Das Nachdenken über die E-Mail Kommunikation beginnt mit der Auswahl eines geeigneten
E-Mail Providers. Man braucht eine oder mehrere E-Mail Adressen. Es ist empfehlenswert, für unterschiedliche Anwendungen auch verschiedene E-Mail Adressen oder Aliase zu verwenden. Es erschwert die Profilbildung anhand der E-Mail Adresse und verringert die Spam-Belästigung. Wenn Amazon, Ebay oder andere kommerzielle Anbieter zu aufdringlich werden, wird die mit Spam überschwemmte E-Mail Adresse einfach gelöscht ohne die private Kommunikation mit Freunden zu stören.
Neben einer sehr privaten E-Mail Adresse für Freunde könnte man weitere E-Mail Adressen für Einkäufe im Internet nutzen oder für politische Aktivitäten. Um nicht ständig viele E-Mail Accounts abfragen zu müssen, kann man die für Einkäufe im Internet genutzten E-Mail Accounts auch an die private Hauptadresse weiterleiten lassen. Alle Mail-Provider bieten diese Option.
Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man
temporäre Mailadressen nutzen.
Eine kleine Liste privacy-freundlicher E-Mail Provider abseits des Mainstream:
- Mailbox.org (deutscher Mailprovider, Server in Deutschland, Accounts ab 1,- € pro Monat, PGP verschlüsselte Inbox, verschlüsselter Mailversand und -empfang nur über SSL/TLS
aktivierbar, DANE, IP-Adressen der Nutzer und User-Agent werden aus dem Mail Header entfernt, anonyme Accounts möglich, Bezahlung per Brief oder Bitcoin, OTP-Login für Webinterface, Tor Hidden Service für POP3, IMAP, SMTP und XMPP)
- Posteo.de (deutscher Mailprovider, Server stehen in Deutschland, Accounts ab 1,- € pro
Monat, S/MIME oder PGP verschlüsselte Inbox, verschlüsselter Mailversand aktivierbar aber nicht für Empfang, DANE, IP-Adressen der Nutzer werden aus dem E-Mail Header entfernt aber User-Agent nicht, anonyme Accounts möglich, anonyme Bezahlung per Brief, OTP-Login für Webinterface)
- Mailfence (belgischer Provider, kostenlose Accounts möglich, Premium ab 2,50 € pro Monat allerdings mit mehr Speicherplatz als die 1,- € Accounts der Mitbewerber, POP3, IMAP und SMTP nur für bezahlte Accounts, OpenPGP im Webinterface möglich mit eigener Implementierung, OTP-Login mit FreeOTP für Webinterface, anonyme Bezahlung via Bitcoin oder ohne Anonymität via Kreditkarte)
- aikQ.de (Mailprovider in GB registriert, Server in Deutschland, Accounts ab 1,- € pro Monat, anonyme Accounts möglich, anonyme Bezahlung möglich, keine 2_faktor-Auth für Login)
- Kolab Now (Groupware Hosting in der Schweiz mit Adressbuch, Kalender und E-Mail, Mailaccounts für 4.41 CHF pro Monat, Groupware für 10 CHF pro Monat, DANE, IP-Adressen der Nutzer und User-Agent Info werden aus dem E-Mail Header entfernt)
- runbox.com (privacy-engagierter norwegischer E-Mail Provider, Server stehen ebenfalls in Norwegen, Accounts ab 1,66 Dollar pro Monat)
Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist durchaus sinnvoll, die "alles kostenlos Mentalität" für einen vertrauenswürdigen Mailprovider fallen zu lassen.
Bewertung der Sicherheit der SSL/TLS-Verschlüsselung
Für die Prüfung der SSL/TLS-Verschlüsselung des Webinterface (HTTPS) wurde die Login-Seiten mit zwei Tests validiert:
- Mit dem Test von Qualys SSL Labs wurde die Umsetzung von TLS hinsichtlich Vollständigkeit der Features (HSTS, OCSP Stapling usw.) , Fehler bei der Konfiguration (wie z.B. Common DH Primes) und Angreifbarkeit mit bekannten Angriffen (z.B. BEAST, POODLE, Padding Oracel Flaw u.ä.) geprüft.
Eine Bewertung von A+ ist Voraussetzung für eine Empfehlung.
- Die Stärke der Verschlüsselung wurde mit dem CryptCheck bewertet, da dieser Test beim Rating aktuelle Erkenntnisse der Kryptoanalyse besser berücksichtigt und auch die Verwendung schwacher Cipher wie 3DES und schwache DH-Parameter mit 1024 Bit (strenger) bestraft. Das ist nötig, weil TLS Downgrade Angriffe inzwischen zum Repertoire der Angreifer gehören (siehe: ISS World 2017 Track 4).
Der Score beim CryptCheck reicht von 0-100 und ist in der Tabelle unten dargestellt.
Außerdem haben wir und die MX-Mailserver mit folgenden Tests angeschaut, wobei die Ergebnisse durchgehend schlechter sind als bei den Webservern:
- Mit dem Mailserver TLS Test wurde geprüft, ob DANE/TLSA Records im DNS publiziert wurden und ob kein TLS-Downgrade möglich ist, wenn beide Seiten starke Cipher nach IETF RFC 7525 bzw. BSI TR-03116-4 unterstützen.
- Mit dem Test von HTBridge wurde geprüft, ob die TLS-Verschlüsselung mit bekannten Angriffen geknackt werden kann (z.B. POODLE u.ä.)
- Die Stärke der Verschlüsselung wurde wie bei HTTPS mit dem CryptCheck bewertet, in der Tabelle ist der Score von 0-100 angegeben.
Die Verschlüsselung für SMTP-, POP3- und IMAP-Server haben wir nicht geprüft, da die obere Grenze durch die Fähigkeiten von Thundenbird begrenzt wird und die unteren Grenze durch geeignete
TLS Konfiguration in Thunderbird durch den Nutzer festgelegt werden kann.
Tabellarische Übersicht zur Stärke der TLS-Verschlüsselung:
Domain | DANE | Website HTTPS | MX-Mailserver TLS |
mailbox.org | ja | Score 96.0 | Score: 84.0 / 96.0 * |
posteo.de | ja | Score 81.0 | Score: 81.0 |
Mailfence | nein | Score 73.0 | Score: 69.0 (Downgrade möglich) |
aikq.de | nein | Score 53,0 | Timeout (3DES-Cipher noch aktiv, Downgrade möglich) |
KolabNow | ja | Timeout | Timeout (schwache DH-Param, 3DES aktiv) |
runbox.com | nein | Score 68.0 | Score: 68.0 (3DES noch aktiv) |
* mailbox.org bietet zwei unterschiedliche E-Mail Adressen: <name>@mailbox.org verwendet wie alle Mailserver opportunistisches TLS (Scrore 84.0) und <name>@secure.mailbox.org garantiert sichere TLS-Transportverschlüsselung nach den Richtlinien von IETF und BSI (Score 96.0).
Einige Gründe, warum verschiedene E-Mail Provider NICHT empfohlen werden:
- Web.de und GMX.de sammeln bei der Registrierung zuviele Daten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße und Hausnummer, optional ist nur die Mobilfunknummer für Passwortwiederherstellung.
Mit der Registrierung erklärt man sich damit einverstanden, dass die Daten für Marketing-Zwecke verwendet werden. Die Daten werden an den Mutterkonzern übermittelt und mit anderen verbundenen Unternehmen geteilt. Außerdem werden die Daten für postalische Werbung genutzt, sie werden für Markt- und Meinungsforschung genutzt und Non-Profit Organisationen für Werbung zur Verfügung gestellt. (Falls man sich schon öfters mal gefragt hat, woher Meinungsforschungsinstitute die eigene Telefonnummer haben....)
Der EmailPrivacyTest zeit, dass Web.de und GMX.de bei der Nutzung des Web-GUI nicht gegen Tracking Elemente in E-Mails schützen und ermöglichen es damit vielen Diensten, die Nutzer beim Lesen zu beobachten. Web.de setzt selbst HTML-Wanzen in den eigenen Newslettern ein (3 Tracking Wanzen in jedem Newsletter) und trackt damit die Lesegewohnheiten der Nutzer.
- Hushmail.com speichert zuviel Daten. Neben den üblichen Daten beim Besuch der Webseite werden die E-Mails gescannt und folgende Daten für 18 Monate gespeichert:
- alle Sender- und Empfänger E-Mail Adressen (VDS-Logging)
- alle Dateinamen der empfangenen und gesendeten Attachements
- Betreffzeilen aller E-Mails (nicht verschlüsselbar)
- URLs aus dem Text unverschlüsselter E-Mails
- "... and any other information that we deem necessary"
Diese Daten werden bei der Kündigung eines Account NICHT gelöscht.
Bei der Bezahlung für einen Premium-Account werden die IP-Adresse des Kunden sowie Land, Stadt und PLZ an Dritte weitergeben. Außerdem bindet Hushmail.com Dienste von Drittseiten ein. Die ID des Hushmail Account wird beim Besuch der Webseite nach dem Login an diese Drittseiten übermittelt. Für die Privacy-Policy dieser Drittseiten übernimmt Hushmail.com keine Verantwortung.
- In der EU-Studie Fighting cyber crime and protecting privacy in the cloud warnen die Autoren in Kapitel 5.4 (S. 48) vor Risiken bei der Speicherung von Daten in den USA. Aufgrund des US PATRIOT Act (insbesondere S. 215ff) und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail Provider eine US-Firma ist oder nicht. Es reicht nach Ansicht der Amerikaner, wenn die Server in den USA stehen.
Außerdem hat US-Präsident Trump als eine seiner ersten Handlungen die Behörden in den USA per Dekret aufgefordert, den Datenschutz für Ausländer vollständig aufzuheben. Es ist unklar, welche Auswirkungen das Dekret und die damit angedeutete Richtung im Datenschutz zukünftig für EU-Bürger haben wird.
Aus diesem Grund ist ein Server-Standort "USA" für deutsche Nutzer ungeeignet. Das betrifft u.a. die Provider SecureNym, S-Mail, Fastmail.fm, Rise-up, Lavabit...
- 4SecureMail überträgt eine anonymisierte, aber eindeutige User-ID und das Geschlecht (männlich/weiblich) an Werbepartner. Trackingnetzwerke können diese Informationen mit anderen Datensammlungen verknüpfen.
- AnonymousSpeech bietet kein SMTP/POP3 für E-Mail Clients. Man ist auf die Nutzung des Webinterface angewiesen, dessen Konfiguration schwere Sicherheitsmängel bei der HTTPS-Verschlüsselung aufweist.
- Cotse, Yahoo! und AOL bieten keine sichere Verschlüsselung für die Kommunikation zwischen Mail-Server und E-Mail Client (Secure Renegotiation wird für SMTP nicht unterstützt, was seit seit 2009 als schwerer Fehler im SSL Protokoll eingestuft wird).
- Countermail.com erfordert Java für Registrierung und Login im Webinterface. Die Freigabe von Java ist aber ein erhebliches Sicherheitsrisiko. Außerdem können Java Applets Anonymisierungsdienste wie Tor und JonDonym umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken.
- Luxsci.com setzt Flash LSO's auf der Webseite für das Tracking der Nutzer ein. Flash Applets können Anonymisierungsdienste wie Tor umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken. Trotz der Maskierung der Absender IP bei versendeten Mails kann man diesen Provider nicht als privacy-freundlich empfehlen.
- XMAIL.net (die Betreiberfirma Aaex Corp. ist auf den British Virgin Islands registriert, die Server stehen in Kanada, kostenfreie Accounts mit POP3, aber ohne SMTP) - eigentlich privacy-freundlich. Der Webserver hat eine beschissene, unbrauchbare SSL-Verschlüsselung und der Mailserver nutzt kein TLS für Server-2-Server Verbindungen. Nach dem Stand der Technik unbrauchbar.