ポステオ

ポステオ

サイトの種類	ウェブメール
入手可能な	70以上の言語
本部	ベルリン、 ドイツ
所有者	パトリック＆サブリナ・レーア
URL	posteo.de
コマーシャル	はい
登録	必須
ユーザー	50万人以上[1]
発売	2009年; 16年前 （2009年）

Posteoは、ドイツのベルリンに拠点を置くメールサービスプロバイダーで、個人および企業向けに有料メールアカウントを提供しています。このサービスは、2013年以降の世界的な監視活動の暴露^{[2] [3]}の余波の中で注目を集めました。特に、登録手続きにおいて個人情報を一切必要としないため、高いセキュリティ機能と比較的高い匿名性を実現しています。^[2]

Posteoは、 DNSSEC / DANEとPGP（オープンソースのRoundcubeを実行しているWebインターフェースのMailvelope経由）をサポートしています。さらに、 TOTPによる二要素認証、Extended Validation証明書、HTTPS接続用のHPKP、そしてダークモードを含む様々なテーマから選択できる機能も提供しています。 ^[4]

2022年、Posteoには50万以上のアクティブなメールアカウントがありました。^[1]

同社はプライバシーを重視した設計を謳っています。登録と支払いは匿名で可能で、ユーザーのIPアドレスは保存されません。

顧客と企業間のデータ伝送は、常にTLSを使用して暗号化されています。 2013 年 8 月以降、Posteo は自社の接続と他のプロバイダーへの伝送の両方で Perfect Forward Secrecy 暗号化をサポートしており、当時、すべてのメール プロトコルでこれをサポートしたドイツの最初のプロバイダーの 1 つでした。 Perfect Forward Secrecy とは、接続ごとに新しいランダム キーが生成され、それを使用して接続が暗号化されることを意味します。これにより、傍受されたデータが後で復号化されるのを防ぎます。 Posteo は、Extended Validation 証明書を使用してサーバーを認証します。 2014 年 5 月以降、Posteo は DANE/TLSA (DNS ベースの名前エントリの認証) プロトコルをサポートしており、特に Posteo と他のプロバイダー間のメール伝送中に、TLS 暗号化のさまざまな脆弱性を排除しています。ブラウザー経由でサイトにアクセスする際に DANE が提供する追加のセキュリティの恩恵を受けるには、対応するブラウザー アドオンが必要です。 Posteo のすべてのサーバーはドイツにあり、ハード ドライブは AES で暗号化されています。 2015 年 10 月以来、Posteo は、Web インターフェイスとユーザー間の HTTPS 接続を保護するために、Web サイトで採用されている技術である HTTP 公開キー ピンニングを使用しています。

2014 年 11 月以降、ウェブメールへのアクセスは、TOTP 標準に基づく 2 要素認証によってさらに安全に保護されるようになりました。IMAP、POP3、または SMTP を使用するメール プログラムによってこれが回避されるのを防ぐため、お客様はリクエストに応じてこれらのアクセスをブロックできます。2015 年 5 月以降、お客様はオプションで暗号化メール ストレージを有効にできるようになり、Posteo に保存されるすべてのメールは、お客様の (ソルト付き) パスワードで個別に暗号化されます。2016 年 7 月以降、お客様はオプションでTLS 配信保証を有効にできるようになり、送信メールは暗号化接続が可能な場合にのみ他のプロバイダーのサーバーに送信されるようになりました。2016 年 8 月以降、ウェブメール インターフェイスには、メールの送信前に送信パスが DANE によって保護されているかどうかが表示されます。

同社は、ウェブサイトやウェブメールで使用されているJavaScriptコードを含め、オープンスタンダードとフリーソフトウェアを活用しています。Posteoが共同開発したソフトウェアのソースコードは、GitHubで無料ライセンスの下で公開されています。こうした背景から、Posteoは当初から「Eメールメイドインジャーマニー」構想を閉鎖的で孤立したソリューションだと批判してきました。

2017年5月末に公表された、データ保護および情報公開担当連邦委員アンドレア・フォッホフ氏の第26回活動報告書で、ポステオは社名こそ伏せられたものの称賛された。ポステオは「データ保護を実に見事な方法で実施した」と述べている。同時にポステオは、この声明の根拠となった2016年末に作成された監査報告書も公表した。報告書では、とりわけ、顧客サポートも担当する社内の独立データ保護責任者、ポステオが「在庫データを一切収集しない」匿名決済システム、「顧客を識別できるIPアドレス」を保存しないという同社の決定、および多層暗号化が称賛されている。総じて、ポステオは「データ最小化の原則を非常に真剣に受け止めている」。

2019年1月末、連邦憲法裁判所はメールプロバイダーPosteoによる憲法違反の訴えを棄却し、同社がIPアドレスを保存しない慣行に違反する判決を下しました。判決によると、Posteoのようなメールプロバイダーは、裁判官の命令があった場合、法執行の目的でIPアドレスを収集しなければならないとされています。

同社は2015年1月以降、S/MIMEまたはPGPを用いた受信メールの自動暗号化を提供しています。この機能を利用するには、ユーザーはS/MIMEまたはPGPの公開鍵を同社に提出する必要があります。受信メールは、この鍵で暗号化されます。この方法は真のエンドツーエンド暗号化に代わるものではありません。メールはPosteoのサーバーに到着した後に暗号化され、送信者側では暗号化されないためです。そのため、受信メールの暗号化が有効になっている場合でも、Posteoはスパムメールのチェックなどを行うことができます。

同社は2015年12月末、Roundcubeウェブインターフェース用のオープンソースプラグインをリリースしました。このプラグインは、Mailvelopeブラウザアドオンと連携してPGP暗号化を容易にします。これには、Posteoサーバーが様々なソース（鍵サーバー、DNSにOPENPGPKEYとして登録されている）から取得した公開鍵の照会とインポート提供が含まれます。  秘密鍵、プレーンテキストメッセージ、暗号化操作は常にユーザーの管理下にあります。Posteoは、メールプロバイダーがサーバー側でサポートを提供する暗号化ソリューションを、本質的に安全ではないと判断し、断固として拒否しています。

2014年5月、同社はドイツのメールサービスとして初めて、捜査・監視活動に関する透明性レポートを公開した。このレポートの中で同社は、2013年に法執行機関から7件の要請を受け、そのうち2件は正式な要請であったと述べている。この件に関して、同社はハンス＝クリスチャン・シュトレーベレ氏やクリスチャン・ランゲ氏といった人物から政治的支援を受けていた。

2013年7月、国家治安当局が同社の敷地内を捜索した。同社によると、当局は「違法な協力とデータ開示を強要」しようとしたという。その後、同社は関与した警察官を刑事告訴した。同社によると、警察官はすべての事業記録を捜索・押収する令状を持っていると主張したが、実際には一枚の紙片を提出する令状しか持っていなかったという。刑事捜査局は、ポステオのユーザーがログイン時にメールにアクセスするためにどのIPアドレスを使用したかを記録するスクリプトを同社にプログラムするよう要求した。このスクリプトによって、警察が把握しているIPアドレスに属するメールアドレスを特定することが可能になった。

2015年8月、同社は2014年の透明性レポートを初めて公表した。このレポートには捜査当局からの編集された書簡が含まれ、ドイツ電気通信法（TKG）第113条に基づく加入者データの手動開示、TKG第113条および第112条に基づく開示手続きの公的監視、司法認可の実践などの主要なトピックに焦点を当てている。

2016 年の透明性レポート (2017 年 1 月発行) では、当局からのリクエストの件数は 48 件 (2015 年) から 35 件 (2016 年) に減少したものの、リクエストの約半数は依然として正式には正しくなかったため否定的な回答がされ、各データ保護担当者に報告されたことが指摘されています。

2017年の透明性報告書によると、政府からの請求件数は2015年と比較して再び48件に増加しました。しかし、ポステオは、郵便受けの数がそれ以降倍増したため、郵便受け1つあたりの請求率は大幅に減少したと主張しています。

• ウェブメールプロバイダーの比較

• 公式サイト