Mail-Verschlüsselung: Überprüfung von Enigmail fördert kritische Lücken zutage

Erstellt am 20. Dezember 2017, 14:44 Uhr | Kategorie: Medien

Pentester haben sich Thunderbird und Enigmail zum verschlüsselten Versenden von E-Mails angeschaut und kritische Schwachstellen entdeckt. Davon sind noch nicht alle geschlossen.
Enigmail und Thunderbird sind verwundbar. Über das Duo kann man via PGP verschlüsselte E-Mails versenden. Setzen Angreifer an den zum Teil als kritisch eingestuften Schwachstellen an, könnten sie, wenn die Voraussetzungen stimmen, unter anderem Mails entschlüsseln.
Davor warnen Sicherheitsforscher von Cure53. Sie haben sich Thunderbird und Enigmail im Zuge eines Audits angeschaut. Diese Überprüfung haben der E-Mail-Anbieter Posteo und Mozillas Open Source Fund (MOSS) finanziert.

zum Artikel

Posteo unterstützt PGP-Helfer Autocrypt

Erstellt am 19. Dezember 2017, 14:02 Uhr | Kategorie: Medien

Das neue Verschlüsselungs-Verfahren Autocrypt will dem Nutzer den manuellen PGP-Schlüsselaustausch abnehmen und ihn dadurch nutzerfreundlich machen. Davon profitieren nicht nur Posteo-Kunden.
Der E-Mail-Anbieter Posteo unterstützt ein neues E-Mail-Verschlüsselungsverfahren namens Autocrypt. Es soll die Ende-zu-Ende-Verschlüsselung erheblich vereinfachen. Bei Autocrypt handelt es sich um ein freies Community-Projekt, das vor einem Jahr in Berlin entstand.

zum Artikel

Neu: Vereinfachte E-Mail-Verschlüsselung mit Autocrypt- und OpenPGP-Header

Erstellt am 18. Dezember 2017, 17:50 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir unterstützen seit heute das neue Verschlüsselungs-Verfahren Autocrypt, das echte Ende-zu-Ende-Verschlüsselung mit E-Mailprogrammen bald erheblich vereinfachen wird. Sobald Autocrypt-fähige Programme verfügbar sind, können Posteo-Kunden die Technologie nutzen.

Das zukunftsweisende Verfahren wird derzeit in verbreitete E-Mail-Programme wie Thunderbird mit Enigmail und K-9 Mail für Android integriert. Neue Versionen dieser Programme (Enigmail 2.0 und K-9 Mail 5.3) werden Autocrypt unterstützen.

Verwenden Absender und Empfänger Autocrypt-fähige E-Mail-Programme, müssen sie für eine Ende-zu-Ende-verschlüsselte Kommunikation nichts mehr tun: Die E-Mail-Programme verschlüsseln E-Mails vor dem Versand automatisch mit PGP und tauschen öffentliche Schlüssel automatisch im Hintergrund aus. Das oft als kompliziert empfundene manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt.
Vor der ersten verschlüsselten Kommunikation wird stattdessen einmalig eine reguläre E-Mail (ohne Inhalt) zugesendet. Bei diesem Versand wird erstmals der Schlüssel im Hintergrund übertragen. Ab diesem Zeitpunkt können alle Nachrichten automatisch verschlüsselt werden.

Autocrypt ist Open Source, funktioniert anbieterübergreifend und setzt auf echte Ende-zu-Ende-Verschlüsselung, bei der ein privater Schlüssel stets beim jeweiligen Nutzer verbleibt. Auch deshalb begrüßen wir das Verfahren.
#more#

Warum wir Autocrypt schon jetzt unterstützen und Schlüssel zusätzlich absichern

Autocrypt wird derzeit in einer ersten Version in gängige E-Mail-Programme integriert. Dass E-Mail-Anbieter sich an der Schlüsselverteilung mit Autocrypt beteiligen, ist bisher nicht vorgesehen. Doch für Endnutzer bringt die providerseitige Unterstützung Vorteile, die wir mit unserer frühen Implementierung aufzeigen möchten.

Es ist uns sehr wichtig, dass Posteo-Kundinnen und -Kunden von Anfang an die Möglichkeit haben, Autocrypt zu nutzen. Und zwar so komfortabel und sicher wie möglich.

Unser Beitrag zum Komfort:
Mit Autocrypt können E-Mail-Programme öffentliche Schlüssel bald automatisiert über die E-Mail-Header austauschen.
Unsere providerseitige Unterstützung sorgt dafür, dass ein Autocrypt-fähiges Programm den Schlüssel auch dann erhält, wenn der Posteo-Absender ein Programm ohne Autocrypt verwendet. Liegt uns der öffentliche Schlüssel des Absenders vor, übernehmen wir diese Aufgabe: Posteo fügt vor jedem E-Mail-Versand den für die Verschlüsselung benötigten Autocrypt-Header selbst hinzu. Ihr Kommunikationspartner kann Ihnen verschlüsselt antworten – ohne manuellen Schlüsselaustausch.

Bei jedem Versand wird Ihr aktueller Schlüssel im Autocrypt-Header übermittelt. In den Programmen Ihrer Kommunikationspartner sind so stets die aktuellen Schlüssel hinterlegt – ohne manuelle Schlüsselpflege.

Unser Beitrag zur Sicherheit:
Wir sichern den Schlüsselaustausch mit Autocrypt zusätzlich mit digitalen Signaturen ab (DKIM). Dies ist bei Autocrypt bisher nicht standardmäßig vorgesehen. Unsere providerseitige DKIM-Signierung sorgt dafür, dass öffentliche Schlüssel auf dem Transport nicht unbemerkt manipuliert werden können. Auch Autocrypt-Header, die Ihr lokales E-Mailprogramm ggf. hinzufügt, werden von uns mit DKIM signiert. Die Signatur wird vorgenommen, wenn der Absender zum Postfach passt.

So ist Autocrypt in Posteo integriert

Viele Posteo-Kunden haben ihren öffentlichen PGP-Schlüssel im Posteo-Schlüsselverzeichnis veröffentlicht. Versenden diese Kunden eine E-Mail, ergänzen wir ab heute bei jedem Versand automatisch einen Autocrypt-Header im E-Mail-Header. Dieser enthält ihren öffentlichen Schlüssel. Senden Sie selbst bereits einen Autocrypt-Header in Ihren E-Mails mit, verändern wir ihn nicht und fügen keinen weiteren hinzu.

- Posteo-Kunden, die zusätzlich unsere Eingangsverschlüsselung mit einem PGP-Schlüssel aktiviert haben, wollen immer verschlüsselte Nachrichten erhalten. Diese Information schreiben wir in den Autocrypt-Header hinein. Autocrypt-fähige E-Mail-Programme erkennen so künftig, dass diese Posteo-Kunden immer verschlüsselte Antworten erhalten wollen.

- Neben Autocrypt-Headern ergänzen wir seit heute auch den so genannten OpenPGP-Header, der einem empfangenden E-Mail-Programm anzeigt, wo es einen öffentlichen Schlüssel finden kann. Hier werden die URLs für den Download aus dem Posteo-Schlüsselverzeichnis übermittelt. Auch den Open-PGP-Header signieren wir mit DKIM.

Was können Sie tun?

Das verschlüsselte Kommunizieren mit Autocrypt wird im Alltag in der Regel ohne Ihr Zutun funktionieren. Und auch das manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt. Sie benötigen lediglich ein PGP-Schlüsselpaar.

- Installieren Sie ggf. die kommenden neuen Versionen von Enigmail oder K-9 Mail, sobald sie verfügbar sind.

- Haben Sie bereits ein PGP-Schlüsselpaar für Ihre Posteo-Adresse, empfehlen wir, den Schlüssel im Posteo-Schlüsselverzeichnis zu veröffentlichen. Ihr öffentlicher Schlüssel wird dann bei jedem Versand an ein Autocrypt-fähiges Programm in den Header der E-Mail eingefügt. Wie Sie Ihren öffentlichen PGP-Schlüssel bei Posteo veröffentlichen, erklären wir Ihnen in diesem Hilfeartikel.

Sicherheits-Empfehlungen für das Implementieren von Autocrypt:
Das automatisierte Austauschen von öffentlichen Schlüsseln im Hintergrund sollte aus Sicht von Posteo stets durch verschiedene Sicherheitsmaßnahmen begleitet werden. Wir empfehlen Providern, Autocrypt-Header mit DKIM zu signieren. Programm-Entwickler sollten weitere Möglichkeiten der Schlüssel-Absicherung berücksichtigen und vorhandene DKIM-Signaturen prüfen. Anwendern sollte in den Programmen außerdem signalisiert werden, wenn ein öffentlicher Schlüssel oder die Anweisung, ob die E-Mail-Kommunikation zu verschlüsseln ist, geändert wird. So können mögliche Manipulationen durch Dritte unmittelbar erkannt werden.

Viele Grüße
Ihr Posteo-Team

Wir suchen Verstärkung!

Erstellt am 02. November 2017, 12:20 Uhr | Kategorie: Blog

Liebe Kundinnen und Kunden,
liebe Interessierte,

heute haben wir eine Mitteilung in eigener Sache.
Wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) erfahrene(n) PHP- und Javascript-Softwareentwickler(in)
- eine(n) Mitarbeiter(in) für den Kunden-Support mit sehr guten Englisch-Kenntnissen
- eine(n) Systemadministrator(in)
- eine(n) Junior-Systemadministrator(in)

#more#

Falls Sie sich für eine der ausgeschriebenen Stellen interessieren, freuen wir uns auf Ihre Bewerbung per E-Mail an jobs@posteo.de.
Vielleicht kennen Sie auch Menschen, für die eine der ausgeschriebenen Stellen infrage kommen könnte. In diesem Fall freuen wir uns darüber, wenn Sie unsere Anzeige weiterleiten.

Die Stellenanzeigen finden Sie unter:
https://posteo.de/site/jobs

Viele freundliche Grüße sendet
das Posteo-Team

Transparenzhinweis: Unsere Spenden 2016

Erstellt am 13. September 2017, 16:10 Uhr | Kategorie: Blog

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2016) finanziell unterstützt haben.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe.

Im vergangenen Jahr haben wir insgesamt 29.600,00 EUR gespendet. Davon waren 28.002,00 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben stammten die übrigen 1.598,00 EUR. #more#

Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2016 um 5.250,00 EUR erhöhen.

Empfänger der Posteo-Spenden waren, wie bereits im Vorjahr, u.a. Reporter ohne Grenzen, die UNO-Flüchtlingshilfe, der Bund für Umwelt und Naturschutz Deutschland sowie Netzpolitik.org.

Neu hinzugekommen ist ein Klimaschutzprojekt des Deutschen Roten Kreuzes im Amazonasgebiet: Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Im Rahmen des Projektes werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt. Das Projekt trägt nachhaltig zur Existenzsicherung der vom Klimawandel betroffenen Menschen bei.

Außerdem unterstützen wir seit dem Jahr 2016 das Europäische Zentrum für Verfassungs- und Menschenrechte (ECCHR). Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Alle Empfänger von Posteo-Spenden finden Sie auf unserer Seite Wen wir unterstützen.

Viele Grüße
Ihr Posteo-Team