Mailbox.org: Mails fremder Nutzer im eigenen Postfach bei Catch-All

[CB_usr90]

Wie im Blog von Borncity berichtet, wurden bei mailbox.org-Nutzern mit Catch-All-Postfach (alle Mails an eigene Domain werden geleitet) plötzlich E-Mails zugestellt, die eigentlich für andere Menschen und Domains gedacht waren. Laut dem Anbieter wurde das Problem gefunden und behoben. Wer Catch-All nutzt, sollte trotzdem ein Auge auf sein Postfach haben.

Für mich ein absolutes No-Go.

Was denkt ihr darüber?

https://www.borncity.com/blog/2025/...tzer-bei-catch-all-konfiguration-im-postfach/

 

[Khorneflakes]

Was denkt ihr darüber?

Bankrotterklärung, sowas darf nicht nur nicht passieren, es darf garnicht erst möglich sein.

 

[kieleich]

Mir ist das auch schon passiert aber da wars mein eigenes Mailsystem unter meinen eigenen Domains.

Bei einem kommerziellen Anbieter geht man ja von aus, das die nicht am Produktiv System herumbasteln.

Aber am Ende kochen die alle, auch nur mit Wasser...

Ergänzung (19. Juli 2025)

plötzlich E-Mails zugestellt, die eigentlich für andere Menschen und Domains gedacht waren.

Ist schon die gleiche Domain oder? Dann deutlich geringere Auswirkung da nicht jeder so ein Setup haben wird. Wer teilt sich ne Domain mit wildfremden? Sollte natürlich trotzdem nicht sein wenns so angeboten wird

 

[Arboster]

Ist schon die gleiche Domain oder?

Auf Borncity steht fremde Domains.
Das ist schon heftig.

Von deren Webseite:

 

[JumpingCat]

Betroffen war laut Support potentiell eine dreistellige Zahl an Privatkunden, die sowohl 2FA in Keycloak aktiviert als auch eine Catch-All-Adresse nutzen. Die festgestellte Konfigurationsabweichung der E-Mail-Server bestand seitdem die jeweiligen Benutzer auf den Login 2.0 umgestellt wurden und einen Catch-All für Ihre Domain eingerichtet hatten.

Die Info hätte in das Startposting gehört.

 

[kieleich]

Das war ein anderes Problem (der Blog Beitrag wirft da ein paar Geschichten zusammen in einen Topf)

Ergänzung (19. Juli 2025)

Auf Borncity steht fremde Domains.

In der Primärquelle jedoch nicht

 

[B. Gyemant]

Liebe Computer-Base-Community,

Leider stimmt es, dass es durch einen Administrationsfehler für eine kurze Zeit dazu kommen konnte, dass E-Mails von catchall-Accounts in anderen Postfächern derselben Domain angezeigt werden konnten.

Dies geschah in einem klar begrenzten Zeitraum – von Freitag, 18.07. um 17:00 Uhr bis Samstag gegen 02:00 Uhr morgens. Dann wurde der Fehler von uns bemerkt und unmittelbar behoben. Betroffen ist eine maximal mittlere dreistellige Zahl an Team-Accounts.

Wichtig ist uns dabei die Klarstellung: Zu keinem Zeitpunkt wurden E-Mails an fremde Domains zugestellt. Das Problem trat unter bestimmten Voraussetzungen nur innerhalb der individuellen Domain eines Team-Accounts auf.

Auch wenn nur eine äußerst geringe Anzahl von Accounts betroffen sein kann – wir nehmen den Vorfall ernst, haben ihn unmittelbar behoben und von unserem Team am Wochenende analysieren lassen. Aktuell arbeiten wir noch an der weiteren Analyse und internen Aufarbeitung.

An verschiedenen Stellen wurde vermutet, dass E-Mails breit abgeflossen sein könnten – auch an Dritte. Das trifft nach heutigem Erkenntnisstand nicht zu. Dennoch ist es uns wichtig, auch kleinere Vorfälle klar zu benennen, aus ihnen zu lernen und Maßnahmen abzuleiten.

Wenn ihr konkrete Rückfragen habt, kommt bitte direkt auf uns zu. Wir stehen gerne zur Verfügung.

Mit herzlichen Grüßen
Balint Gyemant

Teamleiter mailbox.org

 

[wesch2000]

Der Umgang mit diesem Problem durch mailbox.org gefällt mir.