โพสเตโอ

Q: การลดปริมาณข้อมูลและการรักษาความปลอดภัย

บริษัทโฆษณาว่าผลิตภัณฑ์ของตน ได้รับการออกแบบโดยคำนึงถึงความเป็นส่วนตัว ทั้งการลงทะเบียนและการชำระเงินสามารถทำได้โดยไม่ระบุตัวตน และไม่มีการจัดเก็บที่อยู่ IP ของผู้ใช้

โพสเตโอ
ประเภทของไซต์	เว็บเมล
มีจำหน่ายใน	มากกว่า 70 ภาษา
สำนักงานใหญ่	เบอร์ลิน เยอรมนี
เจ้าของ	แพทริกและซาบริน่า โลห์ร
URL	posteo.de/en
ทางการค้า	ใช่
การลงทะเบียน	ที่จำเป็น
ผู้ใช้	มากกว่า 500,000
เปิดตัว	2009

Posteoเป็นผู้ให้บริการอีเมลที่ตั้งอยู่ในกรุงเบอร์ลิน ประเทศเยอรมนี โดยให้บริการบัญชีอีเมลแบบชำระเงินสำหรับบุคคลและธุรกิจ บริการนี้ได้รับความนิยมอย่างมากในช่วงหลังการเปิดเผยข้อมูลการสอดแนมทั่วโลกหลังปี 2556 [ ²^]^[³^{] โดยเฉพาะอย่างยิ่งเนื่องจากคุณสมบัติด้านความปลอดภัยที่มีมาตรฐานสูงและความเป็นส่วนตัวค่อนข้าง}^สูงเนื่องจากไม่จำเป็นต้องใช้ข้อมูลส่วนตัวใดๆ ในกระบวนการลงทะเบียน^[²^]

Posteo ให้การสนับสนุนDNSSEC / DANEและPGP (ผ่านMailvelopeในเว็บอินเทอร์เฟซ ซึ่งใช้Roundcube แบบโอเพนซอร์ส ) นอกจากนี้ ยังมีการตรวจสอบสิทธิ์แบบสองปัจจัยผ่านTOTPใบรับรองExtended Validation , HPKPสำหรับ การเชื่อมต่อ HTTPSและธีมต่างๆ ให้เลือกมากมาย รวมถึงโหมดมืด^{[ 4 ]}

ในปี 2022 Posteo มีบัญชีอีเมลที่ใช้งานอยู่มากกว่า 500,000 บัญชี^{[ 1 ]}

Posteo เสนออาหาร มังสวิรัติออร์แกนิกฟรีให้กับพนักงานโดยจ้างเชฟของตนเองมาปรุงอาหารที่วิทยาเขตเบอร์ลิน^{[ 5 ]}

การลดปริมาณข้อมูลและการรักษาความปลอดภัย

บริษัทโฆษณาว่าผลิตภัณฑ์ของตนได้รับการออกแบบโดยคำนึงถึงความเป็นส่วนตัวทั้งการลงทะเบียนและการชำระเงินสามารถทำได้โดยไม่ระบุตัวตน และไม่มีการจัดเก็บที่อยู่ IP ของผู้ใช้

การส่งข้อมูลระหว่างลูกค้าและบริษัทจะถูกเข้ารหัสอย่างสม่ำเสมอโดยใช้TLSตั้งแต่เดือนสิงหาคม 2556 Posteo ได้สนับสนุน การเข้ารหัส Perfect Forward Secrecyทั้งสำหรับการเชื่อมต่อภายในของตนเองและการส่งข้อมูลไปยังผู้ให้บริการรายอื่น ซึ่งในขณะนั้น Posteo เป็นหนึ่งในผู้ให้บริการชาวเยอรมันรายแรกๆ ที่รองรับการเข้ารหัสนี้สำหรับโปรโตคอลอีเมลทั้งหมด Perfect Forward Secrecy หมายความว่ามีการสร้างคีย์แบบสุ่มใหม่สำหรับแต่ละการเชื่อมต่อ จากนั้นจึงใช้คีย์นั้นในการเข้ารหัสการเชื่อมต่อ ซึ่งจะป้องกันการถอดรหัสข้อมูลที่ถูกดักจับในภายหลัง Posteo ใช้ใบรับรอง Extended Validation เพื่อตรวจสอบความถูกต้องของเซิร์ฟเวอร์ ตั้งแต่เดือนพฤษภาคม 2557 Posteo ได้สนับสนุนโปรโตคอล DANE/TLSA ( DNS-based Authentication of Name Entities ) ซึ่งช่วยขจัดช่องโหว่ต่างๆ ของการเข้ารหัส TLS โดยเฉพาะอย่างยิ่งในระหว่างการส่งอีเมลระหว่าง Posteo และผู้ให้บริการรายอื่น เพื่อให้ได้รับประโยชน์จากความปลอดภัยเพิ่มเติมที่ DANE มอบให้เมื่อเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์ จำเป็นต้องมีส่วนเสริมเบราว์เซอร์ที่เกี่ยวข้อง เซิร์ฟเวอร์ของ Posteo ทั้งหมดตั้งอยู่ในประเทศเยอรมนี และฮาร์ดไดรฟ์ของเซิร์ฟเวอร์เหล่านั้นได้รับการเข้ารหัสแบบ AES ตั้งแต่เดือนตุลาคม 2558 Posteo ได้ใช้ เทคนิค HTTP Public Key Pinningซึ่งเป็นเทคนิคที่เว็บไซต์ต่างๆ ใช้เพื่อรักษาความปลอดภัยของการเชื่อมต่อ HTTPS ระหว่างเว็บอินเทอร์เฟซและผู้ใช้

ตั้งแต่เดือนพฤศจิกายน 2557 การเข้าถึงเว็บเมลสามารถเพิ่มความปลอดภัยได้ด้วยการตรวจสอบสิทธิ์แบบสองขั้นตอนตามมาตรฐาน TOTP เพื่อป้องกันไม่ให้โปรแกรมอีเมลที่ใช้IMAP , POP3หรือSMTP หลีกเลี่ยง การตรวจสอบสิทธิ์นี้ ลูกค้าสามารถบล็อกการเข้าถึงเหล่านี้ได้ตามคำขอ ตั้งแต่เดือนพฤษภาคม 2558 ลูกค้าสามารถเลือกเปิดใช้งานการจัดเก็บอีเมลที่เข้ารหัสได้เพื่อให้อีเมลทั้งหมดที่จัดเก็บไว้ใน Posteo ถูกเข้ารหัสทีละฉบับด้วยรหัสผ่าน (ที่ใส่เกลือ) ของลูกค้า ตั้งแต่เดือนกรกฎาคม 2559 ลูกค้าสามารถเลือกเปิดใช้งานการรับประกันการส่ง TLS ได้ เพื่อให้ส่งอีเมลไปยังเซิร์ฟเวอร์ของผู้ให้บริการรายอื่นก็ต่อเมื่อสามารถเชื่อมต่อแบบเข้ารหัสได้เท่านั้น ตั้งแต่เดือนสิงหาคม 2559 อินเทอร์เฟซเว็บเมลจะแสดงว่าเส้นทางการส่งข้อมูลได้รับการรักษาความปลอดภัยโดยDANE หรือ ไม่ก่อนที่จะส่งอีเมล

บริษัทนี้ใช้มาตรฐานเปิดและซอฟต์แวร์ฟรี รวมถึง โค้ด JavaScriptที่ใช้ในเว็บไซต์และเว็บเมลของบริษัท โค้ดต้นฉบับของซอฟต์แวร์ที่ Posteo ร่วมพัฒนานั้นมีให้ใช้งานภายใต้ใบอนุญาตฟรีบนGitHubด้วยเหตุนี้ Posteo จึงวิพากษ์วิจารณ์โครงการ "อีเมลผลิตในเยอรมนี" มาตั้งแต่ต้นว่าเป็นโซลูชันแบบปิดและแยกตัว

ในรายงานกิจกรรมฉบับที่ 26 ของกรรมาธิการกลางด้านการคุ้มครองข้อมูลและเสรีภาพในการเข้าถึงข้อมูลข่าวสารนางแอนเดรีย วอสฮอฟฟ์ ซึ่งเผยแพร่เมื่อปลายเดือนพฤษภาคม 2560 บริษัท Posteo ได้รับคำชมเชย โดยไม่ได้เอ่ยชื่อบริษัท Posteo “ได้ดำเนินการด้านการคุ้มครองข้อมูล […] ในรูปแบบที่น่าประทับใจอย่างแท้จริง” ในขณะเดียวกัน Posteo ก็ได้เผยแพร่รายงานการตรวจสอบซึ่งเป็นพื้นฐานของคำกล่าวนี้ ซึ่งจัดทำขึ้นเมื่อปลายปี 2559 ในรายงานได้ยกย่องหลายสิ่งหลายอย่าง เช่น เจ้าหน้าที่คุ้มครองข้อมูลภายในที่เป็นอิสระของบริษัท ซึ่งทำงานในฝ่ายบริการลูกค้าด้วย ระบบการชำระเงินแบบไม่ระบุตัวตน ซึ่ง Posteo “ไม่ได้รวบรวมข้อมูลสินค้าคงคลังใดๆ” การตัดสินใจของบริษัทที่จะไม่จัดเก็บ “ที่อยู่ IP ที่ระบุตัวตนลูกค้าได้” และการเข้ารหัสหลายชั้น โดยทั่วไปแล้ว Posteo “ให้ความสำคัญอย่างยิ่งต่อหลักการลดปริมาณข้อมูล”

เมื่อปลายเดือนมกราคม 2562 ศาลรัฐธรรมนูญกลางได้ปฏิเสธคำร้องทางรัฐธรรมนูญของบริษัทผู้ให้บริการอีเมล Posteo และตัดสินว่าการกระทำของ Posteo ที่ไม่เก็บรักษาที่อยู่ IP นั้นขัดต่อกฎหมาย ตามคำตัดสิน บริษัทผู้ให้บริการอีเมลเช่น Posteo ต้องเก็บรวบรวมที่อยู่ IP เพื่อวัตถุประสงค์ในการบังคับใช้กฎหมาย หากได้รับคำสั่งจากผู้พิพากษา

รองรับการเข้ารหัสแบบ end-to-end

ตั้งแต่เดือนมกราคม 2558 บริษัทได้ให้บริการเข้ารหัสอีเมลขาเข้าอัตโนมัติโดยใช้S/MIMEหรือ PGP ในการใช้คุณสมบัตินี้ ผู้ใช้ต้องส่งคีย์สาธารณะS/MIMEหรือ PGP ของตนให้กับบริษัท จากนั้นอีเมลแต่ละฉบับจะถูกเข้ารหัสด้วยคีย์นี้หลังจากที่ได้รับ วิธีนี้ไม่ได้ทดแทนการเข้ารหัสแบบ end-to-end อย่างแท้จริง เนื่องจากอีเมลจะถูกเข้ารหัสหลังจากมาถึงเซิร์ฟเวอร์ของ Posteo แล้วเท่านั้น ไม่ใช่ที่ฝั่งผู้ส่ง ดังนั้น แม้จะเปิดใช้งานการเข้ารหัสขาเข้าแล้ว Posteo ก็ยังสามารถตรวจสอบอีเมลเพื่อตรวจจับสแปมได้ เป็นต้น

ในช่วงปลายเดือนธันวาคม 2558 บริษัทได้เปิดตัวปลั๊กอินโอเพนซอร์สสำหรับ เว็บอินเทอร์เฟซ Roundcubeซึ่งอำนวยความสะดวกในการเข้ารหัส PGP ร่วมกับส่วนเสริมเบราว์เซอร์Mailvelope โดยรวมถึงการสอบถามและนำเสนอคีย์สาธารณะที่ได้รับจากแหล่งต่างๆ (เซิร์ฟเวอร์คีย์ ซึ่งระบุไว้ใน DNSว่าOPENPGPKEY) โดยเซิร์ฟเวอร์ของ Posteoคีย์ส่วนตัว ข้อความธรรมดา และการดำเนินการเข้ารหัสลับยังคงอยู่ภายใต้การควบคุมของผู้ใช้เสมอ Posteo ปฏิเสธอย่างเด็ดขาดต่อโซลูชันการเข้ารหัสที่ผู้ให้บริการอีเมลให้การสนับสนุนฝั่งเซิร์ฟเวอร์ โดยถือว่าโซลูชันเหล่านั้นไม่ปลอดภัยโดยเนื้อแท้

รายงานความโปร่งใส

ในเดือนพฤษภาคม 2014 บริษัทดังกล่าวได้กลายเป็นผู้ให้บริการอีเมลรายแรกของเยอรมนีที่เผยแพร่รายงานความโปร่งใสเกี่ยวกับการสืบสวนและการสอดแนม ในรายงานนี้ บริษัทระบุว่าได้รับคำขอจากหน่วยงานบังคับใช้กฎหมายเจ็ดรายการในปี 2013 ซึ่งสองรายการนั้นถูกต้องตามหลักการ บริษัทได้รับการสนับสนุนทางการเมืองในเรื่องนี้จากบุคคลสำคัญหลายคน รวมถึงฮันส์-คริสเตียน สโตรเบเลและคริสเตียน ลังเก

ในเดือนกรกฎาคม 2556 เจ้าหน้าที่รักษาความปลอดภัยของรัฐได้เข้าตรวจค้นสถานที่ทำการของบริษัท บริษัทระบุว่า เจ้าหน้าที่พยายาม "บีบบังคับให้บริษัทให้ความร่วมมือที่ผิดกฎหมายและเปิดเผยข้อมูล" ต่อมาบริษัทจึงได้ยื่นฟ้องร้องดำเนินคดีอาญาต่อเจ้าหน้าที่ที่เกี่ยวข้อง บริษัทกล่าวว่า เจ้าหน้าที่ตำรวจอ้างว่ามีหมายค้นและยึดเอกสารทางธุรกิจทั้งหมด แต่ในความเป็นจริง พวกเขามีเพียงหมายค้นเพื่อขอเอกสารเพียงแผ่นเดียวเท่านั้น แผนกสืสวนสอบสวนต้องการให้บริษัทเขียนโปรแกรมสคริปต์ที่จะบันทึกว่าผู้ใช้ Posteo ใช้ที่อยู่ IP ใดบ้างในการเข้าถึงอีเมลเมื่อล็อกอิน สคริปต์นี้จะทำให้สามารถระบุได้ว่าที่อยู่อีเมลใดเป็นของที่อยู่ IP ที่ตำรวจรู้จัก

ในเดือนสิงหาคม 2558 บริษัทได้เผยแพร่รายงานความโปร่งใสประจำปี 2557 ซึ่งเป็นครั้งแรกที่มีการแก้ไขจดหมายจากหน่วยงานสอบสวน และเน้นประเด็นสำคัญ เช่น การเปิดเผยข้อมูลผู้ใช้บริการด้วยตนเองตามมาตรา 113 แห่งพระราชบัญญัติโทรคมนาคมของเยอรมนี (TKG) การกำกับดูแลการเปิดเผยข้อมูลโดยสาธารณะตามมาตรา 113 และ 112 แห่ง TKG และแนวทางการอนุญาตโดยศาล

รายงานความโปร่งใสประจำปี 2016 (เผยแพร่ในเดือนมกราคม 2017) ระบุว่า จำนวนคำขอจากหน่วยงานภาครัฐลดลงจาก 48 คำขอ (ปี 2015) เหลือ 35 คำขอ (ปี 2016) แต่คำขอประมาณครึ่งหนึ่งยังคงไม่ถูกต้องตามหลักการ จึงถูกปฏิเสธและรายงานไปยังเจ้าหน้าที่คุ้มครองข้อมูลที่เกี่ยวข้อง

จากรายงานความโปร่งใสประจำปี 2017 พบว่าจำนวนคำขอจากหน่วยงานรัฐบาลเพิ่มขึ้นอีกครั้งเป็น 48 รายการ (เมื่อเทียบกับปี 2015) อย่างไรก็ตาม Posteo โต้แย้งว่าเนื่องจากจำนวนตู้ไปรษณีย์เพิ่มขึ้นเป็นสองเท่าตั้งแต่นั้นมา อัตราคำขอต่อตู้ไปรษณีย์จึงลดลงอย่างมาก

ดูเพิ่มเติม

การเปรียบเทียบผู้ให้บริการเว็บเมล

ลิงก์ภายนอก

เว็บไซต์อย่างเป็นทางการ

[ 1 ]

2

[

[ 4 ]

[ 5 ]