Posteo bietet in den Einstellungen ja die Möglichkeit, Mails, Kontakte und Kalender verschlüsselt zu speichern. Eine ausführliche Beschreibung hat Posteo hier.
Unter dem Titel Das vollständig verschlüsselte E-Mail-Postfach von mailbox.org gibt es hier einen Erklärfilm, in dem ab Min. 0:27 eine Aussage zum verschlüsselten Speichern von E-Mails (mit Hinweis auf andere Anbieter und Augenwischerei) auftaucht.
Ich bin mir nun nicht sicher, ob es hierbei um die gleiche Verschlüsselungs-/Speichermethode geht und ob es tatsächlich nicht möglich ist, Mails, Kontakte, Kalender bei laufendem Server so verschlüsselt zu speichern, dass ausschließlich der Nutzer Zugriff darauf hat. Tutanota und Proton werben ja auch damit. Es geht mir hierbei nicht um die Eingangsverschlüsselung per PGP, denn auch diese bietet Posteo zusätzlich noch an.
Kann das jemand von euch einschätzen? Ich verwende u.a. Posteo und wüsste schon gerne, woran ich mit dieser Funktion bin.
Das geht so wie mailbox das erklärt, sobald Du keinen Key hast sind die Nachrichten verschlüselt auf den Server. Testen kann man das wenn man sich mit einem Browser einloggt wo kein envelope Addon den Key hat, dort wird man den Inhalt der Mails nicht lesen können.
So sind die Nachrichten korrekt verschlüsselt.
Ich hab jetzt noch anderweitig Infos. Was bei mir etwas untergegangen war: Es geht im MBO-Video darum, dass manche Anbieter damit werben, dass E-Mails auf
verschlüsselten Festplatten
gespeichert werden. Und das ist nun natürlich kein Grund, damit zu werben, denn selbst meine Laptop-Festplatte ist verschlüsselt. Schalte ich das Gerät ein, sind die Daten frei zugänglich.
Posteos Verschlüsselung von Mails, Kontakten, Kalendern ist eine zusätzliche Maßnahme, wie die PGP-Eingangsverschlüsselung auch.
Ja, das habe ich auch so eingerichtet, mir geht es eher darum wie das mit verschlüsselten Kontakten und Kalendern aussieht. MBO bietet das ja aus bestimmten Gründen leider nicht an.
Auf dem Desktop mit Thunderbird und auf dem Handy mit DAVx5 und K9-Mail (=auch Thunderbird). Läuft sahnemäßig, da man für den Zugriff auf die verschlüsselten Mails, Kontakte, Kalender nur das Kontopasswort benötigt. Mit dem werden die Schlüssel geschützt.
DAVx5 braucht man, weil K9/TB nicht selbst auf Kalender und Kontakte zugreifen kann.
Ich nutze auch DAVx5 aber ich hab das als Konto im Android, wo drauf die anderen Apps dann zu greifen können, nur leider nicht auf dem Server verschlüsselt.
Leider kann man nicht seine eigenen Schlüssel verwenden für die Postfach Verschlüsselung auf dem Server und Kontakte und Kalender werden mit AES verschlüsselt, das aber auch ausreichend…hmm… Das Angebot für 1 Euro im Monat, kann man damit Adressbuch und Kalender Verschlüsseln, also bei Posteos jetzt?
Der Kryptomailspeicher lässt sich aber problemlos mit der PGP-Eingangsverschlüsselung kombinieren. Du lädst deinen öffentlichen Schlüssel hoch und läuft.
Das wäre ja ne Option, die Aussichten bei MBO sieht ja eher schlecht aus, aber ansonsten bin ich sehr zufrieden dort.
Dann frag ich direkt mal wie das mit gesendeten Nachrichten aussieht, sind diese auf allen clients verschlüsselt hinterlegt, also auch auf dem client wovon man diese sendet? Und wenn ja, wie wurde das gelöst?
Normal kopiert der client die Nachricht lokal und wird dann nicht mit dem Server synchronisiert, so das die gesendete Nachricht unverschlüsselt auf dem client liegt.
Beispiel bei mir: Ich habe momentan, weil testweise, den öffentlichen Schlüssel hochgeladen. Das Schlüsselpaar befindet sich aufm Desktop im Thunderbird. Damit kann ich also die PGP-verschlüsselten Nachrichten lesen. Aufm Handy hab ich keine PGP-App, die die Schlüssel enthält. Somit kann K9-Mail die Mails nicht lesen.
Erklärst Du mir bitte wo in dem Artikel erklärt wird das über DAVx5 Passwörter im Klartext übertragen werden? Hier geht es um eine Überwachung eines Postfaches wo eingehende unverschlüsselte Emails bevor sie verschlüsselt gespeichert werden dem LKA zur Verfügung gestellt werden müssen.
Ich meine auch, dass da jemand etwas durcheinander war. Der Artikel ist etwas fehl am Platz. Von Posteo gabs zwar noch keine Antwort und evtl. kommt auch gar keine, aber die Aussage weiter oben
lässt sich vermutlich auch so entkräften, dass das Passwort üblicherweise über eine SSL/TLS-Verbindung verschickt wird. In den Einstellungen vom Thunderbird gibt es zumindest die theoretische Möglichkeit, sich beim Server über eine unverschlüsselte Verbindung anzumelden, dies ist aber keinesfalls die Standardeinstellung bei der Einrichtung eines Kontos. Ich würde außerdem vermuten, dass der Posteo-Server solch eine Verbindung ablehnen würde, werde aber den Teufel tun, es auszuprobieren.
Posteo unternimmt einige Anstrengungen, um den Dienst auf sichere Beine zu stellen und deshalb gehört er bei mir schon recht lange zur „IT-Ausstattung“ dazu.
Gesendete Nachrichten sind beim Feature „Eingangsverschlüsselung per PGP“ grundsätzlich nicht Teil des Schutzkonzeptes - das gilt sowohl für Posteo als auch für Mailbox. Gesendete Nachrichten sind -sofern nicht selbst via PGP verschlüssel- nicht E2E-verschlüsselt, weder auf dem Server noch lokal auf dem Endgerät des Nutzers. Genau da setzt der „Posteo-Krypto-Mailspeicher“ an, der aber -wie unten ausgeführt- nicht gegen alle Angriffswege schützt.
Ich habe den Eindruck, du hast das Feature „Posteo-Krypto-Mailspeicher“ (auf welches du dich hier anscheinend beziehst) nicht verstanden. Das Passwort wird immer unverschlüsselt (Transportverschlüsselung lassen wir hier außer Betracht) übermittelt - alles andere ist technisch gar nicht möglich. Wer von „verschlüsselten“ Passwörtern im Zusammenhang mit der direkten Authentifizierung spricht, redet Bullshit.
Und bevor hier jemand die TB-Option „verschlüsseltes Passwort“ anführt: Das ist eine inzwischen obsolet Technik, die aus Zeiten stammt, bevor TLS-verschlüsselte Verbindungen Standard waren. Die transportverschlüsselte Übersendung des Passworts im Klartext ist heute Stand der Technik.
Ja, das ist auch eine grundlegende Annahme des Schutzkonzeptes. Die Verschlüsselung des gesamten Postfachs, des Adressbuchs und des Kalenders schützt gegen eine Postfachbeschlagnahme oder gegen einen kurzzeitigen unberechtigten Zugriff auf den Speicherort (z. B. durch externe Hacker oder interne Angreifer). Es schützt nicht gegen eine langfristige Überwachung der ein- und ausgehenden E-Mails (z. B. im Rahmen einer TKÜ) oder durch einen langfristigen und umfassenden unbefugten Zugriff auf die Posteo-Systeme oder einen solchen Missbrauch von Innen. Dagegen kann ein solches Feature nicht schützen, dagegen soll es nicht schützt - das hat Posteo zumindest früher immer auch sehr klar kommuniziert.
Dass Posteo derartiges möglicherweise betreibt, kann und will ich nicht pauschal bestreiten - es wäre aber angebracht, wenn du diese Aussage konkretisiert, sprich konkrete Aussagen von Posteo anführst (mit Angabe, wo diese zu finden sind).
Der „Posteo-Krypto-Mailspeicher“ soll eben nicht PGP ersetzen, sondern da ansetzen, wo PGP nicht schützen kann* und an den Stellen, an denen man kein PGP einsetzen kann oder will. Der Krypto-Mailspeicher ist keine Alternative zu PGP, sondern eine Ergänzung - das wird so auf den mir bekannten Seiten von Posteo auch ganz klar so kommuniziert. Solltest du Beispiele haben, an denen die Erklärung irreführend ist, führe diese bitte konkret an.
*Die Schwächen von PGP hier anzuführen, erspare ich mir mal, das wäre ohnehin ein Thema für einen separaten Thread.
Das ist systemimmanent - anders geht es technisch gar nicht. Im Prinzip alle gängigen passwortbasierten Systeme arbeiten soll. Hinweis: Klartext ist hier im Sinne von "nicht E2E-verschlüsselt zu verstehen. Transportverschlüsselung (TLS) ist eine andere Baustelle, die ist selbstverständlich vorhanden.
Wieso sollte auch? Das ist bei Verwendung von transportverschlüsselten Verbindungen obsolet und schon lange nicht mehr Stand der Technik. Welcher namenhafte Email-Provider unterstützt das denn noch? Ohnehin ist das keine Ende-zu-Ende-Verschlüsselung, sondern lediglich ein Ersatz für eine (früher fehlende) Transportverschlüsselung.
Nicht Teil des Schutzkonzeptes… ich weiß ja nicht, ich zitiere sehr häufig meine Emails um auch selbst noch eine Übersicht zu haben.
Wenn man das macht braucht man keine Eingangsverschlüsselung zu aktivieren, weil Blödsinn.
Mailbox verschlüsselt alle Nachrichten die über die Imap Server gehen, somit auch die gesendeten. Hier ist die Aussage zu Mailbox nicht korrekt.
Nur wenn man in dem Clienten einstellt das eine Kopie in Send Ordner abgelegt werden soll, passiert das auf diesen Clienten unverschlüsselt. Wenn man mit einem weiteren Clienten die Nachricht vom Send Ordner synchronisiert, erhält er die verschlüsselte Nachricht.
Das kann man aber durch einen Workaround lösen, in dem keine Kopie abgelegt wird, sondern man sich selbst in BCC setzt und ein Filter anlegt der diese Nachricht in den Send Ordner ablegt.
Schon ist das Postfach vollständig mit PGP verschlüssel, auf dem Server und auf allen Endgeräten.
