Spass mit Mailadressen
Wie bereits berichtet verliere ich meine bisherige “Haupt-E-Mailadresse” und muss daher bei einer Vielzahl von Accounts die dort hinterlegte Adresse ändern. Diese Aufgabe bin ich lieber direkt und noch vorletzte Woche während meines Urlaubs angegangen. Wie erwartet verlief das meistens reibungslos, aber beileibe nicht immer; es gab eine ganze Reihe … eher skurrile Erfahrungen.
Insgesamt weist mein Passwortmanager mehr als 300 Accounts auf, und bei der weit überwiegenden Mehrzahl stand die verwendete Mailadresse zur Änderung an. Ohne Passwortmanager wäre die Aufgabe vermutlich unlösbar gewesen … So konnte ich mit den wichtigsten Accounts (Google, Microsoft, Dropbox, Github …) anfangen und mich dann systematisch durch die Vielzahl wichtiger oder weniger wichtiger Accounts bei einer Unzahl von Diensten, Webshops, Publikationen u.a. kämpfen.
In der ganz weit überwiegenden Anzahl der Fälle war das mit wenigen Klicks völlig unproblematisch erledigt. Allerdings kommen bei mehreren hundert Accounts doch überraschend viele Ausnahmen mit gleichfalls teilweise überraschenden Varianten zusammen.
Seid ihre alle da?
Schon beim allerersten Schritt, nämlich dem Aufruf des entsprechenden Dienstes mit nachfolgendem Login, kann man Überraschungen erleben.
Manche Dienste gibt es schlicht nicht mehr, oder die Domain gehört jetzt einem ganz anderen Anbieter; das waren allerdings nur wenige Fälle. Hinzu kamen ein paar Anbieter, die offenbar - ohne weiteren Hinweis - meinen Account gelöscht hatten; gut, nach oft vielen Jahren ohne Login ist das eine nachvollziehbare Bereinigung der Kundendatenbank. Eine - seltene - Variante davon war dann aber eher skurril: der Account war noch vorhanden, aber das Passwort wurde nicht mehr erkannt, so dass der Mechanismus für vergessene Passworte genutzt werden musste. Hintergrund mag eine Änderung bei der Verschlüsselung der Passwörter sein. In manchen Fällen war der Login auch nicht mehr mit der ursprünglich vergebenen Benutzerkennung möglich, sondern stattdessen nur noch mit der Mailadresse.
Mailadressen kann man ändern - oder auch nicht
Man sollte annehmen, dass die Änderung der mit dem Account verknüpften Mailadresse vielleicht keine alltäglich genutzte, aber (ebenso wie die Änderung des Passworts) doch recht verbreitete Funktion darstellt. Diese Annahme ist meistens auch richtig - aber nicht immer.
Es gibt tatsächlich Dienste, die eine Änderung der Mailadresse (die dann in der Regel zugleich die Benutzerkennung darstellt) nicht vorsehen. Da bleibt dann nur ein Weg: einen neuen Account mit der neuen Mailadresse anlegen, Daten übertragen und dann den alten Account löschen. (Man mag es kaum fassen.) Andere Anbieter möchten bei der Änderung der Mailadresse auf Nummer sicher gehen (oder halten das für eine so wenig verlangte Funktion, dass die Implementation einer Benutzerschnittstelle dafür nicht lohnt), so dass die Änderung der Mailadresse nur durch Kontaktaufnahme mit dem Kundenservice möglich ist. Auch das ist mir allerdings glücklicherweise nur bei einer Handvoll Diensten begegnet und war meistens binnen weniger Tage erledigt.
In der ganz weit überwiegenden Mehrzahl der Fälle ist die Änderung der Mailadresse aber online möglich; dabei sind allerdings bei der Entscheidung, wo man diese Funktion anbieten möchte, der Phantasie keine Grenzen gesetzt. Accountdaten, Profil, Kontaktdaten … manchmal glich die Suche derjenigen nach der Nadel im Heuhaufen. Einige (wenige) Anbieter lassen eine unmittelbare Änderung der Mailadresse gar nicht zu; oft geht das mit der Möglichkeit einher, mehrere Mailadressen mit dem Account zu verbinden. Dann muss die neue Mailadresse zunächst als zusätzliche Adresse angelegt werden; dann kann man sie zur primären Mailadresse bestimmen und dann die bisherige Mailadresse (die dann nur noch eine zusätzliche Mailadresse ist) löschen. In ein oder zwei Fällen kam es zu ganz esoterischen Fehlern, namentlich in der Variante, dass die Änderung der E-Mail-Adresse akzeptiert und durch einen entsprechenden Text bestätigt wurde, beim erneuten Aufruf des entsprechenden Menüpunkts aber wieder die alte Mailadresse eingetragen war. Eigenartig. Sehr eigenartig.
Ab und an war die Änderung allein der Mailadresse nicht möglich; in einem eher skurrilen Fall musste zugleich auch das Passwort geändert werden (vielleicht, weil grundsätzlich dessen regelmäßige Änderung vorgesehen ist und der dafür bestimmte Zeitraum lange überschritten war?). In ein paar anderen Fällen mussten zugleich die Accountdaten vervollständigt werden, vermutlich, weil seit der Accountanlage zusätzliche Felder (oft Anschrift und/oder Telefonnummer) zu Pflichtfeldern geworden sind.
Und natürlich gab es eine (ganz kleine!) Gruppe von Spezialisten, die thh@thh.name
nicht für eine gültige Mailadresse hält. Die Validierung von Mailadressen ist ja ohnehin ein Thema für lange Winterabende (sowohl die - weitgehend - richtige Lösung, die überraschend komplex ist, als auch die Vielzahl von Möglichkeiten, diese Aufgabe falsch oder unvollständig zu lösen); hier vermute ich am ehesten, dass den Entwicklern der Gedanke von Top-Level-Domains (TLDs) mit mehr als drei Zeichen ganz ungewohnt war (obschon die TLD .info
alles andere als neu ist).
Mailadressen als Benutzerkennungen
Besonders spannend gestaltet sich die Angelegenheit, wenn die Mailadresse zugleich auch den Accountnamen darstellt, also die Benutzerkennung - sei es zwingend, sei es auch nur, wenn man bei der Anlage des Accounts nichts anderes angibt. Für den Umgang mit einer Änderung der Mailadresse in dieser Konstellation gibt es eine Vielzahl von Möglichkeiten. Man kann schlicht mit der Änderung der Mailadresse auch den Accountnamen, also die Benutzerkennung, ändern; das wäre der naheliegende Weg, der allerdings technisch erfordert, dass jeder Account noch eine interne, eindeutige Bezeichnung hat, über die er mit anderen Datenbanken verknüpft ist. Man kann stattdessen natürlich auch anbieten, Benutzerkennung und E-Mail-Adresse getrennt voneinander zu ändern; das liegt nahe, wenn beim Registrierungsprozess nur die Mailadresse abgefragt und diese dann zugleich auch als Benutzerkennung verwendet wird, das System an sich diese Attribute aber getrennt verwaltet.
Es gibt aber noch interessantere Lösungen. Man kann, zum Beispiel, die Mailadresse ändern lassen, aber die Benutzerkennung (die alte Mailadresse) beibehalten, ohne dass man sie ändern könnte. Dann ist die hinterlegte Mailadresse thh@thh.name
, für den Login muss man aber weiterhin thh@inter.net
verwenden. Das ist schon einigermaßen verwirrend - es geht aber noch verwirrender: dann ist die geänderte Mailadresse auch die neue Benutzerkennung für den Login (so weit, so logisch), der Name des Accounts (der angezeigt wird) bleibt aber die alte Mailadresse (!). So löst das unter anderem Microsoft: mein Account dort heißt weiterhin “thh@inter.net” (und wird auch in allen Office-365-Produkten so angezeigt), die Benutzerkennung (und die verknüpfte Mailadresse) ist aber thh@thh.name
. Das ist dann nicht nur einigermaßen, sondern sogar sehr verwirrend.
Unterschiedlich ist auch die Handhabung bei Programmen und Apps, die sich bei einem solchen Account automatisch anmelden; man denke bspw. an den Dropbox-Client, oder auch an Android-Mobiltelefone, die mit einem Google-Account verknüpft sind. Diese melden sich (bei Dropbox bzw. Google) an, aber die dort hinterlegte Benutzerkennung stimmt ja nicht mehr mit der geänderten Benutzerkennung (Mailadresse) des Dienstes überein. Auch mit diesem Problem gehen Anbieter verschieden um. Dropbox zum Beispiel stellt die Benutzerkennung eines verknüpften Clients transparent um; war man zuvor als “thh@inter.net” eingeloggt, ist man es nach der Änderung dann eben als “thh@thh.name”. Bei anderen Anbietern scheitert aber die nächste automatische Anmeldung mit der Fehlermeldung, der entsprechende Account (“thh@inter.net”) sei unbekannt; dann muss man sich mit der neuen Benutzerkennung (und dem alten Passwort) neu anmelden.
Sicherheitsfragen und Bestätigungen
Manche Anbieter erlauben die Änderung einer mit dem Account verknüpften Mailadresse einfach so; viele Anbieter verlangen für die Änderung der Mailadresse die erneute Eingabe des Passworts, auch wenn man in den Account eingeloggt ist. Oft wird auch eine Bestätigung der neuen Mailadresse verlangt, indem eine E-Mail an diese geschickt wird, die einen Code oder zumeist einen Link enthält, mit dem man die Adressänderung bestätigen muss. Erst nach dieser Bestätigung wird die Änderung tatsächlich vorgenommen.
Das ist grundsätzlich wichtig und richtig, führt aber potentiell zu einer Vielzahl von Problemen - denn E-Mail ist nicht mehr ein so stabiles Medium, wie das einmal der Fall war. Gerne dauert es eine Weile, bis die (in der Weboberfläche angekündigte) E-Mail wirklich versandt wird; das ist dann nur aufhaltsam (und summiert sich bei mehreren hundert Accounts), und man kann sich solange ja schon einmal den nächsten Account vornehmen. Manchmal steht der Host, von dem aus diese Bestätigungs-E-Mail versandt wird, auf einer Blacklist (RBL); das löst dann auf meiner Seite Greylisting aus, also zunächst eine Ablehnung der Mail mit einer vorübergehenden Fehlermeldung, wobei die Mail dann nach einer Wartezeit bei einem erneuten Zustellversuch angenommen wird. In diesen Fällen dauert es dann teilweise richtig lange, bis die Bestätigungsmail eingeht. Noch “besser”, aber gar nicht so selten ist es, wenn die Bestätigungs-E-Mail mit einer ungültigen - weil nicht existenten - Absenderadresse versandt wird. Dann nimmt mein Mailserver sie nämlich nicht an. Viel seltener kommt es vor, dass Bestätigungs-E-Mails andere Mängel enhtalten, bspw. Zeilen, die länger als 998 Zeichen sind. Auch das führt zu einer Abweisung. Hilfreich ist es dann, wenn man sein eigener Provider ist und Zugriff auf das Logfile hat, aus dem man dann ersehen kann, dass und vor allem auch warum die E-Mail nicht angenommen wurde; sonst kann man lange warten (und muss sich dann immer fragen, ob es einfach nur lange dauert oder die Mail nicht angenommen wurde).
In den Fällen abgewiesener Mails muss man (nach Whitelistung des Absenders) dann einen neuen Versand der E-Mail anstoßen; das ist normalerweise kein Problem, weil regelmäßig ein Button oder Link vorhanden ist, mit dem man einen erneuten Versand der Bestätigung auslösen kann. Schlimmstenfalls muss man die Mailadresse zurücksetzen und dann noch einmal ändern; in den seltenen Fällen - die aber vorkommen -, in denen eine erneute Änderung der E-Mail-Adresse nicht möglich ist, bis die erste Änderung bestätigt wurde, muss man notfalls warten, bis der Zeitraum für die Bestätigung der Mailadresse (meistens zwischen 24 und 72 Stunden) abgelaufen ist und dann einen neuen Anlauf starten. Ein Anbieter (bit.ly) sticht hier heraus: dort kann man zwar den erneuten Versand einer Bestätigungs-E-Mail über das Webinterface anstoßen - sie kommt aber nicht. Gar nicht. Niemals. Auch dann nicht, wenn man die E-Mail-Adresse löscht und nochmals neu anlegt. Nicht, wenn man das sofort tut; nicht, wenn man das am selben Tag tut; nicht, wenn man das eine Woche oder 14 Tage später tut. War die Bestätigungs-E-Mail nicht zustellbar, wird kein neuer Versuch unternommen - Punkt. (Möglicherweise liegt das auch am dort für den Mailversand verwendeten Dienstleister, der Fehlermeldungen dauerhaft speichert und die Mailzustellung nicht erneut versucht.) Deshalb habe ich dort jetzt eine ganz andere Adresse mit dem Account verknüpft …
Erfolgt eine notwendige Bestätigung nicht, wird die Änderung normalerweise nach Ablauf eines gewissen Zeitraums verworfen. Nicht wenige Foren lösen das aber anders und loggen den Nutzer nach einer Änderung der Mailadresse aus und deaktivieren den Account, bis die Änderung der Mailadresse bestätigt wurde. Wenn dann die Bestätigungs-E-Mail nicht zustellbar ist, ist das natürlich fatal.
Ein Anbieter (aber nur einer!) hat auch an die alte Mailadresse eine Bestätigungs-E-Mail geschickt; dort muss man also sowohl die neue Adresse bestätigten als auch von der alten Mailadresse aus bestätigen, dass man die Adresse wirklich ändern will. Dort wird Sicherheit demnach besonders groß geschrieben.
Die meisten Anbieter schicken erwartungsgemäß eine Bestätigung über die Änderung, und das meistens an beide Adressen, die neue wie die alte; das ist auch wichtig, denn nur so bekommt man mit, wenn ein Unbefugter Zugriff auf den Account erlangt und die hinterlegte Mailadresse unbefugt geändert hat. Diese Benachrichtigungen erfolgen regelmäßig auch dann, wenn die Adressänderung zuvor erst einmal bestätigt werden musste. Einige Anbieter informieren zudem per Mail darüber, dass man sich - nach langer Zeit einmal wieder - eingeloggt hat. Eines ist also sicher: man bekommt viel E-Mail …
Das Ende ist in Sicht
Nun bin ich mit den Adressänderungen weitgehend durch; ein paar weniger Accounts habe ich noch auf der Liste, wo die Änderung nicht funktioniert hat oder wo noch irgendwelche Bestätigungs-Mails auf ihre Zustellung warten oder der Kundenservice noch reagieren muss. Sicherheitshalber bin ich auch alle Mailinglisten und Newsletter durchgegangen, die ich in diesem Jahr bereits erhalten habe, und habe auch dort die Adresse geändert (oder, gar nicht selten, die Gelegenheit genutzt, einen Newsletter abzubestellen, den ich ohnehin nicht mehr brauche). Außerdem habe ich auf einer Unzahl von Webseiten die Kontaktadresse angepasst und bei einer Vielzahl von mir gesposteter FAQs den Absender geändert. Der bisherige Mailaccount hat einen Autoresponder, der auf die Adressänderung hinweist, und eine Handvoll regelmäßiger Kommunikationspartner habe ich per Mail informiert.
Jetzt bleibt abzuwarten, welche Accounts ich vergessen habe und welcher frühere Kontakt mich in den nächsten Monaten und Jahren über die alte Adresse zu erreichen versucht. Einen Trost immerhin gibt es: wer mich wirklich sucht, wird mich vermutlich ohne große Mühe über Google finden. Immerhin das.
Titelbild © pixelkorn - stock.adobe.com
[Nachträglich veröffentlicht im Mai 2021.]
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Ralph Armin Schmid am :
Ich habe das bisher einmal durch, aber als geplante Änderung dies über Jahre hingezogen durch Vorhalt der alten Adresse - was bei Dir natürlich nicht möglich war. Mit meiner domain schmid.xxx gab es anfangs auch einige Anbieter, die diese damals neue TLD nicht akzeptieren wollten, mittlerweile scheint diese aber allgemein anerkannt zu sein.
Sehr lustig war mal ein Herr der Bundesnetzagentur, der mich telephonisch kontaktierte, "muß ich das xxx durch de oder com ersetzen, um Ihnen antworten zu können?" Ich habe ihm die Erklärung gespart, aus welchem Bereich xxx kommt, das hätte ihn sicherlich vollends verwirrt.
Mr. Chili am :
Welchen Passwortmanager kannst du den Empfehlen?
Thomas Hochstein am :
Ich nutze Password Safe, allerdings ohne lange Recherche; Bruce Schneier hatte den mal empfohlen.
Wichtig ist mir, dass es sich um eine lokale Installation handelt, also keinen Clouddienst, denn denen (und deren Sicherheit) traue ich nicht. Mit gefällt an Password Safe die Möglichkeit, zusätzlich zum Passwort einen Yubikey als zweiten Faktor für die Anmeldung zu verlangen. Der Rest ist ziemlich standardisiert: man kann die Passwörter in Gruppejn ordnen, natürlich Benutzername und Passwort für eine bestimmte Zeit in die Zwischenablage kopieren, wo sie dann wieder gelöscht werden, und einstellen, wie lange der Passwortmanager nach dem Entsperren "offen" bleibt.
KeePass ist ebenfalls ein weit verbreiteter Passwortmanager.
Thomas Hühn am :
Bitwarden ist gut und kann auf Wunsch selbst gehostet werden.