Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben heute eine wichtige neue Funktion für Sie freigegeben: Unsere TLS-Versand-Garantie. Die neue Sicherheitsfunktion schützt Sie davor, E-Mails an unsichere Systeme zu versenden. Sie können die Funktion ab sofort in Ihren Einstellungen aktivieren.

E-Mails müssen sicher über verschlüsselte Verbindungen übertragen werden, damit Kriminelle und Geheimdienste nicht unbefugt mitlesen können. Drei Jahre nach dem NSA-Skandal ist die Verschlüsselung von Transportwegen (TLS) deshalb alltäglich geworden: Alle großen E-Maildienste haben sie inzwischen auf ihren Systemen aktiviert. Doch wie sieht es bei E-Mailsystemen aus, an die Sie im Alltag oder im Berufsleben häufig Nachrichten verschicken? Für Anwender ist vor dem Absenden einer E-Mail nicht ersichtlich, ob die E-Mailsysteme ihrer Geschäftspartner, Ärzte, Vereine oder Schulen sichere Verbindungen unterstützen.
Unsere Systeme hingegen erkennen dies. Denn Posteo versucht vor jedem einzelnen E-Mailversand, mit dem anderen E-Mailserver eine verschlüsselte Verbindung aufzubauen – und so einen sicheren Versand zu erreichen.

Ist kein sicherer Versand möglich, wird die Übertragung gestoppt
Genau hier setzt unsere neue TLS-Versand-Garantie an: Aktivieren Sie die Sicherheitsfunktion, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht sicher an den Empfänger ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Der Versand wird auch gestoppt, wenn unbefugte Dritte eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten.

Benachrichtigen wir Sie über einen gestoppten Versand, können Sie übrigens selbst entscheiden, ob Sie Ihre Nachricht trotzdem an das unsichere E-Mailsystem senden möchten. In diesem Fall können Sie die TLS-Versand-Garantie kurzzeitig deaktivieren und Ihre Nachricht ausnahmsweise ohne TLS versenden.
Wir haben die neue Funktion so praxisnah wie möglich konzipiert: Ob Sie Ihre E-Mails mit Ihrem Smartphone, im Webmailer oder in lokalen Programmen wie Outlook oder Thunderbird verwalten, spielt keine Rolle. Jeder E-Mailversand durchläuft die TLS-Sicherheits-Prüfung. Sollten Sie einmal eine E-Mail an mehrere Empfänger versenden, wird der Versand nur an diejenigen Empfänger gestoppt, denen die E-Mail nicht sicher übermittelt werden kann. Sie werden im Anschluss von uns per E-Mail informiert, welche Empfänger vom Versandstopp betroffen waren.

#more#
Erneute Sicherheitsprüfung vor jedem E-Mail-Versand
Die neue Funktion verschafft Ihnen mehr Klarheit: Sie erfahren stets, wie es aktuell um die Kommunikations-Sicherheit ihrer Kontakte bestellt ist. Aus Sicherheitsgründen wird nämlich auch bei bereits bekannten Empfängern vor jedem Versand eine erneute TLS-Überprüfung durchgeführt. So stellen wir sicher, dass Ihre E-Mails auch dann nicht unsicher versendet werden, wenn ein Server einmal kurzzeitig nicht TLS-fähig sein sollte – zum Beispiel aufgrund technischer Probleme oder eines Angriffs .

Sie können Ihre TLS-Versand-Garantie ab sofort in den Einstellungen Ihres Posteo-Postfachs unter “Einstellungen → Mein Konto → Transportwegverschlüsselung” aktivieren.
In unserer Hilfe haben wir für Sie einen Artikel zur neuen TLS-Versand-Garantie bereitgestellt. Dort erfahren Sie, wie Sie die Funktion aktivieren und deaktivieren – und wie Sie vorgehen können, wenn der Versand einer E-Mail an einen unsicheren E-Mailserver gestoppt wurde.

Zusatz-Infos für IT-Profis:
- Die TLS-Versand-Garantie verhindert Downgrade-Attacken, die einen Rückfall auf unverschlüsselte Verbindungen zum Ziel haben.
- Veraltete und unsichere Verschlüsselungsprotokolle wie SSLv3 oder RC4 werden nicht toleriert: Sie bewirken ebenfalls einen Versandstopp.
- Man-in the-Middle-Attacken werden erschwert und immer dann verhindert, wenn der Empfänger-Server wie Posteo ebenfalls DANE verwendet.

Mehr über die Verschlüsselung bei Posteo
Die Transportwegverschlüsselung ist ein Baustein unseres innovativen Verschlüsselungskonzeptes. Lernen Sie auf unserer Infoseite-Verschlüsselung auch unsere anderen Funktionen kennen: Dort erfahren Sie zum Beispiel, wie Sie alle gespeicherten Daten komfortabel auf Knopfdruck verschlüsseln können (Krypto-Mailspeicher, Adressbuch- und Kalenderverschlüsselung). Außerdem informieren wir darüber, wie wir alle Zugriffe und sensiblen Daten verschlüsseln – und stellen unsere Funktionen aus dem Bereich der Ende-zu-Ende-Verschlüsselung (Schlüsselverzeichnis, PGP im Webmailer etc.) vor.


Viele Grüße
Ihr Posteo-Team

Liebe Kundinnen und Kunden,
liebe Interessierte

wir möchten Sie über einige neue Sicherheitstechnologien bei Posteo informieren. Wir haben damit begonnen, die Technologie “Certificate Transparency” zu unterstützen. Außerdem setzen wir seit einigen Wochen die sehr neuen Technologien “Certification Authority Authorization (CAA)” und “HTTP Public Key Pinning (HPKP)” ein. Mit diesen Technologien erhöhen wir die Sicherheit bei Posteo noch einmal für Sie.

Für Sie ändert sich im Alltag nichts – und Sie müssen nichts tun. Wir möchten Ihnen in diesem Beitrag nur einen Einblick verschaffen, wie wir Ihre Daten bei Posteo mit diesen neuen Technologien schützen.

Certificate Transparency: Keine Chance für Fälscher von Sicherheitszertifikaten

Mit Certificate Transparency überwachen wir automatisiert weltweit, ob ein unbefugter Dritter (Kriminelle oder Geheimdienste) versucht, sich als Posteo auszugeben – und Zertifikate unserer Posteo-Domains zu fälschen. Es war auch bisher schon sehr unwahrscheinlich, dass eine Zertifizierungsstelle Unbefugten tatsächlich fälschlicherweise bescheinigt, Posteo zu sein. Denn wir nutzen bereits seit vielen Jahren ein so genanntes erweitertes Sicherheitszertifikat (EV-Zertifikat). Und solche Zertifikate werden nur nach Vorlage diverser Unterlagen ausgestellt. Kriminelle und Geheimdienste versuchen aber durchaus, über gefälschte Zertifikate eine andere Identität vorzugeben. Zum Beispiel, um Kunden von Internetdiensten auf gefälschte Phishing-Seiten zu locken und dort ihre Login-Daten abzugreifen. Oder, um sich als “Man-in-the-Middle” in einen Kommunikationsvorgang einzuschalten.

Mit der neuen Technologie werten wir 24 Stunden am Tag nahezu in Echtzeit aus, ob jemand versucht, unsere Zertifikate zu manipulieren und können deshalb sofort reagieren – idealerweise noch bevor ein Angreifer einen Betrugsversuch ausführen kann. Man muss nicht mehr auf die Sorgfalt der Zertifizierungsstellen (CA) beim Ausstellen von Zertifikaten vertrauen: Denn mit der neuen Technologie können Internetdienste wie Posteo nun selbst überprüfen, ob eine Zertifizierungsstelle einem Unbefugten fälschlicherweise ein Zertifikat ausgestellt hat.

Neues Zertifikat im Zuge der Umstellungen

Um die neuen Sicherheitstechnologien unterstützen zu können, werden wir im April damit beginnen, ein weiteres Zertifikat von Geotrust einzusetzen. Diese Zertifizierungsstelle unterstützt bereits die neuen Technologien. Interessierte finden die Fingerprints aller Zertifikate (eine Zeichenfolge, mit der ein Zertifikat als “echt” identifiziert werden kann) ab sofort in unserem Impressum. Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Neue Sicherheitstechnologie Certification Authority Authorization (CAA) bereits seit einigen Wochen im Einsatz

Eine weitere neue Sicherheitstechnologie im Zusammenhang mit Zertifikaten setzen wir bereits seit einigen Wochen ein:
Certification Authority Authorization (CAA). CAA ist eine sehr neue, bisher noch nicht verbreitete Technik. Mit der neuen Technologie haben wir im DNS, dem zentralen Abfrage-Register im Internet, die Information hinterlegt, welche Zertifizierungsstellen berechtigt sind, für unsere Domains Zertifikate auszustellen. Diese Technik ist noch sehr neu, deshalb gibt es für die Zertifizierungsstellen noch keine Verpflichtung, sich daran zu halten. Wir sind aber der Auffassung, dass diese Einträge dennoch schon jetzt sinnvoll sind: Wir wollen zeigen, was heute technisch möglich ist und hoffen, dass schon bald viele Telekommunikationsanbieter und Zertifizierungsstellen CAA nutzen. Die Technologie kann die Internetnutzung insgesamt sicherer machen – und das Risiko gefälschter Zertifikate weiter minimieren.

Deutsche Zertifizierer mit Certificate Transparency noch nicht praxistauglich

Derzeit ist es für E-Maildienste wie Posteo noch unmöglich, Zertifikate deutscher Zertifizierungsstellen als Haupt-Zertifikat in der Praxis einzusetzen.
So kennen einige weit verbreitete Geräte und Programme deutsche Anbieter wie D-Trust bzw. die Bundesdruckerei (noch) nicht. Setzt ein E-Maildienst dennoch ein Zertifikat einer solchen “unbekannten” Zertifizierungsstelle ein, kommt es deshalb bei einer großen Kundenanzahl zu ständig wiederkehrenden Fehlermeldungen. Die Programme melden, dass den eingesetzten Zertifikaten nicht vertraut wird. Auch bei der Unterstützung neuer Sicherheitstechnologien sieht es nicht gut aus: Das Telekom Trust Center (TeleSec), die Zertifizierungsstelle der Deutschen Telekom AG, hat z.B.- laut Angaben uns gegenüber- keine Pläne, Certificate Transparency zu unterstützen. Diese bestehenden Probleme mit deutschen Zertifizierern werden sich – wenn überhaupt – erst im Laufe der kommenden Jahre bessern. Voraussetzung hierfür ist zum Beispiel, dass die deutschen Zertifizierer dafür sorgen, dass ihre so genannten Root-Zertifikate in allen Geräten und Programmen der neueren Generationen als vertrauenswürdig erkannt werden.

Zusatz-Information für Profis: Weitere Zertifikat-Sicherheitstechnologien bei Posteo

- Wir nutzen pro abgesicherter Domain immer mindestens zwei Extended-Validation-Zertifikate gleichberechtigt. Falls es einmal Probleme mit einer Zertifizierungsstelle geben sollte, können wir umgehend auf das andere Zertifikat wechseln, ohne dass es zu Beeinträchtigungen für unsere Kundinnen und Kunden kommt.
- Wir nutzen HPKP (HTTP Public Key Pinning), um Browser zu zwingen, nur unsere Zertifikate zu akzeptieren.
- Wir nutzen DANE, damit andere E-Mailserver, Browser und Programme unsere Zertifikate über eine fälschungssichere DNS-Abfrage überprüfen können.

Viele Grüße
Ihr Posteo-Team