Mailbox.org bietet Ihnen die Option einer Zwei-Faktor-Authentifizierung („2FA“).

Dabei wird das bisherige (Account-) Passwort durch ein zweiteiliges Passwort ersetzt.

Letzteres besteht aus dem Passwortteil "Wissen" und dem Passwortteil "Besitz".
"Wissen" wird über eine durch Sie festgelegte PIN abgebildet.
"Besitz" über ein Gerät oder eine Software auf einem Gerät, wodurch ein Einmalkennwort generiert werden kann.

Hierfür gibt es verschiedene Methoden. Diese werden nachfolgend erklärt und voneinander abgegrenzt. Zudem erfahren Sie, wie diese Methoden einzurichten sind.

Auch wenn Sie ein versierter Benutzer sind, lesen Sie diesen Artikel bitte sorgfältig - speziell den Punkt "Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort"

Inhaltsverzeichnis dieses Beitrages:

 Anwendungszwecke und Vorüberlegungen

Unsere Version der 2FA bietet Schutz vor folgendem Szenario:
Sie möchten sich an unsicheren Geräten einloggen. Unsichere Geräte sind solche, von denen Sie nicht wissen, ob sie durch Viren oder Trojaner kompromittiert sind.
Ob ein Gerät sicher ist, obliegt Ihrer Einschätzung.
In der Regel würde man solche Geräte als unsicher erachten:

  • öffentlich zugängliche Geräte wie die in Internetcafés
  • in Hotels
  • bei Bekannten

Durch die Verwendung einer neu zu definierenden PIN in Kombination mit dem Einmalkennwort wird Ihr bestehendes Accountpasswort geschützt.
Das Accountpasswort ist jenes, welches Sie beim Registrieren Ihres Accounts angegeben haben.

Wenn Sie die 2FA verwenden, dann gelten folgende Einschränkungen

  • Sie können Ihre Haupt-E-Mail-Adresse nicht ändern, solange Sie unter Einstellungen (Zahnradsymbol oben rechts) → mailbox.org → One Time-Passwörter → OTP-Sicherungslevel eine der beiden OTP-Optionen gewählt haben.
    Wenn Sie die Haupt-E-Mail-Adresse ändern wollen, dann müssen Sie die Option OTP-Sicherungslevel auf Aus, nur normale Passwörter verwenden abändern. Dann können Sie die Haupt-E-Mail-Adresse ändern und sich mit dieser wieder einloggen. Stellen Sie abschließend Ihren OTP-Sicherungslevel wieder wie gewünscht ein.

  • Sie können sich nicht mit mehreren Browsern oder Geräten gleichzeitig per Webclient im mailbox.org-Office anmelden.
    Durch die Verwendung der Zwei-Faktor-Authentifizierung ist jeweils nur eine einzelne laufende Anmeldung möglich.

  • Sie müssen sich abmelden, bevor Sie den Browser schließen. (Dies empfehlen wir auch wenn Sie kein OTP verwenden.)
    Tun Sie dies nicht, erhalten Sie beim nächsten Einloggen eine entsprechende Fehlermeldung.

    Wenn Sie diese Fehlermeldung erhalten, melden Sie sich bitte ab.
    Ein korrektes Abmelden funktioniert über einen Klick auf den Avatar (der runde Button rechts oben) → Abmelden

  • Sofern Sie beim OTP-Sicherungslevel OTP nur für Webinterface, alle anderen Dienste aus einstellen, ist ein Login in unseren Helpdesk und auch in das Userforum nicht mehr möglich!
    In diesem Fall können Sie im Forum mit neu registrierten Test-Accounts posten. Mit dem Helpdesk können Sie über die unter https://help.mailbox.org hinterlegte E-Mail-Adresse kommunizieren.

  • Die 2FA ist nur für das Einloggen in den Webclient aktivierbar. Alle anderen Dienste wie z.B. IMAP, POP3 und SMTP mit einem einem lokalen E-Mail-Client oder Datensynchronisation via WebDAV, CalDAV und CardDAV (mit dem entsprechenden Client) unterstützen bei uns keine 2FA.
 Übersicht über die möglichen Zwei-Faktor-Authentifizierungsmethoden bei mailbox.org

Diese Funktion wird auch unterstützt, wenn Sie Mailbox.org mit Ihrer eigenen Domain nutzen.

Wir bieten Ihnen folgende Varianten der Zwei-Faktor-Authentifizierung („2FA“) für Ihren mailbox.org-Account an (vergleiche mit eingangs erwähntem Punkt "Besitz"):

  1. Mit einem Hardware-Token:
    Ein Hardware-Token bietet ein höheres Sicherheitsniveau als die sogenannte "weiche" Zwei-Faktor-Authentifizierung mit z.B. einer Smartphone App.
    Diese Hardwaretoken werden unterstützt:
    1. YubiKey von mailbox.org:
      Die sicherste Methode ist, einen YubiKey von mailbox.org zu verwenden. Diese YubiKeys werden gegen einen YubiKey-Server authentifiziert, den wir selbst betreiben. Dadurch werden keine Daten mit der YubiCloud synchronisiert.
      Die Auswahl an YubiKeys finden Sie in diesem Artikel. Wie Sie diese YubiKeys selbst bei der YubiCloud anmelden, um sie für andere Webdienste verwenden zu können, ist in diesem Artikel beschrieben.
    2. eigener YubiKey:
      Sie können auch einen über andere Händler erworbenen YubiKey vom Hersteller Yubico verwenden. In diesem Fall wird die Authentifizierung mit der weltweiten YubiCloud durchgeführt.
    3. HOTP- bzw. TOTP-kompatible Token wie Nitrokey Pro oder Nitrokey Storage.

  2. Mit einem Software-Token (auch "weiche" 2FA oder OTP Generator genannt) :
    OATH-, TOTP-, HOTP- oder mOTP- kompatible Token. Diese werden auf einem Smartphone installiert, z.B. Apps wie FreeOTP+, Google Authenticator oder die OATH Token-App (iPhone).
    Wir raten Ihnen, sich vorher über die sicherheitsrelevanten Nachteile von Software-Token zu informieren. Achten Sie darauf, dass der Software-Token Generator aus einer vertrauenswürdigen Quelle wie F-Droid stammt und dass er regelmäßig gewartet wird.

SMS-basierte 2FA bieten wir nicht an und werden sie auch zukünftig nicht anbieten, da diese Authentifizierungsmethode als nicht sicher gilt und somit von der Nutzung abgeraten wird.

Wichtig: Falls Sie die 2FA aktiviert haben und dann Ihren YubiKey bzw. Ihr Gerät mit dem Token verlieren, ist ein Rücksetzen Ihres Passwort nur möglich, wenn Sie Passwort-Reset-Methoden für Ihren Account hinterlegt haben.

Für YubiKeys, die Sie nicht bei uns gekauft haben können wir leider keinen Support anbieten.

 Einrichten eines Yubikey von mailbox.org

Im mailbox.org-Office können Sie unter Einstellungen (Zahnradsymbol oben rechts) -> mailbox.org -> One Time-Passwörter die benötigten Einstellungen vornehmen:

a. Legen Sie die vierstellige PIN fest.
Die PIN darf Groß- und Kleinbuchstaben sowie Ziffern enthalten, jedoch keine Sonderzeichen. Geben Sie mehr als vier Zeichen ein, so werden die überschüssigen abgeschnitten und ignoriert.
Merken Sie sich diese PIN, speichern Sie sie in einem Passwordsafe wie z.B. KeepassXC oder hinterlegen Sie sie an einem sicheren Ort.

Stellen Sie sicher, dass beide PIN Felder nun die PIN enthalten.

b. Legen Sie das gewünschte Sicherungslevel fest.

Wir bieten zwei unterschiedliche Sicherungslevel der Zwei-Faktor-Authentifizierung an:

  • Webinterface OTP, alles andere Passwort: Mit dieser Option richten Sie mailbox.org so ein, dass es wie die meisten anderen E-Mail-Provider mit Zwei-Faktor-Authentifizierung funktioniert. Sie können sich im Webinterface mit PIN und Einmalkennwort anmelden und alle anderen Dienste wie IMAP, POP3, SMTP, WebDAV, CalDAV, CardDAV oder ActiveSync weiterhin mit Ihrem (normalen) Passwort nutzen. Sie können somit weiterhin lokale E-Mail-Clients auf Ihrem PC oder Smartphone nutzen, Kalender weiterhin synchronisieren, etc.

  • OTP nur für Webinterface, alle anderen Dienste aus: Hierbei handelt es sich um eine besondere Funktion von mailbox.org. Wenn Sie diese Option wählen, können Sie sich nur im Webclient unter https://www.mailbox.org mit PIN und Einmalkennwort anmelden. Alle anderen Dienste werden für Ihren Account deaktiviert. Sie können dann keine lokalen E-Mail-Clients nutzen und auch keine Daten synchronisieren.

c. Wählen anschließend die OTP-Methode YubiKey von mailbox.org

d. Stecken Sie nun den Yubikey in einen USB Port an Ihrem Computer ein. Klicken Sie nun auf das leere Feld neben OTP Passwort Test. Drücken Sie nun auf den goldenen Knopf mit dem Y-Symbol auf dem Yubikey. Es wird nun automatisch ein Code generiert und in das Feld eingetragen.

e. Klicken Sie nun auf den grünen Button OTP Passwort Test durchführen.

f. War der Test erfolgreich, können Sie nun auf den Button Speichern klicken.

Beachten Sie die Erfolgsmeldung oberhalb:

Loggen Sie sich nun aus.

Damit ist die Zwei-Faktor-Authentifizierung aktiviert und Sie können sich künftig mit Ihrer PIN zusammen mit dem One Time-Passwort des Yubikeys anmelden.

Falls der Test nicht erfolgreich war, richten Sie den Token bitte erneut ein.

 Einrichten eines Softtokens

Im mailbox.org-Office können Sie unter Einstellungen (Zahnradsymbol oben rechts) → mailbox.org → One Time-Passwörter die benötigten Einstellungen vornehmen:

a. Legen Sie die vierstellige PIN fest.
Die PIN darf Groß- und Kleinbuchstaben sowie Ziffern enthalten, jedoch keine Sonderzeichen. Geben Sie mehr als vier Zeichen ein, so werden die überschüssigen abgeschnitten und ignoriert.
Merken Sie sich diese PIN oder speichern Sie sie in einem Passwordsafe wie z.B. KeepassXC oder hinterlegen Sie sie an einem sicheren Ort.

b. Legen Sie das gewünschte Sicherungslevel fest.

Wir bieten zwei unterschiedliche Sicherungslevel der Zwei-Faktor-Authentifizierung an:

  • Webinterface OTP, alles andere Passwort: Mit dieser Option richten Sie mailbox.org so ein, dass es wie die meisten anderen E-Mail-Provider mit Zwei-Faktor-Authentifizierung funktioniert. Sie können sich im Webinterface mit PIN und Einmalkennwort anmelden und alle anderen Dienste wie IMAP, POP3, SMTP, WebDAV, CalDAV, CardDAV oder ActiveSync weiterhin mit Ihrem (normalen) Passwort nutzen. Sie können somit weiterhin lokale E-Mail-Clients auf Ihrem PC oder Smartphone nutzen, Kalender weiterhin synchronisieren, etc.
  • OTP nur für Webinterface, alle anderen Dienste aus: Hierbei handelt es sich um eine besondere Funktion von mailbox.org. Wenn Sie diese Option wählen, können Sie sich nur im Webclient, im mailbox.org-Office mit PIN und Einmalkennwort anmelden. Alle anderen Dienste werden für Ihren Account deaktiviert. Sie können dann keine lokalen E-Mail-Clients nutzen und auch keine Daten synchronisieren.

c. Wählen anschließend die  Methode OTP-Generatoren und andere Yubikeys


Bildschirmabzug: Vorgehen beim Einrichten eines Softtokens. Erklärungen zu den Ziffern im Bildschirmabzug im Text.


d. Erstellen Sie nun den für Ihr Gerät geeigneten Token. Dazu können Sie die Standardeinstellungen in der Regel nutzen.

Android: FreeOTP, Google Authenticator. Dieser kann auch von iPhone Nutzern mit der iOS OTP App genutzt werden.

An dieser Stelle muss die entsprechende Software auf Ihrem Gerät installiert sein. Öffnen Sie diese und erteilen Sie - falls nötig - die Berechtigung zum Zugriff auf die Kamera.

Klicken Sie nun auf den entsprechenden Menüpunkt zum Scannen des QR-Codes.

Bei FreeOTP+ erfolgt dies oben rechts über die drei Punkte.

Wenn Sie auf Ihrem Gerät die Scanfunktion aktiviert haben, klicken Sie im mailbox.org-Office auf den Button erstellen sie ihren Token.

Scannen Sie den nun angezeigten QR-Code mit ihrem Gerät über den Tokengenerator.

Die Zwei-Faktor-Authentifizierung einrichten - eigenes Token verwalten

Hat alles funktioniert, so wird der Token nun auf Ihrem Gerät (hier Android 9 mit FreeOTP+) im Tokengenerator angezeigt:

 Weitere Infos zur Verwaltung und Handhabung der Tokens
  • Standardmäßig werden von uns generierte Tokens LinOTP genannt. Durch Klick auf die drei Punkte neben dem Token können Sie diesen umbenennen. Dies ist insbesondere sinnvoll, wenn mehrere Tokens verwendet werden.
    In der Zeile unter dem Namen des Tokens steht die ID des Tokens. Diese können Sie auch im mailbox.org-Office sehen und dort - falls nötig - abgleichen.

  • Wie im Bildschirmabzug mit dem QR Code oberhalb zu sehen, bieten die Softtoken die Wahl zwischen zeit- (TOTP) und ereignisbasierten (HOTP) Verfahren.

    Bei ersterem läuft der Token einfach nach einer Zeitspanne ab, meist wird das durch einen Timer, Sanduhr o.ä. symbolisiert und generiert dann einen neuen Token.


    Ereignisbasiert heisst, durch Benutzeraktion (meist antippen) wird ein neuer Token erstellt, auch der hat eine Mindestzeitlänge, wird aber eben nicht automatisch, nach einem Zeitfenster sondern durch den User ausgelöst.

    Nun passiert es hin und wieder, daß bestimmte Token Apps mit dem einen oder dem anderen Verfahren nicht funktionieren. Wechseln Sie in dem Fall beim Erstellen das Verfahren.

e. Drücken Sie nun auf Ihrem Gerät im Tokengenerator auf den soeben erstellen Token. Es wird ein neues Einmalkennwort erstellt und der Ablaufcountdown startet. Tippen Sie dieses Einmalkennwort nun ins Feld OTP Passwort Test ein.

f. Klicken Sie nun auf den Button OTP Passwort Test durchführen, bevor der Countdown im Tokengenerator abgelaufen ist. Waren Sie nicht schnell genug, können Sie jederzeit einen neuen Token erstellen und diesen erneut eingeben → Schritt e.

g. War der Test erfolgreich, können Sie nun auf den Button Speichern klicken. Er ist nicht mehr ausgegraut.

Beachten Sie die Erfolgsmeldung oberhalb:

Loggen Sie sich nun aus.

Damit ist die Zwei-Faktor-Authentifizierung aktiviert und Sie können sich künftig mit Ihrer PIN zusammen mit dem One Time-Passwort anmelden.

Falls der Test nicht erfolgreich war, richten Sie den Token bitte erneut ein.

  Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort
Beachten Sie bitte, dass PIN und OTP Token hintereinander ins Passwortfeld eingegeben werden müssen.
Im Bildschirmabzug wird dargestellt, dass zuerst die 4-stellige PIN und ohne Leerzeichen direkt dahinter das (von Ihrem YubiKey oder Token) generierte Einmalkennwort eingegeben werden muss. (PIN+Token im Feld "Passwort")

 Token verloren - was nun?

Wenn Sie Ihr Token verloren haben, können Sie weiterhin von der Funktion Gebrauch machen, Ihr Passwort zurücksetzen zu lassen. In dem Moment, in dem Sie Ihr Passwort z.B. durch eine E-Mail oder einen Resetcode per SMS zurücksetzen, können Sie ein neues Passwort erstellen.

Dadurch wird auch die Zwei-Faktor-Authentifizierung deaktiviert. Mit diesem neuen, regulären Accountpasswort können Sie sich wieder einloggen - und haben wieder wie gewohnt Zugriff auf alle Funktionen Ihres mailbox.org-Office.Sie können Ihr Passwort nur zurücksetzen lassen, wenn Sie entsprechende Informationen in Ihrem Account hinterlegt haben.

Falls Sie z.B. aus Gründen der Anonymität weder eine E-Mail-Adresse noch eine Handynummer für einen Passwort-Reset angegeben haben und der Zugriff auf Ihren mailbox.org-E-Mail-Account via IMAP deaktiviert ist, dann haben wir keine Möglichkeit, Ihre Identität als Inhaber des Accounts zu verifizieren.


In diesem Fall ist ein Passwort-Reset nicht mehr möglich!

 Hinweis für Benutzer von Screenreadern

Um einen Token bearbeiten (aktivieren, deaktivieren, löschen) zu können, muss dieser zunächst ausgewählt werden.
Mit Hilfe der Tastatur lässt sich dieses jedoch nicht bewerkstelligen.
Für Screenreader-Nutzer ist momentan folgender Workaround notwendig:

Deaktivieren Sie im Browser CSS. Für Firefox geht dies wie folgt:

  • drücken Sie "alt", so dass die Menüleiste oben erscheint → Ansicht → Webseiten-Stilkein Stil.Suchen Sie nun den entsprechenden Token und wählen Sie ihn mit "Enter" aus. Nun können Sie CSS wieder aktivieren und der Token erscheint korrekt.





Verwandte Artikel