Mail mit Zugangsdaten an Kunden

Dieses Thema im Forum "Feature Requests" wurde erstellt von atnetws, 23. Apr. 2015.

  1. atnetws

    atnetws New Member

    Hallo zusammen,

    wir haben oft den Fall, dass wir Kunden, deren Webs / Mails wir administrieren, Zugänge einrichten (Mail, FTP, DB...), weil sie es sich selbst nicht zutrauen. Ein Standardfall wäre "bitte richten Sie mustermann@domain.de ein und schicken mir die Zugangsdaten".
    Genau das mache ich dann auch, also Mailkonto anlegen, Passwort kopieren, Mail-Benutzernamen aus der Übersichtsliste rauskopieren, mich ärgern, dass Thunderbird mal wieder beim Einfügen die Formatierung zerhaut... und so weiter.

    Es wäre daher super, wenn Admin-Benutzer eine Häkchen à la "Mail mit Zugangsdaten an im Kundendatensatz hinterlegte Adresse schicken" bekäme - dies dann für Mail, FTP oder DB.

    Mir ist schon bewusst, dass diese Vorgehensweise vom Sicherheitsaspekt her suboptimal ist, aber es gibt das o.g. Szenario nicht wirklich selten und diese Funktion wäre eine tolle Arbeitserleichterung.

    Gruß,
    Marcus
     
  2. logifech

    logifech Member

  3. nowayback

    nowayback Well-Known Member

    Passwörter per Mail verschicken grenzt für mich an grobe Fahrlässigkeit wenn sie nicht direkt danach geändert werden (können und werden).
    -1


    Edit: 1000. Beitrag. Jetzt hätte ich gern ein Eis dafür :p
     
    Zuletzt bearbeitet: 23. Apr. 2015
  4. atnetws

    atnetws New Member

    Prinzipiell hast Du recht. In diesen Fällen ist der Mailweg aber durchgehend verschlüsselt, also kann man das schon machen.
     
  5. nowayback

    nowayback Well-Known Member

    Ja und nein... Was bringt die Verschlüsselung wenn am Client nen Trojaner "mitliest" (nur um mal ein mögliches Beispiel in der Fehlerkette aufzuzeigen das auftreten kann).

    Besser wäre dem Kunden eine Mail zu schicken mit einem eineindeutigen Link der mit einem Passwort geschützt ist, das ihm irgendwann per Post oder Persönlich zugestellt wurde. Damit authentifiziert er sich und setzt sich sein "Wunschpasswort" oder besser noch, bekommt ein zufällig generiertes angezeigt, mit dem er die Adresse nutzen kann.

    Sich ist dies nicht der einfachste Weg, aber wenn ein Kunde sich keine Mail Adresse im ISPConfig anlegen können will, wäre das der Weg, dem ich ihm anbieten würde. Dann kann er sich entscheiden - Mail selbst anlegen oder das Passwort für die Mail so abrufen wie beschrieben.

    Ich versteh auch den "managed" Ansatz, aber E-Mailkonten sind keine AD Konten, bei denen man eine Neuvergabe des Passworts erzwingen kann.

    Ich werfe mal eine weitere Theorie in den Raum: Angebote und Aufträge werden heute viel per E-Mail erledigt. Nun kommt eine Zeit und deinem Kunden gehen Aufträge verloren weil er immer unterboten wird und zwar nicht nur einmal, sondern fast immer. Jetzt darfst du mal raten wen er als erstes verdächtig wenn es darum geht, seine Mails abzugreifen und sie der Konkurrenz zuzuspielen? Du hast nicht nur den Server, sondern sogar das Passwort des Mailkontos. Selbst bei verschlüsseltem Dateisystem, verschlüsseltem Transport und verschlüsselten Mails... Du hast das Passwort! Think about it...
     
    Zuletzt bearbeitet: 24. Apr. 2015
    F4RR3LL gefällt das.
  6. atnetws

    atnetws New Member

    Also, wenn ein Kundenrechner tatsächlich trojanerverseucht ist, ist sowieso alles zu spät und noch nicht einmal mehr die Tastatur ein sicheres Eingabemedium, zumal sicherlich 95% aller Ottonormaluser ihr Mailpasswort sowieso im Mailclient speichern.

    Nicht, dass wir uns falsch verstehen - vom Sicherheitsaspekt her bin ich völlig bei Dir. Es gibt aber leider Kunden, die die von Dir beschriebene Vorgehensweise schlichtweg nicht blicken oder gar nicht wollen. Und ja, glaub mir, ich habe jegliche Kommunikationswege durch, vom Telefon (sicheres Pwd am Telefon diktieren, haha ;) ), Fax (geht durch mehrere Hände), Keepass-Container (kapiert keiner), über einen Brief (kann durchleuchtet werden) bis hin zur persönlichen Übergabe eines USB-Sticks (wie, das kostet Anfahrt?).

    Aber zurück zu dem Feature: das wäre doch ein klassicher Fall von "Don't like it? Don't use it" und ist natürlich nur dann anzuwenden, wenn der Kunde es explizit so wünscht und auf die möglichen Nachteile hingewiesen wurde.
     

Diese Seite empfehlen