E-Mail-Zugriff per Client-Anwendung ab 15.09.2025 nur noch aus dem Campusnetz oder per VPN bzw. Webmail möglich

Frank Richter

Wenn Sie Ihr E-Mail-Postfach der Universität per Client-Anwendung (z. B. Outlook, Thunderbird, Apple Mail usw.) abrufen (IMAP bzw. POP3) oder darüber E-Mails senden wollen (SMTP), dann funktioniert dies ab dem 15. September 2025 nur noch aus dem Campusnetz. Im Home-Office oder unterwegs müssen Sie daher VPN (Virtual Private Network) nutzen. Im Folgenden zeigen wir, wen es betrifft, und erklären, was Betroffene tun müssen. Schließlich erläutern wir die Gründe für diese Absicherungsmaßnahme.

Bin ich betroffen?

Nicht betroffen sind Sie, wenn

  • Ihr E-Mail-Postfach auf dem Exchange-Server liegt (hier gelten diese Maßnahmen bereits seit Ende 2023),
  • Sie Ihre E-Mails über Webmail SOGo lesen und senden.

Wenn Sie den E-Mail-Zugang mit Programmen wie Outlook, Thunderbird, Apple Mail oder mit einer App über IMAP/POP3/SMTP von Geräten außerhalb des Campusnetzes nutzen, sind Sie von dieser Maßnahme betroffen. Außerhalb des Campusnetzes befinden Sie sich üblicherweise, wenn:

  • Ihr Smartphone über die mobile Datenverbindung ins Internet eingewählt ist,
  • Sie im heimischen WLAN arbeiten,
  • Sie sich auf Dienstreise oder in mobiler Arbeit befinden.

In diesen Fällen müssen Sie, wie nachstehend beschrieben, aktiv werden, um den E-Mail-Dienst weiterhin benutzen zu können.

Was muss ich tun?

Um den E-Mail-Dienst von außerhalb des Campusnetzes weiterhin wie gewohnt nutzen zu können, muss Ihr Endgerät eine VPN-Verbindung zur TU Chemnitz aktivieren. Hierzu ist ein VPN-Client erforderlich. Die Einrichtung eines VPN-Zugangs ist auf den entsprechenden Hilfeseiten des URZ beschrieben. Bitte richten Sie daher baldmöglichst – spätestens bis zum 15.09.2025 – einen entsprechenden VPN-Zugang auf Ihren Geräten ein, um weiterhin uneingeschränkten Zugang zu Ihrem Postfach zu haben.

Für Neueinrichtungen empfehlen wir eduVPN. Vor allem für das Senden/Empfangen von E-Mails auf dem Smartphone bietet sich das Profil „Groupware only“ an, da hier ausschließlich der Datenverkehr zu den Mailservern über die IT-Infrastruktur der Universität geleitet wird, nicht aber der Abruf von Webseiten. Gleiches gilt auch für den PC oder Laptop. Sollten Sie hier bereits einen VPN-Zugang mit der Software „Cisco Anyconnect“ eingerichtet haben, dann können Sie diesen problemlos weiter nutzen.

An den Einstellungen Ihres E-Mail-Programms bzw. Ihrer Apps auf den Endgeräten sind keine Änderungen notwendig.

Warum sind diese Anpassungen notwendig?

In den letzten Jahren hat sich die Sicherheitslage im IT-Umfeld drastisch verschärft. Für Dienste, die aus dem gesamten Internet erreichbar sind, ist die alleinige Absicherung durch ein Passwort nicht mehr ausreichend. Für den E-Mail-Dienst sehen wir uns mit drei akuten Gefahren konfrontiert:

  1. Gefahr für die Reputation und Funktionsfähigkeit der TU Chemnitz: Durch gestohlene Zugangsdaten werden über unsere Server massenhaft Spam- und Phishing-Mails versendet (2024 neun, 2025 bisher fünf größere Vorfälle). Dies führt dazu, dass die TU Chemnitz auf internationalen Sperrlisten landet. Die unmittelbare Folge: Wichtige E-Mails von Forschenden, Mitarbeitenden und Studierenden an externe Partner werden von deren Systemen abgewiesen und kommen nicht an. Der Aufwand, unseren E-Mail-Dienst wieder „sauber“ zu bekommen, ist enorm und beeinträchtigt den Betrieb für alle.

  2. Gefahr für Daten und Privatsphäre: Unbefugte können nicht nur E-Mails versenden, sondern auch Postfächer komplett auslesen. Dies gefährdet persönliche Daten, vertrauliche Forschungsinformationen und sensible Geschäftsgeheimnisse der Universität.

  3. Konstante Angriffe: Unsere Server registrieren täglich bis zu 300.000 automatisierte Anmeldeversuche aus dem Internet, um Passwörter zu erraten. Trotz Gegenmaßnahmen ist es nur eine Frage der Zeit, bis ein schwaches Passwort geknackt wird.

Diese Risiken sind so gravierend, dass wir handeln müssen, um den E-Mail-Dienst als verlässliches Kommunikationsmittel für die gesamte Universität zu erhalten. Für Postfächer auf dem Exchange-Server wurden diese Maßnahmen bereits im Dezember 2023 getroffen, für Webmail im März 2025. Ab 15.09.2025 treten die Schutzmaßnahmen für IMAP und POP3 (E-Mail-Abruf) und SMTP (E-Mail-Versand) für mail.tu-chemnitz.de in Kraft.

Mit einer VPN-Verbindung platzieren Sie Ihr Gerät virtuell im Campusnetz. Dies ist der etablierte Industriestandard, um einen sicheren Fernzugriff zu gewährleisten. Gleichzeitig greift dadurch auch die Mitte 2024 an der Universität eingeführte Multi-Faktor-Authentisierung (MFA). Externe Angriffe auf die E-Mail-Server der TU Chemnitz werden somit vollständig unterbunden.

Wichtig: Webmail SOGo ist nicht betroffen! Hier haben wir durch das Login über das Web-Trust-Center mit MFA bereits einen hohen Sicherheitsstandard erreicht, der kein VPN erfordert.

Wir haben auch technische Alternativen wie App-spezifische Passwörter oder OAUTH2 geprüft. Leider sind diese entweder mit noch größeren Hürden für alle Nutzerinnen und Nutzer verbunden oder technisch in der dezentralen E-Mail-Welt nicht standardisiert umsetzbar. Die VPN-Lösung ist daher der sicherste und gleichzeitig praxistauglichste Weg.

Durch diese Maßnahme tragen wir alle zum Schutz der IT-Infrastruktur unserer Universität bei. Wir bedanken uns bei allen Nutzerinnen und Nutzern für das Verständnis für diese Sicherheitsmaßnahme. Für Fragen und Problemlösungen steht Ihnen das URZ selbstverständlich gern zur Verfügung.

2 Antworten zu „E-Mail-Zugriff per Client-Anwendung ab 15.09.2025 nur noch aus dem Campusnetz oder per VPN bzw. Webmail möglich“

  1. Tim Endmann

    Hallo URZ, zunächst einmal möchte ich klarstellen das ich die Bemühungen das Campus Netz sicherer zu machen in vollstem Umfang befürworte und die geplanten Schritte auch nachvollziehen kann. Allerdings bin ich mit dem geplanten Schritt etwas unglücklich und denke das ich in dieser Hinsicht auch nicht der Einzige bin. Ich nutze mehrere der beschriebenen Mail Clients auf verschiedenen Geräten und für mich wäre es sehr hinderlich bei jedem dieser Geräte ein VPN Client aufzusetzen oder mich jedes mal über die WebMail einzuloggen. Ich würde es sehr bevorzugen weiter ein App / Gerätepasswort nutzen zu können. Diese werden von allen, zumindest von mir verwendeten, Mailproviders als alternative zur 2FA angeboten(Web.de anwendungsspezifisches Passwort, Gmail App-Passwörter, GMX anwendungsspezifisches Passwort, …). Ich verstehe nicht ganz was die von Ihnen beschriebenen „größeren Hürden für alle Nutzerinnen und Nutzer“ sind, da dies bereits jetzt möglich und empfohlen ist. Natürlich verstehe ich auch, das es nicht die Hauptaufgabe der Universität ist einen Mailserver zur Verfügung zu stellen und dies Gewiss auch so schon viel Arbeit für das URZ bedeutet. Für mich würde diese neue Regelung allerdings sehr in meinen Alltag eingreifen und dafür sorgen das ich nur noch sehr eingeschränkt erreichbar bin. Vor allem in der vorlesungsfreien Zeit wird es bestimmt vielen Studierenden ähnlich gehen. Alternativen wie die Weiterleitung aller Mails über eine WebMail Weiterleitung oder das VPN „Groupware only“ Profil sind da nur ein schwacher Trost. Deshalb möchte ich hiermit anfragen ob es nicht doch die Möglichkeit gibt die Anmeldung mit Apppasswörtern aus dem Internet weiter bereitzustellen. MfG

    1. Frank Richter

      Es ist uns bewusst, dass diese Sicherheitsmaßnahme einige Auswirkungen auf die Arbeitsweise hat. Wir haben URZ-intern die beiden Varianten VPN und App- und Gerätepasswörter intensiv diskutiert und uns dann mehrheitlich für VPN entschieden. Die Gründe: 1. Bisher verwendet nur eine kleiner Anteil aller Nutzerinnen und Nutzer die Möglichkeit der App- und Gerätepasswörter für den Zugriff auf das Postfach. Somit müssten sehr viele diese Umstellung vornehmen – auch die, die ihre E-Mails ausschließlich aus dem TUC-Campusnetz lesen. Vor allem für technisch weniger versierte Personen sehen wir hier Probleme für die Einrichtung und den Umgang damit. Die Nutzung von VPN sollte allgemein bekannt und vertraut sein, da dies ohnehin für den Arbeitsalltag bzw. Studienalltag (z. B. Zugriff auf Literatur) notwendig ist. 2. Wenn wir die Mailserver im Internet belassen, bleiben die Brute-Force-Angriffe zum Erraten von Passwörtern bestehen. Unsere Gegenmaßnahmen (zeitweises Sperren von IP-Adressen) können auch die reguläre Nutzung behindern. 3. Auch wenn App- und Gerätepasswörter nur einmalig zur Einrichtung und nicht aufgeschrieben werden sollen, so können wir dies nicht ausschließen. Somit ist die Gefahr, dass Zugangsdaten per Phishing erbeutet werden, nicht komplett gebannt. 4. Teilweise werden Zugangsdaten per Malware erbeutet. Da die App- und Gerätepasswörter im Endgerät abgespeichert werden, kann auch hier der Abfluss nicht ausgeschlossen werden. Somit bleibt die VPN-Lösung die einzige Alternative, bei der der Zugang zum Postfach über den zweiten Faktor und damit dem höchsten Sicherheitsniveau gewährleistet werden. Übrigens empfiehlt Google die Verwendung von App-Passwörter inzwischen nicht mehr.

Schreibe einen Kommentar

Internes

Impressum

Datenschutzerklärung

Barrierfreiheitserklärung

Feed der Einträge

Anmelden

Schlagworte

Accessibility Android App Ausbildungspool Barrierefreiheit Campusnetz Cisco Datenschutz Drucken E-Learning E-Mail eduroam Exchange GApps gitlab Groupware IdM Kalender Kollaboration Kurse LaTeX Linux MFG Microsoft Mitarbeiter Mobil Monitor ONYX OPAL Postfach Security Sicherheit Software Telefon TUCAL TUCApp TUCcloud Umfrage Update Videokonferenz Voice over IP Webdienst Weiterbildung Windows wlan