Temporäre Emailadressen
Oder: Haste mal ne Mail für mich?
Während wir uns bei einigen Teilen unserer „Emails als Waffe“ Blog Serie mit handfesten Angriffen beschäftigen, widmen wir uns dieses Mal einem Thema, dass auch abseits des Themas IT-Sicherheit eine gewisse Relevanz hat: Es geht um temporäre Emailadressen.
Ob Hacker oder normaler Internetuser, wir alle nutzen dutzende von Webservices. Diese erfordern in der Regel aber eine Registrierung, um den vollen Umfang der Anwendung nutzen zu können. Und wer kennt es nicht: man meldet sich irgendwo an, stellt fest, dass man die Seite doch nicht wirklich nutzen will, erhält aber noch Monate später die Mails und Newsletter des Webseitenbetreibers. Zumal man sich je nach Seriosität der Seite ja auch nicht sicher sein kann, ob die Daten nicht auch einfach direkt weiterverkauft werden.
Kurz und gut: Manchmal will man die „richtige“ Emailadresse nicht rausgeben. Ob das nun aus Gründen der Anonymität geschieht oder weil man keine Lust auf Spam hat, sei mal dahingestellt. Für diesen Fall gibt es aber ein nettes kleines Hilfsmittel, das Registrierungen erlaubt, ohne dass man seine eigentlichen Daten preisgeben müsste: Temporäre Emailadressen.
Kostenlose temporäre Emailadressen
Wer bei Google nach Temp Mail oder temporäre Emailadresse sucht, wird schnell merken, dass es eine Vielzahl von Anbietern gibt. Welcher davon der richtige ist, hängt natürlich auch vom eigenen Einsatzzweck und den Bedürfnissen ab.
Wir möchten nachfolgend aber einige Anbieter vorstellen, die wir auch selbst nutzen (beruflich und privat). Dieser Liste erhebt keinerlei Anspruch auf Vollständigkeit! Stattdessen wurden Anbieter ausgewählt, die über ein Feature verfügen, das sie besonders interessant macht.
Der userfreundliche Klassiker: Man ruft lediglich die Seite auf und erhält eine Emailadresse zugeteilt:
Keine langwierigen Konfigurationen und die Adresse kann über einen kleinen Button sogar direkt kopiert werden, sodass man sich selbst das Markieren spart. Sollte einem die Adresse nicht zusagen, kann man über den „Change“ Button einfach eine neue anfordern.
In der Praxis ist dies mein meistgenutzter Temp Mail Anbieter.
Im Gegensatz zu vielen anderen Anbietern bekommt man bei Müllmail nicht einfach eine Emailadresse zugeteilt, sondern man kann ein eigenes Präfix eingeben und aus einer Liste von möglichen Domains auswählen:
Damit können also natürlicher wirkende Adressen erstellt werden. Bei den meisten anderen Anbietern ist dagegen oft schon an der Adresse ersichtlich, dass es sich nicht um die Emailadresse eines echten Users handelt.
Wie bei temp-mail.org erhält man hier beim Aufruf der Webseite direkt eine Emailadresse zugeteilt und kann Nachrichten empfangen. Was Mail.tm aber so interessant macht, ist, dass dieser Service eine API anbietet:
Damit kann man die Nutzung von Temp Mail Adressen auch in eigene Programme und Skripte einbauen, z.B. um einen Registrierungsprozess zu automatisieren.
Nachteile
Klappt nicht immer
Wer sich bei verschiedenen Webservices mit einer temporären Emailadresse registriert, wird feststellen, dass das nicht immer funktioniert. Manchmal wird einem schon bei der Registrierung mitgeteilt, dass man diese Emailadresse leider nicht verwenden kann, manchmal wird auch kurzerhand das bereits erstellte Konto gelöscht.
Aus Sicht der Betreiber in gewisser Weise auch verständlich: Wer eine temporäre Emailadresse zur Registrierung nutzt, hat höchstwahrscheinlich kein ernsthaftes und längerfristiges Interesse an der Nutzung der Webseite. Insbesondere dann, wenn jeder Account für den Anbieter mit Kosten verbunden ist (z.B. wenn jeder User eine bestimmte Menge kostenlosen Speicher erhält), kann es also sein, dass sich der Anbieter entschließt, auf User mit Temp Mail Adressen zu verzichten.
Allerdings hat längst nicht jeder Anbieter ein Problem mit Temp Mail Accounts. Für viele Techfirmen ist das Userwachstum immer noch eine der wichtigsten Kennzahlen. Entsprechend wird dann auch nicht so genau hingeschaut, was das eigentlich für User sind.
Aus persönlicher Erfahrung: In den meisten Fällen funktioniert eine Registrierung mit einer temporären Emailadresse ohne Probleme. Und falls doch mal ein Anbieter meckert, muss man sich eben mit einem legitimen Emailaccount behelfen.
Temporär heißt temporär
Wie der Name schon vermuten lässt, sind temporäre Mailadressen nicht von Dauer. Wie lange sie tatsächlich nutzbar sind, variiert zwar je nach Anbieter, wer dieselbe Adresse Jahre später allerdings nochmals abrufen möchte, wird in der Regel enttäuscht sein.
Ein Countdown beim Anbieter mohmal.com, der die verbleibende Gültigkeitsdauer der Emailadresse anzeigt.
Das bedeutet: Temp Mail Adressen sollte man nicht für Accounts verwenden, die einem wichtig sind. Ansonsten kann es nämlich passieren, dass man den Account eines Tages nicht mehr nutzen kann. Beispielsweise:
- Man hat sein Passwort vergessen. Die Anwendung bietet zwar eine Rücksetzung per Mail an, aber auf die Mail, mit der man sich angemeldet hat, hat man ja keinen Zugriff mehr
- Der Anbieter wurde Opfer eines Data Breaches und hat daher vorsorglich alle User Passwörter geändert. Das neue temporäre Passwort wurde an die verknüpfte Emailadresse verschickt, aber darauf hat man ja keinen Zugriff mehr
- Der Anbieter hat beschlossen, die Sicherheit seiner Anwendung zu verbessern und verlangt jetzt bei jedem Login auch die Eingabe eines Zahlencodes, der per Mail an die Emailadresse versendet wurde, aber auf die hat man ja keinen Zugriff mehr
Egal ob es nun also an der eigenen Vergesslichkeit, der miesen Sicherheit des Webseitenbetreibers oder sogar an der erhöhten Sicherheit des Betreibers liegen mag: Es ist durchaus denkbar, dass man seinen Zugang verliert, wenn man die Emailadresse nicht mehr kennt.
Falls man sich also testweise mit einer temporären Mailadresse registriert und dann Gefallen an dem Account findet, sollte man daran denken, die Emailadresse zu ändern (bzw. im Idealfall registriert man sich dann nochmals komplett neu und verwendet erst dabei die richtige Emailadresse, siehe nächster Punkt).
Vorsicht mit sensiblen Daten
Je nach Anbieter kann jeder, der einen bestimmten Link (oder die Mailadresse selbst) kennt, auf die erhaltenen Mails zugreifen. Das bedeutet: Derjenige kann dann die erhaltenen Mails lesen und Passwörter für Accounts zurücksetzen, die mit dieser Adresse registriert wurden.
Es versteht sich daher von selbst, dass man bei einer Registrierung mit einer temporären Emailadresse keine echten Daten eingeben sollte, sondern lediglich Dummy Daten. Falls ein Account die Eingabe von sensiblen Informationen erforderlich macht (z.B. wenn eine Zahlungsmethode eingegeben werden muss, um den Account nutzen zu können), sollte man auf temporäre Emailadressen verzichten.
Nur eine Richtung
Üblicherweise bieten die meisten Temp Mail Anbieter nur die Möglichkeit an, Emails zu empfangen. Der Versand von Mails ist nicht vorgesehen (da dies mit Sicherheit zu Spam Zwecken genutzt werden würde).
Das schränkt die Nutzung also ein. Man kann zwar Emails erhalten (z.B. einen Verifizierungslink) aber nicht auf diese Emails antworten und nicht aktiv Mails an andere User schicken.
Einige Anbieter bieten zwar auch eine Versandmöglichkeit an, diese funktioniert oft aber eher schlecht als recht. Ob das nun daran liegt, dass die Mails von vielen Emailprovidern direkt gelöscht werden, oder daran, dass die Funktion von so vielen Menschen genutzt wird, dass sie nicht korrekt funktioniert, ist nicht ganz klar. In einigen Tests mit verschiedenen Anbietern kamen aber nur sehr wenige Temp Mails tatsächlich beim Empfänger an.
Wer Emails nicht nur empfangen, sondern auch versenden möchte, sollte also am besten auf einen richtigen Emailprovider setzen.
Was kann man damit machen?
Vermeidung von Spam
Unabhängig vom Thema IT-Sicherheit sind temporäre Emailadressen natürlich sehr praktisch, um Spam zu vermeiden. Wenn man also davon ausgeht, von einer Webseite möglicherweise viel Spam zu erhalten, kann die Nutzung einer temporären Mailadresse sinnvoll sein, um diesen Spam nicht im richtigen Postfach zu haben.
Mehrere Accounts
Manchmal ist es sinnvoll, mehrere Accounts bei derselben Webseite anzulegen. Beispielsweise um im Rahmen eines Penetrationtests zu überprüfen, wie sich unterschiedliche Account Typen (z.B. Verkäufer vs. Käufer in einem Onlineshop) verhalten und welche Möglichkeiten sie jeweils bieten.
Oder dann, wenn pro Account nur eine eingeschränkte Nutzung möglich ist (z.B. X Suchanfragen pro Monat). In diesem Fall ist es meist möglich, das Limit durch weitere Accounts zu umgehen.
Anonymität
Private Emailadressen enthalten oftmals den eigenen Namen, in vielen Fällen auch noch das Geburtsdatum (z.B. max.mustermann85). Geschäftliche Mailadressen enthalten in der Regel den Namen und den Arbeitgeber (z.B. max.mustermann@example). Je nachdem auf welcher Webseite man sich anmeldet, kann das durchaus eine sensible Information sein, die man vielleicht nicht so einfach herausgeben möchte.
Man sollte zwar nicht den Fehler machen anzunehmen, dass man mit einer Temp Mail Adresse vollkommen anonym ist, aber zumindest gibt man der Webseite bei der man sich registriert weniger Informationen über sich preis.
Gerade wenn man die Seriosität einer Webseite noch nicht einschätzen kann und sich erst einmal probeweise registrieren möchte, ist eine Temp Mail Adresse also eine nette Sache, die verhindert, dass man zu viele Informationen über sich herausgeben muss.
Gegenmaßnahmen
Als Anbieter: API
Was Temp Mails für User interessant macht, sind in der Regel genau die Punkte, die für Webseiten Betreiber eher störend sind: Als Webseiten Betreiber möchte man seinen User ja Newsletter und Hinweise auf neue Produkte schicken. Man möchte verhindern, dass sich Leute mehrfach anmelden, um kostenlose Accounts zu nutzen, stattdessen sollen sie einen Premium Account wählen. Und man möchte natürlich auch möglichst viel über die User wissen, sodass man z.B. zielgerichtete Werbung schalten kann.
Aus Anbietersicht sind Temp Mails daher keine wirklich schöne Sache. Entsprechend verwundert es auch nicht, dass manche Anbieter keine Registrierung mit temporären Emailadressen erlauben.
Ob eine Adresse nur temporär ist, kann z.B. durch einen API (z.B. https://www.istempmail.com/) festgestellt werden. Dafür reicht ein Request mit der Emailadresse aus und man erhält die Info, ob es sich um eine temporäre Adresse handelt oder nicht. Da immer wieder neue Temp Mail Anbieter entstehen oder neue Domains hinzugefügt werden, ist das in gewisser Weise ein Katz- und Maus Spiel.
Wer wirklich sichergehen will, dass keine temporäre Emailadresse zur Registrierung verwendet wird, sollte stattdessen eher einen Whitelist Ansatz wählen. Dabei werden die erlaubten Emailprovider definiert (z.B. nur Gmail, Yahoo, GMX und Web.de). Jedem der versucht, sich mit einer anderen Adresse zu registrieren, wird der Zugang verweigert. Dabei werden natürlich auch diverse legitime User ausgeschlossen (z.B. Firmenemailadressen), sodass man sich diesen Schritt gut überlegen sollte.
Fazit
Während man Tools wie Metasploit kaum legal außerhalb von Penetrationtests verwenden kann, können Temp Mail Adressen sowohl im privaten, als auch im professionellen Security Bereich nützlich sein.
Temporäre Emailadressen ermöglichen das Empfangen von Emails ohne dafür seine echte Mailadresse preisgeben zu müssen, was offensichtlich eine Reihe von Vorteilen mit sich bringt.