Hallo,

die NSA horcht ja jetzt überall mit, daher dachte ich mir, wäre es nicht verkehrt es den Schweinen nicht zu einfach zu machen...

Gesucht sind: kostenlose Freemail-Anbieter, die auf Sicherheit zumindest etwas Wert legen (Verschlüsselung, Sicherheit, Protokolle usw.)

Jeder email-Anbieter ist sicher solange alle Beteiligten Ende-zu-Ende-Verschlüsselung betreiben.
Alles andere ist Augenwischerei.

Jeder email-Anbieter ist sicher solange alle Beteiligten Ende-zu-Ende-Verschlüsselung betreiben.
Alles andere ist Augenwischerei.

Und welche Formen der Ende-zu-Ende-Verschlüsselung gibt es?
Sind diese unkompliziert zu bedienen?

Und kann man diese auch im Web-Interface benutzen? (Ich benutze keine Clients)

Ende zu Ende Verschlüsselung ist im Web Interface genauso witzlos wie Mail nur mit Transportverschlüsselung (also ohne E2E).
Man muss schon sicher sein, dass die Software, die mit dem Key und dem entschlüsseltem Text wenigsten unverändert ist (fehlerlos geht natürlich nicht). Wenn die NSA dir einfach ein Javascript unterjubeln kann, dass den entschlüsselten Text zurück leitet, bringt das auch niemandem was. Insbesondere, wenn das Web-Interface ein CSRF Bug oder sowas hat.

Natürlich hilft dir auch kein (egal wie) wirklich sicherer Anbieter, wenn dein Kommunikationspartner bei AOL ist...

Wenn du auf einer NSA Liste stehst, bekommen die eh was sie wollen. Wenn nicht und du wenigstens nicht verfolgt werden willst (wie alle anderen) musst du mit Einschränkungen im Komfort und Kommunikationspartnern leben.

Bezahl 1€ pro Monat und hol dir eine Mail von posteo (www.posteo.de), die informieren den Nutzer auch anständig.

Und welche Formen der Ende-zu-Ende-Verschlüsselung gibt es?
Sind diese unkompliziert zu bedienen?

Und kann man diese auch im Web-Interface benutzen? (Ich benutze keine Clients)

nein

Bezahl 1€ pro Monat und hol dir eine Mail von posteo (http://www.posteo.de), die informieren den Nutzer auch anständig.

hilft nicht. keine durchgängige Verschlüsselung. verschwendetes Geld.

hilft nicht. keine durchgängige Verschlüsselung. verschwendetes Geld.
Bei 12€ im Jahr würde ich nicht von verschwendet reden.
Mir wäre ein kleiner Provider immer lieber als ein großer und auch das Geld wert. Das es keinen reellen Mehrgewinn für einen hat, ist ein anderes Thema.

Bezahl 1€ pro Monat und hol dir eine Mail von posteo (www.posteo.de), die informieren den Nutzer auch anständig.

Dann besser mailbox.org, die verschlüsseln auch auf dem Server mit PGP. Gehört zum selben Unternehmen wie Posteo.

Ein ebenfalls interessantes Projekt ist tutanota.de.

Bringt mir doch nichts, wenn die PGP Verschlüsselung erst auf deren Server stattfindet. Nebenbei habe ich auch noch nie gehört, das sowas gemacht wird, da man auf dem eigenen Rechner die Mail verschlüsselt. PGP bringt mir auch nichts, wenn mein Kommunikationsparter das nicht auch bei sich einrichtet.

die NSA horcht ja jetzt überall mit, daher dachte ich mir, wäre es nicht verkehrt es den Schweinen nicht zu einfach zu machen...

Gesucht sind: kostenlose Freemail-Anbieter, die auf Sicherheit zumindest etwas Wert legen (Verschlüsselung, Sicherheit, Protokolle usw.)http://www.golem.de/news/verschluesselung-telekom-freenet-und-1-1-bieten-perfect-forward-secrecy-1404-106152.html

Dann besser mailbox.org, die verschlüsseln auch auf dem Server mit PGP. Gehört zum selben Unternehmen wie Posteo.
Gerade Smartphones können damit aber nicht umgehen - die Lösung von Posteo: Den Key auf deren Server lagern. Ist zwar ok, aber im Grunde doch auch nur eine Rauchbombe und keine Problemlösung.

Es bleibt einfach so, wie es war: Sensible Informationen gehören eigentlich nicht über E-Mail versendet!

http://www.golem.de/news/verschluesselung-telekom-freenet-und-1-1-bieten-perfect-forward-secrecy-1404-106152.html

Genau:

Zitat:
"Unabhängig davon, ob der E-Mail-Provider die verschlüsselten Protokolle Transport Layer Security (TLS) oder das ältere Secure Sockets Layer (SSL) unterstützt, wird damit nur der Transportweg zwischen zwei Systemen verschlüsselt. Der Chaos Computer Club (CCC) hatte die Ankündigung der Brancheninitiative vom August 2013 über den Einsatz von SSL/TLS-gesicherten Verbindungen darum als "Sommermärchen von der sicheren E-Mail" bezeichnet."



Gerade Smartphones können damit aber nicht umgehen - die Lösung von Posteo: Den Key auf deren Server lagern. Ist zwar ok, aber im Grunde doch auch nur eine Rauchbombe und keine Problemlösung.

Es bleibt einfach so, wie es war: Sensible Informationen gehören eigentlich nicht über E-Mail versendet!

Natürlich können Smartphones Ende-zu-Ende-Verschlüsselung (K9 mit APG z.B.)

Dieses ganze "Mein Provider verschlüsselt seine Festplatten" ist blos Verarsche, die nach dem NAS-Skandal gut funktioniert.

Auch posteo.de hat SINA-Boxen (http://de.wikipedia.org/wiki/SINA-Box) bei sich rumstehen, sodass mitgelesen werden kann.
Und wenn es wirklich mal hart auf hart kommt, läufts ab wie bei Lavabit (http://de.wikipedia.org/wiki/Lavabit).

Wenn sich zwei Komumminkationspartner nicht auf OpenPGP o.ä. einigen können, ist ihnen Sicherheit nicht wichtig. Punkt.

Aber zahlt ruhig. Ich habs lieber umsonst.

Das schönste ist ja, dass man nicht Werbung zugemüllt wird, wenn man zahlt. :P

SINA Boxen hat jeder ab einer gewissen Anzahl an Kunden. Man kann alles mitlesen, sobald man die nötigen Mittel hat, aber das heißt ja nicht, dass man es dem Angreifer einfach machen muss. Daher sind Maßnahmen, wie PFS wichtig.

Jeder email-Anbieter ist sicher solange alle Beteiligten Ende-zu-Ende-Verschlüsselung betreiben.
Alles andere ist Augenwischerei.

Das sollte man neben der Frage ob und wie lange deine IP beim Anbieter geloggt wird auf jeden Fall beachten.

Sonst kenn ich nur Riseup, Autistici, Openmailbox und diese Liste (http://prxbx.com/email/).

Auch posteo.de hat SINA-Boxen (http://de.wikipedia.org/wiki/SINA-Box) bei sich rumstehen, sodass mitgelesen werden kann.


Bei Posteo steht bisher keine SINA-Box.
Quelle: Transparenzbericht (https://posteo.de/site/transparenzbericht_2013#faq01)

Ich mag die Jungs aus Berlin.

Bericht von der Telekom. (http://www.telekom.com/verantwortung/datenschutz/235758)

Dann besser mailbox.org, die verschlüsseln auch auf dem Server mit PGP. Gehört zum selben Unternehmen wie Posteo.[/URL].

quelle? weder adresse noch impressum lassen einen gemeinsamen eigentümer erkennen. im gegenteil.

als erstes gilt, keinen deutschen anbieter!
und keine befreundeten us schurkenstaaten wie gb.
das ist schonmal die erste hürde für behörden, um an daten zu kommen und auch die wichtigste.

quelle? weder adresse noch impressum lassen einen gemeinsamen eigentümer erkennen. im gegenteil.

Ja sorry, habe mich vertan. Mailbox.org gehört zu Heinlein und die betreiben auch den Mail-Provider jpberlin.de. Bei diesen ganzen Berliner Mailprovidern kommt man ganz durcheinander. :D
Bedenken sollte man vielleicht noch, dass das alles laut eigener Aussage "politische Provider" sind, angesiedelt im linken Bereich.

das ist schonmal die erste hürde für behörden, um an daten zu kommen und auch die wichtigste.

Nö, das ist überhaupt nicht die wichtigste. Die Wichtigste ist, dass sie den Inhalt, sogar wenn sie die Nachrichten haben, nicht lesen können. Und das erreicht man heute am komfortabelsten mit PGP.

"Das Wichtigste" ist es, Pragmatismus vor Fatalismus zu stellen. Wer alle Lösungen, die nicht mindestens 99% sicher sind als Zeitverschwendung abtut und behauptet man könne dann auch gleich ganz darauf verzichten, der tut in der Praxis meistens letzteres: Darauf verzichten und dadurch mit 0% Sicherheit dastehen.

Wenn ein Anbieter den Datenverkehr zwischen seinen E-Mail-Servern und den Kunden verschlüsselt ist das gut!
Wenn ein Anbieter die E-Mails soweit möglich nur verschlüsselt an den Empfänger-Server weiterleitet ist das gut!
Wenn ein Anbieter Perfect Forward Secrecy nutzt ist das gut!
Wenn ein Anbieter keine Verbindungsprotokolle speichert ist das gut!
Wenn ein Anbieter Datensparsamkeit praktiziert und nicht die persönlichen Daten seiner Kunden sammelt ist das gut!
Wenn ein Anbieter Spähattacken des Staates nicht kritiklos hinnimmt ist das gut!
Wenn ein Anbieter seine Kunden soweit möglich auf diese Spähattacken aufmerksam macht ist das gut!
Wenn ein Anbieter Opensource-Software unterstützt und weiterbringt ist das gut!

Es ist daher sinnvoll diese Möglichkeiten für sich auszureizen und einen Anbieter zu wählen, der all das umsetzt. Einige Anbieter wurden hier ja schon genannt, im Privacy Handbuch (https://www.privacy-handbuch.de/handbuch_31.htm) finden sich noch weitere.

Fatalistische Aussagen im Stile von "Wer kein PGP nutzt kann auch gleich ein E-Mail-Konto direkt bei der NSA erstellen" sind falsch und bringen niemanden weiter. Geheimdienste versuchen auf zig verschiedenen Wegen Daten auszuspähen und würden sich an vielen der Maßnahmen oben die Zähne ausbeißen. Außerdem gibt es auf dieser Welt noch zahlreiche andere Angreifer neben der NSA, und keiner davon (auch nicht die NSA) verfügt über dauerhaften Rootzugriff auf sämtlichen E-Mail-Servern, um dort lokal alle Postfächer auszulesen.
Wenn jemand seine E-Mails abholt und die IP-Verbindung zufällig über England geroutet wird, späht der GHCQ alles aus, inkl Passwörter. Wenn die selbe Verbindung aber TLS-gesichert abläuft, wird der Angriff für den GHCQ plötzlich erheblich riskanter und aufwendiger.

Und zu PGP, und das ist nur mein persönliches Abreagieren:
Ich betreue E-Mail-Gateways mit einigen tausenden Nutzern und erstelle dort nebenbei Statistiken, wieviel Prozent der E-Mails mit PGP- oder S/MIME verschlüsselt ein- und ausgehen. Die Zahlen sind ein WITZ.
Wenn eine Technologie (hier E-Mail-Verschlüsselung mit PGP und S/MIME) in über 20 Jahren niemals irgendwo Fuß gefasst hat - und das obwohl es ja angeblich nicht mal eine Alternative zu ihr gibt - dann kann man davon ausgehen, dass sich das auch in Zukunft nicht mehr ändern wird. Wenn man 20 Jahre auf einem Pferd sitzt und keinen Meter vorwärts gekommen ist sollte man irgendwann mal absteigen, und nicht aus einem Elfenbeinturm heraus die Menschen beschimpfen, weil sie sich weigern ein Verschlüsselungsverfahren zu nutzen das an ihrer Lebenswirklichkeit vorbei geht.
Verschlüsselung funktioniert und hat in anderen Bereichen durchaus großflächige Verbreitung, nur bei PGP und S/MIME hat das in unzählbar vielen Anläufen nie geklappt. Das hat mit Phil Zimmermann auch der Erfinder von PGP eingesehen und entwickelt mittlerweile an anderen Technologien mit.

Übrigens: Beim Beispiel oben mit der über England gerouteten Verbindung wäre man trotz PGP und S/MIME verloren, da dem GHCQ die Information, wer mit wem über welches Thema wann von wo aus kommuniziert, trotzdem auf dem Silbertablett geliefert wird. Weder PGP noch S/MIME sind nämlich in der Lage die Metadaten zu verschlüsseln, und laut Studien (http://heise.de/-2146213) reicht es für eine umfassende Überwachung schon, die Metadaten der gesamten Kommunikation auszuspähen, die Inhalte kann man sich dann erschließen.

Entweder PGP, das ist aber reichlich umständlich, da beidseitig erforderlich oder aber die Nachrichten als Text in einem verschlüsselten RAR-Archiv als Anhang versenden.

nein
hilft nicht. keine durchgängige Verschlüsselung. verschwendetes Geld.
Sehe ich nicht als Verschwendung. Du hast für einen Euro pro Monat einen Anbieter, der technologisch auf der Höhe der Zeit ist und auch nur das macht, was man von einem E-Mail-Anbieter erwartet und einen z.B. nicht mit Werbung vollmüllt oder mit Premium-Lockangeboten nervt. Außerdem scheint man bei Posteo großen Wert auf Datenschutz und Transparenz zu legen.

Klar ist das sicherste eine Ende-Zu-Ende-Verschlüsselung. Das hat aber mit der Wahl eines Anbieters erstmal gar nichts zu tun. Mit z.B. PGP sind auch web.de und Konsorten "sicher".