Erzeugung einer BundID scheitert jedes Mal: Erhalte keine Verifizierungs-Mails von id.bund.de in meinem E-Mailkonto bei mailbox.org

Hi,

seit vorgestern versuche ich, mir eine so genannte BundID zuzulegen, und zwar in der höchsten Verifizierungsstufe, d. h. unter Einsatz der Online-Ausweisfunktion meines Personalausweises.

Also über diese Webseite:

https://id.bund.de/de/registration/eid/step/1

Dort über die Option „Personalausweis mit Onlinefunktion“, Klick auf den Button „Weiter“ und Akzeptieren der dann angezeigten Einwilligungserklärung.

Danach erfolgt unter Einsatz der aktivierten Online-Ausweisfunktion meines Personalausweises meine Anmeldung an der oben genannten Webseite.

Nach der erfolgreichen Anmeldung mit meinen Personalausweisdaten kontrolliere ich und vervollständige ich teilweise die mir dort angezeigten Angaben zu meiner Person.

Meine dort zusätzlich über mich gemachten Angaben bestehen aus der Nennung meiner E-Mail-Adresse bei mailbox.org.

Anschließend klicke ich auf den „Weiter“-Button.

Daraufhin wird mir auf der oben genannten Webseite mitgeteilt, dass mir eine E-Mail mit einem Verifizierungscode an meine gerade eingegebene E-Mail-Adresse bei mailbox.org geschickt wird.

Den Verifizierungscode soll ich nach Erhalt der Mail von id.bund.de in das Online-Formular auf der Webseite eingegeben, die mir gerade angezeigt wird. Um die Verifizierung meiner E-Mail-Adresse gegenüber id.bund.de und somit die Erzeugung meiner BundID abschließen zu können.

Mir werden etwas weniger als 30 Minuten Timeout-Zeit von der oben genannten Webseite gewährt um den Verifizierungscode in diese Webseite einzutragen.

Nur habe ich bisher keine einzige Mail von id.bund.de im Posteingang und auch nicht im Spam-Ordner meiner E-Mail-Adresse bei mailbox.org erhalten.

Ich habe bisher sechs Mal den Versuch unternommen eine BundID über die o. g. Webseite zu registrieren, hatte bisher jedoch keine Erfolg. Weil ich in keinem dieser sechs Fälle eine E-Mail mit einem Verifizierungscode von id.bund.de erhalten hatte.

Heute morgen erhielt ich von der für id.bund.de zuständigen Supportstelle eine diesbezügliche Antwort per Mail auf mein Mailkonto bei mailbox.org, als Antwort auf meine gestern auf id.bund.de gestellte Supportanfrage. Die Absenderdomain dieser Mail von der Supportstelle ist übrigens nicht id.bund.de.

In der Antwortmail der Supportstelle hieß es lapidar (von mir hier etwas verkürzt formuliert), ich möge eine E-Mail-Adresse eines anderen Mailhosters verwenden. Was ich aber nicht will. Ich will meine BundID unter Einsatz meiner E-Mail-Adresse bei mailbox.org registrieren und auch anschließend für Benachrichtigungen per Mail durch id.bund.de verwenden.

Gegenüber mailbox.org habe ich übrigens keinen Anspruch auf technischen Support. Hierfür müsste ich in einen Vertrag mit mailbox.org mit einer höheren monatlichen Gebühr wechseln.

Ich hatte im Hinterkopf, dass große Mailanbieter wie Google usw. kleineren Mailhostern bzw. privaten Betreibern von Mailservern auf ihren kleinen Domains bisweilen das Leben schwer machen. Deswegen fand ich auf heise.de u. a. folgenden Artikel mit dem Titel „Google stufte ct.de als Spamschleuder ein“:

Problematisch ist das, weil Google-Server nicht nur die kostenlosen Accounts für Gmail versorgen. Viele Unternehmen lassen ihre Mails mit eigener Domain mittlerweile von Google verwalten. Die Auswertung des Heise-Servers für ausgehende Mails zeigt, welche Rolle die großen Anbieter wie Google und Microsoft spielen.

https://www.heise.de/news/Google-stufte-ct-de-als-Spamschleuder-ein-9241222.html

Ich kann mir aber nicht vorstellen, dass mailbox.org die Dienste von Google, Microsoft usw. einsetzt um auf deren Klassifizierungen von MX-Einträgen als Spam-Schleudern zurückzugreifen und diese Klassifizierungen auch anzuwenden.

Deswegen fiel mir noch mal der Begriff „Blacklist“ ein. Und dann erfuhr ich, dass über einen Login auf https://mailbox.org die Einstellungen jeder E-Mail-Adresse, die auf der Domain mailbox.org registriert worden ist, das Greylisting und die Realtime Blacklist (RBL) deaktiviert werden kann.

Ich deaktivierte also vorhin das Greylisting und die Realtime Blacklist (RBL) für mein E-Mail-Konto bei mailbox.org und führte anschließend einen erneuten Versuch durch, auf id.bund.de meine BundID zu registrieren. Doch auch dieses Mal wartete ich vergeblich auf den Erhalt der Mail mit dem Verifizierungscode von id.bund.de, bis der Timeout auf der o.g. Webseite abgelaufen war.

Am Greylisting und an der Realtime Blacklist (RBL) lag es also nicht.

Übrigens: Während meines allerersten Versuchs meine BundID zu registrieren, zeigte mir meine E-Mail-App „K9 Mail“ auf meinem Smartphone im Posteingang ganz kurz den Eingang einer neuen Mail an, die vom Betreff her von id.bund.de hätte stammen müssen. Als ich diese Mail jedoch öffnen wollte, war diese Mail aber wieder aus meinem Posteingang verschwunden.

Ich hatte aber auch gleichzeitig mein E-Mail-Programm auf meinem Laptop geöffnet, dort wurde diese E-Mail von id.bund.de gar nicht angezeigt (Zugriff auf mein E-Mail-Konto bei mailbox.org per IMAP).

Was kann denn sonst noch eine mögliche Ursache dafür sein, dass ich Mails von id.bund.de auf mein E-Mail-Konto nicht erhalte?

Ich hoffe ja nicht, dass wir hier irgendwelche für Hacker relevanten Informationen diskutieren könnten. Deswegen bitte Obacht geben bei Euren möglichen Antworten auf meine Anfrage hier.

Benutzt Du irgendeine Art von Blocker, sonstige Add-Ons oder spezielle Einstellungen in Deinem Browser ?
Mir ist es bereits bei anderen Registrierungen mal so ergangen, dass die Webseite zwar eine Meldung „eMail ist unterwegs“ anzeigt, tatsächlich aber der Prozess im Hintergrund gar nicht durchlief, weil ich ein Fremdscript geblockt hatte.

Wobei das dann natürlich eher nach einem Thema bei MBO aussieht.

Hat Dir der „Bund“-Support denn wenigstens mal mitgeteilt, von welcher Adresse die eMails kommen werden, damit Du die ggfs. im Spamfilter whitelisten kannst ?

Danke für den Hinweis auf meinen Browser als mögliche Ursache.

Ich verwende als Hauptbrowser die aktuelle Version des LibreWolf-Browsers, ziemlich strikt eingestellt + aktivierter uorigin-block. MIt diesem Browser hatte ich die bisherigen Registrierungsversuche meiner BundID auf id.bund.de durchgeführt.

Deswegen habe ich mir vorhin die aktuelle Version des Firefox-Browsers ESR installiert. Bin nur mit Linux unterwegs. Kein MS- oder Apple-Browser also vorhanden.

Firefox habe ich, was Datenschutz betrifft, quasi in seinem Auslieferungszustand belassen, bevor ich einen erneuten Registrierungsversuch meiner BundID unternahm. Also auch keine zusätzlichen Add-Ons, Extensions im FF installiert.

Resultat: Ich habe keine Mail mit einem Verifizierungscode in meinem Mailkonto erhalten, irgendwann war der dafür zuständige Timeout auf id.bund.de abgelaufen.

Du hast die Abkürzung MBO verwendet. Steht die für „Mail Blacklist“? Sieht so aus.

Hinweis zu der Realtime Blacklist (RBL): Vorhin bei meiner Recherche im Netz hatte ich irgendwo gelesen, dass die Option "Realtime Blacklist " in den Einstellungen von mailbox.org für jede dort registrierte E-Mail-Adresse nicht für alle Blacklists gilt, die unter dem Namen „Realtime“ geführt werden.

Deswegen hatte ich vorhin auch eine Webseite gefunden, die Domains dahingehend überprüft, ob sie in allen (?) Realtime Blacklists geführt wird oder nicht.

Dies hier ist dieser Online-Check:

https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3Aid.bund.de&run=toolpage

=> Die Domain id.bund.de wird also nicht in den Realtime Blacklists geführt.

Das Gleiche gilt für die Domain bund.de (keine Ahnung, ob diese Blacklists auch extra die Namen von Subdomains enthalten):

https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3Aid.bund.de&run=toolpage

Nein. Ich habe auch nur eine einzige Domain in den Einstellungen für mein E-Mail-Konto bei mailbox.org geblockt, das ist die Domain einer Firma in Deutschland. Und im SpamAssasin in den Standard-Einstellungen dort habe ich keine Änderungen vorgenommen. In meinen Endgeräten benutze ich auch keinen Spam-Mail-Filter.

Die Mail von der Supportstelle, die ich heute morgen erhielt, macht den Eindruck, als ob sie aus einer Vorlage stammt. Da steht sinngemäß drin:

„Zurzeit gibt es Probleme mit einigen Mailhostern, bitte verwenden Sie möglichst eine E-Mail-Adresse eines anderen Mailhosters.“ Danach folgen für Leute, die schwer von Begriff sind, die Schritte, wie der Verifizierungscode auf id.bund.de per Mail angefordert werden und nach Erhalt auf dieser Webseite eingegeben werden kann.

Das war’s. Mein Ticket wird in 10 Tagen automatisch geschlossen, wenn ich mich dort nicht noch mal melde, schreibt der Support mir noch.

Keine technischen Fragen, keine technischen Hinweise durch den Support.

Ich kommentiere das hier besser mal nicht.

Ein Vor- und/oder Nachname als absendende Person fehlt in der Mail. Wahrscheinlich aus reinem Schutz vor übergriffigen Wutbürger:innen.

Schade, wäre ja auch viel zu einfach gewesen

Ne, sorry - mit „MBO“ war mailbox.org im Allgemeinen gemeint.

Habe selbst keinen Account da, aber wenn ich die Einstellungen HIER richtig verstehe, kann man doch die gesamte Spam-Blockade deaktivieren: oben 3x „Nein“ und unten auf „Markieren/Umleiten“. Den „SMTP-Check“ hattest Du bisher noch nicht deaktiviert, oder ? Wenn mit allem dann immer noch nichts durchkommt, kann es ja nicht an der Empfangsseite liegen. Mit dieser Information würde ich mich dann erneut an den Support wenden. Bei Erstanfragen kommen schon mal gerne Standard-Antworten, bevor sich jemand wirklich mit dem konkreten Fall befasst.

Als Workaround könnte man sich natürlich erst mal mit einer anderen Adresse registrieren und die dann später ändern. Bringt ja nur leider nichts, wenn das Problem nicht nur die spezifische Registierungsmail betrifft, sondern später sonstige, wichtige Mails von deren System auch nicht ankommen.

Jetzt mal ungeachtet von der gewählten Vertragsart: Wenn hier eine staatliche Seite einen Service anbietet und einen großen inländischen E-Mail-Provider ausschließt, sollte das auch den Anbieter interessieren.
Ist ja keine Werbung wenn die Mailkonten nicht kompatibel mit BundID sind.

Bei dem einfachen Tarif wird als Supportoption Community genannt. Das könnte das Forum dort sein. Wenn nicht bereits erfolgt, würde ich dort mal fragen.

Auch sollte man die Behörde nicht so einfach damit durch kommen lassen. Was soll das für ein Problem bei einem seit Jahrzehnten etablierten Provider und Service wie E-Mail sein? Das ist doch überhaupt nicht nachvollziehbar und es muss einen anderen Grund geben.

Nachtrag:
Stutzig macht mich aber, das die E-Mail nach der Schilderung kurz bei MBO angezeigt wird. Also zunächst mal im Forum versuchen.

Wenn es nicht dringend ist, würde ich aus Prinzip hier auch erstmal keine andere Adresse verwenden und das wie beschrieben weiter verfolgen.

Oh, ich hatte vorhin nicht richtig aufgepasst: Du hattest die Abkürzung „MBO“ verwendet und ich hatte an „MBL“ gedacht. Ja, „MBO“ = Mailbox.org, sage das doch gleich

Danke für Deine Verlinkung in die Knowledge Base auf maibox.org, da hatte ich noch nicht nachgeschaut.

Ja, richtig, vorhin hatte ich in den „Einstellungen Spam-/Virenschutz“ nur zwei Optionen deaktiviert („Greylisting“ und „Realtime Blacklist (RBL)“), der „SMTP-Plausibilitätscheck“ war dabei immer noch aktiv.

Vorhin hatte ich „Greylisting“, „Realtime Blacklist (RBL)“ und den „SMTP-Plausibilitätscheck“ deaktiviert.

Als Spam erkannte Mails werden wie bisher weiterhin umgeleitet in einen anderen Ordner, also nicht „direkt abgelehnt“.

Danach habe ich einen erneuten Registrierungsversuch meiner BundID auf id.bund.de versucht - Ergebnis: fehlgeschlagen: Bis zum Ende des Timeouts wurde mir keine Mail von id.bund.de an meine Mailadresse auf mailbox.org zugeschickt.

Nachtrag: Den oben beschriebenen erneuten, aber wieder gescheiterten Versuch, eine BundID auf meine Person zu registrieren, hatte ich mit dem Firefox unternommen. Nicht mit LibreWolf.

Stimmt, jetzt kann die Ursache für die Nichtzustellung der Mail mit dem Verifizierungscode nicht an mailbox.org liegen. Sondern am Mailserver, der für id.bund.de zuständig ist.

Ich werde den Support, der für id.bund.de zuständig ist, morgen früh anmailen und in meiner Mail an den Support diesen Thread hier verlinken und den Support fragen, was ihm dazu noch einfällt in technischer Hinsicht.

Ja, ich will auf keinen Fall einen anderen Mailhoster einsetzen für die Registrierung meiner BundID. Denn auf der Webseite von mailbox.org ist ja nicht ohne Grund eine Grafik abgebildet, auf ihr ist folgender Text abgebildet:

IT-Sicherheitskennzeichen. Bundesamt für Sicherheit in der Informationstechnik. Der Hersteller versichert: Das Produkt entspricht den Anforderungen des BSI. Das BSI informiert: Aktuelles zum Produkt. bsi.bund.de/doc/sik-1011.

Quelle: https://mailbox.org/de/

Das ist schon irgendwie komisch. Das BSI ist auf einer Subdomain von bund.de angesiedelt, id.bund.de auch …

[quote=„jdevlx, post:5, topic:5686, full:true“]Jetzt mal ungeachtet von der gewählten Vertragsart: Wenn hier eine staatliche Seite einen Service anbietet und einen großen inländischen E-Mail-Provider ausschließt, sollte das auch den Anbieter interessieren.
Ist ja keine Werbung wenn die Mailkonten nicht kompatibel mit BundID sind.[/quote]

Jo, das sehe ich auch so. Siehe das untere Ende meines letzten Beitrags hier in diesem Thread.

Ich weiß von der Existenz dieses User-Forums auf mailbox.org. Hatte dort auch schon nachgeschaut, indem ich dort z. B. nach dem Begriff „BundID“ gesucht hatte - kein Treffer. Ich bin eher der Meinung, dass es nicht sonderlich viel bringen würde, dort nachzufragen, weil ich ja hier schon nachgefragt habe

Richtig. Da ich ja zurzeit im „Light“-Tarif bei mailbox.org bin (1 €/Monat) und keinen Anspruch auf technischen Support dort habe, erwäge ich - aber noch nicht jetzt - einen Upgrade auf das nächsthöhere Leistungspaket „Standard“ (3 €/Monat), da mit ihm der so genannte reguläre Support verbunden ist (Support-Anfragen werden von mailbox.org in der Regel innerhalb von 48 Stunden beantwortet, so jedenfalls mailbox.org). Aber ich brauche diesen ganzen extra Schnickschnack, der mir mit dem „Standard“-Paket geboten wird, eigentlich gar nicht.

Na, mal abwarten.

Ich danke Euch Beiden erst einmal für Euren Support und Euren Input.

Auf blauen Dunst: nutzt du für die Registrierung zufällig die Kombi Name+irgendwas@mailbox.org, also einen zusammengesetzten Namen?
Ich kann mich dunkel daran erinnern das es Dienste gibt die schlucken das nicht, werfen aber auch keine Fehlermeldung aus.

Ich halte mal ein paar Punkte meines Tests fest:

1. Die E-Mail kommt von der Adresse noreply@bmi.bund.de
2. E-Mail an eigene Domain über mailbox.org kommt an.
3. E-Mail an meineadresse+bundid@mailbox.org kommt an.
4. Der Timeout beträgt nur 10 Minuten. Der 30-minütige Timeout ist für die Automatische Beendung der Sitzung.

Auf die blaue Schaltflächge mit dem Schriftzug: „Neuen Code anfordern“, hast du wahrscheinlich geklickt, aber zur Sicherheit frage ich trotzdem noch mal nach!? Denn erst danach erscheint der 10-minütige Timeout.

Hast du sonst irgendwelche Filter oder Regeln bei mailbox.org oder in einem deiner Clients eingerichtet?

Nein, in meiner Mailadresse gibt es keinerlei Sonder- oder Interpunktionszeichen vor dem @mailbox.org.

@bummelstein

Dein Post hat indirekt dazu geführt, dass ich jetzt meine BundID erfolgreich registrieren konnte.

Ich hätte Screenshots von dem einzelnen Schritten machen sollen, nachdem ich nach meiner Anmeldung auf id.bund.de mit der Online-Ausweisfunktion meines Personalausweises die dort angezeigten Angaben über meine Person und optionaler Angabe einer Telefonnummer plus Angabe meiner E-Mail-Adresse auf „Weiter“ oder ähnlich geklickt hatte.

Ab diesem Schritt hatte ich bisher erfolglos auf die Mail mit dem Verfizierungscode gewartet. Dann aber habe ich doch wirklich auf den Button „Jetzt Code erhalten“ geklickt, obwohl ich dachte, „Jetzt da drauf klicken wird nur zu einer Fehlermeldung führen, weil ich den Verifizierungscode noch nicht erhalten habe“.

Ich habe aber dann doch auf den Button „Jetzt Code erhalten“ geklickt. Und danach wurde mir tatsächlich die Mail mit dem Verifizierungscode an die von mir angegebene Mailadresse bei mailbox.org geschickt.

Den Verifizierungscode hatte ich dann auf id.bund.de in das dafür vorgesehene Eingabefeld hineinkopiert und konnte daraufhin den Registrierungsvorgang fortsetzen und erfolgreich abschließen.

Über diesen blauen Button mit der Beschriftung „Jetzt Code erhalten“ hatte ich natürlich schon mehrfach während meiner bisher gescheiterten Registrierungsversuche nachgedacht, aber ich ging davon aus, dass dieser Button erst angeklickt werden soll, nachdem ich die Mail mit dem Verifizierungscode in meinem Postfach bei mailbox.org erhalten hatte.

Nein, so ist es nicht. Der Button „Jetzt Code erhalten“ bedeutet, in einem eindeutig verständlich anderen Verb ausgedrückt „Jetzt Verifizierungscode anfordern“.

Das Verb „erhalten“ ist in diesem Zusammenhang uneindeutig oder missverständlich, denn dieses Verb kann auch so verstanden werden, dass der/die Anwender:in erst so lange warten muss, bis er/sie den Verifizierungscode erhalten hat, um anschließend auf den Button „Jetzt Code erhalten“ zu klicken, um daraufhin den erhaltenen Code auf id.bund.de einzugeben.

Nein, so ist es eben nicht. „Jetzt Code erhalten“ bedeutet im typischen Software-Anwender-Deutsch „Jetzt Code anfordern“.

Und deswegen hatte ich bis eben vergeblich auf den Erhalt des Verifizierungscode gewartet. Bis ich auf diesen Button klickte.

Da die Supportstelle, die für id.bund.de zuständig ist, heute morgen von mir per Mail den Link zu diesem Thread erhalten hat, möchte ich diese Supportstelle um Folgendes bitten:

Bitte infomieren Sie die für die Texte auf id.bund.de verantwortlichen Personen, dass die Buttonbeschriftung „Jetzt Code erhalten“ in „Jetzt Verifizierungscode anfordern“ umgeändert wird.

Danke für Euren Support. Fühle mich trotzdem so, als ob ich blöd bin. Naja. Ich gehe dann mal zum Lachen in den Keller

Immerhin wissen jetzt andere Bescheid.
Eig. sollte da nur "weite"r stehen, damit der Code gleich geschickt wird.

Denke da warten viele bis was kommt.

Interessant, konnte mir jemand eventuell erklären, was man mit dieser Mail Adresse noch alles kann, außer Behörden Formulare zu schicken?

Kann man mit so einer durch eine offizielle Registrierung durch den Bund ausgestellt und mittels Online Ausweis Funktion überprüften Mail Adresse auch z.B. seine Identität gegenüber privatwirtschaftlichen Unternehmen rechtssicher Nachweisen?

Das liest sich fast so als ob das ein Nachfolger für die fast schon eingestampfte DE-Mail groß raus kommen soll

tatsächlich träumen einige Digitalisierungsverfechter davon. Ich würde dieser Versuchung eher widerstehen, denn schon alleine bei meinem Emailtest ist Bund-Id negativ aufgefallen, weil SMTP-DANE (RFC 76272) nicht verwendet wird (andere Emailserver des ITZ Bunds können das) und auch keine entsprechende Warnung erscheint. Der Test hat auch ergeben, das DMARC ohne DKIM verwendet wird, das führt bei guten Mailanbietern (möglicherweise auch mailbox.org, aber mailbox.org hat leider andere Fehler) manchmal zur Abweisung von Mails.
Auch die Verwendung von vorgegebenen trivialen Sicherheitsfragen ist anrüchig, und der Rechenschaftspflicht aus Artikel 5 Abs. 2 DSGVO ist das BMI nicht nachgekommen.
Für sensible Daten taugt Bund-ID daher meiner Meinung nach nicht und es gibt keinen Grund das für etwas anderes als für Behördenverfahren zu verwenden und auch da würde ich das Recht auf informationelle Selbstbestimmung ausüben und einen anderen Kanal wählen, notfalls auch analog.
Das spricht übrigens nicht gegen die Verwendung des nPAs zur Identifizierung und Authentifizierung z.B. bei TK-Anbietern.

Noch viel schlimmer daran ist, das Deine Daten im öffentlichen Register geführt werden, dann kann ich mich auch gleich wieder ins Telefonbuch eintragen lassen.
Das hat mehr Nachteile als Vorteile.

Wenn dieses Register tatsächlich öffentlich ist: Wo kann ich es denn einsehen?

Hier verwechselst Du öffentlich (wie vom KBA oder das Schuldner Verzeichnis) mit frei verfügbar für jedermann (Telefonbuch)… ich empfehle jedem dazu diesen Artikel zu lesen.
Dort wird das öffentliche für hunderttausende Dritte bereitstellen von personenbezogenen Daten rechtlich beleuchtet, weil es erstens dafür keine rechtliche Grundlage gibt, es zweitens nicht gut genug kommuniziert wird und drittens für besondere Personengruppen auch mit erheblichen Risiken einher geht weil es keine Regelungen hierfür gibt.
Und einen ersten Datenleak gab es auch schon.
Somit muss es nicht unbedingt für Dich abrufbar sein, außer Du bist dort selber angemeldet, um für eine breite Öffentlichkeit verfügbar und auch für einen Missbrauch nutzbar zu sein.