Die Mailtabelle

We the Net People
We the Net People

Während andere Menschen sinnvolle Dinge treiben, wie für den Weltfrieden zu sein, den Garten umzugraben oder einfach zu leben, habe ich mich seit dem Sommer 2013, dem sog. „Snowden-Sommer“, damit beschäftigt, mich von GMail, GMX & Co. zu lösen und einen etwas sicherheitsbewußteren, besser meine Daten schützenden Mailanbieter zu finden. Im Verlauf der letzten Monate habe ich mir dabei einige Anbieter näher angeguckt, die in ihrem Auftritt betonen, sicher zu sein und die Daten ihrer User nur unter ganz bestimmten Umständen – oder gar nicht – herauszugeben. Die gewonnenen Erkenntnisse habe ich in einer Reihe von Beiträgen aufgeschrieben; weil das dem Menschen auf der Suche nach einer Alternative aber wenig nützt, habe ich die wesentlichen Daten in den folgenden Tabellen zusammengefasst. Update: Seit dem 16. Mai befindet sich auch der Schweizer Anbieter ProtonMail in der öffentlichen Beta-Phase; ich habe ihn nachträglich in die Tabelle aufgenommen. Zweites Update: Auch Tutanota ist jetzt in der Tabelle, und Startmail hat die Betaphase verlassen und ist jetzt öffentlich. Drittes Update: MyKolab.com ist jetzt auch dabei – dank eines kostenfreien Testaccounts (Disclosure, das). Viertes Update: Unseen aus Island ist jetzt ebenfalls dabei.

Die allgemeinen Angaben zum Angebot:

Anbieter Sitz/Server WebMail/mobil Filter* Extras
FastMail** Melbourne, AUS / New York, USA und Island eigen / ja WebUI / Sieve eig. Domain, Kontakte, Kalender, Datenspeicher, Jabber, Webserver, mob. Sync mit CalDAV/ CardDAV (Beta)
Hushmail Vancouver, CDN / Vancouver, CDN eigen / ja nein eig. Domain (mit Business-Account)
mailbox.org Berlin / Berlin OpenExchange (OpenSource) / ja WebUI / Sieve eig. Domain, Groupware, Kontakte, Kalender, ToDos, Datenspeicher, mob. Sync mit CalDAV/ CardDAV oder ActiveSync
MyKolab.com Zürich, CH / CH Kolab Groupware/ Roundcube  / nein WebUI eig. Domain, Groupware, Kontakte, Kalender, ToDos, Datenspeicher, mob. Sync mit ActiveSync oder CalDAV/ CardDAV (beta)
posteo.de Berlin / Frankfurt/M. RoundCube / nein WebUI Kontakte, Kalender
ProtonMail (beta) Genf, CH / Genf, CH eigen / ja nein Kontakte
Runbox Oslo, N / Oslo, N eigen /ja WebUI eig. Domain, Kontakte, Datenspeicher, Webserver
StartMail Zeist, NL / Zeist, NL und New York, USA eigen / nein WebUI Kontakte
TutaNota Deutschland eigen / ja nein Kontakte
Unseen Rejkjavik, IS Roundcube (angepasst) / ja nein Kontakte, Chat

* Filter lassen sich, soweit vorhanden, über die Web-Oberfläche (WebUI) des Anbieters setzen; wird das Filter-Protokoll Sieve angeboten, stehen feinere Filtermöglichkeiten zur Verfügung, als über die WebUI angezeigt werden.

** Eine kostenfreie und in den Funktionen leicht abgespeckte Version von FastMail bietet der norwegische Anbieter Telenor unter mailr.me. FastMail agiert hier als Subunternehmer; die Infrastruktur (Server in New York und Island) ist die gleiche.

Wirklich interessant ist im Jahr 1 nach Snowden, welche Funktionen und Optionen die eigene Mail wirklich sicher machen:

Anbieter SSL-Rating Krypto* anonym** Kosten/Jahr
FastMail A PFS nein US-$ 10 – 120
Hushmail A- Serverseit. PGP, C/R nein US-$ 0 – 49,98
mailbox.org A PFS, PGP für Mailspeicher, erzw. SSL-Transfer ja € 12 – 300
MyKolab.com A PFS nein ab CHF 41,28 (nur Mail) bzw. CHF 104,64 (Groupware)
posteo.de A+ PFS, Verschlüsselung f. Kontakte, Kalender ja Ab € 12
ProtonMail (beta) A Clientseit. PGP via OpenPGP.js, C/R ja € 0 – vorauss. € 60
Runbox A PFS nein € 14,95 – 69,95
StartMail A+ Serverseit. PGP, C/R ja € 49,95
TutaNota A Serverseit. PGP, C/R ja gratis
Unseen A- Serverseit. PGP, C/R, Two-Factor-Auth. mit lokal gespeichertem Schlüssel möglich nein US-$ 49,00

* Natürlich lassen sich mit nahezu allen Anbietern verschlüsselte Mails versenden oder empfangen; man muss sich nur selbst drum kümmern, die Schlüssel auf dem eigenen Rechner verwalten und ein entsprechendes Mailprogramm verwenden. Diese Spalte enthält Informationen, welche zusätzlichen Sicherungsmaßnahmen im Angebot sind, von der Verschlüsselung von Dateien auf dem Server bis zur serverseitigen Unterstützung von PGP (die, wie ich schon geschrieben habe, nicht wirklich sicher ist, aber vielleicht besser als gar nichts). „C/R“ (Challenge/Response) ist eine Methode, verschlüsselte Nachrichten auch an Nutzer zu verschicken, die PGP nicht verwenden; hierbei wird die Nachricht auf dem Server erst nach erfolgreicher Beantwortung (Response) einer Frage (Challenge) entschlüsselt, deren Antwort nur Absender und Empfänger der Nachricht kennen.

** Sind anonyme Accounts möglich? Diese Frage beinhaltet vor allem, ob der Nutzer den Dienst ohne Angabe von Kontonummer oder Kreditkarte nutzen kann.

Die hier zusammengefassten Informationen sind Stand 21. Januar 2015; wenn ich von Änderungen der Bedingungen und Angebote erfahre, trage ich sie gerne nach.

3 Gedanken zu „Die Mailtabelle“

    • A short look showed me that CounterMail seems to have the same „flaw“ that prevented me from getting too friendly with earlier versions of Hushmail: The encryption and decryption is done locally, which is a good thing, but in a Java applet which is not such a good thing given that in corporate environments (like the one I’m working in) or private ones (like mine at home) Java is not always installed for security reasons.

      Actually, I do have a Java RE on my home computer, but it seems to be different enough from the commercial version not to be recognized by CounterMail. This still would leave me with regular PGP usage through my email client, but I don’t need CounterMail for this.

      Also, their SSL rating is less than perfect. CounterMail doesn’t support Perfect Forward Secrecy which makes any traffic going through them, even encrypted messages, vulnerable to brute force attacks later on.

      So, I’m not really convinced whether this is a viable option for secure (web) mail.

Kommentare sind geschlossen.