Zum Hauptinhalt springen

Authentifizierung

Alle Anfragen an die mail2many API müssen mit einem API-Key authentifiziert werden. Ein API-Key ist immer mit einem einzelnen mail2many Account verknüpft und bietet nur Zugriff auf diesen einen Account.

API-Key

Benutzer können mehrere API-Keys in ihrem mail2many Account generieren und verwalten. Jeder API-Key kann unterschiedliche Berechtigungen haben.

Da ein API-Key Zugriff auf einen mail2many Account bietet, sollte er wie ein Passwort behandelt werden. Externe Anwendungen sollten API-Keys immer sicher speichern und dafür sorgen, dass sie für niemanden sichtbar sind.

Weitere Informationen zu API-Keys, deren Verwaltung und Berechtigungen findest du in der Dokumentation zu API‑Keys.

HTTP Basic Authentication

Um eine Anfrage zu stellen, verwende die HTTP‑Basic‑Authentifizierung und sende den API-Key als Passwort. Der Benutzername kann beliebig sein (z.B. mail2many oder api verwenden) — wichtig ist nur, dass der API-Key als Passwort verwendet wird:

curl -X GET "https://YOUR_SERVER-api.mail2many.de/api/v1/" \
  --user 'mail2many:YOUR_API_KEY' \
  -H "Content-Type: application/json" \
  -H "Accept: application/json"

Der Basic‑Auth‑Header muss bei jeder Anfrage mitgesendet werden.

Authentifizierung testen

Um zu testen, ob dein API-Key funktioniert, rufe den /whoami Endpoint auf. Wenn du eine Antwort mit Informationen zu deinem Account erhältst, funktioniert alles:

curl -X GET "https://YOUR_SERVER-api.mail2many.de/api/v1/whoami" \
  --user 'mail2many:YOUR_API_KEY' \
  -H "Content-Type: application/json" \
  -H "Accept: application/json"

Brute‑Force‑Schutz

Aus Sicherheitsgründen führen wiederholte fehlgeschlagene Authentifizierungsversuche zu einer temporären Verzögerung:

  • Nach 5 Versuchen: 30 Sekunden Sperrung + 3 weitere Versuche
  • Nach 8 Versuchen: 60 Sekunden Sperrung + 1 weiterer Versuch
  • Nach 9 Versuchen: 120 Sekunden Sperrung + 1 weiterer Versuch
  • Nach 10 Versuchen: 5 Minuten Sperrung + 1 weiterer Versuch
  • Nach 11 Versuchen: 10 Minuten Sperrung + 1 weiterer Versuch
  • Ab 12 Versuchen: Sperrung erhöht sich um 5 Minuten je Versuch

Alle fehlgeschlagenen Versuche werden nur innerhalb eines 60‑Minuten‑Fensters gezählt. Nach 60 Minuten ohne weitere Fehler wird der Zähler zurückgesetzt.

Vermeide wiederholte fehlgeschlagene Versuche, um längere Sperrfristen zu vermeiden.