Ziffern enthalten, jedoch keine Sonderzeichen. Geben Sie mehr als vier Zeichen ein, so werden die überschüssigen abgeschnitten und ignoriert.
Merken Sie sich diese PIN oder speichern Sie sie in einem Passwordsafe wie z.B. KeepassXC oder hinterlegen Sie sie an einem sicheren Ort. -
Legen Sie das gewünschte Sicherungslevel fest.
- Webinterface OTP, alles andere Passwort: Mit dieser Option richten Sie mailbox.org so ein, dass es wie die meisten anderen E-Mail-Provider mit Zwei-Faktor-Authentifizierung funktioniert. Sie können sich im Webinterface mit PIN und Einmalkennwort anmelden und alle anderen Dienste wie IMAP, POP3, SMTP, WebDAV, CalDAV, CardDAV oder ActiveSync weiterhin mit Ihrem (normalen) Passwort nutzen. Sie können somit weiterhin lokale E-Mail-Clients auf Ihrem PC oder Smartphone nutzen, Kalender weiterhin synchronisieren, etc.
- OTP nur für Webinterface, alle anderen Dienste aus: Hierbei handelt es sich um eine besondere Funktion von mailbox.org. Wenn Sie diese Option wählen, können Sie sich nur im Webclient, im mailbox.org-Office mit PIN und Einmalkennwort anmelden. Alle anderen Dienste werden für Ihren Account deaktiviert. Sie können dann keine lokalen E-Mail-Clients nutzen und auch keine Daten synchronisieren.
-
Wählen Sie anschließend die Methode "OTP-Generatoren und andere Yubikeys".
Abbildung 2: Vorgehen beim Einrichten eines Softtokens. Erklärungen zu den Ziffern im Bildschirmabzug im Text.
- Erstellen Sie nun den für Ihr Gerät geeigneten Token. Dazu können Sie in der Regel die Standardeinstellungen verwenden. An dieser Stelle muss die entsprechende Software auf Ihrem Gerät installiert sein. Öffnen Sie diese und erteilen Sie, falls nötig, die Berechtigung zum Zugriff auf die Kamera. Klicken Sie nun auf den entsprechenden Menüpunkt zum Scannen des QR-Codes. Scannen Sie den nun angezeigten QR-Code mit ihrem Gerät über den Tokengenerator.
 im Tokengenerator angezeigt:
Abbildung 4: Der Token wurde erfolgreich über die FreeOTP+ App eingescannt und steht nun zur Verfügung
Weitere Infos zur Verwaltung und Handhabung der Tokens
Standardmäßig werden von uns generierte Tokens LinOTP genannt. Durch Klick auf die drei Punkte neben dem Token können Sie diesen umbenennen. Dies ist insbesondere sinnvoll, wenn mehrere Tokens verwendet werden.
In der Zeile unter dem Namen des Tokens steht die ID des Tokens. Diese können Sie auch im mailbox.org-Office sehen und dort - falls nötig - abgleichen.
Wie im Bildschirmabzug mit dem QR Code oberhalb zu sehen, bieten die Softtoken die Wahl zwischen zeit- (TOTP) und ereignisbasierten (HOTP) Verfahren.
Bei ersterem läuft der Token einfach nach einer Zeitspanne ab, meist wird das durch einen Timer, Sanduhr o.ä. symbolisiert und generiert dann einen neuen Token.
Ereignisbasiert heisst, durch Benutzeraktion (meist antippen) wird ein neuer Token erstellt, auch der hat eine Mindestzeitlänge, wird aber eben nicht automatisch, nach einem Zeitfenster sondern durch den User ausgelöst.
Nun passiert es hin und wieder, daß bestimmte Token Apps mit dem einen oder dem anderen Verfahren nicht funktionieren. Wechseln Sie in dem Fall beim Erstellen das Verfahren.
e. Drücken Sie nun auf Ihrem Gerät im Tokengenerator auf den soeben erstellen Token. Es wird ein neues Einmalkennwort erstellt und der Ablaufcountdown startet. Tippen Sie dieses Einmalkennwort nun ins Feld OTP Passwort Test ein.
f. Klicken Sie nun auf den Button OTP Passwort Test durchführen, bevor der Countdown im Tokengenerator abgelaufen ist. Waren Sie nicht schnell genug, können Sie jederzeit einen neuen Token erstellen und diesen erneut eingeben → Schritt e.
g. War der Test erfolgreich, können Sie nun auf den Button Speichern klicken. Er ist nicht mehr ausgegraut.
Beachten Sie die Erfolgsmeldung oberhalb:
Abbildung 5: Erfolgreiche Änderung der OTP Einstellungen
Loggen Sie sich nun aus.
Damit ist die Zwei-Faktor-Authentifizierung aktiviert und Sie können sich künftig mit Ihrer PIN zusammen mit dem One Time-Passwort anmelden.
Falls der Test nicht erfolgreich war, richten Sie den Token bitte erneut ein.
Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort
Beachten Sie bitte, dass PIN und OTP Token hintereinander ins Passwortfeld eingegeben werden müssen.
Im Bildschirmabzug wird dargestellt, dass zuerst die 4-stellige PIN und ohne Leerzeichen direkt dahinter das (von Ihrem YubiKey oder Token) generierte Einmalkennwort eingegeben werden muss. (PIN+Token im Feld "Passwort")
Abbildung 6: Vorgehen bei der Eingabe von PIN und OTP Token bei der Anmeldung bei mailbox.org
Zugriff auf 2FA-App oder den YubiKey verloren?
Wenn Sie Ihr Token verloren haben, können Sie weiterhin von der Funktion Gebrauch machen, Ihr Passwort zurücksetzen zu lassen. In dem Moment, in dem Sie Ihr Passwort z.B. durch eine E-Mail oder einen Resetcode per SMS zurücksetzen, können Sie ein neues Passwort erstellen. Dadurch wird auch die Zwei-Faktor-Authentifizierung deaktiviert. Mit diesem neuen, regulären Accountpasswort können Sie sich wieder einloggen und haben wieder vollen Zugriff. Sie können Ihr Passwort nur zurücksetzen lassen, wenn Sie entsprechende Informationen in Ihrem Account hinterlegt haben.
Falls Sie z.B. aus Gründen der Anonymität weder eine E-Mail-Adresse noch eine Handynummer für einen Passwort-Reset angegeben haben und der Zugriff auf Ihren mailbox.org-E-Mail-Account via IMAP deaktiviert ist, dann haben wir keine Möglichkeit, Ihre Identität als Inhaber des Accounts zu verifizieren.
In diesem Fall ist ein Passwort-Reset nicht mehr möglich!
Allgemeine Hinweise zur Nutzung von 2FA
-
Das Ändern der Haupt-E-Mail-Adresse ist nicht möglich, solange 2FA aktiviert ist. Deaktivieren Sie 2FA, wählen Sie eines Ihrer Aliasse als neue Hauptadresse und aktvieren Sie anschließend erneut die Zwei-Faktor-Authentifizierung.
-
Sie können sich nicht mit mehreren Browsern, Sessions oder Geräten gleichzeitig im mailbox.org-Office anmelden. Die Verwendung der Zwei-Faktor-Authentifizierung ist jeweils nur auf eine aktive Sitzung beschränkt.
-
Geben Sie den TOTP-Code zeitnah nach der Erstellung ein, da dieser nach einer gewissen Zeit (30 Sekunden) ungültig wird. Aber keine Sorge, Ihre App generiert anschließend gleich einen neuen Token.
Abbildung 7: Fehlermeldung bei der Authentifizierung
Wenn Sie diese Fehlermeldung nach einem erfolgreichen Login erhalten, melden Sie sich bitte ab. Die komplette Fehlermeldung lautet: "Fehler - Bei der Authentifizierung trat ein Fehler auf. Möglicherweise liegt dies an einer kürzlichen Passwortänderung. Bitte melden Sie sich nun ab und melden Sie sich dann wieder mit Ihrem aktuellen Passwort an."
Hinweis für Benutzer von Screenreadern
Um einen Token bearbeiten zu können (aktivieren, deaktivieren, löschen), muss dieser zunächst ausgewählt werden.
Mit Hilfe der Tastatur lässt sich dies jedoch nicht bewerkstelligen. Für Screenreader-Nutzer ist es deshalb notwendig, CSS zu deaktivieren. In Firefox gelingt das so:
Drücken Sie die "Alt-Taste", um das die Option "Ansicht | Webseiten-Stil | kein Stil" zu wählen. Suchen Sie nun den für Sie passenden Token und wählen Sie ihn mit "Enter" aus. Anschließend können Sie CSS wieder aktivieren und der Token wird korrekt dargestellt.