Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

Es ist wenig sinnvoll, einen bisher ganz normal genutzten E-Mail Account bei einem Provider mit Datenspeicherung plötzlich anonym zu nutzen. Es haben sich in den letzten Monaten genug Daten angesammelt, die eine Identifizierung des Nutzers ermöglichen. Der erste Schritt sollte also die Einrichtung eines neuen E-Mail Accounts sein. Privacy-freundliche E-Mail Provider findet man im Kapitel über Mozilla Thunderbird oder im Wiki von TorProject.org.

Man kann den E-Mail Account in der Regel komplett im Webinterface des Providers nutzen. Viele Webseiten bieten jedoch keine sichere HTTPS-Verschlüsselung nach dem Stand der Technik und blockieren Tracking Features in E-Mails nicht zuverlässig. Sicherer wäre die Nutzung eines E-Mail Clients. Außerdem muss man sich nicht durch ein überladenes Webinterface kämpfen, es gibt keine Probleme mit Cookies und Javascript und die OpenPGP oder S/MIME Verschlüsselung wäre wesentlich einfacher und sicherer.

Thunderbird 68.x und Tor Onion Router

Thunderbird 68.x ist derzeit nicht für anonyme E-Mails geeignet. Das Add-on TorBirdy ist nicht kompatibel mit Thunderbird 68+ und niemand hat die Gefahren der neuen Features von Thunderbird 68.x in Kombination mit Tor Onion Router analysiert, siehe Bugticket #31341
Alas, I think it might be a while until torbirdy gets an update -- it involves somebody looking at Thunderbird 68 to see what new privacy invasive problems they put into it.
Man kann in Thunderbird einen Proxy verwenden und die nötigen Einstellungen für Tor Onion Router eintragen, aber das reicht nicht. Eine Sicherheitsanalyse der Features von Thunder­bird (PDF, 2011) zeigte einige Gefahren auf, die zur Deanonymisierung führen können. Mit dem Add-on TorBirdy wurden diese Risiken gebannt. Für Thunderbird 68.x ist eine neue Analyse nötig und eine neue Version von TorBirdy, die es kurzfristig nicht geben wird.

Deshalb bleibt im Moment nur die Möglichkeit, das Webinterface des E-Mail Providers mit dem TorBrowser zu nutzen, wenn man wirklich anonym bleiben will. Die Verschlüsselung von E-Mails mit OpenPGP wird dadurch umständlicher und S/MIME ist nicht realisierbar.

(Wenn Kommunikationspartner OpenPGP für die E-Mail Verschlüsselung verwenden, dann kann man sie bitten, PGP/Inline statt PGP/MIME beim Senden vo Mails verwenden, das erleichtert es ein bisschen. Hmmm - ... was ist PGP/Inline??? Also - ... E-Mails verschlüsseln kann manchmal echt kompliziert sein.)

Thunderbird 60.x + TorBirdy

Für anonyme E-Mails sollte man in Thunderbird ein eigenes Profil nutzen. Ein separates Profil gewährleistet eine konsequente Trennung von nicht-anonymer und anonymer E-Mail Kommunikation. Anderenfalls kommt man bei mehreren Konten schnell einmal durch­einander und gefährdet durch eine hektisch gesendete Mail die Anonymität des Accounts.

Man startet den Profil-Manager in der Konsole bzw. DOS-Box mit der Option -P: > thunderbird -P
Profilmanager von Thunderbird
Es ist ein neues Profil zu erstellen und die Option "Beim Starten nicht nachfragen" ist zu deaktivieren. In Zukunft wird Thunderbird bei jedem Start fragen, ob anonym oder nicht.

Thunderbird-Profil "anonym" konfigurieren

Am einfachsten konfiguriert man das Profil anonym, indem man das Add-on TorBirdy installiert. TorBirdy kann man im Add-on Manager von Tunderbird installieren.
TorBirdy installieren
Das Add-on TorBirdy erledigt folgende Aufgaben: Danach kann man das Add-on Enigmail für die OpenPGP-Verschlüsselung installieren und die Wörterbücher der bevorzugten Sprachen hinzufügen. Die Unterstützung für Autocrypt wird in der Enigmail Konfiguration nicht automatisch deaktiviert. Man muss diese Anpassung in den Erweiterten Einstellung von Thunderbird selbst vornehmen und folgenden Wert setzen:  mail.server.default.enableAutocrypt = false

OpenPGP Keyserver mit Tor verwenden

TorBirdy geht im Tor-Mode davon aus, das GnuPG einen Keyserver via Tor Onion Service abfragen kann, um OpenPGP Schlüssel zu suchen. Die Entwickler von TorBirdy empfehlen, dass man in der Konfigurations­datei "$HOME/.gnupg/dirmgr.conf" folgende Zeile einfügt: use-tor Das gilt dann aber für alle Anfragen an OpenPGP Keyserver! Man muss also immer den TorBrowser starten, wenn man etwas auf den Keyservern suchen möchte.

Hinweise zur Nutzung

Die Anonymisierungsdienste sperren Port "25" für die Versendung von E-Mails aus Gründen des Spam-Schutzes. In der Regel bieten die Provider auch den Port "465" für SSL-verschlüsselte Verbindungen oder den Port "587" für TLS-verschlüsselte Versendung an.

Im Dialog "Konten..." findet man in der Liste links auch die Einstellungen für die SMTP-Server. In der Liste der Server ist der zu modifizierende Server auszuwählen und auf den Button "Bearbeiten" zu klicken. In dem sich öffnenden Dialog ist der Port entsprechend zu ändern.

TorBirdy erzwingt sicher SSL/TLS Verbindungen. Nicht alle E-Mail Provider unterstützen eine sichere SSL/TLS Verschlüsselung nach dem Stand der Technik. Probleme mit Yahoo!, Cotse und AOL sind bekannt. Diese Provider bieten keine Secure Renegotiation, was seit 2009 als schwerwiegender Bug im SSL-Protokoll bekannt ist. Wenn ständig trotz korrekter Konfiguration nur eine Fehlermeldung beim Senden von E-Mails erscheint, dann kann man mit OpenSSL prüfen, ob eine sicher SSL-Verschlüsselung überhaupt möglich ist: > openssl s_client -connect smtp.aol.com:465
...
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol : TLSv1
    Cipher : DHE-RSA-AES256-SHA
    ...
Sollte Secure Renegotiation NICHT unterstützt werden, kann man sich nur einen neuen E-Mail Provider suchen (Empfehlungen von TorProject.org). Wenn es nicht anders geht, kann man in den Einstellungen von TorBirdy die Verbindung zu unsicheren Mailservern erlauben.

Tor und Spam-Blacklisten (DNSBLs)

Viele große E-Mail Provider sperren Tor-Nodes bei der Versendung von E-Mails via SMTP aus. Sie nutzen Spam-Blacklisten, in denen Tor-Relays häufig als "potentiell mit Bots infiziert" ein­gestuft sind. Wenn der E-Mail Provider eine dieser DNSBL nutzt, sieht man als Anwender von Tor nur eine Fehlermeldung beim Senden von Mails. Nur wenige Provider geben in der Fehler­meldung den Hinweis "Seems you are spamming." Der Empfang funktioniert in der Regel.
Lizenz: Public Domain