aikQ oder Posteo oder ein anderer E-Mail-Provider?

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
bodman

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by bodman » Wed Jan 29, 2014 19:30

Stellungnahme von Posteo zum Artikel "Briefgeheimnis" in der aktuellen Ausgabe (4/2014) der Zeitschrift c`t:

https://posteo.de/blog/posteo-zur-m%C3% ... nittstelle

cane

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by cane » Wed Jan 29, 2014 20:16

In der letzten Zeit erhalte ich öfters mal eine Mail zu aikQ, in der Regel ohne Antwort-Adresse, heute zum Beispiel diese
aikQ empfiehlt (innerhalb der Einstellungen im Webinterface) für die Konfiguration eines Mail-Clients folgende Werte:

POP3: Port 110
IMAP: Port 143
SMTP: Port 25

Wie unschwer zu erkennen ist, ist das unverschlüsselt. Fragwürdiger Anbieter...
Wie man unschwer testen kann, wird STARTTLS auf den angegebenen Ports unterstützt, unter Thunderbird ist es die Standardeinstellung, STARTTLS zu erzwingen - also verschlüsselt. Als bevorzugte Transportverschlüsselung wird TLS1.2 angeboten mit AES256-GCM-SHA384.

POP3S auf Port 995 funktioniert übrigens auch, wie man unschwer testen kann und bietet ebenfalls die stärkste möglich Verschlüsselung mit TLS1.2, AES256-GCM-SHA384. Das gleiche gilt für SMTPS auf Port 465:

Code: Select all

> openssl s_client -connect mail.aikq.de:995
...
New, TLSv1/SSLv3, Cipher is AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES256-GCM-SHA384
(Da halten nur wenige E-Mail Clients mit, Thunderbird schafft das nicht.)

aikQ ist bezüglicher der Verschlüsselung wieder auf dem aktuellen Stand, auch auf den Ports 110, 25 und 143.

bodman

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by bodman » Wed Jan 29, 2014 21:30

@cane

Im oben erwähnten Artikel "Briefgeheimnis" der aktuellen Ausgabe (4/2014) der Zeitschrift c`t schneidet 'aikQ' schlecht ab. Wie beurteilen Sie diese Ergebnisse? Mir erscheinen sie fragwürdig. So wird behauptet, der Anbieter würde nach wie vor die RC4-Verschlüsselung nutzen, was nicht stimmt. Im "Fazit" des Artikels wird Nutzern von aikQ sogar nahegelegt, sich "dringend nach einer Alternative" umzusehen. Mir erscheint dies maßlos übertrieben.

( Nicht einmal deren Web-Anschrift geben sie korrekt an und machen so glauben, aikQ wäre nicht über HTTPS erreichbar.)

cane

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by cane » Wed Jan 29, 2014 21:55

Wie beurteilen Sie diese Ergebnisse? Mir erscheinen sie fragwürdig.
Ich vermute, das aikQ zum Zeitpunkt des Testes wirklich noch RC4 nutzte, so wie die Security-Experten von Heise es vor einem Jahr empfohlen haben. Ich hatte aikQ erst Anfang Januar angeschrieben, dass es höchste Zeit wird, sich an den neuen Empfehlungen zu orientieren.

Ich finde es vor allem bedauerlich, das die Security-Experten von Heise.de sich heute nicht mehr daran erinnern wollen, dass Sie noch vor einem Jahr RC4 empfohlen hatten, als das BEAST umging.

Hinsichtlich SSL ist aikQ jetzt auf dem aktuellen Level und bietet stärkere Verschlüsselung an, als die meisten Browser können.

Der zweite Punkt ist Blockierung der Tracking-Features im Webinteface. (Das ist aber belanglos, wenn man Thunderbird nutzt.) aikQ und Secure-mail.biz setzt mit "b1gmail" eine Software ein, die da deutlichen Nachholebedarf hat.

Mich hat aber eher überrascht, dass Roundcube inzwischen alle HTML-Tracking Features im Webinterface blockieren kann. Das war mir neu. Dadurch stehen die anderen Anbieter besser da. Das ist aber weniger ein Verdienst der Mail Anbieter, sondern der Entwickler von Roundcube.

Im übrigen vermisse ich als wesentliches Feature im Test, ob die Webinterfaces werbefrei sind oder ob externe Trackingnetzwerke für die Einblendung von Werbung eingebunden werden, des weiteren ein Test, ob bei der Einblendung von Werbung persönliche Informationen an den Trackingdienst (bzw. Werbedienstleister) geleakt werden (z.B. die E-Mail Adresse im Referer oder ene LoginID?). Wenn man diese Kriterien mit einbeziehen würde, dann könnte Yahoo! ganz schön alt aussehen. (Ich habe keine Yahoo! Account, kann das also nicht prüfen.)

Ein weiteres Feature für den Test wäre, welche Kundendaten erfasst werden. GMX.de fordert in den AGB (meines Wissens) Anmeldung mit dem Real-Namen. (Ist aber evtl. nur für JonDonauten interessant?)

bodman

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by bodman » Mon May 12, 2014 8:30

Posteo unterstützt DANE/TLSA

"Wir unterstützen seit heute die innovative Technologie DANE/TLSA (DNS-based Authentification of Name Entries). DANE eliminiert verschiedene Schwachstellen der weit verbreiteten Transportwegverschlüsselung SSL/TLS – und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten." .... Posteo - Blog

https://posteo.de/blog/posteo-unterst%C3%BCtzt-danetlsa

https://www.dnssec-validator.cz/pages/download.html

upl9700

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by upl9700 » Mon May 12, 2014 11:30

Ich bin auch bei Posteo und bin bisher sehr zufrieden.
Habe Posteo gewählt, weil ich nicht will, dass meine Daten vom Hoster weiterverwendet werden. Bei Google, Apple, MS, usw. bin ich mir sicher, dass User-Daten auch für deren geschäftlichen Gebrauch oder für Kooperationen mit Geheimdiensten verwendet werden.
Bei Posteo, gehe ich davon aus, dass das nicht passiert und wenn dann nur zur Strafverfolgung auf Richterliche Anordnung.

bodman

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by bodman » Mon May 12, 2014 17:55

Artikel auf Heise Online über die Nachricht, dass Posteo seit heute die Technologie DANE/TLSA (DNS-based Authentification of Name Entries) einsetzt:

http://www.heise.de/newsticker/meldung/ ... 87144.html

Imteyes
Posts: 17
Joined: Sat Apr 04, 2015 14:17

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by Imteyes » Thu Apr 09, 2015 23:46

Die Verschlüsselung bei Postoe und aikQ betrifft die Festplatten und nicht die E-Mails. Mir ist keine E-Mail Provider bekannt, der die Daten der Nutzer so verschlüsselt, dass er sich selbst aussperrt... Hört auch, von einem Mail Provider zu träumen, der eure Mails vor staatlichem Zugriff schützen kann.
"Wir führen seit heute eine neue Verschlüsselungsoption für Sie ein: Den Posteo-Krypto-Mailspeicher.
Die Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar."

https://posteo.de/blog/neu-posteo-f%C3% ... eicher-ein

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by xg27 » Fri Apr 10, 2015 3:13

Imteyes wrote: "Wir führen seit heute eine neue Verschlüsselungsoption für Sie ein: Den Posteo-Krypto-Mailspeicher.
Die Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar."

https://posteo.de/blog/neu-posteo-f%C3% ... eicher-ein
Also eine Verschluesselung die sicher ist sogar vor Dem Der verschluesselt.....


Long live Bernie Madoff!!

!!::!!

Imteyes
Posts: 17
Joined: Sat Apr 04, 2015 14:17

Re: aikQ oder Posteo oder ein anderer E-Mail-Provider?

Post by Imteyes » Mon Apr 13, 2015 22:04

Also eine Verschluesselung die sicher ist sogar vor Dem Der verschluesselt.....
Was die angesprochene neue passwort-basierte Verschlüsselungsoption Krypto-Mailspeicher betrifft, ja! Wie's geht? Steht im betreffenden Blog.
cane wrote:technisch nicht schlecht
hat diese Sicherheitsfunktion auch ein externes Audit bestanden. Open-Source, ist der Code dieses "netten feature" einsehbar.

Überzeug' dich selber!

Post Reply