E-Mail – Allgemein

Wenn wir über E-Mail Kommunikation nachdenken, dann beginnt dies natürlich auch mit der Auswahl des geeigneten E-Mail Anbieters.

Braucht man eine oder mehrere E-Mail-Adressen?

Es ist empfehlenswert für unterschiedliche Verwendungen auch verschiedene E-Mail Adressen zu verwenden. Das kann man auch mittels E-Mail-Aliase tun. Dabei erschwert man eine „Profilerstellung“ anhand einer gleichlautenden E-Mail Adresse auf verschiedenen Portalen oder Anwendungen und verringert obendrein die Spam-Belastung. Manche Foren geben auch die E-Mailadressen weiter und durch verschiedene E-Mail-Adressen pro Webseite kann man daher auch schnell herausfinden, wer seine Daten einfach weitergegeben hatte. Neben seiner E-Mail-Adresse für die Kommunikation mit Freunden, kann man auch eigene anlegen z.Bsp. nur für Onlineeinkäufe, für Forenbeiträge oder auch für politische Aktivitäten. Man kann sich im Regelfall diese E-Mailadressen auch an seine Hauptemail weiterleiten lassen und ist deshalb trotzdem immer auf dem laufenden. Alle Mail-Provider bieten diese Option.

Temporäre E-Mail Adressen benutzen

Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man temporäre Mailadressen nutzen. Diese temporären Adressen werden oft nach einigen Stunden einfach gelöscht oder sind eben nicht mehr verfügbar.

Eine kleine Liste von E-Mail Providern neben den bisher Bekannten:

  • Mailbox.org (deutscher Mailprovider, Server stehen in Deutschland, Accounts ab 1,- € pro Monat, PGP verschlüsselte Inbox und Mailversand nur über SSL/TLS aktivierbar, DANE, IP-Adressen der Nutzer werden aus dem E-Mail Header entfernt, anonyme Accounts möglich, anonyme Bezahlung per Brief oder Bitcoin, OTP-Login mit Yubikey für Webinterface)
  • Ownbay (Provider ist auf Malta registriert, Server stehen in Deutschland, Accounts ab 1,- € pro Monat, PGP verschlüsselte Inbox aktivierbar, DANE, IP-Adressen der Nutzer werden aus dem E-Mail Header entfernt, anonyme Accounts möglich, anonyme Bezahlungper Brief oder Bitcoin, OTP-Login für Webinterface)
  • Posteo.de (deutscher Mailprovider, Server stehen in Deutschland, Accounts ab 1,- € pro Monat, S/MIME oder PGP verschlüsselte Inbox aktivierbar, DANE, IP-Adressen der Nutzer werden aus dem E-Mail Header entfernt, anonyme Accounts möglich, anonyme Bezahlung per Brief oder Bitcoin, OTP-Login mit FreeOTP für Webinterface)
  • aikQ.de und (deutscher Mailprovider, Server in Deutschland, Accounts ab 1,- € pro Monat, anonyme Accounts möglich, anonyme Bezahlung möglich)
  • Kolab Now (Groupware Hosting in der Schweiz mit Adressbuch, Kalender und E-Mail, Mailaccounts für 4.41 CHF pro Monat, Groupware für 10 CHF pro Monat, DANE, IP-Adressen der Nutzer und User-Agent Info werden aus dem E-Mail Header entfernt)
  • neomailbox.com (anonymes E-Mail Hosting in der Schweiz, Accounts ab $3,33 pro Monat, anonyme Bezahlung mit Pecunix, IP-Adressen der Nutzer werden aus dem E-Mail Header entfernt)
  • ETHICmail (auf den Seycellen registriert, Betreiber aus Gibraltar, Server verteilt in Japan, Schweiz und Zypern, zwei Accounts ab $11,90 pro Monat, anonyme Bezahlung mit Bitcoin möglich, Emergency-Wipe des Account per SMS möglich, Backups abschaltbar, verschlüsseltes Postfach, Schwerpunkt: bestmöglicher Schutz gegen staatlichen Zugriff)
  • CryptoHeaven (Offshore registrierte Firma, Server in Kanada, Accounts ab $60 pro Jahr, einfache Verschlüsselung der Kommunikation mit Accounts beim gleichen Provider)
  • runbox.com (privacy-engagierter norwegischer E-Mail Provider, Server stehen ebenfalls in Norwegen, Accounts ab 1,66 Dollar pro Monat)
  • RuggedInbox (kostenfrei, anonyme Accounts, Webinterface Javascript-frei, als Tor Hidden Service erreichbar, Server in Bulgarien, privates Freizeit-Projekt)

Für politische Aktivisten gibt es Anbieter, die insbesondere den Schutz vor staatlichem Zugriff hervorheben. Diese Anbieter werden mit Spenden finanziert. Für einen Account muss man seine politischen Aktivitäten nachweisen, aber nicht unbedingt seine Identität offen legen. Neben E-Mail Accounts werden auch Blogs und Mailinglisten angeboten.

  • Associazione-Investici (italienischer Provider, Server stehen bei XS4ALL in Niederlande, verwendet eigene Certification Authority für SSL-Zertifikate)
  • Nadir.org (deutscher Provider, Server stehen ebenfalls bei XS4ALL)
  • AktiviX.org (deutscher Provider, Server stehen in Brasilien)

Hinweis:einen qualitativen Mailservice zu betreiben kostet auch Geld, daher lohnt es eventuell ein paar Euro dafür auch selbst auszugeben.

Sicherheit der SSL/TLS-Verschlüsselung

Die Webinterfaces kann man mit dem Server Test von Qualys SSL Labs überprüfen. Die Mailserver (SMTP, POP, IMAP) können mit dem Mailserver Test von ssl-tools.net geprüft werden oder mit CheckTLS.com.

  • Mailbox.org: sichere Verschlüsselung, DANE
  • Ownbay.net: sichere Verschlüsselung, DANE
  • Posteo.de: sichere Verschlüsselung, DANE
  • aikQ: sichere Verschlüsselung
  • Kolab Now sichere Verschlüsselung, DANE
  • neomailbox.com: SSLv3 nicht deaktiviert
  • ETHICmail: Zertifikate nur mit SHA1-Signaturen
  • CryptoHeaven: SSLv2 und SSLv3 werden noch unterstützt, Zertifikate nur mit SHA1-Signaturen
  • Runbox.com: SSLv3 nicht deaktiviert, Zertifikate nur mit SHA1-Signaturen

Einige Gründe, warum verschiedene E-Mail Provider mit gutem Ruf NICHT in die Liste der Empfehlungen aufgenommen wurden:

  • Hushmail.com speichert zuviel Daten. Neben den üblichen Daten beim Besuch der Webseite werden die E-Mails gescannt und folgende Daten für 18 Monate gespeichert:
    1. alle Sender- und Empfänger E-Mail Adressen (VDS-Logging)
    2. alle Dateinamen der empfangenen und gesendeten Attachements
    3. Betreffzeilen aller E-Mails (nicht verschlüsselbar)
    4. URLs aus dem Text unverschlüsselter E-Mails
    5. „… and any other information that we deem necessary“

    Diese Daten werden bei der Kündigung eines Account NICHT gelöscht.

    Bei der Bezahlung für einen Premium-Account werden die IP-Adresse des Kunden sowie Land, Stadt und PLZ an Dritte weitergeben. Außerdem bindet Hushmail.com Dienste von Drittseiten ein. Die ID des Hushmail Account wird beim Besuch der Webseite nach dem Login an diese Drittseiten übermittelt. Für die Privacy-Policy dieser Drittseiten übernimmt Hushmail.com keine Verantwortung.

  • In der EU-Studie Fighting cyber crime and protecting privacy in the cloud warnen die Autoren in Kapitel 5.4 (S. 48) vor Risiken bei der Speicherung von Daten in den USA. Aufgrund des US PATRIOT Act (insbesondere S. 215ff) und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail Provider eine US-Firma ist oder nicht. Es reicht nach Ansicht der Amerikaner, wenn die Server in den USA stehen.Aus diesem Grund ist ein Server-Standort „USA“ für deutsche Nutzer ungeeignet. Das betrifft u.a. die Provider SecureNym, S-Mail, Fastmail.fm, Rise-up…
  • SecureMail.biz wurde von Perfekt Privacy aufgekauft. Nach einem Bericht bei Indymedia wird Perfekt Privacy von Neonazis betreiben. Für die Behauptung auf der Webseite von Perfekt Privacy, dass der Dienst von einer internationalen Gruppe anerkannter Privacy-Aktivisten betrieben wird, habe ich keine unabhängige Bestätigung gefunden. Ich möchte rechtsextreme Propaganda nicht finanziell durch Werbung für einen assoziierten Dienst unterstützen.
  • 4SecureMail überträgt eine anonymisierte, aber eindeutige User-ID und das Geschlecht (männlich/Weiblich) an Werbepartner. Trackingnetzwerke können diese Informationen mit anderen Datensammlungen verknüpfen.
  • AnonymousSpeech bietet kein SMTP/POP3 für E-Mail Clients. Man ist auf die Nutzung des Webinterface angewiesen, dessen Konfiguration schwere Sicherheitsmängel bei der HTTPS-Verschlüsselung aufweist.
  • Cotse, Yahoo! und AOL bietet keine sichere Verschlüsselung für die Kommunikation zwischen Mail-Server und E-Mail Client (Secure Renegotiation wird für SMTP nicht unterstützt, was seit seit 2009 als schwerer Fehler im SSL Protokoll eingestuft wird).
  • Countermail.com erfordert Java für Registrierung und Login im Webinterface. Die Freigabe von Java ist aber ein erhebliches Sicherheitsrisiko. Außerdem können Java Applets Anonymisierungsdienste wie Tor und JonDonym umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken.
  • Luxsci.com setzt Flash LSO’s auf der Webseite für das Tracking der Nutzer ein. Flash Applets können Anonymisierungsdienste wie Tor und JonDonym umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken. Trotz der Maskierung der Absender IP bei versendeten Mails kann ich diesen Provider nicht als privacy-freundlich empfehlen.
  • XMAIL.net (die Betreiberfirma Aaex Corp. ist auf den British Virgin Islands registriert, die Server stehen in Kanada, kostenfrei Accounts mit POP3, aber ohne SMTP) – eigentlich privacy-freundlich. Der Mailserver nutzt aber leider kein TLS für Server-2-Server Verbindungen mit anderen Mailservern.
  • Mail.de wird bei vielen Vergleichen als guter E-Mail Provider empfohlen. Der Dienst verwendet Google Analytics auf der Website (auch auf der Seite für die Registrierung), blendet Werbung von Doubleclick ein (gehört ebenfalls zu Google) und sendet Daten an den GoogleTagManager (enthält „Google Universal Analytics tracking code“). Kunden, die das Webinterface nutzen, werden damit dem Tracking von Google ausgeliefert. Außerdem wird für die Registrierung eine Handy­nummer als Pflichtangabe verlangt.

Schreibe einen Kommentar