Neues Sicherheitszertifikat

Erstellt am 15. Januar 2019, 14:30 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unser Haupt-Sicherheitszertifikat aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir es bis zum 21.01.2019 austauschen.

In den meisten Fällen werden Sie davon nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Wenn Sie das Vertrauen des Zertifikats durch einen manuellen Abgleich regeln, finden Sie unten den Fingerprint des neuen Haupt-Zertifikats, welches wir in Kürze verwenden. Die vollständigen Fingerprints aller Zertifikate finden Sie auch in unserem Impressum.

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: 4D:BE:FA:8D:28:6A:D3:73:85:A1:B9:3F:77:D0:5F:E9:70:DD:BF:91:B6:0B:66:3A:1E:4B:C0:3D:4F:71:90:D0
SHA1: 73:4A:26:46:D0:A3:95:1D:52:88:83:F4:12:E9:CA:35:67:8A:6A:07
MD5: BD:6F:47:5C:8E:A9:82:87:E1:DC:A1:7C:07:85:95:A7

Viele Grüße
Ihr Posteo-Team

Kartographie für Hilfsorganisationen: Missing Maps zu Gast im Posteo Lab

Erstellt am 20. August 2018, 11:43 Uhr | Kategorie: Blog

Von Kreuzberg aus Nigeria erschließen: Das war am 14. August in unserem Berliner Posteo Lab möglich. Dort veranstaltete eine neue Missing Maps-Gruppe ihren ersten deutschen Mapathon. Bei Mapathons verbessern Freiwillige unter Anleitung Online-Karten, indem sie beispielsweise Dörfer und Straßen auf Satellitenaufnahmen eintragen. Bei den Veranstaltungen von Missing Maps werden OpenStreetMap-Karten von Krisenregionen verbessert. So können beispielsweise Hilfsorganisationen ihre Einsätze effektiver planen. #more#

Missing Maps ist ein humanitäres Projekt, das im November 2014 vom amerikanischen und britischen “Roten Kreuz”, dem “Humanitarian OpenStreetMap Team”und “Ärzte ohne Grenzen” ins Leben gerufen wurde. Seitdem organisiert Missing Maps in verschiedenen europäischen Ländern regelmäßig Mapathons. Bei der ersten deutschen Veranstaltung im Posteo Lab nahmen etwa 17 Interessierte teil.
#more#
Im Fokus der Veranstaltung in Berlin standen Satellitenaufnahmen des Bundestaats Niger, im Westen Nigerias. Dort sind aktuell Teams einer medizinischen Hilforganisation aktiv, die genauere Karten der Region für ihre Arbeit benötigen.

Zu Beginn des Mapathons gab es eine ausführliche Einführung. Marcel Werdier von der Organisation Missing Maps erklärte anhand einer Präsentation anschaulich, wie Mapping funktioniert, zeigte die hierfür benötigten Programme und erläuterte den Freiwilligen die wichtigsten Regeln beim Mappen.

Nach dem Vortrag konnten die Teilnehmerinnen und Teilnehmer ihr Erlerntes sofort anwenden und an ihren mitgebrachten Laptops mit dem Mapping beginnen. Sie sichteten Satellitenaufnahmen und zeichneten mit wenigen Klicks Straßen und Dörfer ein. Das Team von Missing Maps half den Teilnehmerinnen und Teilnehmern und beantwortete aufkommende Fragen.

Im Anschluss gab es eine Abschlusspräsentation, bei der die Freiwilligen die gemeinsam erarbeiteten Karten-Fortschritte ansehen konnten. Mit den erworbenen Kenntnissen können sie auch privat weiter mappen.

Das Team von Missing Maps zeigte sich zufrieden mit der Deutschlandpremiere seiner Mapathons. Es gibt Pläne, weitere solcher Abende in Berlin zu organisieren.

Hintergrund:
Wir wollen gesellschaftliches Engagement stärken: Deshalb stellen wir das Posteo Lab regelmäßig gemeinnützigen Vereinen und Organisationen unentgeltlich zur Verfügung. Uns ist wichtig, dass die Veranstaltungen zu Posteo und unseren Themen Nachhaltigkeit, Technologie, Demokratie, Open Source, Netzpolitik, IT-Sicherheit und Datenschutz passen. Bei Interesse können Sie uns gerne eine Anfrage an veranstaltungen@posteo.de schicken.

Posteo wird zu 100 Prozent aus den Beiträgen seiner Nutzerinnen und Nutzer finanziert. Sie ermöglichen auch unser gesellschaftliches Engagment: Dafür möchten wir uns an dieser Stelle bei ihnen bedanken.

Transparenzhinweis: Unsere Spenden 2017

Erstellt am 12. Juli 2018, 14:45 Uhr | Kategorie: Blog

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2017) finanziell unterstützt haben.

Im vergangenen Jahr haben wir insgesamt 34.600,00 EUR gespendet. Davon waren 33.022,05 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben gekündigter Postfächer stammten die übrigen 1.577,95 EUR.
Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2017 um 5.000 EUR erhöhen.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb spenden wir an ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe. #more#

Im Jahr 2017 wurden unterstützt:

BUND:
Der Bund für Umwelt und Naturschutz Deutschland (BUND) ist einer der größten deutschen Umweltverbände. Deutschlandweit gibt es über 2.000 ehrenamtliche BUND-Gruppen, die sich u.a. zu Umweltthemen in ihrer Region engagieren. Der BUND setzt sich außerdem für den Klimaschutz, für eine ökologische Landwirtschaft sowie für den Schutz bedrohter Arten, der Wälder und des Wassers ein. Der BUND ist das deutsche Mitglied des internationalen Umweltschutznetzwerkes “Friends of the Earth”.

Das Deutsche Rote Kreuz:
Das Deutsche Rote Kreuz (DRK) ist eine der größten deutschen Hilfsorganisationen. Das DRK ist weltweit aktiv und kann im Verbund mit ihren Partner-Organisationen an allen Orten der Erde präsent sein. Angesichts der Bedrohungen des Klimawandels hat das DRK gemeinsam mit dem Auswärtigen Amt mehrere Projekte realisiert, die Menschen international bei der Bewältigung der Folgen des Klimawandels unterstützen. Unsere Spenden gehen an ein Projekt im peruanischen Amazonasgebiet. Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Mit den Spenden werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt.

ECCHR:
Das Europäisches Zentrum für Verfassungs- und Menschenrechte (ECCHR) setzt sich mit juristischen Mitteln für die Menschenrechte ein. Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Netzpolitik.org:
netzpolitik.org ist eine journalistische Plattform für digitale Freiheitsrechte und bildet die wichtigen politischen Debatten und Entwicklungen rund um das Internet ab. Auf der Plattform wird dokumentiert, wie die Politik das Internet und die Gesellschaft durch Regulierung und den kontinuierlichen Ausbau von Überwachungsgesetzen verändert. Netzpolitik.org will mit seiner Arbeit Menschen zum Engagement für ihre digitalen Freiheitsrechte und für eine offene Gesellschaft anregen.

Reporter ohne Grenzen:
Reporter ohne Grenzen setzt sich weltweit für die Presse- und Informationsfreiheit ein. Die Organisation dokumentiert Verstöße gegen die Pressefreiheit und unterstützt Journalisten, die in Gefahr sind. Reporter ohne Grenzen kämpft gegen Zensur und restriktive Mediengesetze.

Die UNO-Flüchtlingshilfe:
Die UNO-Flüchtlingshilfe ist der deutsche Ableger des Flüchtlingshilfswerks der Vereinten Nationen (UNHCR). Sie sichert das Überleben geflüchteter Menschen in akuten Krisensituationen mit lebensrettenden Nothilfemaßnahmen. So sorgt die UNO-Flüchtlingshilfe beispielsweise für eine ausreichende Versorgung mit Wasser, Lebensmitteln und Medikamenten in Flüchtlingscamps oder in schwer zugänglichen Regionen.

Zudem war Posteo im Jahr 2017 Sponsor der taz.panterstiftung.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kundinnen und Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Viele Grüße
Ihr Posteo-Team

Posteo – Das grüne Postfach

Erstellt am 20. Juni 2018, 17:00 Uhr | Kategorie: Medien

Überwachungseklats, Datenschutzskandal, Phishing – In Deutschland gilt das Postgeheimnis. Kann man das nicht ebenso im digitalen Postfach halten? Kann man! Sogar grün und das seit zehn Jahren mit Posteo.

Damals gründete das Ehepaar Sabrina und Patrik Löhr den Maildienst Posteo. Die beiden Unternehmer lernten sich durch ihr ehrenamtliches Engagement bei Greenpeace kennen. Sie war vorher im Bereich Öffentlichkeitsarbeit tätig, er arbeitete in der System- und Mailadministration. Schon früh war Patrik Löhr klar, dass man eine Möglichkeit für umweltschonenden und sicheren Mailverkehr entwickeln kann. 2009 hatten beide dann die Idee für das grüne Postfach.

zum Artikel

Update: Informationen zu "Efail"-Meldungen

Erstellt am 14. Mai 2018, 18:40 Uhr | Kategorie: Blog

Update am 15. Mai 15:30:

Wir haben ein Update für alle Mailvelope-Nutzerinnen und -Nutzer:
Das Open Source-Verschlüsselungs-Plugin Mailvelope ist von den kritischen Efail-Schwachstellen nicht betroffen und kann weiter verwendet werden. Das hat Mailvelope heute Nachmittag mitgeteilt. Mit Mailvelope kann PGP im Posteo-Webmailer genutzt werden. Wir stehen mit dem Mailvelope-Entwickler, Thomas Oberndörfer, in Kontakt.
Er kündigte dennoch an, den Umgang des Plugins mit HTML-Mails im Bezug auf den Datenschutz zu verbessern und z.B. das Nachladen externer Inhalte wie Bilder optional zu machen.
Nutzern rät er, auf die heute erschienene Version 2.2.2 upzudaten, die kleinere Probleme behebt.

14. Mai 18:40:

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

heute wird in den Medien über Sicherheitslücken bei den Ende-zu-Ende-Verschlüsselungsstandards PGP und S/MIME berichtet.

Die Untersuchung wurde uns erst heute bekannt. Deshalb können wir zu der Veröffentlichung noch keine endgültige Einschätzung abgeben. Wir prüfen das Dokument aktuell für Sie, holen Einschätzungen von Sicherheitsexperten ein und haben Kontakt zu Entwicklern gängiger Verschlüsselungs-Softwares hergestellt.

Wir wollen kurz auf Fragen eingehen, die uns erreicht haben – und erste Tipps für PGP und S/MIME-Nutzer geben. Bei Neuigkeiten werden wir diesen Blog-Beitrag updaten.

Kurz-Info:
1.) Wenn Sie keine Ende-zu-Ende Verschlüsselung mit PGP oder S/MIME nutzen, betrifft Sie dieses Thema nicht.
2.) Verwenden Sie PGP oder S/MIME, blockieren Sie das Ausführen von HTML-Code und das Nachladen externer Inhalte. (Anleitungen dazu finden Sie am Ende dieses Blog-Beitrags)
3.) Alle Beteiligten einer verschlüsselten Kommunikation müssen die unter 2.) beschriebenen Maßnahmen umsetzen. #more#

Ist “die E-Mail-Verschlüsselung” jetzt unsicher?

Nein, das ist pauschal so nicht richtig. Denn: “Die Eine” E-Mail-Verschlüsselung gibt es nicht. E-Mails werden heute in der Regel mit verschiedenen Sicherheits- und Verschlüsselungstechnologien gleichzeitig abgesichert. Eine Ende-zu-Ende-Verschlüsselung schützt beispielsweise nicht die gesamte E-Mail-Kommunikation, auch wenn das viele glauben: Sie schützt nur die Inhaltsdaten.
Die E-Mail-Metadaten und der Betreff werden über die Transportwegverschlüsselung der Provider geschützt.

Die Sicherheit einer E-Mail-Kommunikation hängt real also von der Kombination verschiedener Technologien ab. Wird eine Verschlüsselungstechnologie isoliert betrachtet, sagt dies wenig über die tatsächliche Sicherheit einer bestimmten E-Mail-Kommunikation in der Praxis aus.

Angriff nur unter engen Voraussetzungen möglich

Die Macher der Untersuchung setzen in ihrem Szenario voraus, dass ein Angreifer bereits Zugriff auf die verschlüsselte Kommunikation hat. E-Mail-Provider setzen heute aber Sicherheitstechnologien ein, die Man-in-the-Middle-Attacken und nicht authentifizierte Zugriffe auf verschlüsselte Kommunikation wirksam verhindern können.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt zu den Voraussetzungen für den Angriff:
“Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben.”

Fakt ist: Provider sichern Transportwege, Mailserver und Postfächer heute immer besser ab – bei uns erfolgt dies nach dem Stand der Technik. Nutzer sollten Ihre Endgeräte ebenfalls gut absichern.
Ein Beispiel zu den Transportwegen: 2014 haben wir als erster Provider die innovative Technologie DANE eingeführt, die gängige Schwachstellen in der Transportwegverschlüsselung TLS beseitigt. Eine Kombination aus einer Ende-zu-Ende-Verschlüsselung und einer DANE-basierten Transportwegverschlüsselung ergibt ein sehr hohes Schutzniveau.
Tipp: Im Posteo-Webmailer wird Ihnen vor dem Versenden einer E-Mail angezeigt, ob ihre verschlüsselte E-Mail durch DANE geschützt ist.

Die E-Mailserver schützen wir mit zahlreichen Technologien und einer Infrastruktur, die unser internes Netz und die Kundenpostfächer besonders konsequent vor Zugriffen von außen schützt. Ihr Postfach können Sie mit einem starken Passwort schützen – und wir verschlüsseln jeden Zugriff auf Ihr Postfach mit den neuesten Technologien. Ein noch höheres Schutzniveau erreichen Sie, wenn Sie die Zwei-Faktor-Authentifizierung mit dem zusätzlichen Postfachschutz aktivieren. Mit der TLS-Versand-Garantie verhindern sie, dass Ihre E-Mails ohne Transportwegverschlüsselung an andere E-Mail-Server übertragen werden.

Das BSI beschreibt noch eine zusätzliche Voraussetzung für den Angriff:
“Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte.”

Nutzer von Ende-zu-Ende-Verschlüsselungen sollten deshalb umgehend Ihre Einstellungen zum Ausführen von HTML-Code und dem Nachladen externer Inhalte entsprechend überprüfen und ggf. anpassen. Dann sollte die akute Gefährdung abgewendet sein.

Anleitungen: So blockieren Sie das Nachladen externer Inhalte/das Ausführen von HTML-Code

Thunderbird
HTML-Anzeige deaktivieren:
1. Klicken Sie oben rechts in Thunderbird auf den Sandwich-Button.
2. Klicken Sie auf “Ansicht”.
3. Unter “Nachrichteninhalt” wählen Sie den Menüpunkt “Reiner Text” aus.
Externe Inhalte deaktivieren:
1. Klicken Sie oben rechts in Thunderbird auf den Sandwich-Button und öffnen Sie die “Einstellungen”.
2. Öffnen Sie den Menüpunkt “Datenschutz”.
3. Entfernen Sie im Abschnitt “E-Mail-Inhalte” das Häkchen bei “Externe Inhalte in Nachrichten erlauben”.

Apple Mail
1. Klicken Sie in der Menüleiste auf “Mail” und öffnen Sie dort die “Einstellungen”.
2. Öffnen Sie den Menüpunkt “Darstellung”.
3. Entfernen Sie das Häkchen bei “Entfernte Inhalte in Nachrichten laden”.

iOS
1. Öffnen Sie die “Einstellungen”-App.
2. Tippen Sie auf “Mail”.
3. Deaktivieren Sie im Abschnitt “Nachrichten” den Schalter neben “Bilder von Webservern laden”.

Outlook
1. Klicken Sie auf “Datei” und dort im Seitenmenü auf “Optionen”.
2. Öffnen Sie den Menüpunkt “Trust Center” und klicken Sie dort auf “Einstellungen für das Trust Center”.
3. Klicken Sie auf “E-Mail-Sicherheit”.
4. Setzen Sie im Abschnitt “Als Nur-Text lesen” ein Häkchen bei “Standardnachrichten im Nur-Text-Format lesen” und bei “Digital signierte Nachrichten im Nur-Text-Format lesen”.
5. Bestätigen Sie die Änderung mit einem Klick auf “Ok”.

Viele freundliche Grüße
das Posteo Team