Mailhosting bei Mailbox.org? Nicht für mich.

Zum Jahreswechsel habe ich beschlossen, es doch noch einmal zu probieren und mit meinen E-Mails von Google Workspace bzw. Office 365 zu einem Anbieter zu wechseln, der nicht nur seine Server, sondern auch seinen Firmensitz in der EU und eine gute Reputation als sicherer Anbieter von Mail-Dienstleistungen hat. Datenschutzfreundlicher – außer E-Mails selbst hosten, aber dazu habe ich eine Meinung – geht aktuell nicht.

In diesem Beitrag möchte ich über meinen Eindruck zu den Services des Mail- und Groupwareanbieters Mailbox.org berichten. Er war zu Beginn äußerst positiv, kippte aber mit der Zeit immer mehr in eine Abwärtsspirale, die mir genügend Drehmoment verschafft hat, um mich von meiner Idee der Mail- und Datenmigration zu Mailbox.org verabschieden zu können. Leider.

Zweifel: UI, Supportdogmatik und Kompatibilität

Meinem Vorsatz, meine Mails bei einem EU-Anbieter zu hosten, standen große Zweifel und schlechte Erfahrungen entgegen, die ich in drei Punkten zusammenfassen kann.

1. User Interface

Die Web-Oberfläche ist eine Zumutung, wirkt nicht ausgereift und ist daher für die tägliche Arbeit nicht geeignet. Damit ist nicht das Layout und das Erscheinungsbild (Screendesign) gemeint, sondern das Fehlen der selbsterklärenden Kraft eines implementierten User Interfaces.

In anderen Worten: Sobald man Tooltips, Hilfetexte oder gar eine Anleitung benötigt, um einfache Funktionen nutzen zu können, ist das User Interface (UI) in meinen Augen als unausgereift und die damit einhergehende User Experience (UX) als schlecht zu bewerten. Darunter leiden europäische Projekte erstaunlich häufig. Mir kommt es immer ein wenig so vor, wie wenn europäische Dienste aus teils sehr nerdigen Liebhaberprojekten erwachsen und somit nie in ihren Grundsätzen davon ausgehen, dass unbedarfte User ohne jegliches Vorwissen mit einem User Interface arbeiten müssen.

2. Voreingenommenheit und Ziel

Das Unternehmen und dessen Support verfolgen ein Ziel oder stehen einer Technologie bzw. einem System voreingenommen gegenüber – und das teilweise dogmatisch. Das verfolgte Ziel ist häufig nicht die Zufriedenheit der Kunden, sondern der manchmal sanfte, oft aber ganz offenkundige Versuch, bestimmte Verhaltens- und Denkweisen zu erzwingen.

Die Voreingenommenheit einem System gegenüber erkennt man nicht nur am User Interface und den dort gewählten Schalt- und Verwaltungslogiken, sondern auch an den Screenshots oder der Beiläufigkeit der Erwähnung bestimmter Technologien in den Anleitungen und Hilfedateien. In anderen Worten: Es wird sehr schnell klar, ob das Unternehmen, das die Services betreibt, ein Team hat, das ausgewogen mit macOS, Windows, Linux, iOS und Android arbeitet, oder eben nicht.

3. Kompatibilitätsprobleme

Sehr zu meinem Erstaunen gibt es nicht gerade selten irgendwo eine Einschränkung in Bezug auf die Kompatibilität/Interoperabilität mit externen Services und externer Software, die es nicht möglich macht, die Angebote so zu nutzen, wie man die Angebote der großen Anbieter wie Microsoft, Google, Fastmail usw. nutzen kann. Dazu gehören vor allem Schnittstellen oder allgemein anerkannte Protokolle. Was nützt mir der beste Mail- und Groupware-Service, wenn ich keine Möglichkeit habe, meine bisherige Software-Infrastruktur damit zu koppeln?

Dieser Punkt erstaunt mich immer wieder, denn gerade darin besteht doch die Chance, ein System auf den Markt zu bringen, das gut integriert und somit unabdingbar gemacht werden kann, oder etwa nicht? Ich habe nicht schlecht geschaut als mir wieder einmal bewusst wurde, dass die Unterstützung von zB IMAP und SMTP bei Office 365, Google Workspace und Fastmail besser (und überhaupt) vorhanden ist, bei einigen der europäischen Konkurrenzprodukte aber fehlt.

Auf den Punkt

Kurzum, meine Erfahrung mit europäischen Anbietern von Mail- und Groupwarelösungen ist nicht gerade die beste. Sie entspricht bislang leider dem, womit auch ein schweizer Politiker unverhohlen die Entscheidung seines Landes, staatliche Daten in die von chinesischen und amerikanischen Firmen betriebenen Cloudangebote zu transferieren, auf den Punkt gebracht hat: Es gibt einfach keinen europäischen […] Anbieter, der „den amerikanischen und chinesischen Firmen auch nur annähernd das Wasser reichen kann“.

Das ist leider auch meine Erfahrung, insofern war ich umso motivierter, den mit so viel Vorschusslorbeeren ausgestatteten Anbieter Mailbox.org zu testen.

Kriterienkatalog: Ansprechendes Interface, Sicherheit und Kompatibilität

Damit ich anhand eines Kriterienkatalogs arbeiten konnte und mich nicht von zu viel Marketingsprech ablenken lassen würde, habe ich für mich diesen Katalog zusammengestellt:

  1. Meine E-Mails müssen in der EU (besser noch in Österreich oder Deutschland) gehostet sein. Der Anbieter der Hostinglösung sollte bestenfalls seinen Firmensitz in der EU haben.
  2. Das System muss in puncto Sicherheit auf dem aktuellen Stand der Dinge und mit den gegenwärtig üblichen Tools (Passwortmanager, evtl. Hardware-Keys und dergleichen) nutzbar sein. Eigene (sowohl im Sinne von „selbst entwickelte“ als auch im Sinne von „eigenartige“ oder „ungewöhnliche“) Implementierungen oder proprietäre und nicht auditierte Systeme sind ein Knock-Out-Kriterium.
  3. E-Mails müssen unter meiner eigenen Domain gehostet sein.
  4. Das Web-Interface soll ansprechend und selbsterklärend sein. Einerseits in der alltäglichen Benutzung (zB Mails beantworten oder als Spam markieren), andererseits in den Einstellungen; nie soll ich mich darin verloren fühlen oder soll mir unklar sein, wo ich welche Einstellung mit welchen Auswirkungen setze.
  5. Die Möglichkeit, direkt über Standardprotokolle mit externen Applikationen auf meine E-Mails zuzugreifen und mit ihnen interagieren zu können, muss gegeben sein. Bridges und andere Programme, die man laden muss, um dann mit den E-Mails interagieren zu können, sind ein Knock-Out-Kriterium, weil externe Services (zb .

Sehr zu meinem Erstaunen reduzieren meine Kriterien die Anzahl der Dienste, die sie überhaupt erfüllen können, ganz drastisch. Besonders schade ist, dass auf Datenschutz fokussierte Anbieter aus Deutschland so schlecht dastehen (oder ich sie einfach nicht kenne). Was ist da los? Wollt ihr alle Unternehmen früher oder später bei Office 365 und Google Workspace sehen?! Und das, obwohl euch zumindest schon einmal die österreichische Datenschutzbehörde mit ihrer Entscheidung gegen Google Analytics so entgegenkommt?

Bleibt also Mailbox.org. Nun gut, dann sehen wir uns also Mailbox.org an!

Services von Mailbox.org: the good.

Vorbelastet wie in der Einleitung beschrieben, aber von sehr positiven Berichten über den deutschen Anbieter Mailbox.org neugierig gemacht, habe ich mich für ein Testkonto angemeldet. Das geht wirklich einfach, problemlos und schnell.

Website & Portal

Der erste Screen, mit dem man nach der Anmeldung konfrontiert wird, ist das Portal.

Mailbox.org: Portal

Es ist aufgeräumt und kann, rechts oben gibt es einen dementsprechenden Link dazu, personalisiert werden. Das passt also gut. Es ist für mich aber nicht wirklich relevant, denn ich werde die Weboberfläche nur sehr selten benutzen; ich werde meine E-Mails überwiegenden über meine Mail-Apps abrufen.

E-Mails

Im ersten Widget des Portals werden der Posteingang und darin befindliche E-Mails angezeigt. Ich klicke auf das erste E-Mail und erwarte mir, in den E-Mail-Modus zu wechseln, wo ich das E-Mail lesen und bearbeiten kann. Das passiert nicht. Stattdessen öffnet sich eine Art Pop-Up-Fenster, was – so mein persönliches Empfinden – ein designmäßiger Wink aus den späten Neunzigern ist und nicht meiner oben beschriebenen Erwartungshaltung entspricht.

Mailbox.org: E-Mail Vorschau

Das tut aber nichts zur Sache, denn ich kenne genug Personen, die mit solchen Popups gerne arbeiten, daher bitte ich all diejenigen, die mein ästhetisches Empfinden nicht mit dem ihren in Einklang bringen können, diese, meine Anmerkung vollständig zu ignorieren. Außerdem ist die Optik, ich habe oben schon beschrieben, warum, in dem Fall ohnehin egal.

Ich habe dieses Popup-Fenster dann weggeklickt und auf die Überschrift des Widgets „Posteingang“ geklickt. Da passiert nichts. Man muss schon auf das Brief-Symbol in der grünen Leiste oben klicken, damit man in den Posteingang kommt. Der wird dann angezeigt und macht einen guten, soliden und aufgeräumten Eindruck. Das ist ein großer Pluspunkt für Mailbox.org. Kein Schnickschnack, eine in drei Panele geteilte Oberfläche (Ordner, Betreff, Inhalt), saubere Anordnung der E-Mails, die wesentlichsten Funktionen gut sichtbar, zusammengefasst: absolut top!

Mailbox.org: Posteingang

Auch alle Möglichkeiten zur Bearbeitung von E-Mails funktionieren gut, hier gibt es nichts zu meckern. Auch wenn es nur sehr selten so sein wird, weiß ich jetzt schon, dass ich hier, in der Weboberfläche, E-Mails gut lesen und bearbeiten kann, sollte der unwahrscheinliche Fall eintreten, dass ich keinen Zugang zu einem meiner Geräte habe, auf denen meine Mail-Applikation installiert und konfiguriert ist.

Kalender, Kontakte, To-Do-Liste und Cloudspeicher

Vorrangig habe ich das Testkonto bei Mailbox.org angelegt, um die E-Mailfunktion zu testen. Kalender, Kontakte, To-Do-Listen usw. sind mir relativ egal. Aber – das muss gesagt sein – sie machen allesamt auf den ersten Blick einen guten und aufgeräumten Eindruck, der meinem Eindruck der E-Mail-Oberfläche entspricht.

  • Der Kalender ist sauber und unterscheidet sich auf den ersten Blick kaum von den Marktführern Office 365 oder Google Workspace. (Ich habe den Kalender nicht näher getestet, also weiß ich nicht, ob er alle wesentlichen Funktionen anbietet, die die eben genannten auch anbieten.)
  • Das Adressbuch ist aufgeräumt und verfügt auch über alle notwendigen Funktionen.
  • Wie auch schon beim Kalender, sieht die Aufgabenverwaltung („To-Do“) toll aus und spielt funktional – auch das bitte als mit dem Zusatz „auf den ersten Blick“ zu verstehen – alle Stücke.
  • Die Oberfläche für den Cloudspeicher, der in allen kostenpflichtigen Plänen bei Mailbox.org nahezu lächerlich niedrig angesetzt ist, ist in Ordnung und erinnert mich an das User Interface, das man bei GMX vorgesetzt bekommt. Aber das ist in Ordnung.

Okay, soweit. Den Kalender könnte ich mir durchaus näher ansehen und überlegen, ob ich ihn nicht vielleicht doch nutze, ebenso das Adressbuch und die Aufgabenverwaltung. Geplant ist es nicht, ich benötige nur einen Mail-Anbieter und mit dem würde ich ohnehin nur über die Mailempfangs- und Sendeprotokolle IMAP und SMTP interagieren. Es ist aber gut zu wissen, dass diese über die Mail-Funktion hinausgehenden Dienste offenbar gut implementiert sind und einen sauberen Eindruck machen.

Erweiterte Groupware-Funktionen bei Mailbox.org: the bad.

Nach den sehr positiven Eindrücken der Darstellung und Implementierung von Mail, Kalender, Aufgabenliste und Adressbuch, nun die etwas weniger gut gelungenen Services, die aber heute kaum mehr wegzudenken sind.

Chat: Srsly?

Ich persönliche nutze die Chat-Funktion bei Office 365 oder Google Workspace praktisch gar nicht und wenn überhaupt, dann nur, um irrelevante, interne Nachrichten zu versenden. Diese Funktion habe ich im Jahr 2021 so selten benutzt, dass ich die paar Male, wo ich sie benutzt habe, wohl an einer Hand abzählen kann. Aber jetzt bin ich in einer Testphase, also sehe ich sie mir natürlich an, die Chat-Funktion, die Mailbox.org mit sich bringt. Und da knickt der gute Eindruck zum ersten Mal ganz massiv ein.

Der Screen, mit dem man konfrontiert wird, wenn man auf das Chat-Symbol klickt, ruft ein großes Fragezeichen bei mir hervor: Was soll das?

Mailbox.org: Chat

Ich weiß, was XMPP ist, ich weiß, was ich hier tun müsste, um mit dem Chatten beginnen zu können, aber so ein User-Interface im angemeldeten Zustand in meiner Groupware ist ein so dermaßen großes No-Go, dass ich gar nicht weiß, was ich jetzt noch dazu schreiben soll. In Google Workspace oder im leidigen Chat in Office 365 ist man sofort angemeldet und kann gleich loslegen. Bei Mailbox.org ist man mit einer Anmeldemaske konfrontiert… das geht in meinen Augen gar nicht und ist ein sehr grober Schnitzer in dem bislang aufgeräumt, selbsterklärend und logisch wirkenden User Interface.

Außerdem ist dieser Screen für Administratoren eines solchen Systems wohl Supportaufwand ohne Ende und Grund für Telefonanrufe, wenn man das System Freunden oder Bekannten empfohlen hat. Was muss ich hier eingeben? Wie ist mein Login? Wo bekomme ich mein Passwort? Albtraum!

Es hat so gut begonnen und dann dieser Bastel-Aspekt einer als vollwertig beworbenen Groupwarelösung. Warum? Wenn ich keinen Chatservice aufbauen und komplett integrieren kann, dann lasse ich es doch, oder?! Aber ruhig Blut! Ich habe mir die Chatfunktion ja nur angesehen und ich habe nicht vor, sie zu nutzen. Ich benötige nur die E-Mail-Funktion und die auch nur über meine lokale Mail-App. Ich tu weiter. Wollen wir doch mal diesen Patzer ignorieren.

Videokonferenz: LOL.

Ich klicke auf das Kamerasymbol, um in den Reiter „Videokonferenz“ zu gelangen. Die Pandemie hat gezeigt, dass diese Funktion essentiell sein kann, und ich gehe davon aus, dass sie essentiell bleiben wird. Persönliche Meetings in lächerlich gebrandeten Räumlichkeiten sind ohnehin passé. Nicht, dass ich mich bei Mailbox.org angemeldet hätte, weil mich diese Funktion interessiert hat, aber wenn sie schon mal da ist, sehe ich sie mir also an.

Was erwarte ich mir? In Office 365 bzw. Google Workspace wird sofort eine Videokonferenz erstellt und ich erhalte die Option, Gäste (oder Mitglieder meiner Organisation) einzuladen; ein oder zwei Buttons, hier ein Direktlink und los geht’s. Das Komplexitätslevel ist gleich Null. Bei Mailbox.org sieht der Screen so aus (ja, das Styling ist tatsächlich so).

Mailbox.org: Videokonferenz

Ich traue meinen Augen nicht. Das muss ein Fehler sein. Ich lade die Seite neu. Es ändert sich nichts. Ich merke, wie meine Sympathien gegenüber Mailbox.org gerade rapide schwinden. Die können doch wohl nicht allen Ernstes von mir verlangen, dass ich ein Videokonferenzsystem benutze, das mit so einem Start-Screen daherkommt?! Und nein, ich bin kein Lehrer – und niemand kann mir weismachen, nicht auch als erstes die Frage „Sie sind Lehrer*in?“ gelesen zu haben. Richtig? Eben. Genau hier liegt das Problem! – und nein, ich lese euren Textwulst da oben nicht. Ich bin einen „Jetzt starten“-Button gewohnt und den sehe ich nicht. #fail

Würde ich den Textwulst aber lesen – und natürlich habe ich ihn gelesen, aber auch nur noch, weil ich nicht wegsehen konnte -, so würde ich feststellen, dass diese Oberfläche das noch am wenigsten Komplizierte am Abhalten einer Videokonferenz ist. Es geht noch viel komplizierter. (Meine Gedanken in eckigen Klammern.)

Beim Erstellen eines neuen Raumes erhalten Sie zwei Passwörter. [Was? Wie? Zwei Passwörter?!] Geben Sie nur das Teilnehmer Passwort an die anderen Teilnehmer weiter. Loggen Sie sich selbst mit dem Moderatoren-Passwort ein. [Bin schon weg, das ist zu kompliziert.] Auf diese Weise stellen Sie sicher, dass Sie die Kontrolle über den Raum behalten. [Wie bitte? Ich kann die Kontrolle über meinen Konferenzraum verlieren?!] Sollen auch andere Personen moderieren können, geben Sie diesen ebenfalls das Moderatorenkennwort zum Einloggen.

Klicken Sie auf den unteren Button, um den Inhalt von giphy.com zu laden.

Inhalt laden

Das ist in meinen Augen keine Anleitung, das ist eine Absprung-Garantie. Ein sicherer Weg, dass Personen, die es ehrlich versuchen und einem Unternehmen wie Mailbox.org eine Chance gegen Office 365 oder Google Workspace geben wollen, nach maximal 2 Minuten bei Skype, Google Meet, Teams oder Zoom landen. Und dass mir in einem ohnehin schon so komplizierten Screen dieser leidige Text mit der Frage „Sie sind Lehrer*in?“ gezeigt wird, trägt noch mehr zur Verwirrung bei. Das ist nämlich ein irreführender Eye-Catcher. In anderen Worten: Dieser Screen ist für mich eine Absprung- und Anbieterwechsel-Garantie.

Aber gut, denke ich mir, sei’s drum. Ich benötige nur das Mailhosting. Und meine E-Mails rufe ich sowieso über eine lokale Mail-App ab. Ist es halt Zoom, Skype, Google Meet oder ein Microsoft Teams-Call. Das tut zwar meiner Intention – Stichwort Datenschutz und europäischer Anbieter – nicht gut, aber ich muss auch damit arbeiten können und nicht meine Zeit in Supportdokumenten, FAQs oder Hilfeseiten verbringen. Egal, denke ich mir, Mail it is, also weiter!

Brechen mit Gewohntem – Einstellungen auf Mailbox.org: the ugly

Einen ganz entscheidenden Bereich habe ich mir bei Mailbox.org noch nicht angesehen: Die Einstellungen. So banal das klingt und so wenig man diesen Bereich in der alltäglichen Arbeit mit einem System benötigt, so wichtig und wesentlich ist er allerdings, um Konfigurationsfehler, die mittlerweile am häufigsten für Sicherheitslücken und andere, auf die Sicherheit bezogene Probleme verantwortlich sind, zu vermeiden.

Einstellungen: OMG

1Password zeigt mir an, dass Mailbox.org die Zwei-Faktor-Authentifizierung unterstützt (sehr großer Pluspunkt!), also will ich sie auch gleich aktivieren. Immerhin ist dann der Zugang zum System gut abgesichert und ich kann in Ruhe und sorgenfrei meine E-Mails über meine Mail-Applikation abrufen.

Für gewöhnlich aktiviert man diese Authentifizierungsart in den Konto-Einstellungen, also klicke ich aufs Zahnrad. Womit ich konfrontiert werde, hat mich hart in der Realität aufschlagen und den eingangs erwähnten, schweizer Politiker in meinem Ohr sehr, sehr, sehr laut werden lassen. So sieht der Screen „Einstellungen“ bei Mailbox.org aus. 44 Menüpunkte (Untermenüs nicht mitgezählt!) auf einem lieblos zusammengebastelten Screen, den ich persönlich als Zumutung empfinde.

Mailbox.org: Einstellungen

Hier ist mir viel zu viel auf viel zu engem Raum abgebildet. Hier verliere ich den Überblick, hier kenne ich mich nicht aus. Es gibt es zwar so etwas wie eine Gruppierung, aber die ist in meinen Augen teils unlogisch und inhaltlich nicht konsistent. Man hätte sich bei Mailbox.org ein wenig an den Großen orientieren können.

Ich kenne mich nicht aus. Und wenn ich mich irgendwo nicht auskenne, dann fühle ich mich nicht sicher. Und wenn ich mich nicht sicher fühle, dann herrscht bei mir auch das Gefühl vor, dass dieser Service nicht sicher sei. Selten habe ich einen so dermaßen unübersichtlichen Einstellungsscreen bei einem Anbieter vorgefunden, der mit seinem Angebot Breitenwirksamkeit erreichen will.

Suche nach der Zwei-Faktor-Authentifizierung

Wir erinnern uns: ich will eigentlich nur die Zwei-Faktor-Authentifizierung aktivieren. Für gewöhnlich findet sich die zugehörige Einstellung in einem Hauptmenü (diese Menüpunkte sind bei Mailbox.org ganz links im Screen zu sehen) unter Konten oder Sicherheit; und wenn nicht da, dann im eigenen Profil. Zumindest ist das bei Gmail, Office 365 und praktisch allen anderen, halbwegs großen E-Mailanbietern so. Ich gehe nun systematischer vor und lasse mich vom ersten Eindruck und der Unmenge an Einstellungsmöglichkeiten nicht überwältigen.

  • Ich nutze die Suchfunktion des Browsers und gebe „Zwei“ ein, um das Wort „Zwei-Faktor-Authentifizierung“ zu finden. Keine Ergebnisse.
  • Ich nutze die Browsersuche abermals und gebe „Multi“ ein, um „Multi-Faktor-Authentifizierung“ zu finden. Ebenso keine Ergebnisse.
  • Ich nutze die Browsersuche ein drittes Mal und gebe „2fa“ ein, um die 2FA zu finden. Und wieder keine Ergebnisse.
  • Ich klicke auf Konten und hoffe, dort etwas zu finden. Dort kann man aber nur die E-Mailkonten bearbeiten und zum Beispiel einstellen, wie die Standardordner (Gesendet, Papierkorb, usw.) heißen sollen. Warum dieser Menüpunkt daher nicht unter „E-Mail“ einsortiert ist, weiß ich nicht.
  • Ich klicke auf Sicherheit, weil, nun ja, dort muss die 2FA ja wohl zu finden sein. Mitnichten! Dort kann man einstellen, ob man automatisch vom System abgemeldet werden soll und ob man das Laden externer Bilder in E-Mails erlauben und welchen Absendern man immer vertrauen will. Das gehört doch auch zu E-Mails, denke ich mir, warum ist das also ein Hauptmenüpunkt? („Sicherheit“ hat übrigens auch noch zwei Unterpunkte – Aktive Clients und mailbox.org Guard. In den Aktiven Clients kann ich den Browser, mit dem ich angemeldet bin, sehen und was man unter mailbox.org Guard verstehen kann, weiß ich nicht, denn ich werde in diesem Reiter mit der Meldung „Vor dem Einsatz von mailbox.org Guard-Sicherheit müssen Sie ein Passwort für Ihre gesicherten Dateien einrichten.“ konfrontiert. Auch wieder eine so hilfreiche Anweisung wie beim Chat oder der Videokonferenz.)

Ich bin immer mehr überzeugt, dass dieses System gewachsen ist und nie einer gründlichen Revision unter dem Aspekt der Usability unterzogen wurde. Wenn man Einstellungen im Einstellungsfenster selbst erklären muss und sie nicht aus der Benutzung des Systems klar sind, dann stimmt doch etwas nicht, oder sehe ich das falsch? Ich zweifle und merke, dass mich das Suchen nach dieser banalen Einstellung irritiert und zu nerven beginnt. Ich will jetzt nur noch die 2FA finden und dann nichts wie raus aus diesem Interface!

Klicken Sie auf den unteren Button, um den Inhalt von giphy.com zu laden.

Inhalt laden

Einatmen. Ausatmen. Überlegen: Ich habe beide Menüpunkte, die mir für die Zwei-Faktor-Authentifizierung plausibel erscheinen, angeklickt. Da war nichts. Ich wechsle zurück zum nichtsaussagenden Menüpunkt „mailbox.org“. Die vielen, vielen, sehr vielen Menüpunkte sind wieder da. Yeah. Not!

Nun prüfe ich in der zweiten Menüleiste (abermals links, diesmal aber im weißen Inhaltsbereich – ja, das ist in Wirklichkeit eine Hauptmenüleiste und keine Untermenüleiste!), ob dort vielleicht irgendetwas zu finden ist – und ja, ich werde fündig! Unter One Time-Passwörter findet sich endlich die Zwei-Faktor-Authentifizierung. Dazu gleich.

Ich darf aber zusammenfassend zum Thema „Einstellungen“ und zugehörige User Experience festhalten: Für mich persönlich ist so ein Screen das genaue Gegenteil von aufgeräumt und übersichtlich. Noch schlimmer: er schafft Verwirrung und Unsicherheit.

Aber auch das soll mir egal sein, denke ich mir, denn ich rufe meine E-Mails ja ohnehin über mein Mailprogramm ab, da werde ich mit diesem Screen nicht so viel zu tun haben. Nur noch die Zwei-Faktor-Authentifizierung aktivieren, die Backup-Codes und Applikationspasswörter erstellen und raus hier.

Zwei-Faktor-Authentifizierung (2FA)

Bevor ich gleich ins Detail gehe, bitte ich die werten Leserinnen und Leser sich kurz an die Einrichtung einer 2FA bei Gmail, Outlook, Office 365, Yandex, Yahoo oder sonstwo zu erinnern. Wie war das? Das Prozedere ist meiner Erfahrung nach immer gleich, die Logik dahinter auch. Fangen wir mit der Logik an. Wozu überhaupt 2FA?

Durch die Einführung eines „zweiten Faktors“ (neben dem selbst gewählten Passwort) wird die Wahrscheinlichkeit eines unrechtmäßigen Zugriffs deutlich gesenkt. Dieser zweite Faktor ist in den meisten Fällen ein von einer Applikation in regelmäßigen Zeitintervallen (meist alle 20 Sekunden) neu generierter, numerischer Code. Die Anmeldung erfolgt dann mit dem Passwort und zusätzlich mit eben diesem zweiten Faktor.

Bitte zieht nun die Vorhänge zu und lehnt euch zurück, wir sehen uns ein kurzes Lehrvideo zum Thema an.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Dass die Zwei-Faktor-Authentifizierung einige weitere Maßnahmen benötigt, liegt auf der Hand. So muss man beispielsweise externe Dienste und Programme (wie zum Beispiel ein Mailprogramm) mit eigenen, vom Rest des Systems im Notfall abkoppelbaren Anmeldedaten, die ohne zweiten Faktor funktionieren müssen, ausstatten. Dieses Problem lösen praktisch alle großen Anbieter so, dass man applikationsspezifische Passwörter, die im besten Fall auch noch nur für Teildienste konfiguriert werden, generieren kann.

Ein Beispiel: Ich benötige für mein Buchhaltungssystem die Möglichkeit, E-Mails versenden zu können. Es muss E-Mails nicht abrufen können und braucht auch keinen Zugriff auf meinen Kalender. Also melde ich mich (mit meinem Master-Passwort und dem generierten 2FA-Code) bei meinem Mailprovider an, generiere dort ein applikationsspezifisches Passwort, das nur für den Mailversand gültig ist, und trage dieses in meinem Buchhaltungssystem ein. Sollte es kompromittiert werden, kann ich über meinen Mailprovider dieses spezifische Passwort löschen und der Zugang für das Buchhaltungssystem ist – ohne andere Services zu unterbrechen – sofort gesperrt. So wird das für jeden Dienst und jedes Programm, das Zugriff auf meine E-Mails benötigt, gemacht: Handy verloren? Kein Problem: App-Passwort für „Mail auf iPhone“ löschen. Fertig. Laptop gestohlen? Gleiches Prozedere. Software, bei der man es sich nochmal überlegt, ebenso.

Soweit zur Theorie. In der Praxis kann so ein System in den meisten Fällen sehr leicht und einfach aktiviert werden. In den meisten Fällen sieht das Aktivierungsprozedere in etwa so aus:

  1. Anmelden beim jeweiligen Dienst und in „Mein Konto“ oder „Sicherheit“ wechseln.
  2. Dort auf den (meist Sub-) Menüpunkt „Zwei-Faktor-Authentifizierung“ klicken und mit einem QR-Code konfrontiert werden. (Alternative: Mobiltelefonnummer für 2FA per SMS. Ist aber nicht empfohlen, also QR-Code!)
  3. QR-Code (mit der dementsprechenden App) scannen und den generierten Code in ein Verifizierungsfeld kopieren.
  4. Backup-Codes herunterladen, speichern und somit die 2FA aktivieren.
  5. Nun gibt es in den meisten Fällen einen neuen Menüpunkt, wo man applikationsspezifische Passwörter generieren kann. Dort gibt man eine Bezeichnung ein (zB “ Buchhaltungssystem“) und erhält ein neues (zusätzliches) Passwort, das eben für eine Applikation spezifisch generiert wurde (und bestenfalls auch für die Nutzung in einem Teil-Dienst konfiguriert ist).

Die 2FA ist ohnehin eine nicht gerade leicht zu verstehende Methode der Authentifizierung, die Aktivierung sollte also so einfach wie nur irgendwie möglich sein, die Benutzung ebenso. Und wie sieht es mit eben dieser aus?

  1. Ich rufe die Login-Seite des Services mit aktivierter 2FA auf.
  2. Ich gebe meinen Login (meist die Mailadresse) und mein Passwort ein. Anschließend klicke ich auf auf Weiter.
  3. Nun kommt entweder ein weiteres Feld oder ein neuer Screen, wo ich meinen von der 2FA-App generierten Code eingeben kann. Ist er eingegeben, klicke ich auf Weiter.
  4. Ich bin nun angemeldet. Das war’s.

Ich denke, ich kann behaupten, dass die meisten dieses Prozedere auch so kennen. Es ist gelernt und die größten und potentiellen Gefahren massiv ausgesetzten Services setzen sie so oder dem Beschriebenen sehr ähnlich ein. Nicht so Mailbox.org. Dort ist alles ein wenig anders. Viel anders. Ganz, ganz anders, eigentlich.

2FA bei Mailbox.org: ganz, ganz anders

Mailbox.org bietet die Zwei-Faktor-Authentifizierung anders als alle (!) Mail- und Groupwareservices, die ich kenne, an. Einerseits ist die Aktivierung (im Vergleich zu zB Office 365, Google Workspace oder Fastmail) deutlich komplizierter, andererseits ist auch die Funktionsweise und die Implementierung eine andere.

Während sich Fastmail, Google und Microsoft bemühen, Komplexität von ihren Userinnen und Usern fernzuhalten, sieht der Screen „One-Time-Passwörter“ bei Mailbox.org so aus.

Mailbox.org: One Time-Passwörter

Mein erster Gedanke, mittlerweile schon etwas genervt von der unnötigen Komplexität und der Zeit, die mir davonläuft, weil die Einstellungshierarchie und -logik so dermaßen undurchsichtig ist und jeder Screen, den man anklickt noch mehr Fragezeichen vor meinem geistigen Auge produziert als der vorherige: Wo ist der QR-Code, den ich (wie sonst überall) scannen kann? Warum muss ich eine Pin (sic!) eintragen? Was ist das OTP-Sicherungslevel, die OTP-Methode und warum gibt es einen OTP Passwort Test. Und – überhaupt ganz schlimm – warum ist der Hinweis da unten rot eingerahmt?! Habe ich bereits jetzt schon etwas falsch gemacht?

Ich klicke auf das Auswahlfeld „OTP-Sicherungslevel“. Dort gibt es 3 Auswahlmöglichkeiten:

  1. Aus, nur normale Passwörter verwenden.
  2. Webinterface OTP, alles andere Passwort.
  3. OTP nur für Webinterface, alle anderen Dienste aus.

Aha. Die User Experience hier ist für mich mit stetig steigender Frustration verbunden. Ich kann mir erklären, dass „Aus“ einfach nur „Deaktivieren/deaktiviert“ bedeutet und es eben keine 2FA gibt. Ich habe aber auch das ungute Gefühl, dass die beiden anderen Auswahlmöglichkeiten nicht das tun, was ich will (und oben als gelerntes Verstehen einer 2FA beschrieben habe). Ich mache also das, was UX-Spezialisten vermutlich einen UX-Supergau nennen würden: Ich lese den Text da oben im Bild, um zu verstehen, was man auf diesem Screen eigentlich von mir will.

Mit einer 2-Faktor-Authentifzierung bestehend aus einem PIN-Code („Wissen“) und einem One Time-Passwort aus sog. Token-Generatoren wie Google Authenticator, FreeOTP, OATH oder Yubikey können Sie sich jederzeit sicher bei mailbox.org einloggen.

Bitte lesen Sie zuerst unsere Anleitung Zwei-Faktor-Authentifizierung einrichten.

Wenn Sie einen bei mailbox.org direkt gekauften YubiKey verwenden identifiziert sich dieser gegen einen YubiKey-Dienst der direkt bei mailbox.org läuft. Ein aus anderen Quellen beschaffter YubiKey authentifiziert sich gegen die weltweite YubiCloud.

What?

Ich will doch nur meinen QR-Code und nicht einen YubiKey. Mir ist doch völlig gleich, dass ich einen YubiKey bei Mailbox.org kaufen kann und dass nur der sich bei Mailbox.org registriert.

Ich.
Will.
Meinen.
QR-Code.
Bitte!

[Wem es bereits jetzt zu viel ist und wer sich – so, zumindest erging es mir – nun allein vom Lesen schon ein wenig beruhigen muss, hier entlang! Ich warte hier. Wir sehen uns in 4:19 Minuten wieder. Langsames und stetes Ein- und Ausatmen hilft. Ja, wirklich. Beruhigt? Okay, weiter geht’s.]

Ich habe den Überblick verloren. Ich weiß nicht, wo es den QR-Code gibt. Ich gehe daher alle Punkte noch einmal Schritt für Schritt durch. Ich habe doch schon so oft eine 2FA bei allen möglichen Diensten aktiviert. Wieso ist das bei Mailbox.org so dermaßen kompliziert?!

  • Pin. Kein Pflichtfeld, außerdem weiß ich ohnehin nicht, wofür das gut sein soll, also lasse ich das mal weg.
  • Wiederholen. Kein Pflichtfeld, also lasse ich das ebenso mal weg. Vermutlich soll man hier den Pin – also eigentlich PIN – bestätigen. Eigenartig, weil es ja kein Pflichtfeld ist, aber egal.
  • OTP-Sicherungslevel. Ich wähle die Option „Webinterface OTP, alles andere Passwort“. Ein neues, rot eingerahmtes Feld erscheint: „Führen Sie vor dem Speichern einen OTP Passwort Test durch. Generieren Sie ein One-Time-Passwort und geben Sie es im Feld OTP Passwort Test ein.“ Okay. Das sieht nach Fortschritt aus.
  • OTP-Methode. Ich kann mich hier zwischen „OTP-Generatoren und andere Yubikeys“ und „YubiKey von mailbox.org“ entscheiden. Nix will ich von Mailbox.org, also wähle ich die erste Option. (Side fact: Wenn man die zweite Option wählt, erscheint doch tatsächlich die Meldung: „Sie haben doch noch keinen Yubikey von uns… Bitte richten Sie sich zuerst einen YubiKey von mailbox.org ein, bevor Sie diesen hier aktivieren.“ – Leute, DANN ZEIGT MIR DOCH BITTE DIE OPTION GAR NICHT AN, wenn ihr das ohnehin wisst!)

Ich möchte jetzt niemandem vorenthalten, was man nun zu sehen bekommt. Ich habe an diesem Bild absolut nichts verändert (außer meine Mailadresse radiert). Der Screen sieht tatsächlich so aus. Ein Screen eines modernen E-Mail- und Groupware-Services, der es mit Google Workspace und Office 365 aufnehmen will. Ready or not, here we go!

Mailbox.org: OTP-Token

Dieses Interface ist… herausfordernd. Ab jetzt habe ich nur noch weitergemacht, weil ich mittlerweile beschlossen habe, (a) diesen Blogpost zu verfassen und weil ich der Hoffnung bin, dass der Blogpost (b) vielleicht den Menschen, die Mailbox.org betreiben, die Augen öffnet: das, was hier passiert, kann doch nur das genaue Gegenteil von positiver User Experience sein!? Das, was ich hier sehen kann, verunsichert und überfordert mich. Dieses Layout, dieses Design, diese unübersichtliche Liste von mit teils unbekannten Begriffen betitelten Reitern ist pure Überforderung für mich.

Ich besitze ein iPhone (und kein Android-Gerät), also beginne ich zu überlegen, welche der 4 (!) verbleibenden Möglichkeiten, wenn man alle Yubikey- und Token-bearbeiten-Reiter ausschließt, für meine Authenticator-App gültig sein könnte. Ich klicke mich also durch dieses graue Fremdelement inmitten eines weißen Screens und lese mir durch, was mir angezeigt wird. Ich habe die vier Screens, die ich betrachtet habe, unten in der Slideshow abgebildet. Was würdet ihr, liebe iOS-Userinnen und -User auswählen? (Android-Userinnen und User sind herzlich eingeladen, mitzuraten!)

Wer die Zwei-Faktor-Authentifizierung nutzen will, aber sich mit den verschiedenen Tokens und Keys, Algorithmen und Berechnungsmethoden nicht auskennt, ist hier aufgeschmissen. Ich habe keine Ahnung, was ich auswählen soll.

Ganz abgesehen davon, und ich erwähne das hier auch nur, bitte ich die werten Leserinnen und Leser sich diese Screens nochmals genau anzusehen! Hier wird in einem weiteren Megamenü – immerhin werden nur in dem kleinen, grauen Bereich, neun Menüpunkte angezeigt – Kraut und Rüben vermischt, denn abgesehen von den Optionen zur Auswahl eines Tokengenerators gibt es hier auch Steuerbefehle wie „Token deaktivieren„, „Token aktivieren“ oder „Token löschen„, die einfach in einer Auswahl mit angezeigt werden. 🤦‍♂️

2FA ohne RTFM? LOL. App-Passwörter: ROFL.

Ich wusste nicht weiter, also habe ich die Anleitung zur Einrichtung der Zwei-Faktor-Authentifizierung bei Mailbox.org aufgerufen. Zuerst wird irgendwas präsentiert, wo mir erklärt wird, was eine Zwei-Faktor-Authentifizierung eigentlich ist. Dann irgendwas, wo ich über Anwendungszwecke aufgeklärt werde. Dann eine Übersicht über die möglichen 2FA-Methoden bei mailbox.org. In Ordnung. Die abermalige Werbung für YubiKeys nervt, aber meinetwegen. Ich überspringe alle Kapitel und gehe direkt zu „Einrichten eines Softtokens“.

Der Text hier ist in meinen Augen etwas merkwürdig. Hier wird ganz selbstverständlich davon ausgegangen, dass ich – wir erinnern uns an die gelernte Funktionsweise eines One Time Passwords im Rahmen der 2FA bei praktisch allen anderen großen Anbietern – eine vierstellige PIN anlege. Na gut, ist in Ordnung. Ich weiß zwar nicht, wozu, aber sei’s drum. (Genau an dieser Stelle werden, so denke ich, alle Userinnen und User, die von ihren Administratoren gezwungen werden, Mailbox.org mit aktiver 2FA zu nutzen, „1234“ als PIN angeben.)

Dann erfahre ich endlich, was die zwei Optionen im Sicherungslevel bedeuten und ich ahne zum ersten Mal, dass 2FA bei Mailbox.org nicht das ist, was 2FA bei den großen Office-Diensten praktisch allen anderen, mir bekannten Services ist. Ich habe, der Dokumentation folgend, diese drei Möglichkeiten:

  1. Die 2FA komplett abzuschalten und mich mit meinem Login und Passwort sowohl über die Weboberfläche als auch über Verbindungsprotokolle wie IMAP und SMTP zu verbinden.
  2. Das Webinterface über die 2FA aufzurufen, aber die Verbindungsprotokolle nach wie vor mit meinem regulären Login und Passwort.
  3. Das Webinterface über die 2FA aufzurufen und alle Verbindungsprotokolle zu deaktivieren.

Das ist eigenartig. In meinen Augen sogar sehr eigenartig. Diese Funktionsweise der 2FA muss man erst einmal einem von Google Workspace oder Office 365 (oder sonst irgendeinem Dienst, der 2FA implementiert hat) kommenden User erklären. Das ist nicht schön. Ich sehe Probleme auf mich zukommen. Auch stellen sich bei mir erste Bedenken hinsichtlich der Sicherheit dieser Implementierung ein, denn applikationsspezifische Passwörter haben mir nicht erst einmal Sicherheit gegeben, wo die Sicherheit potentiell kompromittiert war; doch von ihnen ist hier nicht einmal die Rede.

2FA bei Mailbox.org nur für Mailbox.org. Literally.

Offenbar ist die 2FA-Implementierung bei Mailbox.org ausschließlich (!) auf die Web-Oberfläche bezogen. So, wie es aussieht, werde ich also mein Master-Passwort in meinem E-Mailprogramm hinterlegen müssen. Das habe ich nicht mehr getan, seitdem die großen Dienste die Möglichkeit einer 2FA eingeführt haben. Also seit mehreren Jahren schon.

Klicken Sie auf den unteren Button, um den Inhalt von giphy.com zu laden.

Inhalt laden

Ich wähle also Option 2: Das Webinterface soll mit 2FA geschützt werden, die anderen Protokolle (IMAP, SMTP) über das reguläre Login und das Master-Passwort. Als OTP-Methode wähle ich „OTP-Generatoren und andere Yubikeys“. Und jetzt wird es richtig interessant, denn wir nähern uns dem Screen, der mich vorhin überhaupt erst auf die Hilfeseiten gebracht hat. Und was lese ich da? Was steht da in der Anleitung von Mailbox.org tatsächlich geschrieben? Ich kann es kaum glauben:

Erstellen Sie nun den für Ihr Gerät geeigneten Token. Dazu können Sie die Standardeinstellungen in der Regel nutzen.

Android: FreeOTP, Google Authenticator. Dieser kann auch von iPhone Nutzern mit der iOS OTP App genutzt werden.

Hilfeseiten Mailbox.org

In anderen Worten: Hey, User, wir geben euch einen Menüpunkt namens „Android“ und einen namens „iPhone“, aber auch wenn ihr mit einem iPhone auf unsere Service zugreifen wollt, wählt doch bitte den Menüpunkt „Android“ aus.

Ich persönliche fühle mich veräppelt. Und abgesehen von dem Android/iOS-Gemenge wird, obwohl es ein durchaus nicht unwesentlicher Punkt ist, mit keinem Wort darauf eingegangen, ob man als Tokentyp den ereignis- oder den zeitbasierten wählen soll. Ich habe mich daher nach dem Screenshot gerichtet und das ausgewählt, was dort ausgewählt ist: ereignisbasiert.

One Time Passwort und Backup-Codes: Fragen über Fragen

Einmal eingestellt, kann ich einen QR-Code generieren, den ich mit Google Authenticator, Microsoft Authenticator oder jeder anderen App, die mit 2FA-Codes umgehen kann, nutzen kann. Jeder? Nicht ganz. Sehr zu meinem Erstaunen kommt 1Password mit dem QR-Code nicht klar. (Stellt man allerdings von „ereignisbasiert“ auf „zeitbasiert“ um, funktioniert es auch mit 1Password. Habe ich damit potentiell die Sicherheit des Tokens geschmälert oder hiermit eine Einstellung vorgenommen, die potentiell problematisch sein könnte? Ich weiß es nicht. Finde ich darauf im Screen selbst eine Antwort? Nein. Habe ich nun das Gefühl, unsicherer zu sein? Ja, definitiv.)

Wo bekomme ich nun Backup-Codes? Wie kann ich mich absichern, falls dieser Code nicht generiert werden kann? Oh! Moment! Ich muss wieder nach oben scrollen (!) und dort den von meiner 2FA-App generierten Code bei „OTP Passwort Test“ eingeben. Na dann mache ich das doch einmal, während ich mich wundere, wem es eingefallen ist, in einem User Interface den Ablauf nicht geradlinig (nach unten), sondern so zu konstruieren, dass ich nach unten und dann wieder nach oben scrollen muss, um den Prozess abzuschließen.

Der Test ist positiv und das erfahre ich, in dem sich der Text in einer der beiden rot umrahmten Boxen (!) unter dem Eingabefeld (!!) ändert in: „OTP Passwort Test erfolgreich. Sie können speichern.“

Jetzt erst lese ich, was drunter steht: „Hinweis: Bitte loggen Sie sich nach dem Speichern aus und wieder ein, damit Ihre Änderungen übernommen werden können.“

Na gut, dann tun wir das einmal.

Anmelden mit aktivierter 2FA: Alles anders

Ich melde mich folgsam ab und lande auf der Loginseite von Mailbox.org. Ich bin schon wirklich gespannt, wie die 2FA umgesetzt ist. Sicher nicht so, wie man es von sonst überall gewohnt ist.

Ich werde nicht enttäuscht, denn es gelingt Mailbox.org abermals, mich zu überraschen. Nachdem ich nämlich meine Daten von 1Password habe einsetzen lassen, wurde ich mit dieser Fehlermeldung konfrontiert.

Mailbox.org: 1Password-Login mit aktiver Zwei-Faktor-Authentifizierung

Ich habe nocheinmal mein Passwort mit dem in 1Password gespeicherten verglichen. Es stimmt überein. Irgendwas passt also nicht. Ich bin mir nicht darüber bewusst, dass ich es geändert hätte.

Ganz abgesehen davon, sehe ich nirgendwo einen Hinweis darauf, wo ich hier meinen zweiten Faktor, also den von meiner 2FA-App generierten Code eingeben kann. Für gewöhnlich steht „Login“ erst da, wenn man „Weiter“ geklickt hat, um den 2FA-Code einzugeben. Nicht so bei Mailbox.org, da steht sofort „Login“.

Wie melde ich mich bei Mailbox.org mit aktivierter 2FA an?

Nach noch einem weiteren fehlgeschlagenen Anmeldeversuch habe ich abermals die Hilfeseiten aufgerufen. (Nota bene: Ich habe etliche Jahre Erfahrung mit Web-Services und rufe zum ersten Mal in meinem Leben notwendigerweise die Hilfeseiten eines Services auf, um herauszufinden, wie ich mich hier anmelden kann!) Auf den Hilfeseiten gibt es sogar ein eigenes Kapitel zu „Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort“. Ich ahne Schlimmes und befürchte abermals eine ungewollte Überraschung.

Der erste Satz der Online-Hilfe im Kapitel zum Anmelden mit aktivierter 2FA ist ein Augenöffner:

Beachten Sie bitte, dass PIN und OTP Token hintereinander ins Passwortfeld eingegeben werden müssen.

Im Bildschirmabzug [damit ist, nur, falls das jemand liest, der nach 1960 geboren wurde, ein „Screenshot“ gemeint] wird dargestellt, dass zuerst die 4-stellige PIN und ohne Leerzeichen direkt dahinter das (von Ihrem YubiKey oder Token) generierte Einmalkennwort eingegeben werden muss. (PIN+Token im Feld „Passwort“)

Klicken Sie auf den unteren Button, um den Inhalt von giphy.com zu laden.

Inhalt laden

Noch einmal, in eigenen Worten mit dementsprechendem und zur Verdeutlichung selbst erstelltem Screenshot. Die Zwei-Faktor-Authentifizierung bei Mailbox.org ergänzt das Passwort nicht, es ersetzt das Passwort durch eine Kombination (!) aus der selbstgewählten, vierstelligen PIN (ich will gar nicht wissen, wie oft hier „1234“ genutzt wird) und dem Einmalpasswort, die nacheinander eingegeben werden müssen.

Mailbox.org: Login mit 2FA ersetzt das Passwort und ergänzt es nicht

Formal sind alle Bedingungen für eine 2FA erfüllt. Die 2 Faktoren sind vorhanden: Wissen (PIN) und Haben (Einmalpasswort). Aber dass diese Anmeldung so dermaßen von den gewohnten Interfaces abweicht und somit den Einsatz von Passwortmanagern verunmöglicht ist für mich ein Knock-Out-Kriterium. Das war’s, Mailbox.org, wir werden keine Freunde mehr.

Nicht nur ich zweifle…

Diese Implementierung einer 2FA ist schon sehr eigen und sorgt nicht nur bei mir, sondern auch bei einigen anderen für Verwirrung und Unsicherheit. Ein paar Beispiele:

In vielen dieser Threads werden die Bedenken derjenigen, die sie gestartet haben, beiseite geschrieben oder für nichtig erklärt. Auch andere Userinnen und User kämpfen mit dieser, in meinen Augen und unter Berücksichtigung gewohnter Services sehr spezifischen Implementierung, wie aus den Forumsbeiträgen hervorgeht. Ich fühle mich bei Mailbox.org nach so tollen ersten Eindrücken gar nicht mehr wohl. Und applikationsspezifische Passwörter, Backup-Codes und andere, sonst übliche Schutzmechanismen habe ich bislang noch gar nicht gefunden.

Vielleicht würde ich, hätte ich tiefergehendes Wissen zum Thema Security, den Service haushoch loben und sofort mit der Mailmigration starten. Immerhin, Security ist ja das Thema und die DNA der Macher von Mailbox.org, so sie selbst über sich. Und sie reagieren dementsprechend auch auf Fragen und Kritik. Ein User, der für unterschiedliche Geräte, die er im Einsatz hat, gerne applikationsspezifische Passwörter hätte (und auf Mitbewerber verweist, die das alle so zur Verfügung stellen), bekommt da zum Beispiel die folgende Antwort:

Schön, wenn einige Mitbewerber das so machen. Toll, wenn ihre Kunden das schnupsi finden. Kann auch sein, daß Mitbewerber von vornherein alle Nutzerdaten nicht in LDAP, sondern in SQL-Datenbanken speichern wo jeder alles lesen darf und das Sicherheitslevel ein ganz anderes ist. […] Für uns kommt das nicht in Frage, die Sicherheit geht vor und aktuell schätze ich die Nachteile (keine App-spezifischen Passwörter) niedriger ein, als die Vorteile. Und da ist es auch egal, ob einige User das verstehen oder nicht. Wir bewerten das nach fachlichen Kriterien.

Sollte es durch neuere Software-Versionen in Zukunft möglich sein auch bei LDAP-Binds auf mehrere Passwort-Attribute zurückzugreifen, so werden wir das gerne anbieten. Derzeit ist mir kein Softwarestand bekannt, mit dem sich das auch sicherem Weg erreichen läßt.

Peer Heinlein zum Thema applikationsspezifische Passwörter

Bedeutet so ein Statement im Umkehrschluss, dass andere Services ihren Userinnen und Usern Sicherheit vorgaukeln, wo keine (oder weniger) herrscht? Wohl kaum. Insofern bleibe ich wohl dort mit meinen E-Mails daheim, wo mein Passwortmanager funktioniert und die Implementierung einer 2FA dem gewohnten Schema folgt. Es ist schade, aber mein zuerst wirklich guter Eindruck von Mailbox.org wurde schnell getrübt und bringt mich zu folgendem…

Resümee: Leider nein, Mailbox.org. Leider nein.

Ich bin hochmotiviert, wenn auch skeptisch, an den Transfer meiner E-Mails zu einem europäischen – in dem Fall konkret: deutschen – Anbieter herangegangen. Ich wollte nicht wahrhaben, dass tatsächlich so viele europäische Unternehmen den – ich zitiere den schweizer Politiker aus der Einleitung – „US-amerikanischen und chinesischen Anbietern nicht das Wasser reichen können“.

Da Mailbox.org einen guten Ruf hat, habe ich mir ein Testkonto angelegt und mich im durchaus respektablen Angebot, immerhin bietet Mailbox.org alles an, was zB Office 365 oder Google Workspace anbietet, umgesehen. Die Oberfläche für E-Mails, Kalender, Adressbuch, To-Do-Listen und Cloudspeicher hat, bis auf ein paar optische Schnitzer, kaum Wünsche offen gelassen. Super Sache, gut gemacht, aber leider war es das auch schon für mich mit den positiven Dingen.

Die Funktionen Chat und Videokonferenz sind meiner Meinung nach für den alltäglichen Gebrauch nicht geeignet, weil sie Konfigurationsarbeit voraussetzen, die man – ich gehe nach wie vor davon aus, dass sich Mailbox.org als sichere und datenschutzfreundliche Alternative zu Google Workspace und Office 365 präsentieren will – von den Produkten der Mitbewerber einfach nicht gewohnt ist. In meinen Augen zu kompliziert und zu nah an der technophilen Boomer- und X-Generation, aber meilenweit entfernt von der Erwartungshaltung digital gut assimilierter integrierter Y- und Z-Generationen. (Und nein, wir brechen da jetzt keine Diskussion über IT-Kompetenzen der Jungen vom Zaun, nein, tun wir nicht!)

Unangenehm war für mich das Menü „Einstellungen“, weil ich mich dort nicht zurecht gefunden und so auch nicht mehr sicher gefühlt habe. Die Sorge vor Kontrollverlust, unter anderem auch über die Sicherheit des Systems, ist groß und hinterlässt bei mir ein unangenehmes, das Serviceangebot von Mailbox.org ablehnendes Gefühl.

Die Oberfläche war für mich durch die Bank unübersichtlich und verwirrend (Ausnahmen eingangs erwähnt), die zum Teil inkonsistente Benutzung verschiedener Begriffe (zB „2FA“, „OTP“, „Einmalpasswort“) nicht gerade hilfreich. Und wenn ich, der ich sicherlich schon mehr als hundert Implementierungen der Aktivierung einer 2FA gesehen und durchgeführt habe, auf die Hilfeseiten eines Services angewiesen bin, um überhaupt verstehen zu können, wie die 2FA hier funktioniert, dann ist das in meinen Augen äußerst misslungen umgesetzt.

Klicken Sie auf den unteren Button, um den Inhalt von giphy.com zu laden.

Inhalt laden

Besonders unangenehm und für meine Ablehnung des Services den Ausschlag gebend empfand ich aber die eigene (im Sinne von „eigenartige“) Interpretation der Implementierung einer Zwei-Faktor-Authentifizierung. Mag sie technisch noch so toll sein. Wir erinnern uns? Es ist „egal, ob einige User das verstehen oder nicht. Wir bewerten das nach fachlichen Kriterien.“ Nun gut. Man muss ja kein User sein und muss das auch nicht verstehen.

Meiner Erfahrung nach macht die Einführung einer 2FA im Unternehmensumfeld ohnehin immer eine Menge Schwierigkeiten, weil Userinnen und Usern erst einmal beigebracht werden muss, warum sie diese Art des in ihrer Wahrnehmung mühsamen Logins durchführen sollen und wie das handzuhaben ist. (Soweit ich mich an Cryptopartys und andere Veranstaltungen zum Thema erinnern kann, sind auch die hartgesottensten Datenschutz- und Securityprofis der Meinung, dass Komplexität im Anmeldeprozess im Endeffekt zu Problemen und damit insgesamt zu einer Minderung der Sicherheit führt.)

Wenn man nun davon ausgeht, dass die meisten Userinnen und User ohnehin schon mit einer 2FA, wie sie in Gmail oder Outlook.com genutzt wird, in Berührung gekommen sind, dann ist die von dieser Erfahrung abweichende Implementierung der 2FA, wie sie Mailbox.org einsetzt, gewöhnungsbedürftig; dass sie auch noch die reibungslose Nutzung eines Passwortmanagers erschwert, macht die Sache umso unangenehmer und fehleranfälliger. Ob sie aus technischer Sicht besonders sicher ist oder nicht, ist an dieser Stelle und unter dem Aspekt der Usability daher auch schon egal. In meinen Augen – und ich glaube, das fasst die vielen Worte dieses Artikels auch gut zusammen – leidet Mailbox.org darunter, dass der technische Anspruch fachlicher Profis und die Adaptionsbereitschaft potentieller Nutzerinnen und Nutzer einfach zu weit auseinander liegen.

Zum Schluss: Schnupsi

Ich habe es versucht, Mailbox.org, ehrlich gemeint und mit den besten Absichten. Das ist nicht zuletzt daran zu erkennen, dass ich mir die Mühe gemacht habe, diesen Artikel zu verfassen, in dem ich auf die größten Pain-Points, die ich erlebt habe, hinweise.

Wenn ich mir den Anspruch, mit dem Mailbox.org betrieben wird, und den Zugang, der die Menschen hinter dem Service auszeichnet, ansehe, dann ist mehr als augenscheinlich, dass hier Profis am Werk sind, die ein solides Handwerk betreiben und für die Nutzerinnen und Nutzer ihres Angebots den besten Service liefern wollen. Das ist unbestritten. Das Problem vermeine ich allerdings darin zu sehen, dass dieser Zugang ein sehr technischer ist und der alltäglichen Nutzererfahrung wenig Relevanz beimisst. (Interpretiert man die Wortwahl in den Supportforen – und „schnupsi“ als Depretiativum in Bezug auf die Nutzererfahrung versus „fachliche Kriterien“ als distanziert-professionelle Bezeichnung für den eigenen, allerdings nur auf das Technische reduzierten, Zugang sind nur ein Beispiel -, dann ist das in meinen Augen schon entlarvend.)

Vielleicht hilft dieser Beitrag ja in einer möglichen Evaluierung der gesamten User Experience und ist bestenfalls ein Anstoß, das User Interface vor allem der Einstellungsseiten ein wenig massiv zu überarbeiten. Schön wäre es zumindest. Ich gebe bestimmt nicht auf und werde es sicher noch einmal probieren, aber so, wie das momentan läuft und aussieht, wird das nichts mit uns, und ich bleibe vorläufig bei Google Workspace, FastMail und Office 365.

10 Kommentare

  1. Hallo Mkalina, Peer,
    ich denke Ihr habt beide recht. Die Usability von mailbox.org kann verbessert werden und nur weil es die Platzhirschen anders machen, bedeutet es nicht, dass alles perfekt ist. Zum Thema Security/2FA hat Peer ja bereits Stellung genommen.

    Die Einleitung des Artikels habe ich aufgrund des Titel auch auf mailbox.org bezogen, unten dann aber dann verstanden, dass das allgemeine Kritik und Dich vermutlich bewegt hat, Dir (noch mal) mailbox.org anzuschauen.

    Sofern ich es richtig verstanden habe, hast Du erstmal wenig Kritik am eigentlichen Web-Mailer von Open-Xchange. Es mangelt eher am „drum herum“ (Einstellungen, Verständlichkeit insb. im Bereich Security-Funktionen). Ich denke, man sieht dem UI an, dass Funktionen wie Security und Video organisch rein gewachsen sind und die technische Implementierung im Vordergrund stand. Ich gebe Dir völlig recht, dass Verständlichkeit und Usability insb. im Bereich Security maßgeblich darüber entscheiden, ob Benutzer diese aktivieren und nutzen. Sicherheit nervt, also muss es so verdaulich wie möglich sein. Wenn Du es als Experte nicht auf einfache Weise schaffst, sind andere Benutzer hoffnungslos aufgeschmissen. Hier muss Heinlein erheblich was tun.

    An offenen Standards mangelt es mailbox.org sicherlich nicht. Abgesehen von den Standard E-Mail Protokollen kommen CalDAV/CardDAV hinzu (sogar für Android), auch iCal, WebDAV & Co., so dass sich auch Kalender und Storageservices anderer Anbieter integrieren lassen – wie Du einleitend forderst und es im Sinne einer freien Anbieterauswahl auch sein muss.

    Ich stimme voll zu: Offene Standards sind wichtig, und wer arbeitet genau in die andere Richtung? Von MS kennen wir das ja, aber Google treibt die Silobildung massiv voran. Zunehmend und bewusst wird es Drittanbietern erschwert sich zu integrieren. Ob mit Sicherheitsmechanismen (was ja noch ok ist), aber auch properitäre Entwicklungen (API-Zugriffe, IMAP hätten sie am Liebsten ganz weg) und aufwändigen Zertifizierungen. Erzähl‘ mir bitte nicht, dass das nur zum Wohle der User ist…

    Schade finde ich es, dass Du einerseits etwas schwammig bei den Themen geblieben bist (2FA ist sehr detailliert) und nicht alle Punkte aus Deiner einleitenden Kritik aufgegriffen und bewertet hast. Vielleicht könntest Du mal mit Peer/mailbox.org eine ganzheitliche Bewertung durchführen, dass würde ihrem Produkt Management sicherlich perfekten Input liefern. Und eines ist Peer ja offensichtlich: offen und kritikfähig. Ich kenne niemanden von MS, Google, Zoom & Co., wo man mit dem CEO diskutieren kann.

    Am Ende ist die magische Frage: Kann Peer mit den angekündigten „Erneuerungen“ und einem UI Rework im Bereich Settings etc. das liefern, was der Otto-Normal-Verbraucher benötigt und verwenden kann. Sicherheit steht auf jeden Fall hoch im Kurs bei der Lösung, da ist mir deutlich wohler, als meine Daten in USA mit Behördenzugriff zu haben und meine Verhaltensdaten kommerzialisiert werden, ohne dass ich dem bewusst zustimme (auch da ist Google gaaanz vorne). Wichtig ist, dass wir Anbieter haben, die sich dem Schutz der persönlichen Daten verschreiben und da sind wir in Deutschland, auch im Vergleich zu anderen europäischen Ländern ganz weit vorne. Wenn dann noch Funktion und Usability passt – Peer ;-)

    Auf jeden Fall kann ich sagen, dass mailbox.org für den Alltag eine solide Lösung ist und zuverlässig funktioniert. Besser geht immer :-)

    • Danke für dein ausführliches Statement, Markus! Lass mich kurz auf ein paar deiner Punkte eingehen:

      Offene Standards sind wichtig, und wer arbeitet genau in die andere Richtung? Von MS kennen wir das ja, aber Google treibt die Silobildung massiv voran.

      …immerhin kann man in Gmail noch per IMAP Mails importieren/exportieren. Bei O365 ist das de facto nicht möglich, obwohl sie’s anbieten. Was ich aber eigentlich meinte, und das sollte auch deine Frage nach dem „Wer“ beantworten, ist, dass zB ProtonMail oder Tutanota überhaupt kein vernünftiges IMAP mehr anbieten. (Tutanota ist auch im Artikel verlinkt genau zu dem Thema.) – DAS ist das entscheidende Kriterium. Aber da sind wir uns ja ohnehin einig.

      Schade finde ich es, dass Du einerseits etwas schwammig bei den Themen geblieben bist (2FA ist sehr detailliert) und nicht alle Punkte aus Deiner einleitenden Kritik aufgegriffen und bewertet hast.

      Hm… wo fehlt dir denn noch was? Der Artikel ist ohnehin schon so lange, da habe ich versucht, so kurz als möglich auf die Dinge einzugehen, die ohnehin passen.

      Vielleicht könntest Du mal mit Peer/mailbox.org eine ganzheitliche Bewertung durchführen, dass würde ihrem Produkt Management sicherlich perfekten Input liefern. Und eines ist Peer ja offensichtlich: offen und kritikfähig. Ich kenne niemanden von MS, Google, Zoom & Co., wo man mit dem CEO diskutieren kann.

      Da gebe ich dir zu 100% Recht. Und in Berlin bin ich jetzt auch nicht gerade selten, nicht zuletzt, weil ich dort auch meiner Koffein-Affinität frönen kann. Hiermit mein Angebot: Ich kann gerne mal bei Mailbox.org auf Kaffee und Kritik vorbeikommen, wenn ich mal in der Stadt bin.

      Wichtig ist, dass wir Anbieter haben, die sich dem Schutz der persönlichen Daten verschreiben und da sind wir in Deutschland, auch im Vergleich zu anderen europäischen Ländern ganz weit vorne. Wenn dann noch Funktion und Usability passt – Peer ;-)

      Auch hierzu 100% Zustimmung. Was aber das Problem ist – und das habe ich eben eingangs versucht, deutlich zu machen: Obwohl dem so ist und obwohl sich die EU-Anbieter redlich bemühen, landen vor allem die zahlungskräftigen Firmenkunden praktisch immer bei O365 oder Google. Und da ich beruflich viel mit Menschen zu tun habe, die diese Entscheidungen mitgetragen oder zumindest über die Beweggründe informiert waren, habe ich einen Einblick, warum sie dann doch bei den beiden Großen landen; und die Begründung ist in den allermeisten Fällen das, was ich in der Einleitung geschrieben habe, und hört sich dann meistens so an: „Wir haben evaluiert, aber…“ gefolgt von (1) die Web-Oberfläche ist eine Zumutung (du glaubst nicht, wie viele Unternehmen ihre E-Mails ausschließlich über die Web-Oberfläche bearbeiten, (2) ich habe ein iPhone/Mac und der Support kann nur mit Android/Win und (3) das Ding funktioniert nicht mit meiner Buchhaltungs-, CRM-, ERP-, Wasauchimmer-Software (weil eben zB kein IMAP). Oft, aber eben nicht dramatisch oft, kommt dann noch ein grundsätzliches Misstrauen in kleine Unternehmen hinzu, flankiert von sehr negativen Erfahrungen mit dem hiesigen Support. Sehr viel davon ist „Wohlfühlfaktor“ und das steht halt leider oft ganz am Schluss, wenn so wichtige Themen wie Security oder Performance eine Anbieterfirma antreiben. Für Konsumenten ist der Faktor halt auf gleicher Ebene wie Security und Performance, wenn nicht sogar wichtiger. Und da muss man meiner Meinung nach ansetzen.

  2. Exakt die gleichen Erfahrungen habe ich beim einrichten der 2FA von Mailbox.org auch gemacht.

    Das zusammengewürfelte, hässliche und unübersichtliche Menü gepaart mit den etlichen Einstellmöglichkeiten und der Abwesenheit von App Passwörtern (obwohl von Open x-Change unterstützt) schafft hier kein Vertrauen.
    Wenn schon das für jeden sichtbare Menü eines Dienstes so „zusammengeschustert“ wirkt, wie sieht dann der vorm User unsichtbare Code aus? Waren meine Gedanken dabei.
    Ganz schlechtes Marketing meiner Meinung nach. Genau dieses Menü schreckt sicher viele potenzielle Kunden des Dienstes ab. Hier würde sich definitiv der Stundenlohn eines UI Entwicklers auszahlen, würden dadurch doch deutlich mehr neue Kunden gewonnen werden.

    Gerade wenn man sich einmal vor Augen führt, dass die Einrichtung von 2FA durch einen Standard Users eh schon eine extreme Hürde für diesen darstellt sollte man den Prozess so einfach wie möglich machen.

    Ich hab mich trotzdem dazu entschieden Kunde von Mailbox.org zu werden. Nicht zuletzt, weil Peer auf sehr viele solche Kritik öffentlich reagiert und schlüssig argumentiert. Um ein Haar wäre es aber FastMail geworden weil ich das Interface, die Geschwindigkeit und Einfachheit des Dienstes mag.

    Wieso muss eigentlich alles was mit Datenschutz zu tun hat so kompliziert sein? Vor allem wenn man durch einfache Mittel (eigenentwicklung eines UI mit sinnvollen Menüpunkte) dem User hier ein deutlich besseres Gefühl geben könnte.

    • Ja, dass Peer auf das reagiert, habe ich auch bemerkt. Jetzt bleibt nur noch, die Andeutungen und Ankündigungen auch umzusetzen. Und was deinen letzten Absatz angeht, so habe ich eine sicherlich wenig schmeichelhafte Begründung: Weil sich noch kein US-Konzern des Themas angenommen hat und es deshalb auch noch kein Vorbild gibt.

  3. Und zu einem konkreten Punkt sei noch erwähnt: Es wird (leider aus dem Zusammenhang gerissen) meine Erläuterung im Forum zitiert. Die Absätze davor hatte ich erklärt, wo der technische Unterschied liegt und warum ich in der Tat glaube, dass andere Lösungen unsicherer sind: https://userforum.mailbox.org/topic/alternative-zweite-smtp-zugangsdaten#comment-11677

    Auf die Frage: „Bedeutet so ein Statement im Umkehrschluss, dass andere Services ihren Userinnen und Usern Sicherheit vorgaukeln, wo keine (oder weniger) herrscht? Wohl kaum.“

    Doch. Genau das bedeutet das und ich habe das in dem Beitrag erläutert. Kommt drauf an, wie es konkret implementiert wird, aber in aller Regel bedeutet es genau dass wenn es so implementiert ist, wie es üblicherweise gemacht wird: Systeme nutzen ein Masterpasswort und können damit alle Daten lesen.

    Es ist schwer abzuwägen, was „mehr“ und was „weniger“ Sicherheit ist, denn es geht um eine „andere“ Sicherheit. Insofern kann das auch nicht klar so oder so entschieden werden und es gibt gute Gründe für jede der beiden Varianten. Es geht um die Frage, ob man das Angriffsproblem auf dem Client oder auf dem Server sieht und wogegen man sich schützt.

    Wir halten letzteres für relevanter und eine Umsetzung mit Proxy-Passwörtern, wo jeder beteiligte (kompromittierte) Server sofort tiefen Zugriff auf alle Userdaten erhält, in der Tat für unsicherer, auch wenn viele auf der Welt das aus Bequemlichkeit so machen. Außen Hui und innen Pfui? Mag ich nicht, so dass wir versuchen, hier weitgehend auf zero-knowlegdge oder zumindest extrem gut gegeneinander abgesicherte Zwiebelschichten zu setzen, wo relevante Daten erst durch Anwesenheit und Wissen (=Passwort) des eingeloggten Users aktivierbar/lesbar sind.

    • Danke für die Erklärung – und die Lieferung des Kontexts (der aber schon da ist, wenn man auf den Zitat-Quelllink klickt). Ich finde den Zugang von Mailbox.org ja wirklich spannend und habe vollstes Verständnis für das Statement, dass eben die Server es sind, die ein Angriffsproblem haben. Meiner Erfahrung nach (und ich habe das auch zu explizieren versucht), scheitert es aber praktisch nie am Server, denn der ist ohnehin gut gewartet, speziell, wenn es sich um Cloud-Angebote handelt. (Daher auch meine Affinität dazu und meine Aversion gegen tatsächlich selbst betriebene Maschinen, die nie an das Wartungslevel herankommen können, auf dem Cloud-Angebote operieren.) – Es sind praktisch immer Problem aufseiten der Userinnen und User, die Lücken öffnen. Das ist wahrscheinlich der wesentlichste Punkt, aus dem sich unsere beiden Wahrnehmungsunterschiede nähren. Und das ist auch der Grund, warum ich so stark auf die Interface- und UX-Fragen eingegangen bin: Denn wenn man sich dort einmal verrennt – Userseitig – dann sind wir wieder im Problem mitten drin!

      Aber lass uns doch folgenden Deal schließen: Wenn es bei euch Neues gibt (gerne auch Beta-Version), melde dich doch einfach hier oder per Mail kurz und es wird ein Update zu diesem Review geben! Ich habe es ohnehin im Beitrag angekündigt: Ich gebe bestimmt nicht auf und werde es sicher noch einmal probieren!

  4. Lieber Mkalina!

    vielen Dank für Dein ausführliches Feedback, dass wir sicher und intensiv gelesen haben. Uns freut auch die Tatsache dass es Feedback gibt, auch wenn uns der Inhalt in einigen Punkten natürlich nicht gefallen hat. :-)

    In vielen Punkten müssen und möchten wir Dir aber durchaus zustimmen und darum kurz Einblick geben, woran das liegt bzw. was wir tun, um das zu Lösen.

    Zu (1): Auch wir sind mit dem Webinterface nicht zufrieden und üben hier immer wieder sehr intensive Kritik mit dem zugehörigen Software-Hersteller Open-Xchange und sind hier in sehr intensiven Gesprächen. Zuletzt Ende November als es auch darum ging, ob wir uns von OX abkoppeln und eigene Interfaces entwickeln. Das Gespräch war aber sehr positiv: OX hat seit eineinhalb Jahren einen neuen CEO und man merkt, dass Produkt- und Kundeorientierung wieder nach vorne geholt wird. Aber Änderungen brauchen Zeit. Vor einigen Tagen erreichte mich die Nachricht, dass OX im Frühjahr ein neues Webinterface bekommt. Das lassen wir uns dieser Tage zeigen, noch kenne ich es nicht von innen. Aber wir freuen uns sehr darüber.

    Zu (2): Kann ich inhaltlich einfach nicht nachvollziehen und freue mich hier sehr über einige Beispiele, gerne per Mail an p.heinlein@heinlein-support.de

    Zu (3): Verstehe ich leider überhaupt gar nicht. Wir verfolgen und haben überall offene Standards und wir sind mit allen beliebigen freien Standard-Applikationen ebenso zu benutzen, wie mit proprietären Protokollen wie ActiveSync und damit z.B. auf Mobilgeräten ohne Apps auch als Microsoft Exchange-Konto mit den nativen Applikationen. Als IMAP-Server setzen wir Dovecot ein, der state-of-the-art Nr. 1 Server der auf >> 75% aller IMAP-Server weltweit läuft. Mehr IMAP und Standard geht nicht. Ich würde das wirklich gerne nachvollziehen können und freue mich auch hier über Bespiele per Mail. Wir betrachten uns als 100% offen und kompatibel und kriegen eigentlich sonst auch kein Feedback in eine andere Richtung. Was nicht gut geht: Proprietäres Outlook ohne EAS.

    Einige Erläuterungen, warum wir Dinge so gemacht haben:

    Chat: Wir melden absichtlich nicht automatisch an, da dies zu einem anwesend/online-Status für andere Chat-Teilnehmer führen würde. Aus Datenschutzgründen wollen wir jedoch nicht veröffentlichen, wann jemand online gegangen ist. Auf dem Desktop kann man seinen Chat-Client starten und beenden, wenn wir aber mit jedem Web-Login diese Information in die Welt hinausposaunen würden, ist das mit unseren Datenschutzvorstellungen nicht vertretbar.

    Videokonferenzen: Da Jitsi starke Limitierungen hat und dies nur der erste schnelle Wurf nach Beginn von Corona war, haben wir vor eineinhalb Jahren mit der Entwicklung von OpenTalk begonnen. Dies wird bei uns — und auch anderen Stellen — der Nachfolger von Jitsi werden. Wir haben darum zugegebenermaßen seit einigen Monaten kaum noch Arbeit in Jitsi gesteckt, da OpenTalk weitaus mehr Möglichkeiten und Features bieten wird, das ist ein ganz andere System und Level. Erste Demos kann man auf https://opentalk.eu und https://demo.opentalk.eu sehen, wir planen derzeit einen Rollout von OpenTalk für malbox.org zu Anfang Q2/2022. -Und dann wird da vieles (=alles) anders.

    Einstellungsmenü: Wir teilen dein leid, kann man nicht anders sagen. Es ist uns bislang technisch nicht anders gelungen, hier unsere mailbox.org-spezifischen Einstellungen in das vorhandene OX-Einstellungsmenü (das nichts mit uns zu tun hat) einzupflegen, was viel mit Skalierungen, Responsive Design und Mobile Usage zu tun hat. Wir arbeiten aber auch hier im Hintergrund an einer langfristig anderen Lösung und können bis dahin nur sagen: Ja, das ist nicht schön. Wir starteten mal mit 8 Einstellugspunkten, damals ging das noch, mittlerweile ist mailbox.org zu komplex als dass wir das auf die bisherige Quick&Dirty-Variante weitermachen können.

    2FA und App-Passwörter: Auch hier sind wir langsam auf der Zielgeraden; das Ganze wurde in den letzten Jahren im Kuketz-Forum viel diskutiert (https://forum.kuketz-blog.de/viewtopic.php?p=88762#p88762) und von uns dort auch erläutert. Sobald wir unsere seit 20 Jahren gewachsene API- und Infrastruktur ebenfalls im Frühjahr 2022 auf neue Beine gestellt haben, können wir auch das komplett neu implementieren.

    Das mit Standards- und Protokollen kann ich nicht ganz nachvollziehen, für den Chat haben wir leider unsere Gründe; bei in den Usability-Kritikpunkten stimme ich gerne und seufzend-leidend zu. Ich weiß aber auch, was hier die nächsten Monate nach laaaanger langer Zeit kommen wird und bin mir sehr sicher, dass wir das in 2022 sehr gut gelöst bekommen, worauf wir uns intern schon sehr freuen.

    Lieben Gruß

    Peer
    (CEO mailbox.org)

    • Hi Peer! Danke für deinen Kommentar. Die Punkte 1-3 sind Erfahrung, die ich – ganz allgemein und nicht auf Mailbox.org bezogen – mit EU-Anbietern gemacht habe. Konkret wird es dann ohnehin weiter unten im Text. (Ad 3, zum Beispiel, trifft ja auf Mailbox.org überhaupt nicht zu: Da leiden Tutanota bzw. ProtonMail drunter: dort kann man einfach nicht – wie bei euch schon – per IMAP zugreifen, außer eben mit irgendwelchen mühsamen Bridges.) Und Danke für die klärenden Erläuterungen zu Chat, Videokonferenz und Einstellungen. Vor allem ist der Hinweis zum Kuketz-Blog Diskussionsbeitrag top. Und wie ich sehe – und das freut mich umso mehr – trifft mein Beitrag nicht nur, was Sache ist, sondern die wesentlichsten Punkte sind bei Mailbox.org sogar schon in Bearbeitung. Sehr, sehr fein!

Kommentare sind geschlossen.