Privacy Handbuch

Das Nachdenken über die E-Mail Kommunikation beginnt mit der Auswahl eines geeigneten E-Mail Providers. Empfehlenswerte, privacy-freundlicher E-Mail Provider für den Alltagsgebrauch:

mailbox.org (deutscher Mailprovider, Server stehen in Deutschland, Berlin, Accounts ab 1,- € pro Monat (E-Mail only) und ab 3,- € mit Cloud Funktionen, PGP und S/MIME Verschlüsselung im Webinterface integriert, verschlüsselter Mailversand und -empfang nur über SSL/TLS aktivierbar, private IP-Adressen und User-Agent werden aus dem Mail Header entfernt, anonyme Accounts möglich, Aliases und Temp.-Adresse nutzbar, OTP-Login für Webinterface, Tor Onion Service für POP3, IMAP, SMTP, Videokonferenzen für bis zu 25 Teilnehmenern, als Mailserver für die eigene Domain nutzbar)
Posteo.de (deutscher Mailprovider, Server stehen auch in Berlin, Accounts ab 1,- € pro Monat, S/MIME oder PGP verschlüsselte Inbox, verschlüsselter Mailversand und -empfang aktivierbar, DANE, IP-Adressen der Nutzer werden aus dem E-Mail Header entfernt aber User-Agent nicht, anonyme Accounts möglich, anonyme Bezahlung per Brief, 2-Faktor-Auth mit OTP suboptimal umgesetzt, außerdem sehr unfreundliche Reaktion auf Kritik)
Mailfence (belgischer Provider, kostenlose Accounts möglich, Premium ab 3,50 € pro Monat, POP3, IMAP, SMTP, Alias Adressen und WebDrive Speicher nur für Premium Accounts, OpenPGP im Webinterface möglich, 2-Faktor-Auth im Webinterface mittels OTP aktivierbar, als Mailserver für die eigene Domain nutzbar)
Kolab Now (Groupware Hosting in der Schweiz mit Adressbuch, Kalender und E-Mail, Mailaccounts für 4.41 CHF pro Monat, Groupware für 10 CHF pro Monat, DANE, IP-Adressen der Nutzer und User-Agent Info werden aus dem E-Mail Header entfernt)
runbox.com (privacy-engagierter norwegischer E-Mail Provider, Server stehen ebenfalls in Norwegen, Accounts ab 1,66 Dollar pro Monat, 2-Faktor-Auth mit OTP aktivierbar)
disroot.org (NL) bietet neben Services wie XMPP, Etherpads … auch kostenfreie E-Mail Accounts als hochwertigen, privacy-freundlichen Service und wird durch Spenden finanziert. IP-Adressen der Nutzer und User-Agent Kennungen werden aus dem E-Mail Header entfernt.

Bei diesen Vorschlägen für E-Mail Provider geht es um Privatsphäre im Alltagsgebrauch und nicht um Anonymität. Die Einrichtung einer anonymen E-Mail Adresse wird hier beschrieben.

Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist sinnvoll, die "alles kostenlos Mentalität" für einen vertrauenswürdigen Mailprovider fallen zu lassen. Kostenfreie, spendenfinanzierte E-Mail Dienste wie SecureMail.biz oder Xalia waren nur für ein paar Jahre verfügbar und wurden dann aus Geldmangel eingestellt.

Einige Gründe, warum verschiedene E-Mail Provider NICHT empfohlen werden:

Web.de und GMX.de sammeln bei der Registrierung zuviele Daten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße, Hausnummer und Mobilfunknummer.

Mit der Registrierung erklärt man sich damit einverstanden, dass die Daten für Marketingzwecke verwendet werden. Die Daten werden an den Mutterkonzern übermittelt und mit anderen verbundenen Unternehmen geteilt. Außerdem werden die Daten für postalische Werbung sowie Markt- und Meinungsforschung genutzt und Non-Profit Organisationen für Werbung zur Verfügung gestellt. (Falls man sich schon mal gefragt hat, woher Meinungsforschungsinstitute die Telefonnummern haben...)

Der EmailPrivacyTest zeigt, dass Web.de und GMX.de bei der Nutzung des Web-GUI nicht gegen Tracking Elemente in E-Mails schützen und ermöglichen es damit vielen Diensten, die Nutzer beim Lesen zu beobachten. Web.de setzt selbst HTML-Wanzen in den eigenen Newslettern ein (3 Tracking Wanzen in jedem Newsletter) und trackt damit Lesegewohnheiten der Nutzer.
Hushmail.com speichert zuviel Daten. Neben den üblichen Daten beim Besuch der Webseite werden die E-Mails gescannt und folgende Daten für 18 Monate gespeichert:
1. alle Sender- und Empfänger E-Mail Adressen (VDS-Logging)
2. alle Dateinamen der empfangenen und gesendeten Attachements
3. Betreffzeilen aller E-Mails (nicht verschlüsselbar)
4. URLs aus dem Text unverschlüsselter E-Mails
5. "... and any other information that we deem necessary"
Diese Daten werden bei der Kündigung eines Account NICHT gelöscht.
Bei der Bezahlung für einen Premium-Account werden die IP-Adresse des Kunden sowie Land, Stadt und PLZ an Dritte weitergeben. Außerdem bindet Hushmail.com Dienste von Drittseiten ein. Die ID des Hushmail Account wird beim Besuch der Webseite nach dem Login an diese Drittseiten übermittelt. Für die Privacy-Policy dieser Drittseiten übernimmt Hushmail.com keine Verantwortung.
In der EU-Studie Fighting cyber crime and protecting privacy in the cloud warnen die Autoren in Kapitel 5.4 (S. 48) vor Risiken bei der Speicherung von Daten in den USA. Aufgrund des US PATRIOT Act (insbesondere S. 215ff) und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail Provider eine US-Firma ist oder nicht. Es reicht nach Ansicht der Amerikaner, wenn die Server in den USA stehen.

Aus diesem Grund ist ein Server-Standort "USA" für deutsche Nutzer ungeeignet. Das betrifft u.a. die Provider SecureNym, S-Mail, Fastmail.fm, Rise-up...
4SecureMail überträgt eine anonymisierte, aber eindeutige User-ID und das Geschlecht (männlich/weiblich) an Werbepartner. Trackingnetzwerke können diese Informationen mit anderen Datensammlungen verknüpfen.
AnonymousSpeech bietet kein SMTP/POP3 für E-Mail Clients. Man ist auf die Nutzung des Webinterface angewiesen, dessen Konfiguration schwere Sicherheitsmängel bei der HTTPS-Verschlüsselung aufweist.
Cotse, Yahoo! und AOL bieten keine sichere Verschlüsselung für die Kommunikation zwischen Mail-Server und E-Mail Client (Secure Renegotiation wird für SMTP nicht unterstützt, was seit seit 2009 als schwerer Fehler im SSL Protokoll eingestuft wird).
Luxsci.com setzt Flash LSO's auf der Webseite für das Tracking der Nutzer ein. Flash Applets können Anonymisierungsdienste wie Tor umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken. Trotz der Maskierung der Absender IP bei versendeten Mails kann man diesen Provider nicht als privacy-freundlich empfehlen.
XMAIL.net (die Betreiberfirma Aaex Corp. ist auf den British Virgin Islands registriert, die Server stehen in Kanada, kostenfreie Accounts mit POP3, aber ohne SMTP) - eigentlich privacy-freundlich. Der Webserver hat eine beschissene, unbrauchbare SSL-Verschlüsselung und der Mailserver nutzt kein TLS für Server-2-Server Verbindungen. Nach dem Stand der Technik unbrauchbar.