ComputerBase Menü
Aktuelles

Emailanbieter in Deutschland mit Webauthn/U2F?

D

Dalek

Lieutenant
Registriert
Jan. 2008
Beiträge
520
Ich bin auf der Suche nach einem neuen Email Anbieter. Momentan benutze ich Google Mail, aber inzwischen ist es mir nicht mehr so ganz geheuer insbesondere da Google recht intransparent auch mal Accounts sperrt bzw. vor vermeintlichem Mißbrauch "schützt".

Meine Anforderungen sind im wesentlichen:

  • gutes Webinterface
  • beliebig viele Email Adressen von meiner eigenen Domain benutzen
  • Webauthn/U2F Unterstützung für 2FA

Grundsätzlich wäre mir auch ein Anbieter in Deutschland ganz recht, einfach weil dann unsere Gesetze gelten die in Sachen Privatsphäre und generellen Rechten als Kunde schon besser sind als z.B. die USA. Das ist aber eine Bedingung die ich nicht mit meinen anderen Anforderungen in Einklang bringen konnte. Der einzige Anbieter den ich finden konnte der meine anderen Anforderungen erfüllt ist Fastmail, die aber nicht in Deutschland sitzen. Insbesondere Webauthn/U2F ist selten zu finden, das ist aber für mich ein hartes Ausschlusskriterium.

Gibt es deutsche Anbieter die meine Anforderungen erfüllen würde, insbesonder was 2FA betrifft? Und was für Erfahrungen habt ihr so mit Emailanbietern auf die meine Anforderungen zutreffen könnten?
 
"Deutschland" kann keine Software, deshalb sind die besten Anbieter nicht deutsch.

Ansonsten:
Protonmail ist stabil und sicherer als es ein deutscher Anbieter sein könnte.
Außerdem gibt es Tutanota.
 
  • Gefällt mir
Reaktionen: aragorn92
ALL-INKL.COM hat bei den Paketen grundsätzlich Mail mit dabei. Dort gibt es für das Postfach auch 2FA wenn das reicht (also mit der 6 stelligen Zahl per App).
Gehostet wird in Deutschland (glaube Dresden) und die Software ist selbst entwickelt. Das Webinterface ist auch recht gut aus meiner Sicht.
Man kann aktuell 3 Monate gratis testen und wenn es nicht gefällt jederzeit kündigen. Nutze den Anbieter selbst seit nun 12 Jahren und bin vollkommen zufrieden
 
Highspeed Opi schrieb:
Protonmail ist stabil und sicherer als es ein deutscher Anbieter sein könnte.
Zum Vergrößern anklicken....
Interessant, da hab ich wohl etwas ältere Informationen gelesen. Die U2F Unterstützung ist noch recht neu und erst in diesem Jahr eingebaut worden.

truetone schrieb:
ALL-INKL.COM hat bei den Paketen grundsätzlich Mail mit dabei. Dort gibt es für das Postfach auch 2FA wenn das reicht (also mit der 6 stelligen Zahl per App).
Gehostet wird in Deutschland (glaube Dresden) und die Software ist selbst entwickelt. Das Webinterface ist auch recht gut aus meiner Sicht.
Man kann aktuell 3 Monate gratis testen und wenn es nicht gefällt jederzeit kündigen. Nutze den Anbieter selbst seit nun 12 Jahren und bin vollkommen zufrieden
Zum Vergrößern anklicken....
Ich will für Email wirklich nur Webauthn/U2F benutzen. Ich hab die Hardware Token dafür, und Email ist der kritische Punkt mit dem man auf sehr viele Dienste zugreifen kann wenn es kompromittiert wird. Deshalb will ich da keinen Kompromiss an der Stelle eingehen.
 
Nur aus Interesse, aber dann holst du die Mails wirklich nur per Webinterface ab? SMTP und IMAP benutzt du dann nicht? Mir wäre neu, dass diese alten Protokolle mit 2FA klar kommen. Kann man das bei diesen Anbietern denn dann deaktivieren?
 
@Dalek
Wenn du alles an der U2F festmachst, okay. Aber wie du sagtest, ist es bereits integriert.
Und Protonmail wächst seit Jahren merklich schnell.
Unter den vielen Mail-Anbietern, bei denen ich registriert bin, ist Protonmail der Einzige, der in den letzten 5 Jahren eine starke Entwicklung hatte.
Praktisch ist auch der kostenlose VPN Service, welcher bei einem Abo wohl viel besser sein dürfte. Der Kostenlose reicht mir aber ebenfalls vollkommen. Sogar für Videos wie Youtube oder Netflix.
 
Falc410 schrieb:
Nur aus Interesse, aber dann holst du die Mails wirklich nur per Webinterface ab? SMTP und IMAP benutzt du dann nicht? Mir wäre neu, dass diese alten Protokolle mit 2FA klar kommen. Kann man das bei diesen Anbietern denn dann deaktivieren?
Zum Vergrößern anklicken....
Ja, ich benutze nur das Webinterface und die App bei Google momentan. Und das wollte ich auch bei dem Nachfolger so machen.
 
Ja aber kann man denn bei den Anbietern dann überhaupt IMAP / POP3 bzw. SMTP verbieten? Das würde ja weiterhin ohne 2FA funktionieren (bei Google muss man dafür immerhin ein App Passwort anlegen afaik, also getrennt vom restlichen Account) aber wie ist das bei Protonmail z.B.?

Ah ich sehe gerade, das unterstützt in der kostenlose Version gar kein IMAP, nur im höheren Tarif. Also kann man das wohl echt abschalten. Interessant. Wieder was gelernt.
 
Kleiner Tipp:
ALLES und ÜBERALL wo man sich mit Google Authenticator anmelden kann, kann man auch mit Authy, selbst wenn es irgendwo nicht stehen sollte, geht es trotzdem.
Man kann es sowohl auf dem Desktop. als auch auf dem Smartphone nutzen.

Ich nutze diese App auch.
Laut mehreren Reviews im Internet, soll es wohl nach wie vor der beste Authenticator weit und breit sein. Vor allem weil man nicht wie bei Google vom Gerät abhängig ist.
 
Nur als kurze Erklärung wieso ich auf Webauthn/U2F bestehe: Ich benutze Yubikeys, d.h. der zweite Faktor sind zwei USB Token. Die können mir natürlich gestohlen werden, aber das ist nicht das entscheidende Risiko für mich. Das größte Risiko sind rein digitale Attacken die eher unspezifisch versuchen Accounts zu erbeuten. Und der zweite Vorteil von U2F hier ist das es absolut immun gegen Phishing ist. Der zweite Faktor ist an die Domäne gekoppelt, d.h. er funktioniert einfach nicht wenn man durch Phishing auf eine andere Domäne gelockt wird. Das ist eine Eigenschaft die man mit TOTP oder SMS 2FA nie bekommt.
 
Dalek schrieb:
Der zweite Faktor ist an die Domäne gekoppelt, d.h. er funktioniert einfach nicht wenn man durch Phishing auf eine andere Domäne gelockt wird. Das ist eine Eigenschaft die man mit TOTP oder SMS 2FA nie bekommt
Zum Vergrößern anklicken....
Kannst du das bitte erklären?
Neulich wurden unsere Amazon Accounts über Phishing übernommen obwohl sie mit einem zweiten Faktor gesichert waren. Wieso ist das in deinem Szenario nicht mehr möglich?
 
Dalek schrieb:
Ich benutze Yubikeys, d.h. der zweite Faktor sind zwei USB Token.
Zum Vergrößern anklicken....
Falls Yubikey Unterstützung reicht und es nicht zwangsläufig U2F/FIDO sein muss, dann kommt auch mailbox.org in Frage: Link
Bei denen bin ich und bin recht zufrieden.
 
Falc410 schrieb:
Kannst du das bitte erklären?
Neulich wurden unsere Amazon Accounts über Phishing übernommen obwohl sie mit einem zweiten Faktor gesichert waren. Wieso ist das in deinem Szenario nicht mehr möglich?
Zum Vergrößern anklicken....
U2F (und der Nachfolger FIDO2, die im Browser inzwischen beide durch die Webauthn Schnittstelle benutzt werden) ist ein Challenge-Response Verfahren. Da wird nicht einfach nur ein Code übermittelt, das ist etwas komplexer. Und die Domäne ist fester Teil des Prozess, wenn ein Token mit einer Seite verbunden wird dann funktioniert es auch nur dort.

Andere Verfahren wie TOTP (das ist der typische Fall mit einer App wie Google Authenticator) übermitteln einfach nur einen Code, der sich regelmäßig ändert. Wenn man den Code abfängt über Phishing und einfach weiterleitet, dann ist man im Account drin. Ein zweiter Faktor schützt praktisch gar nicht vor Phishing, das ist eine Besonderheit von Verfahren wie U2F/FIDO2.
 
  • Gefällt mir
Reaktionen: Falc410
Wir vermuten, dass es bei uns so abgelaufen ist:
1. Phishing Mail kam rein und Nutzer klickt auf Link
2. Bekommt gefälschte Loginseite (andere Domain)
3. Request wird an Amazon weitergeleitet und Amazon verschickt OTP als SMS
4. Nutzer gibt den OTP Code auf der gefälschen Loginseite ein
5. Angreifer ist drin

Ich bin jetzt gerade skeptisch ob U2F dieses Szenario verhindert hätte oder nicht. Brauch da vielleicht erstmal noch ein paar Kaffee.
 
Es schützt allerdings nicht vor DNS-Poisoning, denn da ist die Domäne richtig, aber der Server / die IP falsch. Oft ist auch der erste Faktor, das Passwort, gegen Phishing geschützt, wenn man das automatische Eintragen der Login-Daten aktiviert hat.
Aber klar, ist natürlich eine zusätzliche Schicht Sicherheit, wenn der zweite Faktor auch noch ein wenig geschützt ist.
 
BeBur schrieb:
wenn man das automatische Eintragen der Login-Daten aktiviert hat
Zum Vergrößern anklicken....
Mhm mein letzter Stand war, dass man das nicht machen soll (Bitwarden macht das auch nicht), weil sonst der Browser / Password Safe Auto-Fill macht und das Passwort über Javascript sofort abgefangen werden kann, noch bevor du auf Login klickst - sprich der bloße Aufruf der Seite kann dazu führen, dass dein Passwort entwendet wird. Theoretisch sollte es nicht ausgefüllt werden wenn die Domain nicht passt, aber anscheinend ist die Erkennung wohl nicht 100% genau bei manchen Verfahren?
Aber wie gesagt, noch nicht genug Kaffee um jetzt das automatische ausfüllen zu empfehlen oder nicht.
 
Falc410 schrieb:
Ich bin jetzt gerade skeptisch ob U2F dieses Szenario verhindert hätte oder nicht. Brauch da vielleicht erstmal noch ein paar Kaffee.
Zum Vergrößern anklicken....
Ja, hätte es. Das ist genau das Szenario für das U2F entwickelt wurde.

Siehe https://developers.yubico.com/U2F/Protocol_details/Overview.html für ein paar Diagramme zu U2F. Wenn man ein Token auf einer Webseite einrichtet dann generiert das Token ein Keypaar, die Webseite bekommt den public key geschickt, der private key bleibt auf dem Token und kann da auch nicht ausgelesen werden.

Wenn man sich auf der Webseite anmeldet, dann generiert diese eine Challenge und schickt die an den Browser. Der Browser fügt die Domäne hinzu und leitet das an das Token weiter. Das Token signiert die Challenge mit Domäne mit dem private key und schickt die Antwort zurück. Der Server checkt ob die Signatur zum bekannten public key passt und ob die Domäne stimmt.
BeBur schrieb:
Es schützt allerdings nicht vor DNS-Poisoning, denn da ist die Domäne richtig, aber der Server / die IP falsch. Oft ist auch der erste Faktor, das Passwort, gegen Phishing geschützt, wenn man das automatische Eintragen der Login-Daten aktiviert hat.
Zum Vergrößern anklicken....
Das ist der Punkt an dem man als Normalsterblicher halt nichts mehr machen kann ;-). Und klar, Passwortsafe hilft für diese Problem auch (braucht auch nicht das problematisch auto-fill, wenn der Safe keine Credentials auflisted dann sehe ich das ich auf der falschen Domäne bin). Email ist halt eines der Passwörter die ich nicht im Safe habe da es der Schlüssel für die meisten anderen Accounts ist.
 
  • Gefällt mir
Reaktionen: Falc410
Ich bin da aktuell auch auf der Suche und muss sagen, wenn man bei Protonmail noch den Visionary für 18,- EUR im Monat bekommen hat (ansonsten auch die 24,- EUR im Monat) sind bei Nutzung aller 6 Accounts oder auch nur 4-5 im Vergleich anderen Anbietern echt ein guter Preis.
Hinzu kommt noch, dass man auch VPN und Drive etc. nutzen kann. Drive ist noch sehr im Anfang der Entwicklung, aber Grundfunktionen gehen und ist halt auch mit dabei.

Als weitere Alternative kam mir jetzt der Anbieter Migadu (migadu.com) in den Blick und ich muss sagen, dass der auch sehr interessant ausschaut bzw. auch ein gutes Preiskonzept hat.

Bei Mailbox.org ist man grundlegend auch sehr sehr gut bedient, wenn die "merkwürdige" 2FA Umsetzung und fehlende Services (keine appspezifischen Passwörter) einem nichts ausmachen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Mail mit eigener Domain und 2FA bei Synchronisierung
  • mailquest
  • Online
Antworten
2
Aufrufe
992
SchlachtGeist
S
AlanK
Leserartikel Der ultimative Streaming und Cloud Gaming PC mit WAF*
Antworten
10
Aufrufe
4.834
liz02mo
L
XMG Support
[FAQ] Welche Einschränkungen gibt es bzgl. der Leistungsfähigkeit von Laptops in Verbindung mit USB-C-Netzteilen?
Antworten
0
Aufrufe
5.102
XMG Support
XMG Support
|Moppel|
Linux ≠ Windows | Warum sollte Linux mich wollen?
30 31 32
Antworten
631
Aufrufe
66.673
Randnotiz
Randnotiz
CrEaToXx
Eigenbau mit 2016er Nvidia 980
2 3 4
Antworten
60
Aufrufe
9.363
CrEaToXx
CrEaToXx
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz