wenn das oben zitierte Passwort das echte war, dann war es über Dictionary Attacks wohl auch leicht zu finden.

Wundert mich allerdings, dass 1und1 da keine Sicherheitsschranken eingebaut hat.

Das tun die garantiert. Vermutlich cleverer als wir es uns hier vorstellen können. Alles Andere erscheint schon alleine wegen der ganzen „web.de“ und „gmx“ Freemail-Sachen nicht plausibel.

Wie lautete das Passwort ganz genau "blondpaul !" oder gar "blondpaul"? Wie und wann hast Du dieses Passwort denn bei 1&1 überhaupt unterbekommen? Anfang der 90er auf der Bestellpostkarte? ;-)

Selbst wenn, dann hätten die Dir doch vor mindestens 10 Jahren eine Nachricht zukommen lassen: „Achtung, Achtung! Zugriff auf Account ab XX.XX.20XX nur noch mit neuem Passwort möglich!“ und den Account dann gesperrt. Alles Andere kann ich mir nicht vorstellen.

Wenn das jemand auf meinem Mailserver ausprobiert, schlägt spätestens nach sechs Fehlversuchen fail2ban zu und wenn es dann 3 x 6 Mal versucht wurde, gibt es eine Totalsperre für die IP und eine Warnmeldung an den Serveradmin.

„United Internet“ selbst kolportiert im Netz was von "67 Mio. Kunden-Accounts in 17 Ländern". K.A. wer davon E-Mail wirklich nutzt, aber da dürfte schon was zusammenkommen. Der Vergleich mit Deinem Setup ist daher m.E. Quatsch.

Und der Mailserver selber setzt nach drei Fehlversuchen auf ein Konto die Loginrate auf slow, egal von welcher IP. Da wird es dann schon schwierig, das noch automatisiert zu versuchen.

So kenne ich das auch von GMX. Nach X Fehlersuchen auf Account Y in Zeitraum Z wird gedrosselt. Darüber hinaus bestimmt noch viel, viel mehr.

Spätestens wenn eine Wörterbuch/Brute-Force-Attacke erkannt wird, dafür werden die gute Heuristiken haben.

Selbst wenn es dann trotzdem mal gelingt, wäre es zeitlich intensiv. Da kann ich mir gerade nicht vorstellen, dass sich diese Nummer hier dann letztlich für einen BOT-Betreiber lohnen könnte.

Der Sherlock in mir sagt: irgendetwas an der Story passt nicht oder fehlt noch.