ePost -Neuauflage eines Freemail-Providers oder De-Mail Wettbewerber ?

Die Grenzen der E-Mail werden auch schon von anderen Providern wie GMX immer weiter verschoben. Wenn der Empfänger nicht per elektronischem Postfach erreichbar ist, dann wird die Mail eben ausgedruckt und an die Briefadresse gesendet. Das Porto bezahlt dann der Absender und wenn Sie als Postfachbesitzer nicht in ihre Postfach schauen, dann können Sie sich die E-Mails auch ausgedruckt gegen Gebühr zusenden lassen. Seltsam ist für mich, dass das Thema "Fax" hier gar keine Rolle mehr zu spielen scheint, wäre es doch vermutlich viel schneller, die Druckkosten würden beim Empfänger auflaufen und Gesprächskosten sind ja heute meist "Flat". Bei dem Preis für ein Faxgerät kann sich sowas schon nach wenigen "ePost-Briefen" rechnen.

Wie funktioniert das ?

Vielleicht erinnern sie sich noch an ihre "Lebenslange E-Mail-Adresse" die von der Deutsche Post AG unter ePost.de, die 2000 gestartet und 2004 eingestellt wurde?. Hoffen wir mal, dass dieses Schicksal den neuen ePost-Dienst nicht auch ereilt. ePost ist diesmal aber kein neuer "Free-Mail"-Provider sondern ein Versuch analog zu De-Mail einen vertrauenswürdigen Mailservice aufzubauen, in dem Mails "sicher" und die Absender und Empfänger identifizierbar sind. Benutzer von ePost können also sicher Mails an andere ePost-Empfänger senden und wenn der Empfänger (noch) kein Postfach hast, wird die Post die Nachricht ausdrucken und über ihre angestammten Wege zustellen.

Natürlich ist das alles nicht kostenfrei. Das Postfach selbst mit gerade mal 100 MB Platz kostet erst mal nichts und auch für die komplette Authentifizierung per PostIdent und SMS geht die Post erst einmal in Vorleistung. Berechnet wird später aber die Nutzung für den Versand der Mails, speziell wenn es über den Papierweg zum Empfänger geht. Aktuell kostet ein ePost-Brief wie gewohnt 55 Cent, so dass Sie sich als Versender erst mal nur die Kosten für Ausdruck, umschlag, Frankierung und Briefeinwurf sparen.

E-Post für Firmen - Anbindung per Appliance

Mittlerweile habe ich auch erste Informationen, dass E-Post sogar eine Anbindung an Firmen bereit stellt. In dem obigen Bild ist dies schon blau dargestellt. Dabei bekommt die Firma als Kunde von EPost ein VPN-Gateway/Appliance bereit gestellt, die den Wirkungsbereich von EPost bis in die Firma erweitert.

Alle Mails an die Firma wird dann von EPost über das Gateway an den im Gateway hinterlegten Mailserver weiter geleitet. Umgekehrt wird der Firmenmailserver derart eingestellt, dass alles an epost.de nicht mehr über das Internet sondern quasi "intern" über den kurzen Dienstweg an das Gateway übermittelt wird. Das Gateway sichert diese Verbindung durch einen IP-Filter ab, d.h. nur der interne Mailserver darf das Gateway erreichen.

Das Gateway übernimmt auch das Adress-Rewriting, d.h. als Firma stelle ich EPost eine Liste bereit, welchen "öffentlichen Mailadressen" auch eine EPost-Adresse zugewiesen wird. EPost vergibt eine Adresse in der Form "*@firma.epost.de". jede Firma ist also wie bei De-Mail eine Subdomain.

Ich habe unterschiedliche Quelle, die einmal von der Domain "epost.de" und einmal von "epostbrief.de" sprechen. Da ich selbst auch eine "epost.de"-Adresse habe, gehe ich davon aus, dass diese Domain die "richtige" ist.

Ausgehend: Absenderrewriting user@firma.tld -> user@firma.epost.de
Eingehend: Empfängerrewriting user@firma.epost.de .-> user@firma.tld

Sobald diese Benutzer dann etwas über das Gateway an EPost senden wird die Absenderadresse entsprechend umgesetzt. Umgekehrt kann ein EPost-Anwender eine Mail einfach eine Mail an die bekannte EPost-Adresse der unternehmensmitarbeiter senden. Die Mail wird über das Gateway in das unternehmen
 übertragen und vor der Auslieferung wird die Zieladresse derart umgeschrieben , dass die Mall im normalen Postfach des Benutzers landet.

Der Anwender muss sich daher gar nicht umgewöhnen und kann an der Absenderadresse erkennen, dass die Mail von EPost gekommen ist

Achten Sie darauf, dass Mails aus dem anonymen Internet nicht mit einer epost.de Absenderadresse bei ihnen ankommen, da der Anwender sonst glauben könnte, die Mail käme aus vertrauenswürdiger Quelle. Genauso können sie auch demail.de für Mails aus dem Internet sperren. Jede Mail mit De-Mail oder EPOST aus dem Internet kann es nicht geben.

Allerdings sollten Sie als Exchange Administrator vor der Einrichtung der Domain "epost.de" als SMTP-Connector an das Gateway erst eine "RemoteDomain" anlegen. Das EPost-Geschäftsmodell basiert darauf, dass Sie für die Briefe "bezahlen". Als Anwender werde ich per Weboberfläche auf die anfallenden Kosten hingewiesen. Das ist beim Gateway nicht der Fall. Insofern sollten Sie schon aus Kostenaspekten darauf achten, dass die berechtigten Benutzer nicht zu müssenmailern werden. Das Gateway hilft ihnen schon ein Stück weit dabei, weil nicht konfigurierte Absenderadressen, zu denen es kein zugeordnetes EPost-Konto gibt, nicht zugestellt werden (NDR) und nur Verbindungen von konfigurierten Servern akzeptiert werden. Wie sicher aber ihr internes Mailsystem ist, müssen Sie selbst prüfen und sicherstellen. Und dann gibt es noch die drei folgenden Komponenten, die besser abgeschaltet bleiben:

  • Abwesenheitsmeldungen (OOF)
    Diese sollten Sie auf jeden Fall für diese Domain abstellen denn neben den Kosten helfen Sie nicht weiter. Laut AGBs fordert EPost ja, dass Mail im Postfach täglich gelesen werden.
  • keine Quittungen
    Die zweite unart ist die Anforderung von "gelesen"-Quittungen. Zwar freut sich der Absender über die Bestättigung der Zustellen aber Sie bezahlen dafür und würde ich daher abstellen wollen. Theoretisch könnte ePost solche Quittungen sehr einfach erkennen und z.B. nicht oder anders berechnen.
  • Automatische Antworten per Regeln
    Auch immer gerne genommen sind Regeln, die Mails automatisch weiterleiten. Das kann sehr schnell zu Schleifen führen.

Hier die Einstellungen eines Exchange 2010 Servers

Kritisch ist bei ePost einfach die Kostenfalle. Ist es bei einem offenen Relay oder eine Regel erst mal nur ärgerlich, wenn eine Mail tausendfach im Kreis läuft oder immer wieder generiert wird, so kostet dies bei ePost sehr schnell sehr viel Geld. das Verfahren mit dem Zusenden einer TAN auf die hinterlegte Mobilfunknummer dürfe nur mit Mails funktionieren, die über die Weboberfläche versendet werden.

EPost stellt das Gateway am liebsten natürlich in ihr Netzwerk hintern den Spamschutz. Schließlich gilt die EPost-Mail ja als vertrauenswürdig, da die Absender immer eindeutig nachweisbar sind. Trotzdem werden Firmen natürlich trotzdem bestimmte Filter und vor allem Virenscanner einsetzen wollen. Auch Archiv-Appliances etc. müssen bei der Umsetzung berücksichtig werden.

Neben all den Dingen sollten Sie auch sicherstellen, dass Sie bei späteren unstimmigkeiten der Rechnung nachweisen können, was ihr Mailserver gemacht hat. Insofern ist es wichtig, das Nachrichtentracking zu aktivieren und die Daten einige Tage aufzubewahren. Wer eine frühe Warnung bekommen will, sollte eine Auswertung einrichten, die das Volumen überwacht und bei Bedarf alarmiert. Es könnte auch sinnvoll sein, jede Mail an *@epost.de über eine Transportregel in ein Archiv abzulegen. So lässt sich dann nicht nur ermitteln, wer an wen, sondern auch was versendet wurde.

Ich habe keine Informationen darüber, dass das Gateway von ePost selbst solche Überwachungen, Meldungen oder Sperren bei Überschreitungen bietet.

Firmen gehen damit sehr unterschiedlich um. Ich kenne einige Firmen, die sehr wohl an einer EPost-Umsetzung arbeiten. Natürlich hat auch die Deutsche Post sicher ein Interesse daran besonders die Firmen zu unterstützen, die Mit Endkunden zu tun haben. Das erste "sichtbare" Zeilen habe ich auf einem, Briefumschlag des Deutschend Jugendherbergswerk (DJH) gesehen:

Ich bin sicher, dass auch diverse Versicherungen und andere Firmen mit "Privatkundenkontakten" von der Post regelrecht umworben werden.

Einschätzung

Natürlich können Sie sich, (wie ich auch) einfach kostenfrei eine epost.de-Adresse reservieren. Das ist vielleicht sogar ratsam, wenn niemand weiß, was zukünftig draus wird. Ob ich sie aber nutzen werde kann ich noch nicht sagen. Warum sollte ich in die "Falle" tappen, und mich an einen Anbieter binden, wenn ich ein Postfach unter "meine-domain.de" viel einfacher mitnehmen kann. Viele T-Online und andere Postfachbenutzer mit "kostenfreien Postfach beim Zugangsprovider" bemerken dies im Moment des Wechsels zu einem anderen Internetprovider. Auf einmal "kostet" das Postfach viel Geld oder muss sogar aufgelöst werden und jemand anderes könnte die Adresse z.B. nach 60 (? T-Online) Tagen sogar wieder vergeben.

Der Ansatz ist aber schon gut, über PostID die Authentifizierung durchzuführen und über entsprechende Sicherungsmechanismen die Informationen zu schützen. Aber das funktioniert natürlich nur "intern", also zwischen ePost-Teilnehmern. Wenn ich als Spammer oder externer Sender an eine ePost-Adresse sende, dann kann der Empfänger wieder nicht sicher sein, wer der Absender ist. Und was hat ein externer Empfänger davon, wenn der Absender behauptet, eine epost.de-Adresse zu nutzen ?. Adressen kann man problemlos fälschen und selbst wenn ePost sich hier abschottet. Ich bin gespannt ab wann der erste Spammer mit einer "ePost-Adresse" im Internet als Absender unterwegs ist und weniger erfahrene Anwender damit abfischt. Da hilft es auch kaum, dass für ePost kein MX-Record existiert, da Leser ja en Hyperlink in der Mail ebenso nutzen können wie die Vorgabe einer alternativen "Reply-To"-Adresse

Eine Anbindung an Firmen bzw. ihren Exchange Server kann ich aktuell noch nicht erkennen.

Um ihnen eigene Experimente vielleicht zu ersparen, möchte ich ihnen meinen "Prozess" zur eigenen ePost-Adresse schon mal dokumentieren. Und anscheinend war ich schnell genug, diese Adresse als erster zu reservieren. Das ist sicher Auch ein Problem von ePost, welches auch andere Anbieter haben: Wie gehe ich mit Personen um, die gleiche Namen haben? Aber das soll erst mal nicht unsere Sorge sein.

Beantragung

Kaum hat ePost seinen Dienst gestartet, der auch als Wettbewerber zu De-Mail platziert wird, habe ich mich über Kosten informiert. Erst mal soll alles nichts kosten, also ran an die Webseiten. Der Prozess ist durchaus aufwändig.

Datum Aktion

17. Juli 2010

Anmelden auf www.epost.de. Hier durfte ich schon ein Kennwort eingeben aber wichtiger waren wohl die Postadresse und die gewünschte Mailadresse und eine Mobilfunknummer.

Über diese Mobilfunknummer wurde auch gleich eine SMS (Handy-TAN) gesendet, die auf der Webseite entsprechend einzugeben war. Ich denke die Post wird damit eine erste Identifizierung des Antragstellers ermöglicht und Missbrauch erschwert.

31.Jul 2010

Per Brief kommt nun ein Aktionscode, den ich wieder auf der Webseite eingebe. Das Ergebnis ist nun, dass ich ein PostIdent-Formular herunterladen, drucken und zur Post bringen darf

5. Aug 2010

Endlich komme ich an einer Poststelle vorbei, um das PostIdent-Formular abzugeben.

7. Aug 2010

Wieder kommt ein Brief von ePost. Diesmal mit einer Adress-TAN, die 20 Tage gültig ist, um die Postadresse zu bestätigen. Komisch ist das aber schon, weil die Gültigkeit der Adresse ja schon durch PostIdent und den früheren Brief mit dem Aktionscode stimmen musste

Das mit mein letzter Stand und ich habe meine ePost-Adresse. Ich habe sogar schon einmal das Kennwort zurück setzen müssen. Dazu gibt es dann einen eigenen Brief mit einem passenden "Entsperrpasswort", was auch nur einmal verwendet werden kann. Zwei Tage später hatte ich dann einen neuen Brief mit einem neuen Entsperrpasswort in Händen. Dieses Kennwort ist auch für die Änderung von Mobilfunknummern erforderlich.

Insgesamt kombiniert die Post verschiedene Verfahren zur Authentifizierung, die aber den durchschnittlichen Anwender vielleicht eher verwirren. Bei der Anmeldung an ePost kann ich sogar zwischen einer "einfachen" und einer hohen Sicherheit wählen. Bei der hohen Sicherheit muss ich neben meinem Kennwort auch noch die ans Mobiltelefon gesendete TAN eingeben. Aber bislang konnte noch nicht erkennen, welche Funktionen das hat. Ob der Empfänger dann vielleicht an einem Symbol erkennen kann, dass der Absender "hoch sicher" angemeldet war ?

E-Postbrief

Also ran an den Webbrowser. Hier sehen Sie das Fenster, in dem ein ePost-Anwender eine Mail verfasst. Ich habe das Bild absichtlich nicht skaliert aber ohne entsprechende Auflösung wird es schwer, damit effektiv zu arbeiten. Zumal ein Webbrowser nach meinem Wissen der einzige Client ist. POP3, IMAP4 sind ebenso ausgesperrt wie mobile Endgeräte. Eine weitere Einschränkung besteht darin, dass das Postfach wohl auf 100 MB gedeckelt ist.

Interessant ist auch die "Preisangabe", wenn ich eine Mail von meinem ePost-Account an ein ganz normales Postfach senden möchte. Ich bin ja nicht sicher, was ein Empfänger im Internet davon hat und ob es überhaupt geht. Auf die beiden Optionen zu "persönlich verschlüsselt" bzw. "persönlich signiert" gehe ich später noch ein.

Natürlich habe ich erst mal versucht, eine Mail an das ePost-Postfach zu senden. Nach einiger Zeit kam dann aber auch eine unzustellbarkeit zurück in der folgenden Form:

Es scheint so, dass eine ePost-Adresse nicht aus dem "anonymen Internet" erreichbar ist, sondern ePost tatsächlich ein komplett proprietäres geschlossenes System ist. Vielleicht muss die Post das ändern bzw. zumindest eine Art "Partnerverbindungen" zu De-Mail oder anderen vertrauenswürdigen ähnlich sicheren Mailsystemen aufbauen. Aber das steht in den Sternen.

Mail und Fax

Ehr unscheinbar und auf den zweiten Blick erkennbar ist ein "Doppelnutzen". Wenn man links oben von "E-Postbrief" auf "E-Mail und Fax" umstellt, dann scheint jeder Benutzer noch parallel ein Postfach zu haben, über welches man ganz normal Mails senden und empfangen kann. Vielleicht ist die Überlegung dahinter die, dass ein an ePost angemeldeter Benutzer so an einer Stelle auch seine normalen Mails bearbeiten könnte. Damit das nämlich funktioniert, muss man als Versand einen anderen Mailserver angeben, z.B. den ihres heutigen Providers. Die ePost-Server scheinen also nicht selbst "anonym" zu versenden.

Sicher ist ihnen nicht entgangen, das hier als Absenderadresse nun eine dp_mail.de-Domain erscheint, von der bislang nie die Rede gewesen ist. Also flugs eine Mail an diese Adresse gesendet und auch diese Adresse ist (noch) nicht erreichbar, wie der nachfolgende NDR belegt.

Da kann man sich natürlich fragen, was das Ziel einer solchen Einrichtung ist. Etwas Licht ins Dunkel kommt, wenn man die Einstellungen zu eben diesem Postfach bearbeitet.

Mir macht das den Eindruck, als dieser WebMail-Bereich die Post eines bereits bestehenden POP3-Servers bei einem anderen Provider abholt und über diesen Provider und auch der dort hinterlegten Mailadresse versendet.

Nun kann man dazu stehen wie man will, aber warum sollte ich meine Mails bei meinem Provider nicht per Windows Mail oder anderen POP4/IMAP4-Programm oder gar einen PDA oder eine effektiveren Webseite lesen? Verstehe wer will.

Kontakte (öffentliches Adressbuch)

Wie jedes ordentliche Mailprogramm enthält "ePost" natürlich auch ein Adressbuch. Beim Verfassen einer Mail erscheint der entsprechende Button auch im Formular. Da stellt sich die Frage, welche Daten von mir im Adressbuch sind und wie ich gefunden werden kann. Hier der Suchdialog in Originalgröße:

Ich würde auch hier sagen, dass effektive Weboberflächen eleganter aussehen und weniger Platz beanspruchen. Ein wenig sieht dies aus wie die Telefonbuchsuche bei der Telekom. Vielleicht ist der ePost-Dienst eine Einrichtung zum Sammeln von "gültigen" Adressen um Briefpost besser zu routen oder Adressen zu verkaufen ?

Zumindest hat die Post bei der Freischaltung der Adressen im Adressbuch sichere Voreinstellungen gewählt: Per Default sind die hinterlegten Adressen nicht öffentlich erreichbar.

Erst wenn Sie die Checkbox aktivieren, sollten die Adresse auch von anderen Personen gefunden werden. Die Adressen werden vermutlich nur in der Weboberfläche nutzbar sein. Ein LDAP-Zugriff dürfte genau so fehlen wie der POP3/IMAP4 Zugang.

Dann fehlt nur noch, dass die Weboberfläche mit Werbung angereicht wird. Platz genug wäre dafür

Zertifikate und Ende zu Ende Verschlüsselung

Zum 25. September 2012 hat ePost das Angebot dieser Ende2Ende-Verschlüsselung eingestellt. Angeblich konnten Nutzer die verschlüsselten Mails nur noch bis zu 4 Wochen danach öffnen und als PDF-Datei speicher. So wie Sie umgesetzt und beworben/bewarnt wurde, dürften nur wenige Personen diese zusätzliche Sicherheit genutzt haben.

Achtung:
Diese zusätzliche Verschlüsselung per eigenem Zertifikat (Aufpreis) ist seit 25. Sep 2012 nicht mehr möglich. Schlimmer noch: Mails, die damit verschlüsselt wurden, sind laut Post nur noch 4 Wochen lange "lesbar". Ich vermute, dass die die Post die Zertifikat dann zurückzieht.
Quelle: ct 20/2012 Seite 65

Schon beim Verfassen einer Mail hatte ich Sie darauf hingewiesen, dass es die beiden Optionen "persönlich verschlüsselt" bzw. "persönlich signiert" gibt. Dahinter verbirgt sich natürlich eine Verschlüsselung mit Zertifikaten. Ich vermute (und hoffe), dass es sich dabei um SMIME handelt. Da es allerdings keinen Zugang mit einem Clients gibt, wird das erforderliche Zertifikat zwar von der "Deutsche Post SignTrust" ausgestellt, aber verbleibt in meinem Benutzerkonto auf dem Server.

Das ist natürlich keine "richtige" Signierung und Verschlüsselung" auf dem Client. Sicher wird ePost alles tun, dass die Zertifikate sicher und gegen fremden Zugriff geschützt sind. Aber das haben schon viele andere Systeme behauptet und später wurden doch Lücken offenbar. Faktisch sind meine Dateneingaben bis zum Webserver per SSL verschlüsselt, aber beim Absenden muss ein Prozess auf dem Webserver meine Daten in Klartext mit meinem privaten Schlüssel, auf den die Webserverfarm ebenfalls Zugriff benötigt, signieren. Auch das Zertifikatpasswort muss ich ja wohl mit an den Webserver senden. Ich könnte mich irren, aber das wäre nur dann nicht der Fall, wenn eine Clientkomponente auf meinem PC die Daten signieren würde.

Irritierend ist aber, dass schon die Beschreibung indirekt ja von dem Einsatz dieser Zertifikate abrät. Schließlich sei ePost schon verschlüsselt und es wäre eine "Zusatzverschlüsselung" mit dem Risiko eines Mailverlusts wenn das Kennwort vergessen wird. Komisch, denn jede ordentliche Firmen-CA, die Mailzertifikate ausstellt, kennt ein "Key Recovery". Und ansonsten gebräuchliche Zertifikate installiere ich in der Regel auf meinem PC oder der Smartcard und auch da ist ein Backup eigentlich kein Problem.

Wenn ein Anbieter wie ePost schon Zertifikate anbietet, dann fehlt mit hier der Smartcard-Reader mit Smartcard, der zugleich auch als Plattform für eine sichere Anmeldung an der Weboberfläche mit Client Zertifikaten genutzt werden könnte. Vielleicht kommt dies noch.

Zusammenfassung

Wer braucht, kann sich eine ePost-Adresse holen. Ich bin ja schon bezüglich De-Mail eher kritisch eingestellt und ePost würde ich als die weniger interessantere Option ansehen. De-Mail kann zumindest davon profitieren, dass große Zugangsprovider und Free-Mail-Anbieter (Telekom, GMX, Web.de) wohl dabei sind und damit sehr schnell ihren bestehenden Kunden ein zusätzliches "sicheres Postfach" anbieten können, wenn dies ein wenig Geld dafür bezahlen und ihre Identität überprüfen lassen. Zudem kann De-Mail mit einer Firmenoption punkten, bei der ein Mailserver "eingebunden" werden kann. ePost ist nach meiner Ansicht mehr ein neuer Aufguss der früheren "Geschlossene Benutzergruppe (GBG)" unter BTX. Und für einen Exchange Administrator ist ePost komplett uninteressant, da es noch keinerlei sinnvolle Anbindung gibt.

Weitere Links