De-Mail mit WEB.DE

Diese Anbindung lohnt sich nur für Einzelpersonen oder sehr kleine Firmen. Sie binden sich dabei an den Provider "web.de", da die DE-Mail-Adresse im Format %userpart&@web.de-mail.de ist. Wenn sie als Firma heute schon unter "firma.tld". erreichbar sind, dann sollten sie vielleicht etwas warten, bis ein Provider für sie auch "firma.de-mail.de" anbieten kann. Das wird dann aber nicht kostenfrei sein.

De-Mail gestartet und auch ohne Firma oder passendes Gateway wie z.B. enQsig können Sie als Einzelperson ein DE-Mail Konto verwenden. Allerdings benötigen Sie natürlich einen Provider. Schon viele Jahre habe ich ein Free-Mail Konto bei web.de, das ich eigentlich nur für Tests nutzen. Mit der Verfügbarkeit von DE-Mail über web.de kann ich damit nun aber auch Funktionen von De-Mail testen. Denn jeder FreeMail-Anwender kann sehr einfach die Funktion "DE-Mail" freischalten. Sie ist auch ziemlich prominent oben eingeblendet.

Da bin ich natürlich neugierig, zumal ich das Thema DE-Mail mit einem weinenden und lachenden Auge sehe.

Ich finde den Ansatz Mails zu verschlüsseln und zu signieren sehr lobenswert, da damit die Vertraulichkeit (Verschlüsselung) als auch die Identifizierbarkeit des Absenders (Signierung) gewährleistet wird. Allerdings gibt es schon lange entsprechende System (PGP und insbesondere SMIME) die einfach so funktionieren würden. Da müsste es kein weiterer Dienst sein, der zudem nicht billig ist und eine zweite Mailadresse erfordert. Zudem ist der DE-Mail-Schutz keine Verschlüsselung vom Absender bis zum Empfänger.

Der Antrag (25. Apr 2013)

Natürlich muss auch WEB.DE die Anforderungen bezüglich der Identifizierung der Person erfüllen. Daher muss man zuerst einmal seine Daten in einem Mehrstufigen Prozess vervollständigen:

  • Auswahl der Mailadresse
    hier ist gut zu sehen, dass "@web.de-mail.de" die einzig verfügbare Domäne ist
  • Tarifwahl
    Als FreeMail-Kunde kann ich aktuell nur einen kostenfreien Tarif auswählen. Ich könnte mir vorstellen, dass hier sicher noch Optionen möglich sind, z.B. Grundpreis mit dann reduziertem Preis pro Mail

Beachten Sie hier das "grau gedruckte". Im Klartext bedeutet dies, dass die Mail auf dem Weg zu ihnen bei Web.de entschlüsselt wird, um diese zu prüfen. Interessant finde ich, warum Web.de die Mail wieder verschlüsseln will. Sie kann Sie doch gar nicht mit dem Absenderkey signieren. Es hätte ja gereicht die eine Kopie der Mail zu entschlüsseln, zu prüfen. Wird nichts gefunden, dann reicht es die Kopie einfach zu löschen und das Original weiter zu leiten. Ich denke dass das auch so passiert und nur ungeschickt beschrieben ist.

  • Dateneingabe
    Zur Identifizierung muss ich meine Daten überprüfen und ggfls. aktualisieren und auswählen, ob ich mich später per Personalausweis oder Reisepass (mit Meldebescheinigung) identifiziere
  • Verifizierung
    Auch diese Daten sollten Sie noch einmal genau verifizieren, ehe Sie die Identifizierung beantragen.
  • Identifizierung
    Web.de nutzt nicht das Postident-Verfahren, welches ja nicht möglich ist (Siehe Streit von ePost), sondern die Dienste von SignToday. Entsprechend ist ein Termin abzustimmen, bei denen SignToday Sie persönlich am Arbeitsplatz oder der gemeldeten Adresse besucht und die Identifizierung vornimmt:
  • Terminvereinbarung
    Web.de schlägt einen Termin vor, der bei mir 3 Wochen in der Zukunft an einem Wochentag zwischen 08:00-12:00 lag. Ich habe daher die telefonische Abstimmung gewählt
  • Empfehlungen
    Nachdem dieser Prozess abgeschlossen wurde, muss ich manuell zur Identifizierung weiter gehen. Schön zu sehen, dass Web.de sicher nicht ganz uneigennützig dran denkt, dass auch Werbepartner Zielgruppengerecht Angebote anzeigen können, Visitenkarten mit der neuen DE-Mail-Adresse wären eine Idee. Hier gilt aber das gleiche wie damals mit der "t-online.de"-Adresse. Sie ist immer an den Provider gebunden. Treuere Kunden kann man sich so also gar nicht generieren, da ein Wechsel mit dem Verlust der Mailadresse verbunden ist. ich hoffe mal dass andere Provider auch meine eigene Domäne zulassen, wie z.B. fra---nk@carius.de-mail.de. Das wird aber noch etwas dauern. Aber frank.carius@netatwork.de-mail.de aber aber aktuell schon eine gültige Adresse, die Sie als DE-Mail-Teilnehmer nutzen können.
  • Bestätigung und Status
    Auf der dann angezeigten Seite können Sie einfach den Status nachverfolgen. Also warte ich nun mal auf den Anruf von Sign-Today.
  • Bestätigung der "Bestellung"
    Auch im Posteingang findet sich nun eine "Bestellbestätigung" eines Produkts

Besuch (6. Jun 2013)

Der nächste Schritt in der Kette ist nun der persönliche "Kontakt" mit dem Identifizierungsdienstleister. Ein paar Tage nach der Registrierung bei Web.de wurde ich zwecks Terminvereinbarung angerufen. Etwas lustig war, dass die liebe Dame erst mal gar keinen möglichen Terminvorschlag in ihrem System finden konnte. Erst ein paar Tage später wurde ich dann erneut angerufen und diesmal konnten wir uns auf einen Termin einigen. Der hat am 6.6 bei mir zuhause stattgefunden und war unspektakulär. Als Termin war 14:00-18:00 uhr abgemacht und gegen 16:00 hat es bei mir geklingelt.

Der Mitarbeiter hatte eine DIN-A4 Blatt mit all den Angaben, die ich auf der Webseite schon eingegeben habe. Er hat die Angaben mit den Daten auf meinem Personalausweis verglichen und damit war die ganze Identifizierung schon erfolgt.

Aktivierung (11. Jun 2013)

Ich vermute, dass das unterschriebene Dokument etwas unterwegs ist. Wenn wir das Wochenende weg lassen, dann hat es ca. 3 Werktage gedauert, bis die Bestätigungsmail angekommen ist:

Wieder eine Hürde geschafft oder noch nicht am Ziel.

Freigabe zur Eröffnung ( 25. Jun 2013)

Es hat dann aber noch 14 Tage gedauert, bis im Posteingang dann endlich auch der nächste Schritt angekündigt wurde

Ich weiß nicht, was Web.de in der Zeit eigentlich getan hat aber es hat mich ja "nur" Zeit gekostet aber noch kein Geld. Der ""Jetzt Starten"-Link ist zwar wohl personalisiert um den Empfang zu tracken aber landet dann doch wieder auf der "normalen" Seite: https://produkte.web.de/de-mail/.

Eröffnung (25. Jun 2013)

Der nächste Schritt ist dann die Anmeldung mit dem normalen Web:De-Konto. Sie werden zuerst gebeten die Anmeldedaten des web.de-Kontos auf das De-Mail-Konto zu übertragen:

Ein Druck auf den gelben prominenten Button und sie sehen eine Bestätigung.

Wir können nur mutmaßen, was im Hintergrund nun noch alles passiert aber warten geduldig auf die nächste Mail

Letzter Schritt (25. Jun 2013)

Ich war noch nicht ganz fertig mit dem vorherigen Kapitel, da trudelt auch schon die nächste Mail ein:

Nun ist es wohl soweit, dass ich endlich der Start-PIN den Zugang zum De-Mail-Postfach freischalten kann. Ei nganz neuer Web.de-Navigator öffnet sich beim Klick auf den Link

Nach der Anmeldung landen Sie direkt in einem weiteren Assistenten zur finalen Freischaltung von De-Mail:

In einem mehrstufigen Prozess geht es nun weiter. Zuerst erhalten Sie noch einmal die "Unterrichtungsunterlagen", die Sie auch schon vorher per Mail erhalten haben.

Am Ende dieses Schrittest bekommen Sie diese unterlagen als Mail gesendet, was noch mal bestätigt wird.

Und dann dürfen Sie 5! (fünf) Sicherheitsfragen hinterlegen.

Die Fragen können Sie sich dabei nicht aussuchen und viele der Antworten kann man schon heute recht einfach ermitteln. richtig "sicher" ist das vielleicht nicht. Der nächste Schritt ist dann die Authentifizierung. Das ist das erste mal, dass ich den ePerso als Option selbst gesehen habe.

Nun muss ich das Startkennwort nutzen um ein neues Kennwort zu hinterlegen.

Wenn das Kennwort nicht den Anforderungen an die Komplexität entspricht, dann werden sie freundlich drauf hingewiesen. Interessant hierbei, dass dass Postfach allein mit der MobileTAN schon freigeschaltet wurde. Ich kann nur hoffen, dass ein Abbruch an dieser Stelle wieder lösbar ist.

Nachdem ich auch das Kennwort geändert habe, zeigt mir WEB.DE noch ein ServiceKennwort an, welches ich später eventuell brauche.

Der gesamte Prozess ist sehr gut beschrieben aber ich will nicht wissen, wie viele "normale" Anwender sich mit der Menge an Eingaben und verschiedenen Codeworten schwer tun.

Die erste Mail (25. Jun 2013)

Wie ein "Hello World" wollte ich natürlich gleich mal eine De-Mail senden. Nach der Aktivierung bin ich ja direkt im Postfach und kann eine neue Mail starten.

De-Mail ist natürlich nicht kostenfrei. Sie müssen also auswählen, welche Versandart sie möchten.

Wenn Sie mit der aktuellen Browsersitzung noch nicht "gut genug" authentifiziert" sind, dann kommt hier noch ein Zwischenfenster zur Eingabe einer SMS-TAN, die auf ihr Mobiltelefon gesendet wurde.

Die Mail selbst erfassen Sie im Browser und rechts oben wird auch immer der aktuelle Preis angezeigt.


Laut Preisliste sollten die ersten 10 Mails "DE-Mail Standard" nicht kosten. Daher wird die Mail sofort versendet:

Sobald das Freikontingent aufgebraucht ist, fordert Web.de aber eine Zahlungsoption an:

Nun warte ich auf den Empfang der Mail um zu sehen, welchen Weg die Mail letztlich gelaufen ist.

 

Ich habe Post (25. Jun 2013)

Die Zustellung an meine Firmen-De-Mail Adresse hat problemlos funktioniert und ist in Outlook direkt bei mir angekommen. Ich musste also nicht per Webbrowser bei einem Anbieter ein zweites Postfach öffnen. Mein ganz normales Outlook Postfach ist auch mein DE-Mail Postfach.

Dazu müssen Sie aber wissen, dass ich natürlich ein DE-Mail Gateway (enQsig) einsetze, welches die Firma "Net at Work GmbH" über die Telekom verbindet. Dieses Gateway ist auch verantwortlich dass ein Prüfbericht für signierte und DE-Mails addiert wird:

Ein Blick in den (gekürzten) SMTP-Header offenbart nichts wirklich Besonderes.

Received: from mail.netatwork.de (192.168.100.18) by NAWEX001.netatwork.de
 (192.168.100.8) with Microsoft SMTP Server (TLS) id 14.3.123.3; Wed, 25 Jun
 2013 16:34:02 +0200
X-NetatworkMailGateway-Sender: frank.carius@web.de-mail.de
X-NetatworkMailGateway-Rule: All other inbound mails
X-NetatworkMailGateway-Gateway: xxx.xxx.xxx.xxx:995
X-enQsig-EncryptionAlgorithm: None
X-enQsig-SignatureStatus: None
X-MailGateway-RemoteHost: xxx.xxx.xxx.xxx:995
Content-Type: multipart/mixed;
	boundary="----=_Part_22_611331486.1372155270460"
Received: from demail-td-a1-p08.internal.t-online.de-mail.de ([172.40.1.15]
 helo=kundenlan-interface.localdomain.lan)	by DEMAIL-TD-S2-P04 with esmtps
 (TLSv1:AES256-SHA:256)	(/C=DE/O=De-Mail/OU=DMDA Telekom
 Deutschland/OU=De-Mail Application Operation/OU=DMDA Telekom
 Deutschland/CN=smtp-in-proxy.internal.t-online.de-mail.de/emailAddress=fmb.de-mail-2@t-systems.com)(verified=1)
	 (Exim 4.71 #1)	id 1UrQHH-00083M-AN für frank.carius@netatwork.de-mail.de;
 Tue, 25 Jun 2013 12:15:12 +0200
X-t-online-de-mail-de-ipaddress: 217.160.85.137
Date: Tue, 25 Jun 2013 12:14:30 +0200
From: <frank.carius@web.de-mail.de>
Sender: <frank.carius@web.de-mail.de>
To: <frank.carius@netatwork.de-mail.de>
Message-ID: 9ee9b8ea-9311-4809-8cf9-2c6665ab5724@sec.de-mail.de
Subject: testmail
Envelope-To: <frank.carius@netatwork.de-mail.de>
MIME-Version: 1.0
Return-Path: frank.carius@web.de-mail.de

Die Mail wurde von der Telekom per SMTPS über einen Exim Mailserver empfangen. Und dann vom Gateway per POP3S abgeholt. Die beteiligten Stationen

IP-Adresse Besitzer Beschreibung

217.160.85.137

1und1

Dies dürfte der ausgehende Mailserver Richtung Telekom sein. Es gibt leider keine weiteren Header davor, so dass keine Information über die Hops und Stationen innerhalb von web.de ersichtlich sind. Zwischen dem "Date" (Tue, 25 Jun 2013 12:14:30 +0200) der Mail und dem "Received by" (Tue, 25 Jun 2013 12:15:12 +0200) der Telekom liegen gerade mal 45 Sekunden.

172.40.1.15

Telekom

Dies ist der eingehende Server auf der Seite der Telekom, die meine Mail von 1und1 angenommen hat. Die Verbindung war per SMTPS (TLS) gesichert. Der Name "demail-td-a1-p08.internal.t-online.de-mail.de" ist aber nicht per DNS auflösbar, was aber auch nicht erforderlich ist, da es ja keinen Übergang zwischen De-Mail und per MX-Record auflösbaren Systemen geben darf

xxx.xxx.xxx.xxx:995

Telekom

Ich habe die IP-Adresse des Hosts des POP3-Zugangs absichtlich unkenntlich gemacht. Ich nehme zwar an, dass die Provider entsprechende Schutzmaßnahmen nutzen aber DDoS-Attacken muss man keinen Vortrieb leisten. Der interne Name ist "pvd-gw-proxy.internal.t-online.de-mail.de", auf den auch das Zertifikat ausgestellt ist.

192.168.100.8

Net at Work

Dies ist die interne private IP-Adresse des Gateway, über die die Mail nach der Überprüfung an das interne System weiter gesendet wird

192.168.100.18

Net at Work

Hier ist die Mail dann auf meinem Exchange Server gelandet.

Weitere Links