Aktualisierungen als RSS-Feed oder
auf unserem Twitter Account @PrHdb

Privacy-Handbuch

Das Nachdenken über die E-Mail Kommunikation beginnt mit der Auswahl eines geeigneten E-Mail Providers. Man braucht eine oder mehrere E-Mail Adressen. Es ist empfehlenswert, für unter­schiedliche Anwendungen auch verschiedene E-Mail Adressen oder Aliase zu verwenden. Es erschwert die Profilbildung anhand der E-Mail Adresse und verringert die Spam-Belästigung. Wenn Amazon, Ebay oder andere kommerzielle Anbieter zu aufdringlich werden, wird die mit Spam über­schwemmte E-Mail Adresse einfach gelöscht ohne die private Kommunikation mit Freunden zu stören.

Neben einer sehr privaten E-Mail Adresse für Freunde könnte man weitere E-Mail Adressen für Einkäufe im Internet nutzen oder für politische Aktivitäten. Um nicht ständig viele E-Mail Accounts abfragen zu müssen, kann man die für Einkäufe im Internet genutzten E-Mail Accounts auch an die private Hauptadresse weiterleiten lassen. Alle Mail-Provider bieten diese Option.

Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man temporäre Mailadressen nutzen.

Eine kleine Liste privacy-freundlicher E-Mail Provider abseits des Mainstream: Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist sinnvoll, die "alles kostenlos Mentalität" für einen vertrauenswürdigen Mailprovider fallen zu lassen.

Bewertung der Sicherheit der SSL/TLS-Verschlüsselung

Für die Prüfung der SSL/TLS-Verschlüsselung des Webinterface (HTTPS) wurde die Login-Seiten mit zwei Tests validiert:
  1. Mit dem Test von Qualys SSL Labs wurde die Umsetzung von TLS hinsichtlich Voll­ständigkeit der Features (HSTS, OCSP Stapling usw.) , Fehler bei der Konfiguration (wie z.B. Common DH Primes) und Angreifbarkeit mit bekannten Angriffen (z.B. BEAST, POODLE, Padding Oracel Flaw u.ä.) geprüft.

    Eine Bewertung von A+ ist Voraussetzung für eine Empfehlung.
  2. Die Stärke der Verschlüsselung wurde mit dem CryptCheck bewertet, da dieser Test beim Rating aktuelle Erkenntnisse der Kryptoanalyse besser berücksichtigt und auch die Verwendung schwacher Cipher wie 3DES und schwache DH-Parameter mit 1024 Bit (strenger) bestraft. Das ist nötig, weil TLS Downgrade Angriffe inzwischen zum Repertoire der Angreifer gehören (siehe: ISS World 2017 Track 4).

    Der Score beim CryptCheck reicht von 0-100 (siehe Tabelle unten). 
Außerdem haben wir und die MX-Mailserver und POP3 Server mit folgenden Tests angeschaut, wobei die Ergebnisse durchgehend schlechter sind als bei den Webservern:
  1. Mit dem Mailserver TLS Test wurde geprüft, ob DANE/TLSA Records im DNS publiziert wurden und ob kein TLS-Downgrade möglich ist, wenn beide Seiten starke Cipher nach IETF RFC 7525 bzw. BSI TR-03116-4 unterstützen.
  2. Mit dem Test von HTBridge wurde geprüft, ob die TLS-Verschlüsselung mit bekannten Angriffen geknackt werden kann (z.B. POODLE u.ä.)
  3. Die Stärke der Verschlüsselung wurde wie bei HTTPS mit dem CryptCheck bewertet, in der Tabelle ist der Score von 0-100 angegeben.
Die Verschlüsselung für SMTP-Server haben wir (noch) nicht geprüft. IMAP-Server haben in der Regel den gleichen Score wie POP3, da es die gleiche Software und Hardware ist.

Tabellarische Übersicht zur Stärke der TLS-Verschlüsselung (letzter Re-Test: 17.09.2018)
DomainDANE  Website HTTPS  POP3 Server TLS    MX-Mailserver TLS
mailbox.org  jaScore 96.0Score 84.0Score: 84.0 / 96.0 *
posteo.dejaScore 81.0Score 81.0  Score: 81.0
MailfenceneinScore 88.0Score 84.0Score: 84.0
KolabNowjaTimeoutTimeoutschwache DH-Param.
runbox.comneinScore 68.0Score 68.0Score: Score 68.0
dismail.dejaScore 96.0Score 84.0Score: 84.0
disroot.orgneinScore 84.0Score 84.0Timeout
* mailbox.org bietet zwei unterschiedliche E-Mail Adressen: <name>@mailbox.org verwendet wie alle Mailserver opportunistisches TLS (Scrore 84.0) und <name>@secure.mailbox.org garantiert sichere TLS Transport­verschlüsselung nach den Richtlinien von IETF und BSI (Score 96.0).
Einige Gründe, warum verschiedene E-Mail Provider NICHT empfohlen werden: 
Lizenz: Public Domain