Aktualisierungen als RSS-Feed

Privacy-Handbuch

Das Nachdenken über die E-Mail Kommunikation beginnt mit der Auswahl eines geeigneten E-Mail Providers. Man braucht eine oder mehrere E-Mail Adressen. Es ist empfehlenswert, für unter­schiedliche Anwendungen auch verschiedene E-Mail Adressen oder Aliase zu verwenden. Es erschwert die Profilbildung anhand der E-Mail Adresse und verringert die Spam-Belästigung. Wenn Amazon, Ebay oder andere kommerzielle Anbieter zu aufdringlich werden, wird die mit Spam über­schwemmte E-Mail Adresse einfach gelöscht ohne die private Kommunikation mit Freunden zu stören.

Neben einer sehr privaten E-Mail Adresse für Freunde könnte man weitere E-Mail Adressen für Einkäufe im Internet nutzen oder für politische Aktivitäten. Um nicht ständig viele E-Mail Accounts abfragen zu müssen, kann man die für Einkäufe im Internet genutzten E-Mail Accounts auch an die private Hauptadresse weiterleiten lassen. Alle Mail-Provider bieten diese Option.

Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man temporäre Mailadressen nutzen.

Eine kleine Liste privacy-freundlicher E-Mail Provider abseits des Mainstream: Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist durchaus sinnvoll, die "alles kostenlos Mentalität" für einen vertrauenswürdigen Mailprovider fallen zu lassen.

Bewertung der Sicherheit der SSL/TLS-Verschlüsselung

Für die Prüfung der SSL/TLS-Verschlüsselung des Webinterface (HTTPS) wurde die Login-Seiten mit zwei Tests validiert:
  1. Mit dem Test von Qualys SSL Labs wurde die Umsetzung von TLS hinsichtlich Voll­ständigkeit der Features (HSTS, OCSP Stapling usw.) , Fehler bei der Konfiguration (wie z.B. Common DH Primes) und Angreifbarkeit mit bekannten Angriffen (z.B. BEAST, POODLE, Padding Oracel Flaw u.ä.) geprüft.

    Eine Bewertung von A+ ist Voraussetzung für eine Empfehlung.
  2. Die Stärke der Verschlüsselung wurde mit dem CryptCheck bewertet, da dieser Test beim Rating aktuelle Erkenntnisse der Kryptoanalyse besser berücksichtigt und auch die Verwendung schwacher Cipher wie 3DES und schwache DH-Parameter mit 1024 Bit (strenger) bestraft. Das ist nötig, weil TLS Downgrade Angriffe inzwischen zum Repertoire der Angreifer gehören (siehe: ISS World 2017 Track 4).

    Der Score beim CryptCheck reicht von 0-100 und ist in der Tabelle unten dargestellt.
Außerdem haben wir und die MX-Mailserver mit folgenden Tests angeschaut, wobei die Ergebnisse durchgehend schlechter sind als bei den Webservern:
  1. Mit dem Mailserver TLS Test wurde geprüft, ob DANE/TLSA Records im DNS publiziert wurden und ob kein TLS-Downgrade möglich ist, wenn beide Seiten starke Cipher nach IETF RFC 7525 bzw. BSI TR-03116-4 unterstützen.
  2. Mit dem Test von HTBridge wurde geprüft, ob die TLS-Verschlüsselung mit bekannten Angriffen geknackt werden kann (z.B. POODLE u.ä.)
  3. Die Stärke der Verschlüsselung wurde wie bei HTTPS mit dem CryptCheck bewertet, in der Tabelle ist der Score von 0-100 angegeben.
Die Verschlüsselung für SMTP-, POP3- und IMAP-Server haben wir nicht geprüft, da die obere Grenze durch die Fähigkeiten von Thundenbird begrenzt wird und die unteren Grenze durch geeignete TLS Konfiguration in Thunderbird durch den Nutzer festgelegt werden kann.

Tabellarische Übersicht zur Stärke der TLS-Verschlüsselung:
DomainDANE  Website HTTPS  MX-Mailserver TLS
mailbox.org  jaScore 96.0Score: 84.0 / 96.0 *
posteo.dejaScore 81.0Score: 81.0
MailfenceneinScore 73.0Score: 69.0 (Downgrade möglich)
aikq.deneinScore 53,0Timeout (3DES-Cipher noch aktiv, Downgrade möglich)
KolabNowjaTimeoutTimeout (schwache DH-Param, 3DES aktiv)
runbox.comneinScore 68.0Score: 68.0 (3DES noch aktiv)
* mailbox.org bietet zwei unterschiedliche E-Mail Adressen: <name>@mailbox.org verwendet wie alle Mailserver opportunistisches TLS (Scrore 84.0) und <name>@secure.mailbox.org garantiert sichere TLS-Transportverschlüsselung nach den Richtlinien von IETF und BSI (Score 96.0).
Einige Gründe, warum verschiedene E-Mail Provider NICHT empfohlen werden: 
Lizenz: Public Domain