工作方式
Posteo 是一家位于柏林、每月单一收费一欧元的邮箱服务,创立于 2009 年,至今仍由其经营者拥有,没有外部投资者。注册只要求一个用户名和一个密码——不要真名、不要找回邮箱、不要电话、不要 IP。网页邮箱是一套加固过的 Roundcube,由 Mailvelope 在浏览器侧接入 PGP 加密。IMAP、POP3 和 SMTP 可与任意第三方客户端配合;日历与联系人走 CalDAV 与 CardDAV 标准。邮箱默认两 GB,可按付费档位扩容,数据存放在德国数据中心内 AES 加密的硬盘上。服务器到服务器的每一跳都回落到带 DANE/TLSA 锚定和 DNSSEC 的 TLS。用户还可以启用按邮箱的加密层,用从账户密码派生的密钥包住正文、邮件头与通讯录——运营方无法读取它无法解密的东西。
KYC 与隐私
任何层级都没有 KYC。Posteo 注册时不索取任何个人数据,也不存储 IP 地址,不论是在邮件头里还是在服务器日志里。更值得关注的一半是付款:银行转账、SEPA、PayPal 和信用卡都能用,但每一种都会经过 Posteo 所谓的「一次性代码」管道,在结算后把付款记录与账户分开。真正匿名的那条路,是其新闻稿声音最小的那条:把一枚一欧元硬币装进信封,寄到柏林一个邮政信箱,并附一张写着账户号的纸条,公司会入账,而完全不会知道汇款方的银行、卡号或姓名。法庭命令依据德国法律会被执行——2019 年联邦宪法法院的一项裁定要求,服务商在法官命令下必须对 IP 进行向前的日志记录——但底层架构使得历史上通常并无可以扣押的数据。
优点与限度
优点同样固执:十六年运营无公开记录的安全事件;自 2014 年起每年以机器可读的 XML 和 JSON 发布透明度报告;通过 BSI TR-03108 安全邮件传输认证;2017 年德国联邦数据保护专员的一次审查,特别点名表扬了它的匿名付款机制。限度也同样固执。服务在公开的少数组件之外闭源;高级搜索与反垃圾工具相对大众竞品偏单薄;存储起步为两 GB,按付费档位扩容;没有自家移动端 App,也没有 onion 地址;而 2019 年的裁定意味着法官可以下令进行针对性日志记录,Posteo 届时必须执行。这桩交换很清楚,且从未变过。
评判
Posteo 就是这样一种尊重隐私的邮箱服务:经营者从未引入外部资金,从未出售,也从未做大到嗓门盖过自己最初的姿态。它不适合需要厂商移动 App、或者要求从上到下完全开源的用户。对其他愿意把一枚硬币塞进信封的人来说,这是开放互联网上最安静的邮箱之一。
Posteo 适合这样一种用户:想要一只一本正经、压根不认识你的邮箱,也能不在乎厂商移动 App 或运营方端到端的开源承诺。2019 年关于向前 IP 记录的裁定,是把它挡在最高一档之外的唯一保留。评分:B+ (8.1/10)。信任:TRUSTED。
