Arch Linux

Posteo/Mailbox.org: Eure Meinung/Erfahrungen

Kabbone

In letzter Zeit bekommt man ja immer mal wieder etwas von Posteo mit. Was haltet ihr von dem Anbieter oder ist vielleicht sogar jemand Kunde und hat ein paar Erfahrungen, die er mit uns teilen möchte.

Mich würde vor allem die Verschlüsselung auf der Server bei Kalender/Kontakte und den Mails. Soweit ich das in der Hilfe gesehen habe, kann man das bei den Mails einfach mit einem öffentlichen PGP-Schlüssel realisieren. Aber wenn das bei Kalender/Kontakte genauso ist, kann das dann mit normalen Cal-/CardDAV auf Android kompatibel sein?

EDIT: Nachdem unten mailbox.org auch erwähnt wurde und es auf mich einen ähnlichen Eindruck wie Posteo macht, habe ich mal das Thema umgeändert 🙂

foxce

Hi Kabbone,

bin seit ein paar Monaten dort "Kunde".

Zum Thema Adressbuch- und Kalenderverschlüsselung:
Die Verschlüsselung dort ist separat und wird nur auf dem Server gemacht mit dem persönlichen Passwort für posteo. Es "funktioniert*" also ohne PGP-Schlüssel.
Die Einrichtung funktioniert bei mir ohne Probleme. Hab es erst ohne Verschlüsselung genutzt (mit DAVdroid) und später aktiviert > lief genau so weiter.

Erfahrungen:
Läuft halt > Sprich bisher keine Ausfälle gehabt, Wartungsarbeiten werden angekündigt (ca. 2-3 Tage vorher und sind i.d.R. Nachts) und die FAQ hilft bei 90% der Fragen/Probleme.

*Aus dem posteo FAQ: Durch Aktivierung der Verschlüsselungsfunktion werden Ihr Adressbuch und Ihr Kalender auf unserem Server mit Ihrem persönlichen Passwort verschlüsselt. Da wir keine Passwörter im Klartext speichern, sind Ihre Kontakte und Termine danach ausschließlich für Sie persönlich zugreifbar und so vor jeglichen Zugriffen unsererseits sowie Dritter geschützt. Bei den Terminen speichern wir die Information, in welchem Monat ein Termin stattfindet unverschlüsselt. Das ist leider notwendig, damit die Geschwindigkeit trotz Verschlüsselung im Rahmen bleibt und nicht bei jedem Aufruf des Kalenders alle Termine entschlüsselt werden müssen, sondern nur die des aktuellen Zeitraums. Ausgenommen von der Verschlüsselung sind Ihre Termine, wenn Sie sich per E-Mail an einen Termin erinnern lassen möchten. Diese Termine müssen für die Erinnerung per E-Mail unverschlüsselt abgespeichert werden - nach der Erinnerung werden die Daten dazu automatisch gelöscht.

gruß,
foxce

n815i3xjx8lomlny

Ich nutze Posteo jetzt seit ca 1,5 Jahren. Das mit verschlüsseltem Kalender und Kontakten ist mit Android kein Problem, ich nutze auch DAVdroid. Die neue Funktion, Mails zu verschlüsseln, hab ich noch nicht aktiv, muss mir noch überlegen, ob ich es überhaupt mache.

Alles in allem bin ich zufrieden, hab auch erst vorgestern wieder 20€ auf mein Konto geladen. Bzgl Ausfällen war ich anfangs schon enttäuscht, da lief oft was nicht rund etc, 1x war der Ausfall auch glaub nen ganzen Tag lang oder so. Aber das lag hauptsächlich am rasanten Wachstum, da lief der Server wohl irgendwann auf Anschlag. Mittlerweile scheint mit der Dienst stabil zu laufen.

Ich bin alles in allem sehr zufrieden und kann eigentlich nur meine Empfehlung aussprechen.

Eine interessante Alternative wäre wohl mailbox.org. Wenn ich JETZT nochmal die Wahl hätte, dann würde sie mir glaub ich schwer fallen! Daher rate ich dir, trotz meiner Zufriedenheit mit posteo, dass du beide ausprobierst und dich dann für einen entscheidest.

Kabbone

Danke euch beiden für die Antworten 🙂
Auf den ersten Blick sieht Posteo für mich nicht schlecht aus. Es ist nur etwas schade, dass man keine eigene Domain verwenden kann (aufgrund der Anonymisierung)

AntiCasp3r

Ebenfalls seit ca. 2 Jahren Kunde bei Posteo. Beir mir läuft alles super. Von Ausfällen habe ich noch nichts Spürbares mitbekommen.
Zudem super Hilfebereich. Bei Ausfällen wurden sogar Monate geschenkt ohne großes Gezeter.

Dirk

Serverseitige Verschlüsselung seitens des Anbieters - Also keine.

Kabbone

Dirk schriebServerseitige Verschlüsselung seitens des Anbieters - Also keine.

Ich gebe dir Recht, dass man sich darauf nicht verlassen sollte, aber würdest du den Service wählen, der auf keinen Fall verschlüsselt oder bei dem die Möglichkeit besteht, dass er es wirklich macht?

Creshal

Schlangenöl-Anbieter zu belohnen zahlt sich nie aus.

shibumi

Creshal schriebSchlangenöl-Anbieter zu belohnen zahlt sich nie aus.

Deshalb nutz ich einfach Gmail und für wichtige Sachen wird via PGP kommunizert. So einfach ist das.

drcux

Kabbone schrieb
Dirk schriebServerseitige Verschlüsselung seitens des Anbieters - Also keine.
Ich gebe dir Recht, dass man sich darauf nicht verlassen sollte, aber würdest du den Service wählen, der auf keinen Fall verschlüsselt oder bei dem die Möglichkeit besteht, dass er es wirklich macht?

Ich würde beides nicht wollen! Wenn ich verschlüsseln will, dann nur mit +++meinem+++ Schlüssel. Alles andere ist Augenwischerei...

Kabbone

drcux schrieb
Kabbone schrieb
Dirk schriebServerseitige Verschlüsselung seitens des Anbieters - Also keine.
Ich gebe dir Recht, dass man sich darauf nicht verlassen sollte, aber würdest du den Service wählen, der auf keinen Fall verschlüsselt oder bei dem die Möglichkeit besteht, dass er es wirklich macht?
Ich würde beides nicht wollen! Wenn ich verschlüsseln will, dann nur mit +++meinem+++ Schlüssel. Alles andere ist Augenwischerei...

Es wird doch mit deinem public PGP Schlüssel verschlüsselt, soweit ich das verstanden hab. Natürlich kannst du nicht sicher sein, dass nicht noch irgendwo eine Klartext Version davon rumschwirrt.

Kabbone

TBone schrieb
Kabbone schriebEs wird doch mit deinem public PGP Schlüssel verschlüsselt, soweit ich das verstanden hab. Natürlich kannst du nicht sicher sein, dass nicht noch irgendwo eine Klartext Version davon rumschwirrt.
Deren Server ist in der Lage, die Daten zu entschlüsseln. Ok, ich muss mein Passwort eingeben, womit dann angeblich entschlüsselt wird.
Wer garantiert mir, dass das stimmt? Wer garantiert mir, dass sie mein Passwort nicht doch plain speichern? Wer garantiert mir, dass der Admin niemals "zufällig" das Passwort mitschneidet?

Es ist erst für mich vertrauenswürdig genug, wenn die Daten bei mir entschlüsselt und verschlüsselt werden, bzw bei dem, für den sie vorgesehen sind.

Die eMails sind dann doch nur noch verschlüsselt verfügbar und nur du kannst sie mit deinem private Key entschlüsseln. Wie gesagt, das Risiko ist dann eher, dass eine Klartext Kopie vorher gespeichert wird.

foxce

Hi Zusammen,

etwas Paranoia ist immer gut, sowie die Kenntnisse über die Möglichkeiten und damit eigene Dienste zu betreiben... aber solange man nicht jedes Bit und sämtliche Hardware via Reverse Engineering selber absichern kann, sollte sich man evtl. manche Äußerungen zwei mal Überlegen.

gruß,
foxce

Kabbone

TBone schrieb
An den Arbeitsabläufen im Postfach ändert sich nichts: Klicken Sie bei aktiviertem Krypto-Mailspeicher auf eine E-Mail, wird diese im Hintergrund für Sie lesbar gemacht – und zwar nur für den Moment des Zugriffs.
https://posteo.de/blog/neu-posteo-f%C3%BChrt-krypto-mailspeicher-ein

Es wird auf deren Server entschlüsselt. Punkt. Die Klartextkopie des Schlüssels kann eben jedes mal erfolgen, wenn ich etwas entschlüssele.

Kombinierbar mit allen weiteren Verschlüsselungsoptionen
Der Posteo-Krypto-Mailspeicher lässt sich mit allen Posteo-Verschlüsselungsfunktionen problemlos kombinieren.
So können Sie auch alle Adressbuch- und Kalenderdaten auf Knopfdruck verschlüsseln. Und auch die Posteo-Eingangsverschlüsselung, die alle neu eingehenden E-Mails mit OpenPGP oder S/MIME verschlüsselt, kann problemlos mit dem Krypto-Mailspeicher kombiniert werden.

Der Krypto-Mailspeicher ist nicht die PGP Eingangsverschlüsselung, erstmal komplett lesen 😉

n815i3xjx8lomlny

Er hat Recht! ZB weiter unten im verlinkten Text:

Posteo schrieb Auch wenn Sie bereits Ende-zu-Ende-Verschlüsselungsverfahren nutzen, profitieren Sie vom Krypto-Mailspeicher: Denn bei Ende-zu-Ende-Verfahren wie OpenPGP werden in der Regel nur die Inhalte einzelner E-Mails verschlüsselt, nicht aber alle gespeicherten E-Mails oder die dazugehörigen Metadaten. Unser passwortbasierter Krypto-Mailspeicher ist eine vollumfängliche Verschlüsselung, die das Sicherheitsniveau bei Posteo noch einmal deutlich erhöht.

Prinzipiell habt ihr Kritiker natürlich Recht, man kann niemals garantieren, dass die Leute bei Posteo und anderen Anbietern die Versprechen wirklich halten. Aber irgendwo muss man eben ansetzen, wenn man externe Dienste verwendet. So ist das eben... Ich vertraue Posteo jedenfalls mehr als Google!

Dirk

Was ich mich die ganze Zeit frage: Wieso bewerben die eine (imho) Standardfunktion - nämlich das Verschlüsseln von vom User übermittelten Daten auf dem Server mit einem Passwort, das nur eben jener User kennt - als besonderes Feature?

Creshal

Weils hip ist und genug Deppen drauf reinfallen? 🙂

Und/oder weil die Konkurrenz noch schlechter ist.

foxce

Hi,

das Thema bewegt sich langsam in die falsche Richtung...

@Creshal, da bitte ><o(((°>

gruß,
foxce

Kabbone

TBone schrieb
Kabbone schriebDer Krypto-Mailspeicher ist nicht die PGP Eingangsverschlüsselung, erstmal komplett lesen 😉
Was laberst du? Der Key für die Krypto-Mailspeicher liegt bei denen und die Daten werden nicht bei mir entschlüsselt.

Ich hab dir doch extra die Passage in meinen Beitrag gepackt. Man kann beides simultan verwenden und bei der PGP Eingangsverschlüsselung liegt der Key nur bei dir. Also ist an meiner Aussage bzgl. des Risikos meiner Ansicht nach nichts einzuwenden.

Dirk schriebWas ich mich die ganze Zeit frage: Wieso bewerben die eine (imho) Standardfunktion - nämlich das Verschlüsseln von vom User übermittelten Daten auf dem Server mit einem Passwort, das nur eben jener User kennt - als besonderes Feature?

Welche Verschlüsselung meinst du damit? Ist es nicht so, dass z.B. Google oder die meisten anderen Anbieter die Daten unverschlüsselt für den Anbieter abspeichern?

Ich sehe es halt so, versuche ich es so gut wie möglich ohne einen eigenen Server zu betreiben abzusichern oder gebe ich gleich auf. Natürlich gebe ich euch Recht, dass mein Inhalt nur in komplett vertraulicher Weise abgesichert ist, wenn ich gleich eine Ende-zu-Ende Verschlüsselung anwende, nur kann man das einfach nicht der Mehrheit beibringen...