Unschöne Geschichte, die sich gerade bei mailbox.org abzuspielen scheint. Nutzer die einen catch-all-Alias für ihr Postfach eingerichtet haben, haben einige Zeit plötzlich E-Mails anderer Benutzer aus E-Mail-Postfächern fremder Domänen zugestellt erhalten. Der Fehler ist inzwischen wohl behoben.
Anzeige
Was ist mailbox.org?
mailbox.org ist ein kostenpflichtiger, deutscher E-Mail-Dienst des Berliner Unternehmens Heinlein Hosting GmbH, der seit Februar 2014 online ist. Der Dienst versucht, sich mit besonderem Augenmerk auf Datenschutz, Datensicherheit und Werbefreiheit von anderen Anbietern abzugrenzen.
Eigene Domain mit Catch-All
Der E-Mail-Dienst mailbox.org ermöglicht Kunden mit eigener Domain einen Catch-All-Alias einzurichten. Der Hintergrund ist, dass an diesem Catch-All-Alias alle E-Mails landen, die an die betreffende Domain gesendet werden. Hätte ich beispielsweise ein Konto bei diesem Dienst, könnte ich borncity.com als Domain für den E-Mail-Empfang zuweisen und mit Einrichtung eines Catch-All-Alias alle Mails an diese Domain abgreifen.
Im betreffenden Support-Beitrag von mailbox.org heißt es dazu: "Wenn Sie bei mailbox.org Ihre eigene Domain für E-Mails verwenden, steht es Ihnen auch frei, einen so genannten Catch-All zu verwenden. Mit so einem "Allesfänger" (engl. "catch-all") erhalten sie einfach alle E-Mails dieser Domain, auch solche, für die keine E-Mail-Adresse oder kein spezieller Alias angelegt wurde. Dafür dient ein spezieller Catch-All-Alias." Im Support-Beitrag werden die Schritte zum Einrichten eines solchen Mechanismus im Detail beschrieben.
Problem: E-Mails fremder Domains im Postfach
Es war nur ein kurzer Kommentar von Tomas Jakobs im Diskussionsbereich des Blogs, der auf eine Forendiskussion E-Mails fremder Domain-User im Postfach bei mailbox.org zum Problem verlinkte (danke dafür).
Anzeige
Im Forenthread hat sich ein Nutzer gemeldet und schreibt, dass seit dem 18. Juli 2025, ca. 17 Uhr CEST, an seinem Postfach mit Catch-All-Alias plötzlich E-Mails fremder Benutzer eintreffen, die einen alias@domain.tld registriert haben.
Ein zweiter Nutzer schrieb, dass er das Problem bei sich in seinem Catch-All-E-Mail-Konto ebenfalls nachvollziehen könne. Aktuell scheint nur die Möglichkeit zu bestehen, den Catch-all-Alias beim Postfach zu entfernen.
Es gibt die Spekulation, dass der im Forenbeitrag hier beschriebene Fehler bzw. dessen Reparatur etwas an der Mailzustellung bei mailbox.org verändert hat.
Anbieter bestätigt Vorfall
In diesem Forenbeitrag informiert das Support-Team über einen sicherheitsrelevanten Vorfall, der in obigem Forenthread beschrieben wurde. Der Suppport schreibt, dass man durch Hinweise aus der Community eine Konfigurationsabweichung auf den eigenen Mail-Servern identifiziert habe.
Diese Abweichung ermöglichte unter bestimmten Umständen (bei Nutzung einer Catch-All-Adresse) – trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) in Keycloak – die Authentifizierung mit dem Hauptpasswort.
Betroffen war laut Support potentiell eine dreistellige Zahl an Privatkunden, die sowohl 2FA in Keycloak aktiviert als auch eine Catch-All-Adresse nutzen. Die festgestellte Konfigurationsabweichung der E-Mail-Server bestand seitdem die jeweiligen Benutzer auf den Login 2.0 umgestellt wurden und einen Catch-All für Ihre Domain eingerichtet hatten.
Im verlinkten Forenbeitrag informiert das mailbox.org-Supportteam, was man inzwischen unternommen habe. So sei der Fehler umgehend behoben worden. Die betroffenen Kunden werden individuell informiert und erhalten bei Bedarf Unterstützung. Weiterhin sei der Vorfall an unseren Chief Security Officer gemeldet worden. Ob eine DSGVO-Meldung bei der zuständigen Datenschutzbehörde erfolgt ist, ist offen. Der Vorfall ist eine arg unschöne Geschichte – imho.
Ähnliche Artikel:
Tippfehler: Millionen US-Militär-E-Mails gehen an TLD-Operator in Mali
Anzeige
Unschön?
Ich frage mich ernsthaft wie man das derart verbaseln kann.
Das wird uns der Betroffene sicher erklären. Er ist ja – vorausgesetzt es ist kein Namenszwilling – hier im Forum auch sehr aktiv, gerade bei solchen Themen.
Warum sollte der Betroffene hier erklären können was bei den Systemen eines Dienstleister los ist?
Hier ist eher mailbox.org in der Verpflichtung das aufzuklären.
so siehts aus, ich betreibe aus gründen meinen eigenen Mailserver ;-)
Weil er in Kommunikation mit dem Anbieter steht und daher vielleicht erfährt was schief gelaufen ist?
Hat da auch der Chinese die Infrastruktur gewartet wie die MS-Cloud des US-Verteidigungsministeriums?
Das darf nicht passieren, nicht bei einem Anbieter wie Mailbox.org . Das kostet Reputation.
Ich finde das auch einen unschönen Fehler. Aber diese "das darf nicht passieren" Vorwürfe sind ein bisschen wie aus einem Paralleluniversum. Ihr habt alle noch niemals einen Fehler gemacht? Ich bin kein Fan der Bibel, aber einige Zitate passen dann doch ganz gut: „Wer von euch noch nie eine Sünde begangen hat, soll den ersten Stein auf sie werfen!"
Aus meiner Sicht gehört zu einem Fehler auch die entsprechende Fehlerkultur: Fachgerecht damit umgehen.
Das hat nichts damit zu tun das man keine Fehler
macht. Es ist ein Anbieter, welcher sich diverse Dinge auf die Fahne schreibt. Wenn mich nicht alles täuscht, dann auch Datenschutz. Da muss man verstehen was Systeme machen wenn diese oder jene Parameter gesetzt bzw. Änderungen vorgenommen werden. Aber ein Catch All mit solchen Auswirkungen ist einfach nur….
Aus welchem Grund bietet man (als seriöser Mail Provider) überhaupt "Catch All" an?
damit kann ich für jeden Anbieter, bei dem ich mich registriere, eine eigene E-Mail Adresse verwenden, ohne sie auf meiner seite individuell anlegen zu müssen.
dann sehe ich beim erhalt von spam, bei welchem Anbieter sie abhanden gekommen ist und kann eintreffende emails wegfiltern.
eigentlich ziemlich nützlich.
Mache ich auf einer Domain für solche Zwecke auch so, sehr praktisch.
Kann Mailbox.org etwa kein Mustermann+begriff@domain.tld? Damit kann ich für jeden Anbieter eine eigene Adresse verwenden, ohne catch-all zu nutzen.
Catch All bei einer Domain, die man nicht für sich allein hat, ist sowieso nicht ok, weil man ganz ordnungsgemäß schon alles mitliest, wo es beim Alias in E-Mails an Adressen der Domain einen Tippfehler gibt, der nicht zufällig einen anderen bestehenden Alias ergeben hat.