Aktualisierungen als RSS-Feed

Privacy-Handbuch

Das Nachdenken über die E-Mail Kommunikation beginnt mit der Auswahl eines geeigneten E-Mail Providers. Man braucht eine oder mehrere E-Mail Adressen. Es ist empfehlenswert, für unter­schiedliche Anwendungen auch verschiedene E-Mail Adressen oder Aliase zu verwenden. Es erschwert die Profilbildung anhand der E-Mail Adresse und verringert die Spam-Belästigung. Wenn Amazon, Ebay oder andere kommerzielle Anbieter zu aufdringlich werden, wird die mit Spam über­schwemmte E-Mail Adresse einfach gelöscht ohne die private Kommunikation mit Freunden zu stören.

Neben einer sehr privaten E-Mail Adresse für Freunde könnte man weitere E-Mail Adressen für Einkäufe im Internet nutzen oder für politische Aktivitäten. Um nicht ständig viele E-Mail Accounts abfragen zu müssen, kann man die für Einkäufe im Internet genutzten E-Mail Accounts auch an die private Hauptadresse weiterleiten lassen. Alle Mail-Provider bieten diese Option.

Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man temporäre Mailadressen nutzen.

Eine kleine Liste privacy-freundlicher E-Mail Provider abseits des Mainstream: Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist durchaus sinnvoll, die "alles kostenlos Mentalität" für einen vertrauenswürdigen Mailprovider fallen zu lassen.

Bewertung der Sicherheit der SSL/TLS-Verschlüsselung

Für die Prüfung der SSL/TLS-Verschlüsselung des Webinterface (HTTPS) wurde die Login-Seiten mit zwei Tests validiert:
  1. Mit dem Test von Qualys SSL Labs wurde die Umsetzung von TLS hinsichtlich Voll­ständigkeit der Features (HSTS, OCSP Stapling usw.) , Fehler bei der Konfiguration (wie z.B. Common DH Primes) und Angreifbarkeit mit bekannten Angriffen (z.B. BEATS, POODLE, Padding Oracel Flaw u.ä.) geprüft.

    Eine Bewertung von A+ bei Qualys SSL Labs ist Voraussetzung für eine Empfehlung.
  2. Die Stärke der Verschlüsselung wurde mit dem CryptCheck bewertet, da dieser Test beim Rating aktuelle Erkenntnisse der Kryptoanalyse besser berücksichtigt und auch die Verwendung schwacher Cipher wie 3DES und schwache DH-Parameter mit 1024 Bit (strenger) bestraft. Das ist nötig, weil TLS Downgrade Angriffe inzwischen zum Repertoire der Angreifer gehören (siehe: ISS World 2017 Track 4).

    Der Score beim CryptCheck reicht von 0-100 und ist in der Tabelle unten dargestellt.
Außerdem haben wir und die MX-Mailserver mit folgenden Tests angeschaut, wobei die Ergebnisse durchgehend schlechter als bei den Webservern sind:
  1. Mit dem Mailserver TLS Test wurde geprüft, ob DANE/TLSA Records im DNS publiziert wurden und ob ein Downgrade der TLS Verschlüsselung möglich ist, obwohl beide Seiten starke Cipher nach IETF RFC 7525 bzw. BSI TR-03116-4 unterstützen.
  2. Mit dem Test von HTBridge wurde geprüft, ob die TLS-Verschlüsselung mit bekannten Angriffen geknackt werden kann (z.B. POODLE, Padding Oracel Flaw u.ä.). Die Mängel bei verwendeten Ciphern und DH-Parametern wurden nur als Kommmentar erwähnt, wenn der 3. Test mit CryptCheck wegen Timeouts nicht funktionierte.

    Das Gesamtergebnis von diesem Test wird nicht genutzt, da es meiner Meinung nach nicht dem aktuellen Stand der Forschung entspricht.
  3. Die Stärke der Verschlüsselung wurde wie bei HTTPS mit dem CryptCheck bewertet, in der Tabelle ist der Score angegeben.
Die Verschlüsselung für SMTP-, POP3- und IMAP-Server haben wir nicht geprüft, da die obere Grenze durch die Fähigkeiten von Thundenbird begrenzt wird und die unteren Grenze durch geeignete TLS Konfiguration in Thunderbird durch den Nutzer festgelegt werden kann.

Tabellarische Übersicht zur Stärke der TLS-Verschlüsselung:
DomainDANE  Website HTTPS  MX-Mailserver TLS
mailbox.org  jaScore 96.0Score: 84.0 (keine Mängel)
posteo.dejaScore 81.0Timeout (RC4-, MD5-Cipher noch aktiv)
MailfenceneinScore 73.0Score: 69.0 (Downgrade möglich)
aikq.deneinScore 53,0Timeout (3DES-Cipher noch aktiv, Downgrade möglich)
KolabNowjaTimeoutTimeout (schwache DH-Param, 3DES aktiv)
runbox.comneinScore 68.0Score: 68.0 (3DES noch aktiv)

Einige Gründe, warum verschiedene E-Mail Provider NICHT empfohlen werden: 
Lizenz: Public Domain