Diskussion:Posteo

Die Löschung der Seite „Posteo“ wurde ab dem 11. August 2013 diskutiert und abgelehnt. Für einen erneuten Löschantrag müssen gemäVorlage:SS den Löschregeln neue Argumente vorgebracht werden.

Verschlüsselung auf den Servern

Die Mails liegen in Klartext auf den Servern, nur die Festplatten selber sind verschlüsselt, nicht die Mails selber (sofern man nicht selber PGP oder S/MIME nutzt)--176.199.26.111 14:24, 27. Aug. 2013 (CEST)

Ich habe einmal versucht die Formulierung zu fixen, wäre hilfreich wenn es hier feedback gäbe, ob die neue Formulierung als korrekt und verständlich angesehen wird. --Gag101 (Diskussion) 01:10, 28. Aug. 2013 (CEST)

Passt so ungefähr. Klingt zwar noch holprig, aber wüsste es auch nicht besser Marl84 (Diskussion) 19:54, 5. Sep. 2013 (CEST)

Posteo führt Krypto-Mailspeicher ein: "Mit dem Krypto-Mailspeicher können Sie sämtliche E-Mail-Daten auf Knopfdruck individuell verschlüsseln. Die Verschlüsselung ist vollumfänglich. Sie umfasst sowohl die Inhalte und Anhänge aller bei Posteo gespeicherten E-Mails als auch die dazugehörigen Metadaten (wie z.B. die Betreffzeile oder der E-Mail-Header). Neben Ihrem bisherigen E-Mailarchiv werden auch alle neu hinzukommenden E-Mails verschlüsselt."-- 84.112.35.35 16:38, 13. Apr. 2015 (CEST)

Zahl der E-Mail-Konten bei Posteo -> Behördenschnittstelle? 1

Hallo, Leute!

Hier eine Anfrage und evt. auch eine Anregung, den Artikel um diese Information zu ergänzen:

Aus dem Artikeltext, wie er mir heute vorliegt, geht (meines Erachtens ziemlich penetrant) hervor, wie sicher Posteo sei, mit explizitem Bezug zu Snowden & NSA-Skandal. Nun ist es allerdings so, dass E-Mail-Dienstleister, die mehr als 10.000 Konten führen, eine Schnittstelle für den Zugriff staatlicher Stellen auf E-Mail-Inhalte vorhalten müssen; falls dann ein richterlicher Beschluss einer Behörde den Zugriff auf ein E-Mail-Konto gestattet, dürfe der E-Mail-Dienstleister den Zugriff gar nicht mitbekommen. Das führt Patrik Löhr, der Geschäftsführer von Posteo, im Januar 2011 in einem Artikel im "Freitag" selbst so aus und fügt hinzu, dass Posteo, um das zu vermeiden, nie auf 10.000 Postfächer kommen solle - und von dieser Marke noch weit entfernt sei.

Hier zuerst meine Frage: Gibt es irgendwo Angaben bzw. eine Statistik darüber, wieviele Konten bei Posteo mittlerweile existieren, fast 6 Monate nach dem Beginn der Snowden-Enthüllungen mit dem ganzen Hype, der seitdem für Posteo gemacht wird? Posteo gibt auf seiner eigenen Seite zwar ein paar schöne, PR-trächtige Statistiken, aber die von mir gesuchte fehlt dabei - irgendwie ein ziemlich "lautes" Fehlen, denn normalerweise ist es ja branchenüblich, dem potenziellen Nutzer in der Werbung gleich entgegenzuschreien, wieviele zufriedene Nutzer es bereits gibt ...

Der Wikipedia-Artikel ist zwar eher kurz, hat aber schon irgendwie einen Hauch von PR-Statement. Sollte es schon mehr als 10.000 Posteo-Nutzer geben, sollte das derjenige, der sich über die Wikipedia über diesen Dienst informieren will, unbedingt auch erfahren, inklusive der Datenschutz-Konsequenzen, die sich daraus ergeben. Ich finde sogar, dass man den Hinweis auf diese Grenze sogar ohne genaue Zahlen hier einfügen sollte, als realistischen Kontrapunkt zur Aufzählung der tollen Sicherheitsfeatures.

Grüße - Tolman Telephone (Diskussion) 14:43, 4. Nov. 2013 (CET)

OK, jetzt habe ich eine Angabe gefunden, die verlässlich genug ist, und sie mit Verweis auf die betreffende Stelle in der TKÜV nachgetragen, mit Verweis auf die Gesetzesstelle und auf das Inhaltsverzeichnis zur TKÜV. Von wem stammt nochmal folgendes Zitat: "Falsche Sicherheit ist gefährlicher als gar keine Sicherheit"-?

Nochmals Grüße - Tolman Telephone (Diskussion) 15:47, 12. Nov. 2013 (CET)

Hallo Tolman Telephone,

eigentlich möchten wir (die Betreiber von Posteo) uns nicht in Wikipedia-Artikel einmischen, aber die Ergänzung Ihres Satzes zur TKÜ ist inhaltlich falsch. Wir bitten Sie diese Passage zu streichen oder zu ändern. Bei Rückfragen stehen wir gerne zur Verfügung.

"...ist Posteo...dazu verpflichtet, die Kommunikationsdaten seiner Nutzer aufzuzeichnen und an die deutschen Strafverfolgungsorgane weiterzuleiten."

Wir sind nicht pauschal dazu verpflichtet, Kommunikationsdaten unserer Nutzer aufzuzeichen und weiterzuleiten. Auch möchten wir darauf hinweisen, dass eine Vorratsdatenspeicherung in Deutschland zurzeit verboten ist.

Zur Herausgabe eines Postfachs sind bei einem richterlichen Beschluss alle deutschen E-Mail-Anbieter verpflichtet - ab dem ersten Nutzer. Auch ist auf richterlichen Beschluss (und ab dem ersten Nutzer) eine laufende Überwachung der Telekommunikation, also die Ausleitung neu eintreffender oder gesendeter E-Mails, zu ermöglichen. Bitte lesen Sie dazu unsere Erläuterungen weiter unten durch.

Wer als E-Mail-Anbieter dauerhaft ("nachhaltig") für Dritte Dienste anbietet, muss auf Anfrage unter bestimmten Bedingungen ausserdem Bestandsdaten (Name usw.) seiner Kunden an Behörden herausgeben - aber nur, wenn er welche hat, dies dann aber auch ab dem ersten Nutzer (Posteo erhebt keine Bestandsdaten).

Der Freitag-Artikel ist veraltet und die dortigen Aussagen sind nur teilweise zutreffend. Mittlerweile haben wir uns sehr intensiv gemeinsam mit unseren Anwälten mit diesem Thema auseinandergesetzt und wissen nun, dass sich die Rechtslage sowie die Zugriffsmöglichkeiten von Behörden anders darstellen, als zunächst angenommen. Aus sicherheitstechnischer Sicht spielt die Grenze von 10.000 Nutzern definitiv keine Rolle. Warum dies so ist, erläutern wir weiter unten in der E-Mail, die wir auf Anfragen zu diesem Thema versenden.

Generell sind wir über den Support für solche Fragen zu erreichen und antworten sehr schnell. Auch gibt es eine deutlich jüngere Aussage von uns (Teile einer E-Mail) zum Thema SINA-Box bereits im Netz: <https://anonymous-proxy-servers.net/forum/viewtopic.php?p=33677#p33677> (zu finden per Suche nach "posteo sina").

Seit der Inbetriebnahme von Posteo verweisen wir in der Datenschutzerklärung von uns darauf, dass wir Daten auf richterlichen Beschluss herausgeben müssen: <https://posteo.de/site/datenschutzerklaerung>

Folgende Antwort zum Thema TKÜ versenden wir per E-Mail an jeden, der fragt. Wir sind dabei eine Informationsseite zu dem Thema zu erstellen, sind mit dieser aber noch nicht fertig.

„Es gibt in der Telekommunikations-Überwachungsverordnung zwar die Pflicht für Telekommunikationsanbieter, ab einer Teilnehmerzahl von 10.000 Kunden einen speziellen Computer (Sina-Box) aufzustellen, auf den die berechtigten Behörden Zugriff aus der Ferne haben. Bei uns ist nicht zweifelsfrei zu sagen, wieviele Teilnehmer unser Dienst hat, da wir keine Bestandsdaten von unseren Nutzern erheben. Wir wissen nur die Anzahl der Postfächer.

Aber wir werden sicher bald um die Anschaffung eines solchen Computers nicht mehr herumkommen. Dies ist aber eher ein finanzielles Ärgernis - die Sicherheit der Daten unserer Nutzer wird dadurch nicht gemindert. Davon sind wir inzwischen, nach einer intensiven Auseinandersetzung in den vergangenen Monaten mit diesem Thema (u.a. mit Anwälten), überzeugt.

Eine SINA-Box ist ein Computer, auf den die aufgrund der Gesetzeslage berechtigten Behörden Zugriff haben. Allerdings befinden sich auf diesem Computer nur Daten, die wir selbst dort nach einem richterlichen Beschluss hinterlegen. Definitiv würde dieser Behördencomputer nicht mit unseren Servern verbunden sein, oder Zugriff auf unsere Server ermöglichen. Es geht den Behörden sogar im Gegenteil darum, ein absolut abgeschottetes System aufzustellen, damit niemand Drittes die Möglichkeit bekommt die Daten mitzulesen, die wir manuell übergeben müssten. Wenn also ein richterlicher Beschluss zur Herausgabe eines Postfachs vorliegt, müssten wir über diesen Computer Kopien dieser Daten zur Verfügung stellen, also eine gebrannte DVD mit den Daten des Postfachs ins Laufwerk einlegen. Anstatt per DVD können die Daten auch per Netzwerkverbindung auf die SINA-Box geladen werden - allerdings ist hier zwingend nur der einseitige Zugriff von uns zur Box vorgesehen, nicht andersherum von der SINA-Box auf unsere Server.

Schon jetzt, auch ohne SINA-Box, sind wir dazu verpflichtet, auf einen richterlichen Beschluss bei einer schweren Straftat (Mord, Terrorismus, Landesverrat, Geldwäsche, Zwangsprostitution, Kinderpornographie usw.) hin die Daten eines Postfach herauszugeben, worauf wir auch in unserer Datenschutzerklärung hinweisen. Dazu sind alle Betreiber von Mailservern in Deutschland ab dem ersten Nutzer verpflichtet.

In der Praxis sind solche Beschlüsse extrem selten, sie können nur bei schweren Straftaten erwirkt werden.

Aktuell müssten wir die DVD mit der Post an die abfragende Stelle schicken - über die aufgestellte Sina-Box haben die Behörden die Daten schneller und sicherer. Sonst gibt es keinen Unterschied zum bisherigen Vorgehen - und auch keine darüber hinausgehenden Möglichkeiten der Behörden, auf Daten unserer Nutzer zuzugreifen.

Wir werden bald auf unserer Webseite darüber informieren, wie die verschiedenen Maßnahmen des Staates zur Überwachung konkret an unserem Beispiel aussehen - um generell über das Thema zu informieren. Wir sind aktuell dabei, mit Anwälten das genaue Vorgehen zu besprechen.“

Wir verweisen mit der E-Mail immer auch auf folgendes PDF eines Anbieters von SINA-Boxen.

Viele freundliche Grüße von Posteo, Patrik Löhr --Posteo (Diskussion) 08:52, 14. Nov. 2013 (CET)

Lieber Herr Löhr, vielen Dank für Ihre Rückmeldung. Es freut sicher jeden Wikipäden, dass Sie die Wikipedia als so wichtig erachten, dass Sie gleich zeitnah auf meine Änderung reagieren. Zuerst mal: Es ist sehr gut, dass Sie sich "eigentlich" nicht in Wikipedia-Diskussionen einmischen. So etwas wird hier immer gerne gesehen, und ich will mal nicht von irgendwelchen paranoiden Befürchtungen meinerseits reden, Ihre Einwendung, die sie löblicherweise sogar mit Ihrem Klarnamen zeichnen, könnte trotz allem der Auftakt zu einem Edit-War sein. Übrigens habe ich den Rest des Artikels unverändert stehengelassen, obwohl er mir - wie weiter oben schon gesagt - schon beinahe wie ein PR-Text für Ihre Firma anmutet. Ich will Ihnen nichts unterstellen - gut möglich, dass das irgendein Enthusiast geschrieben hat.

Jetzt aber zur Sache. Sie machen in Ihrer obigen Antwort, mit Verlaub und ganz offen gesagt, viele Worte und werfen dabei leider auch viel Nebel - denn IHR E-MAIL-DIENST HAT 10.000 KUNDEN. "Kunden" - das haben Sie selbst so gesagt, und fertig. Vielleicht in einem Moment der Schwäche, als Sie Ihr Unternehmen vor einem Technik- und Wirtschaftsjournalisten gut darstellen wollten - aber trotzdem: fertig. Sollten Sie jetzt aber plötzlich davon ausgehen, Herr Sievers hätte Sie in dem VDI-Artikel, den ich zum Beleg mit Verweisstelle zitiere, falsch zitiert, dann sagen Sie das hier bitte ganz deutlich, und ich werde mich an ihn wenden und ihn mit Ihrer Aussage konfrontieren. Bis dahin gilt aber die von mir eingefügte Angabe nach den gängigen Regeln der Wikipedia als ausreichend belegt und ist auf dieser Basis auch nicht zu überarbeiten.

Sie schreiben: "Aus sicherheitstechnischer Sicht spielt die Grenze von 10.000 Nutzern definitiv keine Rolle." Dieses Argument ist jedoch nichtig, denn es geht hier nicht um "sicherheitstechnische", sondern um rein juristische Sachverhalte, die jedermann im Text der TKÜV selbst nachlesen kann (ich habe im Artikel die genaue Stelle verlinkt, man kann es mit einem einzigen Klick nachprüfen). Daher ist die Aussage PER SE richtig, Posteo sei verpflichtet, "die Kommunikationsdaten seiner Nutzer aufzuzeichnen und an die deutschen Strafverfolgungsorgane weiterzuleiten" - mit dieser nachgereichten Erläuterung: Der Satz stellt eine Zusammenfassung der einschlägigen Bestimmungen in der TKÜV dar, die ich im Wortlaut aus dem Wikipedia-Artikel Telekommunikations-Überwachungsverordnung (heutiger Stand des Artikels, 15.11.2013) übernommen habe. Wenn Sie sich an der notwendigen Verkürzung einer solchen Zusammenfassung stören, dann stellen Sie das bitte erst einmal dort richtig, und dann werde ich gerne auch meine von Ihnen angemahnte Einfügung im Artikel zu Posteo entsprechend ändern. Denn in der Wikipedia legt man viel Wert auf inhaltliche Konsistenz zwischen den einzelnen Artikeln. Bis dahin darf ich hier aber an dieser Formulierung festhalten.

Insgesamt beobachte ich, dass Sie in Ihrer Antwort viele Verpflichtungen aufzählen, denen Sie NICHT unterliegen, und viele technische Überwachungslösungen, die (in der von Ihnen geschilderten Form) NICHT auf Posteo zutreffen. Mir scheint jedoch, dass keine Ihrer Formulierungen hier etwas zur Sache tut, und ich denke dabei schelmischerweise an die rhetorische Technik des Strohmanns: sicher ist jede einzelne Ihrer Aussagen wohldurchdacht und ihrem genauen Wortlaut nach auch sicher zutreffend - nur widersprechen Sie hier lauter Dingen, die niemand (zumindest gemäß Ihrem Wortlaut) so behauptet hat. Was hier allein zählt und ebenfalls zutreffend ist, ist, dass Sie wie jeder andere in Deutschland basierte E-Mail-Dienst mit mehr als 10.000 Kunden den Verpflichtungen zur Zusammenarbeit mit den überwachenden Sicherheitsbehörden nach Maßgabe der TKÜV unterworfen sind. Genau dies, nichts mehr und nichts anderes als das stelle ich in meiner Änderung fest. Das bestätigen Sie in Ihrer Rückmeldung übrigens auch selbst, wenn auch sehr verklausuliert und indirekt. Denn aus all Ihren Ausführungen, warum es Ihrer informierten Meinung nach ja gar nicht so schlimm sei, dass Sie demnächst eine SINA-Box bei sich aufstellen müssen, höre ich heraus: Sie müssen demnächst eine SINA-Box bei sich aufstellen. Und so etwas würden Sie sicher nicht tun, wenn Sie das nicht unbedingt müssten (Sie sind ja sicher auch nicht mit dem Klammerbeutel gepudert). Und wenn Sie das müssen, dann hat dieses Muss einen Namen und heißt TKÜV. Oder machen Sie das etwa freiwillig und gerne?

Sollte es Ihnen aber gelingen, mich und die anderen Wikipedia-Autoren trotz all dieser Überlegungen davon zu überzeugen, dass unsere Sicherheitsbehörden Sie von dieser Verpflichtung bislang ausgenommen haben und das auch weiter tun werden, stellt das meines Erachtens eine sensationelle Liberalisierung unserer hiesigen Exekutiv- und Rechtspraxis dar. Ich werden den Artikel zur Telekommunikations-Überwachungsverordnung dann sofort in diesem Sinne ergänzen, mich dabei auf Ihre Angaben als Quelle berufen und diese Änderung dort zur Diskussion stellen. Darüber hinaus werde ich dann (versprochen!) auch selbst zu einem Ihrer Kunden werden - was vor einigen Wochen übrigens auch beinahe geschehen wäre (bevor ich nämlich etwas genauer hingesehen habe). Übrigens werden auch außerhalb der Wikipedia viele Menschen in Deutschland bei dieser Botschaft aufmerken, und ich gönne Ihnen all diese Neukunden ebenfalls von Herzen.

Ich will Ihnen nicht schaden und wünsche Ihnen und Ihren Mitarbeitern alles Gute und besten unternehmerischen Erfolg - ohne jede Ironie. Allerdings soll die Wikipedia die relevanten Tatsachen nicht vernebeln, sondern herausstellen und auf diesem Wege das Allgemeinwohl befördern. Und was meine Meinung angeht, dass falsche Sicherheit gefährlicher sei als gar keine - nur deshalb so viele Worte meinerseits! Und ich wäre noch immer dankbar, wenn mir jemand die Quelle dieses Zitats übermitteln würde.

Mit freundlichen Grüßen - Tolman Telephone (Diskussion) 00:49, 16. Nov. 2013 (CET)

Ich glaube, du hast den wesentlichen Punkt in der Antwort von Herrn Löhr überlesen/ignoriert: Auch bei weniger als 10.000 Nutzern ist Posteo verpflichtet, auf einen richterlichen Beschluss hin Daten von Nutzern an Strafverfolgungsbehörden herauszugeben. Die Grenze von 10.000 Nutzern scheint (! Ich selber habe mich im Detail nicht mit dem Gesetz beschäftigt) nur einen Einfluß darauf zu haben, wie die Daten in diesem Fall an die Behörden übermittelt werden: Per DVD oder per SINA-Box.

Wenn das so stimmt, ist der Satz "Seit Erreichen einer Nutzerzahl von 10.000 ist Posteo [...] verpflichtet, bei Vorliegen eines richterlichen Beschlusses, die Kommunikationsdaten seiner Nutzer aufzuzeichnen und an die deutschen Strafverfolgungsorgane weiterzuleiten." falsch oder zumindest irreführend, weil diese Pflicht ja eben schon vorher, vor erreichen der 10.000 Nutzer, bestand. Die Nutzerzahl hätte also keinen Einfluß darauf, wie sicher die Daten der Nutzer vor Behördenzugriffen sind. --80.149.113.199 15:44, 18. Nov. 2013 (CET)

In der Datenschutzerklärung von Posteo (https://posteo.de/site/datenschutzerklaerung) macht mich eines stutzig. Dort heißt es interessanterweise nicht, dass Daten oder Postfach nur bei richterlicher Anordnung herausgegeben würden. Vielmehr heißt es: "Wir werden zu keinem Zeitpunkt freiwillig Ihre Daten an Dritte weitergeben. In bestimmten gesetzlich geregelten Fällen, insbesondere bei Vorlage eines richterlichen Beschlusses im Falle einer Straftat, sind wir zur Herausgabe eines Postfachs (einschliesslich Kalenderdaten usw.) bzw. des E-Mail-Verkehrs verpflichtet." (Hervorhebung eingefügt.) Es wird also nicht ausgeschlossen, dass es in anderen "bestimmten gesetzlich geregelten Fällen" geschehen könnte, nicht unbedingt nur bei richterlicher Anordnung - darauf hat sich auch Posteo offenbar (noch) nicht festlegen wollen. --93.203.205.93 20:31, 18. Nov. 2013 (CET)

Natürlich geht es bei Gefahr im Verzug auch ohne richterlichen Beschluss, siehe § 98 StPO. Und natürlich kann ein Unternehmen sich nicht gegen das Gesetz stemmen, sich diesbezüglich also auf nicht festlegen und wird daher sinnvollerweise auf gesetzliche Regelungen verweisen. -- Ian Dury ^{Hit me}  09:18, 19. Nov. 2013 (CET)

Hallo Wikipedianer,

schade, die Diskussion ist ein bisschen im Sand verlaufen, auch wenn eigentlich die richtigen Schlüsse gezogen wurden. Der Absatz, den wir bemängelt haben, ist immernoch grundfalsch und wir möchten erneut anregen, diesen Absatz zu streichen oder zu ändern. Wir als betroffenes Unternehmen tragen gerne zur Diskussion bei, möchten aber den Artikel selbst nicht unbedingt editieren.

Der Absatz ist aktuell wie folgt:

"Bis Anfang Oktober 2013 erreichte Posteo nach Auskunft seines Geschäftsführers Patrik Löhr eine Nutzerzahl von etwa 20.000.[10] Seit Erreichen einer Nutzerzahl von 10.000 ist Posteo wie jeder andere große E-Mail-Anbieter gemäß Telekommunikations-Überwachungsverordnung §3, Nr. 5 verpflichtet, bei Vorliegen eines richterlichen Beschlusses, die Kommunikationsdaten seiner Nutzer aufzuzeichnen und an die deutschen Strafverfolgungsorgane weiterzuleiten.[11][12]"

Unsere Kritik noch einmal in Kürze:

Wir sind nicht erst "seit Erreichen einer Nutzerzahl von 10.000" verpflichtet, die Kommunikation eines Nutzers unter den gesetzlich geregelten Umständen an Strafverfolgungsbehörden herauszugeben. Die Pflicht besteht ab dem ersten Nutzer (§§ 100a/100b StPO, § 2 G10-Gesetz) und gilt nicht nur für "große E-Mail-Anbieter". Dies ist eine Fehlinformation.

Die TKÜV regelt im Detail, welche "Vorkehrungen" für eine Telekommunikationsüberwachung ein Provider treffen muss. Zu solchen "Vorkehrungen" ist nach § 110 TKG grundsätzlich jeder Provider verpflichtet. Die Grenze von 10.000 Nutzern in der TKÜV regelt nur, ob der Provider "Vorkehrungen" treffen muss, und damit im Ergebnis das "Wie" (die Art der Datenübergabe) und nicht das "Ob". Deswegen ist der komplette Hinweis auf die Nutzerzahl irrelevant.

Der Begriff "Kommunikationsdaten" aus dem Absatz existiert in den Gesetzestexten nicht.

Weiter heisst es, dass wir verpflichtet wären, die "Kommunikationsdaten" (unklarer Begriff) "aufzuzeichnen" und "weiterzuleiten". Wir müssen die Kommunikation je nach Anforderung ab dem ersten Nutzer nicht nur aufzeichnen, sondern auch die schon gespeicherte Kommunikation aushändigen. Dazu ist jeder E-Mailanbieter nach verschiedenen Gesetzen verpflichtet (z.B. §§ 94/95, 99/100, 100a/100b StPO, § 2 G10-Gesetz).

Es gibt noch andere Pflichten aus dem TKG, die in dem Absatz nicht dargestellt werden. Dazu gehört z.B. der schon oben erläuterte Umgang mit Bestandsdaten.

Wir weisen in unserer Datenschutzerklärung allgemein darauf hin:

"Die Rechtsgrundlage [...] im Zusammenhang mit unseren E-Mail-Dienstleistungen bilden die deutschen gesetzlichen Bestimmungen, das sind unter anderem das TMG, das TKG, die TKÜV und das BDSG. [...]"

Man könnte sich fragen, ob die Rechtslage bei jedem lexikalischen Eintrag zu jedem deutschen Telekommunikationsunternehmen lexikalisch zusätzlich dargestellt werden muss. Es gibt Einträge in der Wikipedia zum TKG, zur TKÜV und zum BDSG - unsere Dienstleistungen unterliegen einer Vielzahl von gesetzlichen Bestimmungen. Diese alle korrekt auf jeder Unternehmensseite darzustellen, ist unserer Ansicht nach weder möglich noch notwendig.

Viele freundliche Grüße in die Runde,

Patrik Löhr --Posteo (Diskussion) 17:44, 5. Dez. 2013 (CET)

Hallo zusammen,

da sich seit unserem letzten Post vor rund einem Monat keiner mehr geäussert hat und leider auch niemand den Artikel geändert hat, haben wir den falschen Satz soeben doch selber entfernt. Wie in unserem vorangegangenen Diskussionsbeitrag erklärt, ist der Satz in mehrfacher Hinsicht falsch.

Die Angaben zur Nutzerzahl haben wir nicht entfernt. Wie in der Diskussion beschrieben wissen wir die Anzahl der Nutzer bei uns aber nicht, da wir keine Daten von den Nutzern erheben. Wir kennen nur die Anzahl der Postfächer. Nutzer können bei uns mehrere Postfächer haben, ohne dass wir das wissen. Für eine aktuellere Zahl der Postfächer bei uns gibt es z.B. hier eine neuere Quelle.

Viele freundliche Grüße von Posteo,

Patrik Löhr --Posteo (Diskussion) 13:54, 3. Jan. 2014 (CET)

Zahl der E-Mail-Konten bei Posteo -> Behördenschnittstelle? 2

Hallo Posteo! Du schreibst, das du eben einen Satz entfernt hast. Ich vermute, das diese Änderung nicht von dir ist.? Den Rest klären wir Schritt für Schritt ... MfG --Friedrich Graf (Diskussion) 17:12, 3. Jan. 2014 (CET)

Hallo Friedrich Graf, Danke, dass Du Dich kümmerst! Meine Änderung ist die Vorletzte, ich habe sie als eingeloggter Nutzer Benutzer:Posteo vorgenommen, was auch so in der Änderungshistorie zu sehen ist. Warum ich den Satz gestrichen habe, ist in der obigen Diskussion der letzten Wochen zu entnehmen.

Viele freundliche Grüße,

Patrik Löhr --Posteo (Diskussion) 17:33, 3. Jan. 2014 (CET)

1. Ich sehe in dem Satz auch keinen Sinn, da es Dutzende von Verpflichtungen gegenüber Strafverfolgungsbehörden gibt - nicht nur für Telekommunikationsanbieter. Dies ist kein relevantes Merkmal von Posteo ... ansonsten muß ich in jeden Autoartikel reinschreiben, das der Gesetzgeber eine Befestigungsmöglichkeit für Nummernschilder vorgesehen hat. ... dazu kommen natürlich die schon genannten Gründe.
2. Das sich niemand in den letzten Wochen gemeldet hat, liegt an einem typischen Merkmal in Wikipedia: der Autorenmangel.
3. Der Artikel in der jetzigen Form ist sehr "dünn" - kann man da nicht noch etwas machen (Beispiel)? Um hier einem Interessenskonflikt vorzubeugen, kann ein neuer Inhalt ja zuerst auf der Diskussionsseite vorgeschlagen werden.

... so, wenn noch was ist, melde dich einfach bei mir. MfG --Friedrich Graf (Diskussion) 21:12, 3. Jan. 2014 (CET)

Hallo Friedrich Graf,

der Beitrag auf der Seite "Dritte Meinung" ist schon archiviert - deshalb an dieser Stelle: Dankeschön!

Viele freundliche Grüße,

Patrik Löhr --Posteo (Diskussion) 14:35, 6. Jan. 2014 (CET)

SHA-256-Verschlüsselung

Ich mag mich täuschen, aber laut Chrome ist die Verbindung mit AES_128_GCM verschlüsselt. SHA-256 ist ja nur für den Fingerabdruck des Zertifikats zuständig und kann als Hash-Algorithmus gar nicht verschlüsseln. Die eigentliche Verschlüsselung findet mit einem Diffie-Hellmann-Schlüsselaustausch über die mit RSA verschlüsselte Verbindung statt. Mit diesem, durch den Schlüsselaustausch ausgehandelten individuellen, zeitlich begrenzten Sitzungsschlüssel wird die Verbindung dann mit AES verschlüsselt.

Ich schlage daher vor, den Satz
"Dabei wird jede Verbindung mit einem neuen Schlüssel mit dem SHA-256-Algorithmus verschlüsselt."
zu
"Dabei wird für jede Verbindung ein zufälliger, neuer Schlüssel erzeugt. Mit ihm und dem AES-Algorithmus wird die Verbindung verschlüsselt. Das soll eine spätere Entschlüsselung von abgegriffenen Daten verhindern."
zu ändern.

MfG, --KizzyCode (Diskussion) 15:27, 15. Mai 2014 (CEST)

Sprachen

Ich habe die Sprachen einmal ergänzt. Aktuell stehen für das Webinterface neben Deutsch und Englisch über 70 andere Sprachen zur Verfügung, darunter auch wahre Exoten wie Hebräisch, Urdu, Pashtu oder Hindi. Eine Quelle liegt mir hierzu leider im Moment nicht vor. Unter https://posteo.de/webmail/?_task=settings&_action=preferences " Benutzeroberfläche" "Sprache" kann aber jeder Wikipedianer der ein Posteo-Konto besitzt die Aussage nachvollziehen. --Gag101 (Diskussion) 13:26, 2. Mai 2015 (CEST)

Neuer Absatz Kritik ist sachlich falsch

Hallo zusammen,

es gibt einen neuen Absatz mit dem Titel "Kritik", der sachlich falsch ist. Der Absatz hat unserer Meinung nach nichts in einem lexikalischen Eintrag über uns verloren und sollte gestrichen werden. Der unbekannte Autor oder die unbekannte Autorin schreibt selbst in der Versionsgeschichte, dass hier eine "persönliche Erfahrung" beschrieben wird: "zugefügter Absatz: Kritik. Der beschriebene Inhalt beschreibt meine persönliche Erfahrung." https://de.wikipedia.org/w/index.php?title=Posteo&diff=141894777&oldid=141712780

Zum Sachverhalt: Wir halten uns selbstverständlich an die RFCs beim E-Mailverkehr. Von unserem Spamfilter abgewiesene E-Mails sind nicht "verloren". Im Gegenteil. Wir rejecten als Spam erkannte E-Mails ordentlich. Das bedeutet, dass der Empfang verweigert wird. Der sendene Server kann den Versandprozess nicht erfolgreich durchführen und muss den Absender über diese Fehlsituation beim Versand informieren (Fehlermeldung). Der Absender bekommt deswegen mit, dass die entsprechende E-Mail aufgrund einer Spam-Einstufung nicht erfolgreich versendet werden konnte. Anders bei Spamordnern: Bei in Spam-Ordnern einsortierten E-Mails bekommt ein Absender in der Regel hingegen nicht mit, wenn E-Mails dem Empfänger nicht regulär im Posteingang zugestellt werden. Schaut ein Empfänger nicht regelmäßig im Spamordner nach, geht Kommunikation dadurch wirklich verloren. Unser Vorgehen ist allgemein empfohlene Praxis:
http://www.rechtsindex.de/internetrecht/4345-rechtsanwalt-spam-ablehnen-statt-in-junk-ordner-verschieben
http://www.dontbouncespam.org/#BVR

Und wird auch von uns kommuniziert:
https://posteo.de/hilfe/wie-funktioniert-der-posteo-spamfilter

Auch die meisten anderen Anbieter (mit Spamordnern) arbeiten ebenfalls mit harten Rejects, wenn sie sicher als Spam eingestufte E-Mails abweisen:
http://postmaster.t-online.de/-/id_17377772/index
http://postmaster.gmx.de/de/faq-administrator/
http://postmaster.gmx.de/de/faq-administrator/#greylisting
http://postmaster.web.de/de/faq-administrator/
http://postmaster.web.de/de/faq-administrator/#greylisting
https://mail.live.com/mail/junkemail.aspx

Wenn E-Mails als Spam abgewiesen werden, hat das Gründe. Solche Gründe lassen sich auf Absendeseite abstellen.
Persönliche Erfahrungen, aus denen falsche Schlüsse gezogen wurden, sollten nicht in einem lexikalischen Beitrag Niederschlag finden.

Viele freundliche Grüße
Patrik Löhr (Posteo)--Posteo (Diskussion) 10:05, 14. Mai 2015 (CEST)

Hallo Patrik! Der Absatz verstieß tatsächlich gegen Wikipedia:Belege und Wikipedia:Keine Theoriefindung. Auch hast Du dargelegt, dass andere Anbieter ebenfalls Spam-E-Mails ablehnen, ohne sie in einen Spam-Ordner einzusortieren, und die Kritik so nicht greift. Ich habe den Absatz deshalb gerade mal entfernt. MfG Stefan Knauf (Diskussion) 19:52, 23. Mai 2015 (CEST)

Hallo Herr Knauf, ich kann nicht nachvollziehen, warum die Kritik an Posteo nicht greift, wenn andere Anbieter ebenso kritikwürdige Verfahren nutzen. Wenn Posteo sich hier eine Kritik zuzieht wird diese nicht weniger Kritikwürdig, weil andere Anbieter es gleichtun. Allenfalls können sie dieselbe Kritik auch anderen Anbietern zuteil werden lassen.
Darüber hinaus ist die vom Posteo-Vertreter selbst dargestellte "sachlich richtige" Darstellung keineswegs plausibel. Herr Löhr geht bei seiner Argumentation von einem treffsichern, trennscharfen SPAM-Filter aus. Der Verfasser des gelöschten Absatzes hat aber darauf hingewiesen, dass es um fälschlicherweise als SPAM eingestufte E-Mails geht. Es stand auch nicht in der Kritik, dass Posteo sich technisch an die RFC hält. Ein SPAM-Filter ist meines Wissens nie Perfekt und daher ist die Verwendung von "Unbekannt Ordnern" für die Empfänger durchaus sinnvoll und allgemein üblich. Das Posteo zu Minderung des eigenen Aufwandes und zur scheinbaren Vereinfachung des Postfach-Handlings für seine Kunden darauf verzichtet ist sehr wohl Kritikwürdig, wenn ein nicht perfekter SPAM Filter falsche Entscheidungen trifft.
Auch von mir versendete E-Mails an Posteo Empfängeradressen wurden auf die kritisierte Art als SPAM abgewiesen. Ich weiß bis heute nicht warum. Ich halte die geäußerte Kritik daher für nachvollziehbar und vollständig richtig. Die Kriterien des Posteo SPAM Filters sind ja nicht transparent und in meinen Fall ist Posteo der einzige E-Mail Provider der meine E-Mails wiederholt abgewiesen hat, obwohl diese keinerlei SPAM enthalten.
Der Hinweis von Posteo "Wenn E-Mails als Spam abgewiesen werden, hat das Gründe. Solche Gründe lassen sich auf Absendeseite abstellen." ist nicht nachvollziehbar. Wer bereits eine Nachricht zu einer abgewiesenen E-Mail erhalten hat kann kaum nachvollziehen, warum die E-Mail abgewiesen wurde, eben nur das sie abgewiesen wurde. Daraus lässt sich dann auch kein "Verbesserungspotenzial" für den Absender ableiten. (nicht signierter Beitrag von 85.176.100.144 (Diskussion) 17:03, 25. Mai 2015 (CEST))

Sorry, ich setzte es gleich zurück. Hier in der wikipedia gilt Wikipedia:Keine Theoriefindung. D.h., du suchst im www eine stelle die deine kritik belegt gemäß Wikipedia:Belege und dann kann sie rein. Dein persönliches empfinden ist hier leider nicht genug. Grüße --ot (Diskussion) 17:13, 25. Mai 2015 (CEST)

Hallo! Nochmal zum Verständnis: Wie Patrik Löhr darlegt, sortieren E-Mail-Anbieter, die einen Spam-Ordner haben, dort ebenfalls nicht alle Spam-Mails ein, sondern lehnen auch welche ganz ob, ohne dass der Adressat davon was mitbekommt. MfG Stefan Knauf (Diskussion) 18:10, 25. Mai 2015 (CEST)

Vergleiche mit konkreten anderen E-Mail Anbietern

@Distelfinck: Du hast letzten Freitag zwei Änderungen wieder in den Artikel eingefügt, von denen ich eigentlich der Meinung war, dass wir einen Konsens drüber hatten, dass das am Thema vorbeigeht. Konkret geht es mir um den Nebensatz zum Thema Perfect Forward Secrecy: „…, die auch von den E-Mailanbietern Google, Yahoo, GMX, Web.de und T-Online unterstützt wird.“ Als Quelle verwendest Du einen Artikel in Der Standard, der sich ausschließlich auf Freemailer bezieht. Posteo kommt dort nicht vor. Außerdem halte ich es nicht für sinnvoll, in einem enzyklopädischen Artikel zu einem konkreten Anbieter, exemplarisch Vergleiche zu ein paar wenigen, willkürlich herausgepickten Konkurrenten zu ziehen. Dieser Artikel behauptet ja keinesfalls, dass Perfect Forward Secrecy ein Alleinstellungsmerkmal von Posteo wäre. (Tatsächlich war Posteo einer der ersten Anbieter in Deutschland mit PFS, mittlerweile aber zum Glück nicht mehr der einzige.) Wozu also diese völlig unvollständige Vergleichsliste noch dazu mit ungeeigneter Quelle? Aus den gleichen Gründen halte ich auch den von Dir eingefügten Nebensatz zum Thema Zwei-Faktor-Authentifizierung „…, wie sie auch bei Outlook.com, Gmail und Yahoo Mail angeboten wird.“ für fehl am Platz. Der Artikel behauptet nicht, dass Posteo der einzige Anbieter mit Zwei-Faktor-Authentifizierung wäre. Und wieder ist Deine Vergleichsliste willkürlich, unvollständig und richtet sich nicht nach objektiven Kriterien. Außerdem kommt hinzu, dass es für Zwei-Faktor-Authentifizierung sehr unterschiedliche Techniken gibt und man nicht alle in denselben Topf werfen sollte. Ich bin dafür, dass diese beiden Nebensätze wieder herausgenommen werden. --DufterKunde (Diskussion) 11:20, 16. Nov. 2015 (CET)

Hi, wir liefern Infos, die helfen, andere Infos besser einzuordnen. Zum Beispiel schreiben wir im Artikel nicht nur: "Posteo unterstützt dabei seit August 2013 die Verschlüsselungseigenschaft Perfect Forward Secrecy", sondern wir liefern dann auch noch Infos, wie verbreitet Perfect Forward Secrecy in etwa ist, und was das überhaupt in etwa bedeutet: "... , die auch von den E-Mailanbietern Google, Yahoo, GMX, Web.de und T-Online unterstützt wird. Dabei wird für jede Verbindung ein zufälliger, neuer Schlüssel erzeugt, mit dem dann die Verbindung verschlüsselt wird. Das soll eine spätere Entschlüsselung von abgegriffenen Daten verhindern." Würden wir das nicht machen, dann müsste der Leser ständig bei jedem Begriff, der ihm nichts sagt, auf den Link klicken, um verstehen zu können, was das eigentlich aussagt. Die aufgezählten Anbieter sind solche mit großer Verbreitung, und machen wohl zusammen einen Großteil aller E-Mailadressen im deutschsprachigen Raum aus. Du kannst sie gern durch andere Anbieter tauschen, um es internationaler zu machen, oder die Aufzählung durch eine Prozentangabe ersetzen, ala "soundosviel Prozent der E-Postfächer weltweit können mit Perfect Forward Secrecy geöffnet werden." --Distelfinck (Diskussion) 12:42, 16. Nov. 2015 (CET)

Gegen die kurze Erklärung, was Perfect Forward Secrecy macht, habe ich nichts. Mehr sollte es aber nicht sein, denn wem diese Erklärung nicht reicht, der klickt einfach auf den Link und kann im PFS-Artikel die Details nachlesen. Dem Artikel kann man auch entnehmen, dass PFS zwischen Herbst 2013 und Sommer 2014 stark an Verbreitung gewonnen hat. (Daraus ergibt sich auch, dass Posteo tatsächlich eine Vorreiterrolle im Sommer 2013 hatte.) Im PFS-Artikel wäre die von Dir genannte Liste der Freemail-Anbieter mit PFS (mit dem derStandard-Artikel als Quelle) besser aufgehoben. Es mag auch sein, dass die von Dir genannten Anbieter derzeit einen großen Anteil des Marktes beherrschen. Aber welcher Markt denn genau? Consumer-E-Mail, wohl … weltweit, in Europa, in D-A-CH oder nur Deutschland? Wo zieht man die Grenze und wer entscheidet, welcher Anbieter explizit genannt wird und welcher nicht? Weder sind die Marktanteile statisch, noch sind es die von den unterschiedlichsten Anbietern eingesetzten Krypto-Technologien. Hier im Artikel über Posteo haben Informationen zu anderen Anbietern auch deshalb nichts (bzw. nur in begründeten Ausnahmefällen etwas) verloren, weil sie kaum jemand korrigieren wird, wenn sie irgendwann einmal veraltet sein sollten. Gleiches zum Thema Zwei-Faktor-Authentifizierung; wenn überhaupt Anbieter aufgelistet werden sollten, die das unterstützen, dann bitte dort eintragen. (Außerdem habe ich große Probleme, mehrere Anbieter mit dem Prädikat „unterstützt PFS“ in einem Atemzug zu nennen. Was bedeutet das jeweils? Für Webmail? Für clientseitige Protokolle wie POP3, IMAP, SMTP? Für Kommunikation zwischen Servern innerhalb der Firma? Für Kommunikation mit Servern anderer Anbieter? In Verbindung mit welchen Cipher Suites? Sind die stark genug und verbreitet genug, dass man von PFS überhaupt einen Mehrwert hat und dass es nicht nur als Feigenblatt dient, eine Sollbruchstelle woanders zu kaschieren? Genauso ist die Aussage „unterstützt Zwei-Faktor-Authentifizierung“ total pauschal. Je nachdem, wie es implementiert ist, kann es ein sinnvolles Sicherheitsfeature sein oder dem Anbieter ermöglichen den Benutzer noch besser auszuspionieren. Mehrere Anbieter hier nebeneinander zu nennen, ohne zu prüfen, ob das, was die machen, technisch vergleichbar ist, ist mehr Irreführung als Information.) --DufterKunde (Diskussion) 15:02, 16. Nov. 2015 (CET)

Ich habe auf Wikipedia:Dritte Meinung nach weiteren Meinungen gefragt. Im Übrigen habe ich in meinem Beitrag „PFS heute kein Alleinstellungsmerkmal mehr, damals schon …“ den Satz zu PFS geändert in „Posteo unterstützt dabei seit August 2013 – damals als einer der ersten Anbieter – die Verschlüsselungseigenschaft Perfect Forward Secrecy.“ Mit der Formulierung kommt bereits zum Ausdruck, dass PFS heute nichts Besonderes mehr ist. Zumindest hier sollten sich die von Dir eingefügten Vergleichsbeispiele damit erübrigen. Zur Zwei-Faktor-Authenifizierung möchte ich nochmal betonen, dass dies ein Sammelbegriff für sehr unterschiedliche Methoden ist, für die, je nach Implementierung, Nutzerdaten (z. B. Handynummern) preisgegeben werden müssen. Eine Vergleichsliste anzuführen ohne genau zu prüfen, was sich jeweils hinter dem Schlagwort Zwei-Faktor-Authenifizierung verbirgt, ist mehr Irreführung als Information. --DufterKunde (Diskussion) 11:53, 1. Okt. 2016 (CEST)

Irreführung? Also ganz ehrlich, von dir bin ich besseres gewohnt, aus deinen Artikelbearbeitungen, aber das mit der Irreführung ist Humbug. Wenn allein die Erwähnung, dass Service X 2-Faktor-Auth. anbietet, Irreführung sein soll, warum ist dann nicht die Erwähnung, dass Posteo 2-Fakzor-Auth. anbietet, ebenfalls Irreführung? Warum nur bei den anderen Anbietern? --Distelfinck (Diskussion) 11:08, 2. Okt. 2016 (CEST)

Wenn Du diese Antwort zwei Tage früher geschrieben hättest, hätte ich Dir recht geben müssen, dass der Artikel die Zwei-Faktor-Authentifizierung bei Posteo unpräzise beschreibt. Ich habe aber am Samstag den Satz „Posteo nutzt zur Zwei-Faktor-Authentifizierung den zeitgesteuerten TOTP-Standard.“ eingefügt und damit präzisiert, wie die Zwei-Faktor-Authentifizierung bei Posteo umgesetzt ist. Das ist ganz im Sinne der Datensparsamkeit und von „Posteo setzt auf offene Standards und freie Software, …“. Wenn Du den Artikel Zwei-Faktor-Authentifizierung überfliegst, wird Dir klar werden, dass das ein Sammelbegriff für sehr unterschiedliche Verfahren ist, die unter Datenschutz-Gesichtpunkten sehr unterschiedlich zu bewerten sind. Posteo knüpft die Zwei-Faktor-Authentifizierung weder daran, dass der Kunde private Daten (wie z. B. eine Mobiltelefonnummer für SMS-Zustellung oder gar biometrische Daten) preisgeben müsste (was übrigens einer der großen Kritikpunkte im Streit mit der Stiftung Warentest 2015 war!), noch macht Posteo die Zwei-Faktor-Authentifizierung abhängig von einer bestimmten proprietären Software- oder Hardwarelösung. Bei TOTP hat man eine große Auswahl von Software- (für unterschiedlichste Betriebssysteme, viele davon freie Software) oder Hardwarelösungen. --DufterKunde (Diskussion) 13:39, 3. Okt. 2016 (CEST)

Na schön. Nichtsdestotrotz sehe ich nicht, wo die Irreführung sein soll. Warum sollte jemand, irrigerweise, wenn er in Wikipedia liest "Service X bietet 2-Faktor-Authentifizierung an", dann denken, Service X wäre besonders datensparsam? Wer das Wort nicht kennt, wird es nachschlagen. Das Wort hat nichts an sich, was einen, der es nicht kennt, bezüglich Datensparsamkeit in die Irre leiten könnte. Mit ist auch kein weit verbreiteter Mythos bekannt, nach dem 2-Faktor-Auth. Datensparsamkeit implizieren würde. --Distelfinck (Diskussion) 14:08, 3. Okt. 2016 (CEST)

Zu erwähnen, dass ein Anbieter „Zwei-Faktor-Authentifizierung“ anbietet, halte ich nicht für problematisch. Mit dem Nebensatz, auf dem Du bestehst („…, die auch von den E-Mailanbietern Google, Yahoo, GMX, Web.de und T-Online unterstützt wird.“), ziehst Du aber einen sehr direkten Vergleich, ohne überprüft zu haben, was jeweils mit „Zwei-Faktor-Authentifizierung“ gemeint ist. --DufterKunde (Diskussion) 15:06, 3. Okt. 2016 (CEST)

Ich habe es jetzt im Artikel umformuliert. --Distelfinck (Diskussion) 15:23, 3. Okt. 2016 (CEST)

Deine neue Formulierung ist zwar knapper, aber Du sagst immer noch genau das Gleiche. --DufterKunde (Diskussion) 15:54, 3. Okt. 2016 (CEST)

Was der Satz sagt, stimmt ja auch, oder? Zuvor hätte man es so lesen können, dass die 2-Faktor-Auth. bei den aufgezählten Anbietern die selbe ist. --Distelfinck (Diskussion) 16:13, 3. Okt. 2016 (CEST)

Ich gehe davon aus, dass es stimmt, dass alle genannten Anbieter irgendeine Form von Zwei-Faktor-Authentifizierung anbieten. Das alleine ist aber ziemlich nichtssagend, denn es gibt derart gewaltige Unterschiede, dass so ein pauschaler Vergleich nichts wert ist. Die Fehlerhafte Beschreibung der Zwei-Faktor-Authentifizierung bei Posteo war ein Hauptgrund, warum die Stiftung Warentest mit ihrem Test Februar 2015 eine totale Bruchlandung erlitten hat – siehe E-Mail-Provider: … Details zur Korrektur. Stiftung Warentest, 12. Februar 2015, abgerufen am 3. Oktober 2016.  Es sind also wirklich keine Kleinigkeiten, um die es hier geht. Wie steht es mit meinen anderen Argumenten in Wikipedia:Dritte Meinung (Willkürlichkeit, für welche Sicherheitsfeature man derartige Vergleiche in den Artikel aufnimmt; Willkürlichkeit, welche Anbieter man jeweils als Vergleiche nennt; Problematik, den Artikel aktuell zu halten)? Kannst Du denen nicht vielleicht irgendetwas abgewinnen? --DufterKunde (Diskussion) 18:34, 3. Okt. 2016 (CEST)

"[W]elche Anbieter man jeweils als Vergleiche nennt" haben wir letztes Jahr schon besprochen. Wieviele Argumente gegen den Text willst du eigentlich noch finden? Fallen dir auch welche dafür ein, wegen Neutralität und so? --Distelfinck (Diskussion) 19:05, 3. Okt. 2016 (CEST)

Vorschlag: Bei PFS ersetzten wir „…, die auch von den E-Mailanbietern Google, Yahoo, GMX, Web.de und T-Online unterstützt wird.“ durch „…, die inzwischen allgemeiner Standard ist.“ (das geht aus Perfect Forward Secrecy#Praxis, en:Forward secrecy#Use, dem von Dir zitierten Artikel oder RFC 7525 von Mai 2015 hervor). Bei Zwei-Faktor-Athentifizierung ersetzen wir „… wie auch bei Outlook.com, Gmail und Yahoo Mail.“ durch „… wie auch bei einigen anderen Anbietern.“ Damit wäre klargestellt, dass es keine Alleinstellungsmerkmale von Posteo sind. Außerdem hätten wir die Probleme der Subjektivität der Auswahl der genannten Anbieter, der Frage, ob die genannten Anbieter die „Zwei-Faktor-Athentifizierung“ in vergleichbarer Weise implementiert haben, sowie das Problem der Wartbarkeit des Artikels erledigt. --DufterKunde (Diskussion) 20:56, 8. Okt. 2016 (CEST)

Ich hatte gehofft, dass mit meinem Vorschlag endlich eine Vereinfachung der Formulierungen und ein kürzerer Text möglich werden würde. Stattdessen hast Du Satz zu PFS endgültig zum unleserlichsten Verschachtelungsmosterkonstrukt, das ich je gesehen habe, aufgebläht. Bei Internetbelegen hältst Du Dich nichtmal mehr an den Minimalstandard („abgerufen am … “). Hast Du wenigstens verstanden, dass PFS nicht nur für HTTPS relevant ist? Dafür hast Du den Artikel in Mini-Absätzchen zerhackstückelt, dass es optisch ein Graus ist. Zumindest die Absatzstruktur werde ich überarbeiten: Das, was vorher ein langer Absatz war, werde ich in zwei Absätze aufteilen: einen zu zentralen Sicherheitstechniken und einen zu optional aktivierbaren (und solchen die nur den Webmailer betreffen). --DufterKunde (Diskussion) 00:13, 9. Okt. 2016 (CEST)

Ich finde den Vorschlag von @DufterKunde gut. Das vereinfacht und verkürzt den Text etwas.--rugk (Diskussion) 13:21, 9. Okt. 2016 (CEST)

DufterKunde's "die inzwischen allgemeiner Standard ist" für Perfect Forward Secrecy würde sich gut im Artikel machen, aber zuvor würde ich diese Aussage gerne einem Faktencheck unterziehen. Unter Standard würde ich verstehen, dass es sagen wir 95% der Anbieter so machen würden. Ich hege aber die Vermutung, dass viele E-Mail-Anbieter bei ihren TLS-Verbindungen eben noch keine Perfect Forward Secrecy nutzen. Posteos Nutzung von Perfect Forward Secrecy ist also nicht einfach das, was jeder andere auch so macht, sondern schon ein Pluspunkt. Ich nehme mal an, DufterKunde, dass dir das klar ist, und du meinst mit "Standard" etwas anderes.

Zum zweiten Teil des Vorschlags von DufterKunde: „wie auch bei Outlook.com, Gmail und Yahoo Mail.“, das durch „… wie auch bei einigen anderen Anbietern.“ ersetzt werden soll, ist genauer als das was es ersetzen soll. Etwas Genaueres durch etwas Unspezifischeres zu ersetzen, mach keinen Sinn. Das zu Ersetzende und der vorgeschlagene Ersatz sind auch ungefähr gleichlang, nebenbei bemerkt, eine Verkürzung würde hier also nicht stattfinden.

--Distelfinck (Diskussion) 14:26, 9. Okt. 2016 (CEST)

Bitte fang jetzt nicht an Buchstaben zu zählen. Es geht um eine inhaltliche Vereinfachung und unnötig Beispiele zu nennen ist nun mal, nunja..., nicht nötig. Eine allgemeinere Aussage ist da besser (auch wenn unspezifischer, ja klar), aber da muss man dann nicht abwägen, welche Provider man da erwähnt (siehe Neutralität). Zum Fakt: PFS wird bei den meistbesuchten Webseiten im allgemeinen nur von 18% nicht unterstützt (siehe https://www.trustworthyinternet.org/ssl-pulse/) Das Problem ist natürlich, dass sich diese Angabe nicht auf SMTP/Mailserver bezieht, aber ich denke doch, dass sie dennoch zeigt, dass SMTP mittlerweile relativ Standard ist.--rugk (Diskussion) 16:13, 9. Okt. 2016 (CEST)

Aktuell steht bei Perfect Forward Secrecy: "wie auch bei z. B. Outlook.com, Gmail und Yahoo Mail". Da steht also "z. B.", die Aussage bezieht sich also nicht nur auf die genannten Anbieter, sondern impliziert, dass es noch weitere Anbieter gibt. Das vorgeschlagene "wie auch bei einigen anderen Anbietern" enthält also keine Information, die nicht auch im aktuellen Artikel schon vorhanden wäre. Das zu PFS vorgeschlagene ist also lediglich eine Informations-Löschung. --Distelfinck (Diskussion) 16:43, 9. Okt. 2016 (CEST)

Mir ist bewusst, dass es noch keine 95 %, geschweige denn 100 % Abdeckung mit PFS gibt. Also werde „…, die inzwischen auf dem Weg zum allgemeinen Standard ist.“ schreiben. Das BSI empfiehlt PFS seit exakt drei Jahren, ähnliches findest Du bei IETF, NIST, etc. Auch wenn vor den Beispielen jeweils ein „z. B.“ steht, werden die genannten Anbieter, verglichen mit anderen, die man auch hätte nennen können, in den Vordergrund gestellt. Das ist schon zu subjektiv. Deinem Argument, dass die von Dir genannten Anbieter den Großteil des deutschen Markts repräsentieren, und daher genannte werden sollten, möchte ich entgegenhalten, dass Posteo ein Marktsegment anspricht, in dem die direkten Konkurrenten Mailbox.org, Mail.de, Protonmail heißen. Zu den anderen Punkten habe ich alles gesagt. Da rugk mir zustimmt und sich sonst niemand gemeldet hat, werde ich die Änderungen jetzt umsetzen und die Beispiele entfernen. --DufterKunde (Diskussion) 23:58, 9. Okt. 2016 (CEST)

Ich bezweifle, dass gesichert ist, dass es sich PFS zum Standard entwickelt. Und wenn es so wäre, fände ich die Formulierung ungenau. Weil: In welchem Zeitrahmen das erreicht werden soll, wird nicht genannt. In einem Jahr, in zehn Jahren, in zwanzig? Nennen wir statt einer Prognose doch einfach, wie groß der Support für dieses Feature aktuell tatsächlich ist --Distelfinck (Diskussion) 00:27, 10. Okt. 2016 (CEST)

Es wird immer schlecht gewartete Server geben. Alle Standardisierungsinstitutionen sind sich seit Jahren einig, dass PFS ein absolutes Muss ist. Alle Anbieter, die mit Datensicherheit werben, riskieren bereits jetzt eine verdammt schlechte PR, wenn die darauf verzichten. In die Statistiken für https, die Du anführst, fließen auch viele Webserver ein, in die zwar https anbieten, bei denen aber nicht allzu sensible Daten übertragen werden. Überall, wo es um wirklich sensible Daten geht, ist es jetzt schon Standard. --DufterKunde (Diskussion) 01:01, 10. Okt. 2016 (CEST)

Nachtrag: Du bist ja ein witziger Vogel! Erst legst Du so viel Wert darauf, mit Deinen Beispielen darzulegen, dass Posteo längst nicht mehr der einzige Anbieter mit diesen Merkmalen ist. Und jetzt, nachdem ich Dir so weit entgegen gekommen bin und „auf dem Weg zum allgemeinen Standard“ und „wie auch bei einigen anderen Anbietern“ geschrieben habe (inhaltlich stehe ich absolut zu diesen Aussagen!), um klarzustellen, dass es keine Alleinstellungsmerkmale mehr sind, löschst Du das alles. Damit haben wir jetzt eine Formulierung, die mehr als alle meine Kompromissvorschläge bei einem (sehr) naiven Leser die Reaktion „Oh, da macht Posteo wohl was besonderes“ hervorrufen könnte. Meinetwegen kann es zwar gerne so bleiben. Ich halte die Leser nicht für ganz so dumm. Aber ich frage mich, warum ich Dir erst so weit entgegen kommen musste, nur damit Du es am Ende selbst löschst. --DufterKunde (Diskussion) 01:21, 10. Okt. 2016 (CEST)

@DufterKunde, stimmt. Bei 2FA finde ich dies ohne den Vergleich gar nicht so schlimm, es steht ja ein Datum mit da, bei dem dies eingeführt wurde. Auch das PFS ist durch den Einschub gut erklärt.

Insbesondere bei der Zielgrippe/dem Markt den Posteo bedienen will, muss ich dir zustimmen. Es ist absolut unpassend als Vergleich dann hier Outlook.com oder GMail o.ä. zu nennen. Deswegen lieber neutral bleiben und keine anderen Anbieter nennen (außer etwas steht in direktem Bezug).--rugk (Diskussion) 11:35, 10. Okt. 2016 (CEST)

@DufterKunde: Der Grund warum ich das "wie auch bei einigen anderen Anbietern", wie von dir erwähnt gelöscht habe, ist, dass das Zahlwort "einige", von vielen wahrscheinlich in etwa so interpretiert wird: "Aha, irgendeine Zahl zwischen 5 und 1.000.000 Anbietern machen das auch so.", und "Anbieter" können auch einfach Mail-Services in Russland sein, die jeweils 100 Nutzer haben. Sprich es ist eine Binse. @Rugk: Es geht nicht drum, den Artikel nur für die Zielgruppe des Dienstes zu schreiben. Die Zielgruppe ist by the way Spekulation. Hier wird mir zu viel spekuliert. Lasst uns doch einfach Fakten einbauen, ohne so viele Annahmen, die möglicherweise sich als falsch herausstellen. --Distelfinck (Diskussion) 11:51, 10. Okt. 2016 (CEST)

@Distelfinck: Ich habe nicht behauptet, dass Zielgruppe bzw. Marktsegment ein objektives, scharf definiertes Kriterium wäre, und auch nicht vorgeschlagen, die bisher genannten Beispiele durch Mailbox.org, Mail.de, … zu ersetzen. Ich habe nur betont, dass Dein vermeintlich objektives Kriterium „größter Marktanteil“ nicht das Maß aller Dinge und eben keineswegs objektiv ist. Weil es nicht möglich ist, Beispiele objektiv auszuwählen, sollte darauf verzichtet werden. Ich würde gerne die Anfrage nach einer dritten Meinung als erledigt markieren. Bist Du damit einverstanden, dass in diesem Artikel andere Anbieter nur dann namentlich genannt werden, wenn es einen konkreten Bezug gibt? --DufterKunde (Diskussion) 14:46, 10. Okt. 2016 (CEST)

Nein --Distelfinck (Diskussion) 16:35, 10. Okt. 2016 (CEST)

3M: Umsetzung des 2. Teils des Vorschlags von DufterKunde (20:56, 8. Okt. 2016) befürworte ich. Den ersten Teil... hmmm. Da müsste noch ein neuer Vorschlag her. Grüße, Amtiss, SNAFU ? 17:23, 31. Okt. 2016 (CET)

@Amtiss: Danke für Deinen Beitrag! Ich fasse die letzten diesbezüglichen Änderungen zusammen: Nach Einwänden von Distelfinck habe ich meinen Vorschlag nochmal geändert. Als schließlich rugk eine dritte Meinung beigesteuert und meine Sichtweise bestätigt hat, habe ich entsprechende Änderungen vorgenommen, die ohne namentliche Nennung von Beispielen auskommen. Unmittelbar darauf hat Distelfinck die betreffenden Nebensätze komplett aus dem Artikel gelöscht. Meine Reaktion darauf steht in meinem Diskussionsbeitrag von 01:21, 10. Okt. 2016 (CEST). Die letzten Diskussionsbeiträge und der Tonfall in Änderungskommentaren von Distelfinck zeigen, dass alles andere als gütlicher Konsens herrscht. Insofern wären weitere Meinungen hilfreich. --DufterKunde (Diskussion) 10:52, 1. Nov. 2016 (CET)

Hallo, diese Löschung von Distelfinck empfinde ich als sinnvoll. (Diskussion ab 10. Okt.) Die Aussage ist relativ unkonkret und liefert auch keinen Mehrwert gegenüber der bisherigen Aussage im Artikel, macht sie nicht präziser. Im Zweifelsfall würde ich lieber kürzer formulieren, wenn man keine genauen Zahlen liefern kann oder will (was sinnvoll ist). Soweit erstmal. -- Amtiss, SNAFU ? 14:00, 1. Nov. 2016 (CET)

Ja, genau. Ich hatte die betreffenden Nebensätze bereits vor über einem Jahr aus dem Artikel löschen wollen und bin auf massiven Widerstand von Distelfinck gestoßen. Daraufhin habe ich mir verdammt viel Mühe gegeben, einen Kompromiss zu erarbeiten, der ihm entgegenkommt. Deshalb finde ich es bizarr, dass es letztlich Distelfinck selbst war, der die Nebensätze gelöscht hat. Damit wäre eigentlich die Sache gegessen, wenn nicht die Stimmung zwischen Distelfinck und mir so belastet wäre, dass ich weitere konstruktive Arbeit an dem Artikel als schwierig wahrnehme. --DufterKunde (Diskussion) 14:47, 1. Nov. 2016 (CET)

Ich denke, so wie ich eure letzten 3. Beiträge vom 10. Oktober hier lese, dass ihr unterschiedlich mit dem Konflikt umgeht. Könnte sein, dass Distelfinck den Konflikt auch ganz anders wahrnimmt als du. Mir ist das Ende auch nicht nachvollziehbar. Die Frage "Bist Du damit einverstanden, dass in diesem Artikel andere Anbieter nur dann namentlich genannt werden, wenn es einen konkreten Bezug gibt?" scheint eher mit dem zwischenmenschlichen Konflikt befasst als mit dem Inhalt der Diskussion, wo ihr euch doch offenbar einig seid (was ich auf "Zielgruppen, etc." beziehe). Zurück zur inhaltlichen Ebene: Die Löschung von Distelfinck verstehe ich so: er ist mit der Quelle nicht einverstanden bzw. mit der Quelle für eine Formulierung, die strittig ist. Sehe ich das richtig, dass ihr beide der Meinung seid, dass zwar a) ein Industrie-Standard geschaffen werden soll/wird ( was die Aussage "die inzwischen auf dem Weg zum allgemeinen Standard ist" meint, oder?) und b) gleichzeitig die seit Jahren schleifende Umsetzung und die praktische Umsetzbarkeit wegen privaten Mailservern ein realer Widerspruch zu dieser Aussage sind? Wie wäre es mit dem Kompromiss diese Details eher im PFS-Artikel zu integrieren und diesen Artikel relativ kurz zu halten? Das Alleinstellungsmerkmal von Posteo ("einer der Anbieter") ist doch relevant. Die Einordnung kann dann über den "Hauptartikel" geschehen. Viele Grüße, Amtiss, SNAFU ? 16:17, 1. Nov. 2016 (CET)

Bist Du Dir sicher, dass Du die Diskussionsbeiträge richtig zugeordnet hast? Ich hatte nicht den Eindruck, dass mir Distelfinck zugestimmt hätte, sondern eher, dass er am Ende nur widerwillig die Löschung der Beispiele hingenommen hat, weil er sich von rugk und mir überstimmt (aber nicht überzeugt) gefühlt hat. Und ja, die Diskussion ist für meinen Geschmack zu aggressiv geführt worden, sodass mittlerweile auch persönliche Probleme reinspielen. Mir ging es darum, die meiner Meinung nach willkürlichen und oberflächlichen beispielhaften Vergleiche mit konkreten Konkurrenten herauszunehmen. Offensichtlich haben Distelfinck und ich dazu inhaltlich nach wie vor unterschiedliche Auffassungen und ich befürchte, dass es zu einem wiederkehrenden Problem in diesem Artikel werden könnte. Ich wollte Deine Punkte a) und b) in diesem Artikel nie behandeln. Hier soll es um Posteo und nicht um die Einordnung von PFS gehen (zumal es schwierig ist dies hinreichend wertneutral zu formulieren). Das war in der ganzen Diskussion meine Haltung. Alle meine Kompromissvorschläge gehen darauf zurück, dass Distelfinck sich nicht mit dem Löschen der Beispiele zufrieden geben wollte. --DufterKunde (Diskussion) 18:43, 1. Nov. 2016 (CET)

IP-Adressen

Im Artikel steht, dass IP-Adressen der Nutzer nicht gespeichert werden. Welche Auswirkungen hat diese Entscheidung des Bundesverfassungsgericht? 129.13.197.253 10:42, 29. Jan. 2019 (CET)

Hab ich mal angefangen einzuarbeiten. Erstmal die Entscheidung des BVG. Welche Auswirkungen das genau hat, kann ja noch hinein, sobald das konkret feststeht. Gruß--Werner, Deutschland (Diskussion) 18:39, 16. Feb. 2019 (CET)