Unschöne Geschichte, die sich gerade bei mailbox.org abzuspielen scheint. Nutzer die einen catch-all-Alias für ihr Postfach eingerichtet haben, haben einige Zeit plötzlich E-Mails aus E-Mail-Postfächern anderer Benutzer (der gleichen Domain) zugestellt erhalten. Der Fehler ist inzwischen wohl behoben.
Was ist mailbox.org?
mailbox.org ist ein kostenpflichtiger, deutscher E-Mail-Dienst des Berliner Unternehmens Heinlein Hosting GmbH, der seit Februar 2014 online ist. Der Dienst versucht, sich mit besonderem Augenmerk auf Datenschutz, Datensicherheit und Werbefreiheit von anderen Anbietern abzugrenzen.
Eigene Domain mit Catch-All
Der E-Mail-Dienst mailbox.org ermöglicht Kunden mit eigener Domain einen Catch-All-Alias einzurichten. Der Hintergrund ist, dass an diesem Catch-All-Alias alle E-Mails landen, die an die betreffende Domain gesendet werden. Hätte ich beispielsweise ein Konto bei diesem Dienst, könnte ich borncity.com als Domain für den E-Mail-Empfang zuweisen und mit Einrichtung eines Catch-All-Alias alle Mails an diese Domain abgreifen.
Im betreffenden Support-Beitrag von mailbox.org heißt es dazu: "Wenn Sie bei mailbox.org Ihre eigene Domain für E-Mails verwenden, steht es Ihnen auch frei, einen so genannten Catch-All zu verwenden. Mit so einem "Allesfänger" (engl. "catch-all") erhalten sie einfach alle E-Mails dieser Domain, auch solche, für die keine E-Mail-Adresse oder kein spezieller Alias angelegt wurde. Dafür dient ein spezieller Catch-All-Alias." Im Support-Beitrag werden die Schritte zum Einrichten eines solchen Mechanismus im Detail beschrieben.
Problem: E-Mails "fremder" Nutzer im Postfach
Es war nur ein kurzer Kommentar von Tomas Jakobs im Diskussionsbereich des Blogs, der auf eine Forendiskussion E-Mails fremder Domain-User im Postfach bei mailbox.org zum Problem verlinkte (danke dafür).
Im oben verlinkten Forenthread hat sich ein Nutzer gemeldet und schreibt, dass seit dem 18. Juli 2025, ca. 17 Uhr CEST, an seinem Postfach mit Catch-All-Alias plötzlich E-Mails fremder Benutzer eintreffen, die einen alias@domain.tld registriert haben.
Ein zweiter Nutzer schrieb, dass er das Problem bei sich in seinem Catch-All-E-Mail-Konto ebenfalls nachvollziehen könne. Aktuell scheint nur die Möglichkeit zu bestehen, den Catch-all-Alias beim Postfach zu entfernen.
Es gibt die Spekulation, dass der im Forenbeitrag hier beschriebene Fehler bzw. dessen Reparatur etwas an der Mailzustellung bei mailbox.org verändert hat.
Hinweis: Es gab initial die Vermutung, dass Mails fremder Domains im Catch-All-E-Mail-Konto eingetroffen seien. Das ist wohl unzutreffend und wurde zwischenzeitlich in obigem Text präzisiert. mailbox.org hat das inzwischen aufgeklärt (siehe auch nachfolgenden Kommentar des Supports) und gibt folgendes an:
"Durch eine temporäre Konfigurationsabweichung auf unseren Systemen konnte es in einem klar begrenzten Zeitraum (am 18.07.2025 zwischen 17:00 Uhr und ca. 02:00 Uhr des Folgetages) dazu kommen, dass einzelne Mails innerhalb derselben Domain eines Team-Accounts nicht korrekt zugeordnet wurden. Ein Empfang von E-Mails fremder Domains war dabei zu keinem Zeitpunkt möglich."
Anbieter bestätigt Vorfall
In diesem Forenbeitrag informiert das Support-Team über einen sicherheitsrelevanten Vorfall, der in obigem Forenthread beschrieben wurde. Der Suppport schreibt, dass man durch Hinweise aus der Community eine Konfigurationsabweichung auf den eigenen Mail-Servern identifiziert habe.
Diese Abweichung ermöglichte unter bestimmten Umständen (bei Nutzung einer Catch-All-Adresse) – trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) in Keycloak – die Authentifizierung mit dem Hauptpasswort.
Betroffen war laut Support potentiell eine dreistellige Zahl an Privatkunden, die sowohl 2FA in Keycloak aktiviert als auch eine Catch-All-Adresse nutzen. Die festgestellte Konfigurationsabweichung der E-Mail-Server bestand seitdem die jeweiligen Benutzer auf den Login 2.0 umgestellt wurden und einen Catch-All für Ihre Domain eingerichtet hatten.
Im verlinkten Forenbeitrag informiert das mailbox.org-Supportteam, was man inzwischen unternommen habe. So sei der Fehler umgehend behoben worden. Die betroffenen Kunden werden individuell informiert und erhalten bei Bedarf Unterstützung. Weiterhin sei der Vorfall an den Chief Security Officer des Unternehmens gemeldet worden. Ob eine DSGVO-Meldung erforderlich ist und bei der zuständigen Datenschutzbehörde erfolgte, ist offen. Der Vorfall ist eine unschöne Geschichte – imho.
Ähnliche Artikel:
Tippfehler: Millionen US-Militär-E-Mails gehen an TLD-Operator in Mali
MVP: 2013 – 2016
Unschön?
Ich frage mich ernsthaft wie man das derart verbaseln kann.
Das wird uns der Betroffene sicher erklären. Er ist ja – vorausgesetzt es ist kein Namenszwilling – hier im Forum auch sehr aktiv, gerade bei solchen Themen.
Warum sollte der Betroffene hier erklären können was bei den Systemen eines Dienstleister los ist?
Hier ist eher mailbox.org in der Verpflichtung das aufzuklären.
so siehts aus, ich betreibe aus gründen meinen eigenen Mailserver ;-)
Weil er in Kommunikation mit dem Anbieter steht und daher vielleicht erfährt was schief gelaufen ist?
Hat da auch der Chinese die Infrastruktur gewartet wie die MS-Cloud des US-Verteidigungsministeriums?
Das darf nicht passieren, nicht bei einem Anbieter wie Mailbox.org . Das kostet Reputation.
Ich finde das auch einen unschönen Fehler. Aber diese "das darf nicht passieren" Vorwürfe sind ein bisschen wie aus einem Paralleluniversum. Ihr habt alle noch niemals einen Fehler gemacht? Ich bin kein Fan der Bibel, aber einige Zitate passen dann doch ganz gut: „Wer von euch noch nie eine Sünde begangen hat, soll den ersten Stein auf sie werfen!"
Aus meiner Sicht gehört zu einem Fehler auch die entsprechende Fehlerkultur: Fachgerecht damit umgehen.
Das hat nichts damit zu tun das man keine Fehler
macht. Es ist ein Anbieter, welcher sich diverse Dinge auf die Fahne schreibt. Wenn mich nicht alles täuscht, dann auch Datenschutz. Da muss man verstehen was Systeme machen wenn diese oder jene Parameter gesetzt bzw. Änderungen vorgenommen werden. Aber ein Catch All mit solchen Auswirkungen ist einfach nur….
> Ihr habt alle noch niemals einen Fehler gemacht? <
Doch, aber meine Kollegen haben ihn abgefangen. Wissen schon, 4+ Augenprinzip.
Na ja, da gibt's aber keinen allgemeinen Anspruch drauf, dass sowas immer funktioniert!
Wir sind nunmal eine fehlerbehaftet konstruierte Spezies – wer weiß schon, wofür's gut (und richtig) is'?
Aus welchem Grund bietet man (als seriöser Mail Provider) überhaupt "Catch All" an?
damit kann ich für jeden Anbieter, bei dem ich mich registriere, eine eigene E-Mail Adresse verwenden, ohne sie auf meiner seite individuell anlegen zu müssen.
dann sehe ich beim erhalt von spam, bei welchem Anbieter sie abhanden gekommen ist und kann eintreffende emails wegfiltern.
eigentlich ziemlich nützlich.
Mache ich auf einer Domain für solche Zwecke auch so, sehr praktisch.
Kann Mailbox.org etwa kein Mustermann+begriff@domain.tld? Damit kann ich für jeden Anbieter eine eigene Adresse verwenden, ohne catch-all zu nutzen.
Dafür ist "Plus Addressing" deutlich besser geeignet.
Das ist von Online Diensten und Spammern, die solche Mails auf ihren Listen haben, aber leicht erkennbar und entspr. wird der + Teil eben weggelassen beim Spam versenden.
Nein, dergleichen ist zur Spamabwehr grundsätzlich ungeeignet, da die "Plus Adressierung" von Spammern oft schlicht ignoriert wird.
In wie weit löst catch-all das Problem von Spam?
Die Adresse löschen kann man nicht, ist schließlich catch-all. Auf die Blockliste setzen geht. Das geht aber auch mit jeder normalen Adresse. Da spielt es keine große Rolle, ob die den Plus-Teil weglassen oder nicht.
Blockieren kannst du die Adresse nur, wenn du gar keine Mails für die Adresse mehr empfangen möchtest. Das ist – insbesondere bei Einzeladressen wie bei gmail – eher unpraktisch.
Wenn ich stattdessen pro Absender eine echte einzigartige Adresse verwende, kann ich selektiv genau die passenden Spammer blockieren und weiß zusätzlich noch wer meine Adresse weitergegeben hat.
Ich würde mich z.B. hier unter borncity@domain.tld registrieren. Irgendwann kommt Spam unter der Adresse an. Dann füge ich in meine Mailserverkonfiguration einen Filter für den Account borncity@ hinzu, der eingehende Mails sofort verwirft (und vor dem catch-all greift).
Das funktioniert so gut, dass ich komplett ohne sonstige Spamfilter keine 10 Spammails im Jahr in meinem Postfach habe.
Mailbox.org nutze ich für die vielen Dinge, wo man E-Mail-Adressen angeben muss, diese aber nur für eine Sache braucht. Da gibt es die sog. Wegwerf-Adressen, die man (falls erforderlich) verlängern kann oder auch nach Abschluss der nötigen Transaktionen wieder löschen kann. Leider kann man von dieser Adresse nichts aktiv versenden, aber zum Registrieren auf Webseiten geht es prima.
Falls ich doch mal was senden will, richte ich einen neuen Alias ein (z.B. mein-nutzer-202507@mailbox.org), den ich dann wieder löschen kann.
Seitdem hat sich mein Spam-Aufkommen deutlich verringert.
Catch All bei einer Domain, die man nicht für sich allein hat, ist sowieso nicht ok, weil man ganz ordnungsgemäß schon alles mitliest, wo es beim Alias in E-Mails an Adressen der Domain einen Tippfehler gibt, der nicht zufällig einen anderen bestehenden Alias ergeben hat.
Liebe Borncity-Community,
Leider stimmt es, dass es durch einen Administrationsfehler für eine kurze Zeit dazu kommen konnte, dass E-Mails von catchall-Accounts in anderen Postfächern derselben Domain angezeigt werden konnten.
Dies geschah in einem klar begrenzten Zeitraum – von Freitag, 18.07. um 17:00 Uhr bis Samstag gegen 02:00 Uhr morgens. Dann wurde der Fehler von uns bemerkt und unmittelbar behoben. Betroffen ist eine maximal mittlere dreistellige Zahl an Team-Accounts.
Wichtig ist uns dabei die Klarstellung: Zu keinem Zeitpunkt wurden E-Mails an fremde Domains zugestellt. Das Problem trat unter bestimmten Voraussetzungen nur innerhalb der individuellen Domain eines Team-Accounts auf.
Auch wenn nur eine äußerst geringe Anzahl von Accounts betroffen sein kann – wir nehmen den Vorfall ernst, haben ihn unmittelbar behoben und von unserem Team am Wochenende analysieren lassen. Aktuell arbeiten wir noch an der weiteren Analyse und internen Aufarbeitung.
An verschiedenen Stellen wurde vermutet, dass E-Mails breit abgeflossen sein könnten – auch an Dritte. Das trifft nach heutigem Erkenntnisstand nicht zu. Dennoch ist es uns wichtig, auch kleinere Vorfälle klar zu benennen, aus ihnen zu lernen und Maßnahmen abzuleiten.
Wenn ihr konkrete Rückfragen habt, kommt bitte direkt auf uns zu. Wir stehen gerne zur Verfügung.
Mit herzlichen Grüßen
Balint Gyemant