Webmail-Zugang deaktivieren? (Roundcube, webmail01.netcup.net)

  • Guten Tag zusammen,


    ich nutze das Paket "Webhosting 1000 SE".

    Wie kann ich den Standard-Webmail-Client, also Roundcube unter webmail01.netcup.net komplett deaktivieren?
    Hintergrund: Dort wird ja keine Zwei-Faktor-Authentisierung unterstützt, weil das entsprechende Roundcube-Plugin nicht installiert ist, das ist mir zu unsicher.
    Daher habe ich über Plesk den alternativen Client Afterlogic WebMail Lite installiert und dort 2fa aktiviert, funktioniert einwandfrei.
    Nun muss ich den Standard-Webmailclient aber ja noch deaktivieren, sonst ist der sicherere Zugang per Afterlogic-Client keine Verbesserung.

    Was nicht funktioniert: Per Plesk folgende Einstellung für die Domain vornehmen "E-Mail-> E-Mail-Einstellungen -> WebMail -> Ohne"
    Trotzdem funktioniert der Login weiterhin.

    Danke für Abhilfe!

    Beste Grüße

    Wolfgang


  • Du kannst im WCP (E-Mail) unter E-Mail-Einstellungen die gewünschten Domains selektieren und auf WebMail klicken. Im erscheinenden PopUp kannst du nun für die selektierten Domains zwischen Webmailserver 01 oder eben auch Ohne wählen.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Du kannst im WCP (E-Mail) unter E-Mail-Einstellungen die gewünschten Domains selektieren und auf WebMail klicken. Im erscheinenden PopUp kannst du nun für die selektierten Domains zwischen Webmailserver 01 oder eben auch Ohne wählen.

    Vielen Dank, genau das führt aber leider zu keiner Änderung. Im WCP (E-Mail) ist an entsprechender Stelle "Ohne" vermerkt. Der Login klappt aber trotzdem, der Webmailer bleibt aktiv.
    Offenbar ist diese Konfigurationsoption von Netcup nicht aktiviert.


    Der Standard-Webmail-Client webmail01.netcup.net kann nicht von uns Kunden deaktiviert werden, da den eventuell sogar alle Kunden, die ein Webspace-Paket bei Netcup haben, Diesen optional nutzen können sollen.

    Schade. Dann wäre es aber gut, wenn der nicht-deaktivierbare Standard-Client zeitnah 2fa nachgerüstet bekommt. Es ist sehr gut, dass es 2fa für den CCP-Login gibt. Genauso wichtig wäre aber ein entsprechender Schutz für die Mails. Das ist bei den großen Mailanbietern längst Standard.
    Sich nur auf einen Faktor (Passwort) verlassen zu müssen, finde ich heikel.
    Da es ein entsprechendes Roundcube-Plugin bereits gibt, sollte der Aufwand überschaubar sein.
    (https://github.com/alexandregz/twofactor_gauthenticator)

  • Vielen Dank, genau das führt aber leider zu keiner Änderung. Im WCP (E-Mail) ist an entsprechender Stelle "Ohne" vermerkt. Der Login klappt aber trotzdem, der Webmailer bleibt aktiv.
    Offenbar ist diese Konfigurationsoption von Netcup nicht aktiviert.

    Wenn man nicht immer alles überprüft... Tatsächlich, das hat keine Auswirkung. habe gedacht ich schließe die Komponente Roundcube durch diese Option sowie das löschen der webmail Subdomain in der DNS aus...

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 1
  • Hintergrund: Dort wird ja keine Zwei-Faktor-Authentisierung unterstützt, weil das entsprechende Roundcube-Plugin nicht installiert ist, das ist mir zu unsicher.

    So weit ich weiß orientiert sich webmail01.netcup.net an der Subdomain mail.[deine-domain]. Du könntest also mal versuchen diesen Eintrag zu löschen (den dazu passenden MX-Eintrag dann natürlich auch). Kann sein, dass du dann noch die TTL abwarten musst.


    Davon mal abgesehen frage ich mich aber, ob das wirklich so ein großer Sicherheitsgewinn ist. Auch wenn Webmail abgeschaltet ist, kann sich doch trotzdem noch jeder direkt über IMAP/SMTP/POP ohne 2FA an dem Mailserver anmelden. Der Zugang über Webmail ist ja nur ein zusätzlicher.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 6
  • 2FA bei Roundcube hat gar keinen Nutzen, wenn IMAP/POP3 keine 2FA-Unterstützung hat.

    Ein 2FA-Plugin hätte also gar keinen Vorteil für die Sicherheit und würde 2FA nur vortäuschen, weil man sich über IMAP/POP3 immer ohne 2FA anmelden könnte.


    EDIT: Virinum war schneller :D

  • Dank dir. An die DNS-Einstellungen wollte ich ungerne ran, muss ich dann wohl aber.
    Ich denke ein gewisser Sicherheitsgewinn wäre es schon, das Kennwort für den Webmailer im Browser ist leichter abzugreifen, als die im Mailprogramm, lokal gespeicherten Login-Daten. Letztlich kann ich den Webmailer dann eigentlich nur sicher auf eigenen Geräten nutzen, auf denen ich aber ohnehin Mailprogramme nutze. Für den "externen Einsatz" ist es ohne 2fa-Absicherung eigentlich zu heikel (also im Internetcafé oder einfach schon auf dem Rechner im Büro).
    Schade. Die Sinnhaftigkeit für 2fa ist ja von Netcup offenbar erkannt, nur noch nicht für den Webmailer umgesetzt. :)
    Vielleicht kommt das aber ja noch.

    So weit ich weiß orientiert sich webmail01.netcup.net an der Subdomain mail.[deine-domain]. Du könntest also mal versuchen diesen Eintrag zu löschen (den dazu passenden MX-Eintrag dann natürlich auch). Kann sein, dass du dann noch die TTL abwarten musst.


    Davon mal abgesehen frage ich mich aber, ob das wirklich so ein großer Sicherheitsgewinn ist. Auch wenn Webmail abgeschaltet ist, kann sich doch trotzdem noch jeder direkt über IMAP/SMTP/POP ohne 2FA an dem Mailserver anmelden. Der Zugang über Webmail ist ja nur ein zusätzlicher.

  • Letztlich kann ich den Webmailer dann eigentlich nur sicher auf eigenen Geräten nutzen, auf denen ich aber ohnehin Mailprogramme nutze. Für den "externen Einsatz" ist es ohne 2fa-Absicherung eigentlich zu heikel (also im Internetcafé oder einfach schon auf dem Rechner im Büro).

    Dafür gibt es TLS?

  • Dafür gibt es TLS?

    Aber hilft das auch wenn auf dem fremden Rechner ein Keylogger läuft oder jemand über die Schulter guckt?
    Für letzteres hilft ein kompliziertes langes Kennwort, schon klar.
    Die Angriffsmöglichkeiten auf einem fremden Rechner oder bei einem unsicheren Browser sind vielfältig, kurz gesagt, es gib ja gute Gründe für 2fa.
    Das Wahrscheinlichkeit, dass es als Schutzmechanismus nötig wird, weil der erste Faktor ausgehebelt wurde, mag gering sein, aber letztlich ist es auch kaum ein Aufwand es optional anzubieten.

  • Aber hilft das auch wenn auf dem fremden Rechner ein Keylogger läuft oder jemand über die Schulter guckt?

    Diesen Sicherheitsgewinn hast du doch aber schon, wenn du dich nicht mit einer Anwendung anmeldest, die kein 2FA kann. (Oder ist da Passwort mit und ohne 2FA identisch?)

  • Diesen Sicherheitsgewinn hast du doch aber schon, wenn du dich nicht mit einer Anwendung anmeldest, die kein 2FA kann. (Oder ist da Passwort mit und ohne 2FA identisch?)

    Ja da ist zwangsläufig identisch. Jede Mailadresse die du bei Netcups anlegst ist über den Ein-Faktor-Webmailer zugänglich. Ein Wahl hat man als Kunde nicht.
    Die Möglichkeit ausschließlich einen durch 2fa abgesicherten Webmailer zu nutzen gibt es eben nicht.

  • So weit ich weiß orientiert sich webmail01.netcup.net an der Subdomain mail.[deine-domain]. Du könntest also mal versuchen diesen Eintrag zu löschen (den dazu passenden MX-Eintrag dann natürlich auch).

    Wenn ich meine E-Mails ausschließlich via Thunderbird/Smartphone über xxxxxx.netcup.net abrufe, kann ich doch die A-Records zu mail und webmail löschen, sowie den MX-Record zu mail.domain.de. Dann noch den MX-Record zu xxxxxx.netcup.net auf 10 setzten, und fertig, oder? Theoretisch bringen mit diese Records doch nichts, außer der Kosmetik.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Ja da ist zwangsläufig identisch. Jede Mailadresse die du bei Netcups anlegst ist über den Ein-Faktor-Webmailer zugänglich. Ein Wahl hat man als Kunde nicht.
    Die Möglichkeit ausschließlich einen durch 2fa abgesicherten Webmailer zu nutzen gibt es eben nicht.

    Okay, dann ist der zweite Faktor meiner Meinung nach wertlos, weil du dich über IMAP und co. ja hnehin immer ohne 2FA anmelden kannst. In diesem Fall hast du den "Mehrwert" an Sicherheit (dass dir niemand über die Schulter schauen kann) ja auch nicht, wenn du einen zweiten Faktor verwendest, da der Login über ein anderes Protokoll immer ohne 2FA möglich sein wird.

  • Wenn man die Subdomain mail.domain.tld (A-Record) im DNS löscht, dann kann man sich beim Webmailer nicht mehr anmelden. Es geht übrigens nur um die Subdomain mail. Wenn man den mx-Record mit mail.domain.tld löscht, hat das keine Auswirkung. Ob dann noch IMAP geht, habe ich nicht ausprobiert, da die Änderung immer mehrere Stunden braucht, bis der Webmailer merkt, dass der DNS-Eintrag futsch ist.


    Ich habe das bemerkt, da ich die Subdomain mail.domain.tld für Quatsch halte und daher gelöscht hatte. Der mx-Record verweist auf mail.domain.tld, und dafür gibt es wiederum einen A-Record, der identisch ist mit dem zweiten MX-Eintrag mxXXXX.netcup.net. Beide MXe verwenden die gleiche IP. Ich verstehe das Setup nicht ganz. Zwei MX-Einträge, also Redundanz, macht ja nur Sinn, wenn am Ende ein zweiter Server steht mit einer anderen IP, oder sehe ich das falsch? Übrigens gibt das Einliefern über den MX mit Namen mail.domain.tld einen Zertifikatsfehler beim Mailversand, der Server hat ein SSL-Zertifikat für netcup.net, und nicht für domain.tld. Wie auch immer ... nach dem Löschen war einen Tag später auch der Webmailzugang futsch. Hat mich aufgrund des DNS-Caches doch eine Zeit gekostet, herauszufinden, wo das Problem lag.