Das Nachdenken über die E-Mail Kommunikation beginnt mit der Auswahl eines geeigneten
E-Mail Providers. Man braucht eine oder mehrere E-Mail Adressen. Es ist empfehlenswert, für unterschiedliche Anwendungen auch verschiedene E-Mail Adressen zu verwenden. Es erschwert die Profilbildung anhand der E-Mail Adresse und verringert die Spam-Belästigung. Wenn Amazon, Ebay oder andere kommerzielle Anbieter zu aufdringlich werden, wird die mit Spam überschwemmte E-Mail Adresse einfach gelöscht ohne die private Kommunikation zu stören.
Neben einer sehr privaten E-Mail Adresse für Freunde könnte man weitere E-Mail Adressen für Einkäufe im Internet nutzen oder für politische Aktivitäten. Um nicht ständig viele E-Mail Accounts abfragen zu müssen, kann man die für Einkäufe im Internet genutzt E-Mail Accounts auch an die private Hauptadresse weiterleiten lassen. Alle Mail-Provider bieten diese Option. Bei einigen Mail Providern wie VFEmail, GMX.de oder WEB.de gibt es Fun-Domains extra diesen Zweck.
Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man
temporäre Mailadressen nutzen.
Eine kleine Liste von E-Mail Providern abseits des Mainstream:
- Posteo.de und aikQ.de (deutsche Mailprovider, Accounts ab 1,- Euro pro Monat,
anonyme Accounts möglich mit Bezahlung per Brief)
- neomailbox.com (anonymes E-Mail Hosting in der Schweiz, Accounts ab 3,33 Dollar pro Monat, anonyme Bezahlung mit Pecunix oder Liberty Reserve möglich)
- Secure-Mail.biz (anonymes E-Mail Hosting, Server in Island)
- VFEmail (anonymer Mailprovider, benötigt eine Wegwerf-Adresse für Registrierung, kostenfreie Accounts mit POP3/SMTP und beliebig vielen temporären E-Mail Adressen, für Premium-Nutzer werden die IP-Adressen der Absender beim Senden maskiert.)
- CryptoHeaven (Accounts ab $60 pro Jahr, einfache Verschlüsselung der Kommunikation mit Accounts beim gleichen Provider, Offshore registrierte Firma, Server in Kanada)
- XMAIL.net (die Betreiberfirma Aaex Corp. ist auf den British Virgin Islands registriert, die Server stehen in Kanada, kostenfrei Accounts mit POP3, aber ohne SMTP)
- runbox.com (norwegischer E-Mail Provider, Server stehen ebenfalls in Norwegen, Accounts ab 1,66 Dollar pro Monat)
- Die niederländischen Firma Surfboard Holding B.V. plant für 2013 den Start eines privacy-freundlichen E-Mail Dienstes. Diese Firma betreibt bisher die privacy-zertifizierten Suchmaschinen Startpage.com und Ixquick.com.
Für politische Aktivisten gibt es Anbieter, die insbesondere den Schutz vor staatlichem Zugriff hervorheben. Diese Anbieter werden mit Spenden finanziert. Für einen Account muss man seine politischen Aktivitäten nachweisen, aber nicht unbedingt seine Identität offen legen. Neben E-Mail Accounts werden auch Blogs und Mailinglisten angeboten.
- Associazione-Investici (italienischer Provider, Server stehen bei XS4ALL in Niederlande, verwendet eigene Certification Authority für SSL-Zertifikate)
- Nadir.org (deutscher Provider, Server stehen ebenfalls bei XS4ALL)
- AktiviX.org (deutscher Provider, Server stehen in Brasilien)
Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist durchaus sinnvoll, die "alles kostenlos Mentalität" für einen vertrauenswürdigen Mailprovider fallen zu lassen.
Webinterfaces der Mail-Provider sind oft unsicher
Die Webinterfaces der Mail-Provider bieten überwiegend eine unsichere Konfiguration der HTTPS-Verschlüsselung des Webinterface. Oft ist es für einen Angreifer möglich, eine schwache, abhörbare Verschlüsselung zu erzwingen.
Insecure Renegotiation wird teilweise noch verwendet oder das völlig veraltete SSLv2 wird unterstützt. Das Problem betrifft nicht nur E-Mail Provider. Nach einer Studie
bieten nur 10% der Webseiten sichere Verschlüsselung nach dem Stand der Technik.
Die folgenden Provider wurden mit dem
Server Test von Qualys SSL Labs überprüft:
- Posteo: sichere HTTPS-Verschlüsselung (Update vom 06.09.12)
- aikQ: sichere HTTPS-Verschlüsselung (Update vom 30.12.12)
- neomailbox.com: sichere HTTPS-Verschlüsselung
(der Server könnte besser gegen DoS auf TLS-Level geschützt werden)
- Secure-Mail.biz: sichere HTTPS-Verschlüsselung (Update vom 29.04.13)
- VFEmail: sichere HTTPS-Verschlüsselung mit aktuellen Browsern (Update vom 22.03.13)
- CryptoHeaven: schwache Verschlüsselung und SSLv2 werden unterstützt
- XMAIL.net: schwache Verschlüsselung und SSLv2 werden unterstützt
- Runbox.com: Insecure Renegotiation wird verwendet, SSLv2 wird unterstützt
Aus diesem Grund sollte man einen E-Mail Client nutzen. Die Verschlüsselung für POP3 und SMTP ist bei den oben genannten Providern auf dem aktuellen Stand der Technik. Da viele E-Mail Provider POP3 und SMTP nur für Premium-Kunden anbieten, sollte man nicht an der falschen Stelle sparen und sich nicht mit einem kostenfreien Account begnügen.
Einige Gründe, warum verschiedene E-Mail Provider mit gutem Ruf NICHT in die Liste der Empfehlungen aufgenommen wurden:
- Hushmail.com speichert zuviel Daten. Neben den üblichen Daten beim Besuch der Webseite werden die E-Mails gescannt und folgende Daten für 18 Monate gespeichert:
- alle Sender- und Empfänger E-Mail Adressen (VDS-Logging)
- alle Dateinamen der empfangenen und gesendeten Attachements
- Betreffzeilen aller E-Mails (nicht verschlüsselbar)
- URLs aus dem Text unverschlüsselter E-Mails
- "... and any other information that we deem necessary"
Diese Daten werden bei der Kündigung eines Account NICHT gelöscht.
Bei der Bezahlung für einen Premium-Account werden die IP-Adresse des Kunden sowie Land, Stadt und PLZ an Dritte weitergeben. Außerdem bindet Hushmail.com Dienste von Drittseiten ein. Die ID des Hushmail Account wird beim Besuch der Webseite nach dem Login an diese Drittseiten übermittelt. Für die Privacy-Policy dieser Drittseiten übernimmt Hushmail.com keine Verantwortung.
- In der EU-Studie Fighting cyber crime and protecting privacy in the cloud warnen die Autoren in Kapitel 5.4 (S. 48) vor Risiken bei der Speicherung von Daten in den USA. Aufgrund des US PATRIOT Act (insbesondere S. 215ff) und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail Provider eine US-Firma ist oder nicht. Es reicht nach Ansicht der Amerikaner, wenn die Server in den USA stehen.
Aus diesem Grund ist ein Server-Standort "USA" für deutsche Nutzer ungeeignet. Das betrifft u.a. die Provider SecureNym, S-Mail, Fastmail.fm, Lavabit, Rise-up.net...
- 4SecureMail überträgt eine anonymisierte, aber eindeutige User-ID und das Geschlecht (männlich/Weiblich) an Werbepartner. Trackingnetzwerke können diese Informationen mit anderen Datensammlungen verknüpfen.
- AnonymousSpeech bietet kein SMTP/POP3 für E-Mail Clients. Man ist auf die Nutzung des Webinterface angewiesen, dessen Konfiguration schwere Sicherheitsmängel bei der HTTPS-Verschlüsselung aufweist.
- Cotse, Yahoo! und AOL bietet keine sichere Verschlüsselung für die Kommunikation zwischen Mail-Server und E-Mail Client (Secure Renegotiation wird für SMTP nicht unterstützt, was seit seit 2009 als schwerer Fehler im SSL Protokoll eingestuft wird).
- Countermail.com erfordert Java für Registrierung und Login im Webinterface. Die Freigabe von Java ist aber ein erhebliches Sicherheitsrisiko. Außerdem können Java Applets Anonymisierungsdienste wie Tor und JonDonym umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken.
- Luxsci.com setzt Flash LSO's auf der Webseite für das Tracking der Nutzer ein. Flash Applets können Anonymisierungsdienste wie Tor und JonDonym umgehen und die IP des Surfers gegenüber dem Webdienst aufdecken. Trotz der Maskierung der Absender IP bei versendeten Mails kann ich diesen Provider nicht als privacy-freundlich empfehlen.