Ein breites gesellschaftliches Bündnis ruft zu einer Großdemonstration für Freiheitsrechte, für einen modernen Datenschutz und für ein freies Internet auf: Am Samstag, den 7. September 2013, protestiert das Bündnis in Berlin unter dem Motto “Freiheit statt Angst” in Berlin für eine offene Gesellschaft und gegen den ausufernden Überwachungswahn. #more#

Posteo unterstützt den Aufruf zur Demonstration “Freiheit statt Angst” auch in diesem Jahr. Seit den Enthüllungen um Prism, Tempora und Co. steht fest: Es ist heute wichtiger denn je, für Bürgerrechte auf die Straße zu gehen und diese einzufordern.

Die Überwachung stellt alle Bürgerinnen und Bürger unter Generalverdacht. Die Unschuldsvermutung wird zunehmend zu einem Lippenbekenntnis aus vergangener Zeit. Überwachungsstrukturen und Datenhalden sind missbrauchsanfällig und bilden ein Sicherheitsrisiko.

Die Massenüberwachung gefährdet die freie Gesellschaft.

Wer sich ständig überwacht und beobachtet fühlt, kann sich nicht mehr unbefangen bewegen und freizügig seine Rechte ausüben. Überwachung schadet nicht nur Minderheiten und jedem Einzelnen von uns, sondern behindert auch massiv die Arbeit und das Engagement von Privatpersonen und Organisationen der Zivilgesellschaft. Überwachung, Misstrauen und Angst erzeugen schrittweise eine Gesellschaft unkritischer Bürger und Bürgerinnen, die “nichts zu verbergen” haben, und dem Staat gegenüber – zur vermeintlichen Gewährleistung einer totalen Sicherheit – gehorsam ihre Freiheitsrechte aufgeben. Eine solche Gesellschaft wollen wir nicht.

Wir wollen eine freie, demokratische und offene Gesellschaft. Solch eine Gesellschaft kann ohne private Räume und ungehinderte Kommunikation nicht existieren. Wir streiten für ein freies Internet, ohne Diskriminierung einzelner Inhalte und für den Schutz der Meinungs- und Pressefreiheit im Internet weltweit. Unsere Privatsphäre ist unabdingbarer Bestandteil unserer menschlichen Würde – und zwar in allen Lebensbereichen. Wir fordern ein Ende des Überwachungswahns.

Treffpunkt für die diesjährige Demonstration “Freiheit statt Angst 2013″ ist am Samstag, 7. September um 13.00 Uhr der Alexanderplatz in Berlin-Mitte.

Informationen zur Demonstration, sowie zur An- und Abreise erhalten Sie unter: http://blog.freiheitstattangst.de

Liebe Nutzer und Interessierte,

es gibt eine aktuelle dpa-Meldung (u.a. hier) zum Thema E-Mailsicherheit, in der wir lobend erwähnt werden. Leider aber mit falschen, zu positiven Fakten. #more#
Im Artikel heisst es:
“Eine Ausnahme ist zum Beispiel Posteo: Der Anbieter verspricht, die Nachrichten mit dem Nutzerpasswort verschlüsselt abzuspeichern.”

Das Versprechen wir jedoch nicht. Auch haben wir dies bisher nicht öffentlich angekündigt. Tatsächlich arbeiten wir daran, sind aber mit dieser Funktion noch nicht fertig. Wir möchten eine zusätzliche Verschlüsselung der E-Mails in Zukunft bereitstellen. Wir bieten bisher die Verschlüsselung der Adressbuch- und Kalenderdaten mit dem persönlichen Passwort des Nutzers an (AES). Diese Funktion war einfacher umzusetzen, deswegen haben wir damit begonnen. Für solche Funktionen gibt es keine Standardsoftware, wir müssen diese Lösungen selbst programmieren.

Die Mails liegen bei uns aktuell auf vollverschlüsselten Festplatten und Servern, sind aber selbst nicht verschlüsselt. Auch der Zugriff erfolgt verschlüsselt, dies schützt wirksam vor dem Mitlauschen unbefugter Dritter. Das gilt auch, wenn Sie ein lokales Mailprogramm oder ein Mobilgerät benutzen, weil die Verbindungen zu Posteo nur verschlüsselt aufgebaut werden kann (unverschlüsselte Verbindungen zu Clientsystemen bieten wir nicht an).

Auch werden wir gerade sehr oft gefragt, ob wir eine Ende-zu-Ende Verschlüsselung per PGP oder S/Mime im Webmailer anbieten oder dies planen. Wir bieten bisher keine Ende-zu-Ende Verschlüsselung im Webmailer an, wollen sie aber künftig gerne bereitstellen. Dies ist allerdings ebenfalls anspruchsvoll, weil die privaten Schlüssel der Nutzer hierbei auf unserem Server liegen würden. Wir wollen deshalb eine Lösung anbieten, bei der wir als Betreiber keinen Zugriff mehr auf den dafür notwendigen privaten Schlüssel unserer Nutzer erlangen können. Dies könnte ähnlich wie die Verschlüsselung der Adress- und Kalenderdaten ablaufen. Aber auch hier gilt: Es gibt aktuell sehr hohe Erwartungen an uns, wir sind aber immer noch ein sehr kleines Team und brauchen Zeit für Entwicklungen. Es wird also noch eine Weile dauern, bis wir diese zusätzlichen Verschlüsselungsoptionen anbieten können.
Bis dahin können Sie Ende-zu-Ende-Verschlüsselung mit Posteo auf nahezu allen Betriebssystemen mit so gut wie jedem E-Mailprogramm benutzen – auch auf den allermeisten Mobilplattformen. Wir werden demnächst unsere Hilfe um entsprechende Anleitungen erweitern.

Liebe Grüße,
das Posteo-Team

Liebe Nutzer, liebe Interessierte,

es tut uns leid, dass wir erneut einen sehr technischen Beitrag veröffentlichen müssen. #more#
Wir erhalten aktuell sehr viele Support-Anfragen zum Thema Perfect Forward Secrecy bei Posteo.
Die Fachbegriffe TLS/SSL und PFS erklären wir unter dem Artikel.

In der heute veröffentlichten Ausgabe der Computerzeitschrift c’t werden die TLS-Verschlüsselungen verschiedener Mailanbieter auf das sicherheitsrelevante Merkmal PFS (Perfect Forward Secrecy) untersucht. Erfreulicherweise werden wir neben den großen Anbietern erwähnt – und schneiden dabei auch gut ab. Unerfreulich ist jedoch, dass die Angaben zu uns an einer Stelle falsch sind. In der c`t steht, dass wir PFS zwar auf Mailserver-Ebene unterstützen würden, nicht aber im Webmailer. Das ist nachweislich falsch. [UPDATE] Die c’t hat über folgende Heise News-Meldung die Darstellung aktualisiert. [/UPDATE]

Die Umstellungen unserer Server zur Einführung von PFS haben sich offensichtlich zeitlich mit den Tests der c’t-Redaktion überschnitten. Wir bedauern, dass die Redaktion bei so einem aktuellen Thema nicht zeitnaher getestet hat. Auch wäre es möglich gewesen, uns zu kontaktieren und zu PFS zu befragen.

Wir unterstützen PFS seit dem 02.08. für alle Browser – mit Ausnahme des Internet Explorers. Seit Ende Juni arbeiten wir an der Umsetzung von PFS. Ende Juli haben wir PFS im Webmailer bereits für alle Browser unterstützt, die TLS 1.2 fähig sind (iOS und Opera, wenn in Opera manuell TLS1.2 aktiviert wurde). Seit dem 02. August unterstützen wir PFS generell für alle gebräuchlichen Browser – mit Ausnahme des Internet Explorers. Um den Internet Explorer zu unterstützen, müssen wir noch weitere Updates vornehmen, die bald umgesetzt sein werden. Der Internet Explorer wird für 10% der Zugriffe auf unser System genutzt – 90% der Zugriffe auf unseren Webmailer erfolgen seit Anfang August sicher mit PFS (automatisch: Sie müssen nichts einstellen).

Es lässt sich übrigens sehr leicht überprüfen, für welche Browser wir PFS bereits unterstützen. Sie können auf der unabhängigen Testseite der Qualys-Labs jederzeit die Sicherheit unseres Sicherheits-Zertifikats selbst überprüfen: https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de Im Bereich “Handshake Simulation” bedeutet ein “FS” hinter dem jeweiligen Browser, dass PFS von uns mit diesem Browser unterstützt wird.

Viele liebe Grüße sendet,
das Posteo-Team

Begriffserläuterungen:
TLS ersetzt seit Version 3.0 namentlich das SSL-Protkoll. TLS ist also einfach nur die Weiterentwicklung von SSL. Gemeint ist damit ein Verfahren zur sicheren, verschlüsselten Datenübertragung im Internet. Wenn Sie auf eine Webseite zugreifen oder eine E-Mail verschicken und diese Daten werden über eine mit TLS gesicherte Verbindung geleitet, kann niemand diese Daten mitlesen.

Ohne die PFS-Funktion könnte man den per TLS verschlüsselten Verkehr aufbewahren und alle Inhalte im Nachhinein entschüsseln, falls die Entschlüsselung einmalig gelingt und der geheime Schlüssel bekannt würde. Mit dem Einsatz von PFS kann dies effektiv ausgeschlossen werden. Beim Einsatz von PFS einigen sich die beiden Verschlüsselungspartner jeweils neu auf einen geheimen Sitzungsschlüssel für die Verbindung, der nicht ausgetauscht werden muss und im Nachhinein automatisch zerstört wird. Dazu wird das Diffie-Hellmann-Prinzip benutzt.

Liebe Posteo Nutzer,

wir haben erfreuliche Neuigkeiten zu vermelden: #more#
Die großen deutschen Mailprovider gmx, web.de und t-online haben heute endlich bekannt gegeben, dass sie die serverseitige Verschlüsselung der E-Mailkommunikation (SSL) aktiviert haben.

Wie Sie evt. bereits wissen, versendet und empfängt Posteo E-Mails standardmäßig über eine mit SSL verschlüsselte Verbindung, wenn der Empfängerserver dies ebenfalls unterstützt. Ist dies der Fall, handeln die Server miteinander eine verschlüsselte Verbindung aus, so dass die Mails sicher übertragen werden. Diese Art der Verschlüsselung arbeitet im Hintergrund, ohne dass Sie oder der Empfänger Ihrer Nachrichten irgendetwas tun müssen. Das geht, weil wir beim Versand den Übertragungsweg verschlüsseln, über den die Mail gesendet wird. Nicht die Mail selbst.

Das Problem hierbei war bisher: Die Server vieler großer Provider haben diese Art der Verschlüsselung nicht unterstützt (bis heute hauptsächlich Googlemail). Weil die meisten Provider diese einfache Art der Verschlüsselung noch nicht angeschaltet hatten, mussten Nutzer leider selbst zusätzlich aktiv werden (End-To-End-Verschlüsselung), wenn sie vollständigen Schutz beim Senden und Empfangen ihrer Mails haben wollten. Nun können Posteo-Nutzer seit heute auch mit Nutzern von web.de, gmx und T-Online Mails über verschlüsselte Verbindungen austauschen.

Wir haben die Aussagen der Betreiber für Sie überprüft und es sieht gut aus.

Große Anbieter im Überblick mit denen wir die Verschlüsselung getestet haben:

	von Posteo	zu Posteo
Arcor	ja	ja
Freenet	ja	ja
AOL	ja	ja
Gmail	ja	ja
GMX	ja	ja
Kabel Deutschland	ja	ja
O2	nein	nein
Outlook.com	nein	nein
Riseup	ja	ja
T-Online	ja	ja
Vodafone	ja	ja
web.de	ja	ja
Yahoo	nein	nein

Stand: 11.08.2013

Wir werden dies in den kommenden Tagen regelmäßig für Sie überprüfen und eine ständig aktualisierte Übersicht in unserem neuen Hilfebeitrag: Mit welchen Anbietern werden meine E-Mails verschlüsselt ausgetauscht? bereitstellen.

Was wir noch anmerken möchten: Die großen deutschen Provider (T-Online, GMX und web.de) haben heute auch eine PR-Kampagne unter dem Namen “E-Mail Made in Germany” vorgestellt. Dies ist unserer Einschätzung nach eine reine Werbekampagne. Die drei größten deutschen Mailanbieter haben sich selbst ein “Sicherheits-Siegel” ausgedacht und stellen es sich auch selbst aus. Natürlich soll dies Sicherheit suggerieren und das Vertrauen der Nutzer zurückgewinnen. Die Anbieter haben jahrelang die Empfehlungen des BSI zum sicheren Betrieb von Mailservern missachtet und erst heute die SSL-Verschlüsselung angeschaltet. Was wir sehr begrüßen, wir tun dies bereits seit unserer Gründung 2009. Dass diese Provider sich jetzt aber mit einem eigenen Siegel bescheinigen, sicher zu sein, finden wir, um es vorsichtig auszudrücken, befremdlich.

Sie können auch selbst prüfen, ob eine Mail verschlüsselt übertragen wurde: Wenn Sie im Webmailer eine Mail anklicken, können Sie mit dem Zahnradsymbol über Ihrer Mailübersicht den Quelltext der Mail anzeigen lassen.

Hier ein Beispiel aus dem Quelltext einer Mail, die zwischen gmail und Posteo gesendet wurde:
-———————-
Received: from mail-pb0-f49.google.com (mail-pb0-f49.google.com [209.85.160.49])
by mail.posteo.de (Postfix) with ESMTPS
for <support@posteo.de>; Tue, 16 Jul 2013 09:25:38 +0200 (CEST)
-————————
Die Verschlüsselung erkennen Sie bei uns an dem ESMTPS hinter unserem Servernamen (mail.posteo.de (Postfix)). Die Verschlüsselung zeigt das “S” am Ende an.

Achtung: In den Mailheadern gibt es immer mehrere Received-Bereiche. Relevant ist jeweils nur die Zeile, in der beide Server, die miteinander kommuniziert haben, aufgeführt werden. Im Beispiel also mail-pb0-f49.google.com und mail.posteo.de.

Finden Sie ein ESMTPS in dieser Zeile, war die Verbindung, über die gesendet wurde, verschlüssselt. In den anderen Bereichen kann dennoch ESMTP stehen, das sagt jedoch nichts über die Verbindung durch das Internet aus.

Viele liebe Grüße sendet,
das Posteo-Team

Update:
Der Artikel wurde am 11.08. mit weiteren Ergebnissen zu getesteten Mailprovidern aktualisiert.

Liebe Nutzer,

es ist soweit: Posteo hat endlich ein neues Design!

Die Seiten sind moderner und funktionaler geworden – und wir sind froh, Ihnen nach Monaten des Tüftelns nun das Ergebnis unserer Arbeit präsentieren zu können. Wir hoffen, die neuen Seiten gefallen Ihnen so gut wie uns #more# – und hoffen, dass die Umgewöhnung nicht zu schwer fällt.

Zeitgleich mit dem Redesign haben wir auch neue Funktionen für Sie freigeschaltet. Ihr Kalender und Ihr Adressbuch sind ab sofort (ohne Aufpreis) mit Ihrem persönlichen Passwort verschlüsselbar. Mit unserer Verschlüsselung können Sie den Zugriff Dritter auf Ihre Daten wirksam verhindern. Selbst wir haben dann keinen Zugriff mehr auf Ihre Daten. Mehr Informationen zur optionalen AES-Verschlüsselung finden Sie in unserer Hilfe.

Neu ist auch unsere reduzierte Version der Startseite, der “ECO-Switch”.

Nutzer, die sich täglich einloggen und nicht immer die gesamte Startseite angezeigt bekommen möchten, können sich ab sofort nur noch das Login anzeigen lassen. Da ein Großteil der Seite bei der ECO-Switch-Version nicht mehr mitgeladen werden muss, spart die Nutzung der reduzierten Startseite Energie und schont so Ressourcen.

Viele freundliche Grüße sendet
das Posteo-Team