back_crypto3

E-Mail ist eines der meistgenutzten Kommunikationsmittel. Die folgenden Seiten sollen zum Nachdenken über die die Auswahl des E-Mail Providers anregen und Hinweise für die Konfiguration von Mozilla Thunderbird geben. Als erstes braucht man eine oder mehrere E-Mail Adressen. Es ist empfehlenswert, für unterschiedliche Anwendungen auch verschiedene E-Mail Adressen zu verwenden. Es erschwert die Profilbildung anhand der E-Mail Adresse und verringert die Spam-Belästigung. Wenn Amazon, Ebay oder andere kommerzielle Anbieter zu aufdringlich werden, wird die mit Spam überschwemmte E-Mail Adresse einfach gelöscht ohne die private Kommunikation zu stören.

Neben einer sehr privaten E-Mail Adresse für Freunde könnte man weitere E-Mail Adressen für Einkäufe im Internet nutzen oder für politische Aktivitäten. Um nicht ständig viele E-Mail Accounts abfragen zu müssen, kann man die für Einkäufe im Internet genutzt E-Mail Accounts auch an die private Hauptadresse weiterleiten lassen. Alle Mail-Provider bieten diese Option. Bei den großen deutschen Mail Providern GMX.de und WEB.de gibt es bis zu 100 Fun-Domains extra für diesen Zweck. Bereits mit der kostenlosen Version kann man bis zu 3 Fun-Adressen nutzen.

Wenn eine E-Mail Adresse nur für die Anmeldung in einem Forum oder das Veröffentlichen eines Kommentars in Blogs benötigt wird, kann man temporäre Mailadressen nutzen (siehe weiter unten).

Eine kleine Liste von E-Mail Providern abseits des Mainstream:

  • Posteo.de 1 und aikQ.de 2 (deutsche Mailprovider, Accounts ab 1,Euro pro Monat, anonyme Accounts möglich mit Bezahlung per Brief)
  • VFEmail 3 (anonymer Mailprovider, benötigt eine Wegwerf-Adresse für Registrierung, kostenfreie Accounts mit POP3/SMTP und beliebig vielen temporären E-Mail Adressen)
  • CryptoHeaven 4 (Accounts ab $60 pro Jahr, einfache Verschlüsselung der Kommunikation mit Accounts beim gleichen Provider, Offshore registrierte Firma, Server in Kanada)
  • XMAIL.net 5 (die Betreiberfirma Aaex Corp. ist auf den British Virgin Islands registriert, die Server stehen in Kanada, kostenfrei Accounts mit POP3, aber ohne SMTP)
  • runbox.com 6 (norwegischer E-Mail Provider, Server stehen ebenfalls in
  • Norwegen, Accounts ab 1,66 Dollar pro Monat)
  • neomailbox.com 7 (anonymes E-Mail Hosting in der Schweiz, Accounts ab 3,33 Dollar pro Monat, anonyme Bezahlung mit Pecunix oder Liberty Reserve möglich)

Adressen:

Für politische Aktivisten gibt es Anbieter, die insbesondere den Schutz vor staatlichem Zugriff hervorheben. Diese Anbieter werden mit Spenden finanziert. Für einen Account muss man seine politischen Aktivitäten nachweisen, aber nicht unbedingt seine Identität offen legen. Neben E-Mail Accounts werden auch Blogs und Mailinglisten angeboten.

  • Associazione-Investici 8 (italienischer Provider, Server stehen bei XS4ALL in Niederlande, verwendet eigene Certification Authority für SSL-Zertifikate)
  • Nadir.org 9 (deutscher Provider, Server stehen ebenfalls bei XS4ALL)
  • AktiviX.org 10 (deutscher Provider, Server stehen in Brasilien)

Hinweis: es kostet Geld, einen zuverlässigen Mailservice bereitzustellen. Es ist durchaus sinnvoll, die alles kostenlos Mentalität für einen vertrauenswürdigen Mailprovider fallen zu lassen.

Webinterfaces der Mail-Provider sind oft unsicher

Die Webinterfaces der Mail-Provider bieten überwiegend eine unsichere Konfiguration der HTTPS-Verschlüsselung des Webinterface. Oft ist es für einen Angreifer möglich, eine schwache, abhörbare Verschlüsselung zu erzwingen. Insecure Renegotiation wird teilweise noch verwendet oder das veraltete SSLv2 wird noch unterstützt. Das Problem betrifft nicht nur die Webseiten der Mail-Provider. Nach einer Studie bieten nur 10% der Websites sichere Verschlüsselung nach dem Stand der Technik. Die folgenden Provider wurden mit dem SSL-Test von Qualys SSL Labs überprüft:

  • Posteo: sichere HTTPS-Verschlüsselung
  • aikQ: sichere HTTPS-Verschlüsselung
  • neomailbox.com: sichere HTTPS-Verschlüsselung
  • VFEmail: sichere HTTPS-Verschlüsselung mit aktuellen Browsern
  • CryptoHeaven: schwache Verschlüsselung und SSLv2 unterstützt
  • XMAIL.net: schwache Verschlüsselung und SSLv2 werden unterstützt
  • Runbox.com Insecure Renegotiation, SSLv2 wird unterstützt

Aus diesem Grund sollte man einen E-Mail Client nutzen. Die Verschlüsselung für POP3 und SMTP ist bei den oben genannten Providern auf dem aktuellen Stand der Technik. Da viele E-Mail Provider POP3 und SMTP nur für Premium-Kunden anbieten, sollte man nicht an der falschen Stelle sparen und sich nicht mit einem kostenfreien Account via Webinterface begnügen.

Nicht empfohlene E-Mail Provider

Einige Gründe, warum verschiedene E-Mail Provider mit gutem Ruf nicht in die Liste der Empfehlungen aufgenommen wurden:
Hushmail speichert zuviel Daten. Neben den üblichen Daten beim Besuch der Webseite werden die E-Mails gescannt und folgende Daten unbegrenzt lange gespeichert:

1. alle Sender und Empfänger E-Mail Adressen (VDS-artig)
2. alle Dateinamen der empfangenen und gesendeten Attachements
3. Betreffzeilen aller E-Mails (nicht verschlüsselbar)
4. URLs aus dem Text unverschlüsselter E-Mails
5. … and any other information that we deem necessary

Diese Daten werden bei der Kündigung eines Account NICHT gelöscht. Bei der Bezahlung für einen Premium-Account werden die IP-Adresse des Kunden sowie Land, Stadt und PLZ an Dritte weitergeben. Außerdem bindet Hushmail.com Dienste von Drittseiten ein. Die ID des Hushmail Account wird beim Besuch der Webseite nach dem Login an diese Drittseiten übermittelt. Für die Privacy-Policy dieser Drittseiten übernimmt Hushmail.com keine Verantwortung. In der EU-Studie „Fighting cyber crime and protecting privacy in the cloud“ warnen die Autoren in Kapitel 5.4 (S. 48) vor Risiken bei der Speicherung von Daten in den USA. Aufgrund des US PATRIOT Act (insbesondere S. 215ff) und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloudbzw. E-Mail Provider eine US-Firma ist oder nicht. Es reicht nach Ansicht der Amerikaner, wenn die Server in den USA stehen. Aus diesem Grund ist ein Server-Standort USA für deutsche Nutzer eher ungeeignet. Das betrifft u.a. die E-Mail Provider SecureNym, S-Mail, Fastmail.fm, Lavabit, Rise-up.net…

Cotse, Yahoo! und AOL bietet keine sichere Verschlüsselung für die Kommunikation zwischen Mail-Server und E-Mail Client (Secure Renegotiation wird nicht für SMTP unterstützt, was seit seit 2009 als schwerer Fehler im SSL Protokoll eingestuft wird).

Mozilla Thunderbird

Informationen und Downloadmöglichkeiten für Mozilla Thunderbird stehen auf der deutschsprachigen Website des Projektes für Windows, Linux und MacOS zur Verfügung. Linux Distributionen enthalten in der Regel Thunderbird. Mit der Paketverwaltung kann Thunderbird und die deutsche Lokalisierung komfortabel installiert und aktualisiert werden. Debian GNU/Linux bietet eine angepasste Version von Thunderbird unter dem Namen Icedove (allerdings meist in einer veralteten Version). Das Mozilla Debian Team stellt eine aktuellere Version in einem separatem Repository und eine Anleitung16 zur Installation bereit.

Account erstellen

Nach dem ersten Start von Thunderbird führt ein Assistent durch die Schritte zur Einrichtung eines E-Mail Kontos. Nach Eingabe der E-Mail-Adresse sowie des Passwortes erkennt der Assistent die nötigen Einstellungen für den Mailserver oft automatisch. Es können auch die Einstellungen eines bisher verwendeten Programms übernommen werden. Bei der Einrichtung des E-Mail Account sollten einige Punkte beachtet werden. Der Weg einer E-Mail vom Sender zum Empfänger ist kein direkter. In der Regel ist man nicht direkt mit dem Internet verbunden. Der Zugang erfolgt über ein Gateway des Providers oder der Firma. Der 1. Mailserver nimmt die E-Mail via SMTP entgegen und sendet sie an den 2. Mailserver. Hier liegt die E-Mail, bis der Empfänger sie abruft und löscht. Die gestrichelten Verbindungen zu den Mailservern können mit SSL bzw. TLS kryptografisch gesichert werden. Das hat nichts mit einer Verschlüsselung des Inhalts der E-Mail zu tun. Es wird nur die Datenübertragung zum Mailserver verschlüsselt und es wird sichergestellt, dass man wirklich mit dem gewünschten Server verbunden ist. Aktuelle Versionen von Thunderbird aktivieren dieses Feature beim Einrichten eines Account standardmäßig. Wie einfach es ist, unverschlüsselte Verbindungen zu belauschen, die Passwörter zu extrahieren und das Mail-Konto zu kompromittieren, wurde von T. Pritlove auf der re:publica 2007 demonstriert.

Bewusst oder unbewusst können auch Provider die sichere Übertragung deaktivieren und damit den Traffic mitlesen. Es wird einfach die Meldung des Mail-Servers 250-STARTTLS gefiltert und überschrieben. Scheinbar verfügen alle DSL-Provider über die Möglichkeit, dieses Feature bei Bedarf für einzelne Nutzer zu aktivieren. Die Standard-Einstellung der meisten E-Mail Clients ist “TLS verwenden wenn möglich”. Diese Einstellung ist genau in dem Moment wirkungslos, wenn man es braucht, weil der Traffic beschnüffelt werden soll.

Alle brauchbaren Mail-Server bieten Möglichkeit der verschlüsselten Kommunikation via SSL/TLS oder STARTTLS. Diese Option ist in Thunderbird bei der Einrichtung eines neuen Kontos zu aktivieren. Der Assistent erledigt das in der Regel automatisch.

SMTP, POP3 und IMAP sind für den Laien verwirrende Abkürzungen.
SMTP ist das Protokoll zum Versenden von E-Mails.
POP3 ist das Protokoll zum Herunterladen von empfangenen E-Mails auf den lokalen Rechner. Dabei werden die E-Mails auf dem Server gelöscht. IMAP ist ein Kommunikationsprotokoll, um die empfangenen E-Mails auf dem Server zu verwalten und nur zum Lesen temporär herunter zu laden. Auch die versendeten E-Mails werden bei der Nutzung von IMAP auf dem Mailserver des Providers gespeichert. IMAP bietet damit die Möglichkeit, mit verschiedenen E-Mail Clients von unterschiedlichen Rechnern und Smartphones auf den Account zuzugreifen und stets Zugriff auf alle E-Mails zu haben. Die Möglichkeit des weltweiten Zugriffs auf seine Mails erkauft man sich aber mit Einschränkungen des Datenschutzes. Die auf dem Server des Providers gespeicherten E-Mails unterliegen NICHT mehr dem Telekommunikationsgeheimnis nach Artikel 10 GG, wenn der Nutzer Gelegenheit hatte, sie zu löschen. Das BVerfG hat diese Rechtsauffassung 2009 in dem Urteil 2 BvR 902/06 bestätigt.

Mit der Reform der Telekommunikationsüberwachung im Dezember 2012 können Geheimdienste und Strafverfolger das Passwort für den Zugriff auf den Mail-Account ohne richterliche Prüfung vom Mail-Provider verlangen und damit Zugang zu dem Postfach erhalten. Es wäre unschön, wenn Sie dort die Kommunikation der letzten 5 Jahre vorfinden. Deshalb empfehle ich die Nutzung von POP3 (SSL) statt IMAP. Für viele E-Mail Provoder werden automatisch sichere Einstellungen vom Assistenten vorgeschlagen (SSL bzw. STARTTLS). Wenn keine Vorschläge gefunden werden können, kann man auf manuelle Konfiguration klicken und in dem Dialog die Einstellungen per Hand anpassen. Die nötigen Daten für POP3und SMTP-Server findet amn auf der Webseite des Mail-Providers. Außerdem muss man in der Regel den Usernamen an die Vorgaben des Providers anpassen. Für den POP3-Server ist in der Regel Port 995 (SSL) passend. Viele SMTP-Server bieten neben STARTTLS für Port 25 auch auf den Ports 587 (STARTTLS) oder Port 465 (SSL) verschlüsselte Verbindungen zum Senden von E-Mails.

 Unsichere Verschlüsselungen deaktivieren

Aus Gründen der Kompatibilität mit einigen Mail-Providern unterstützt Thunderbird noch immer veraltete und unsichere Verschlüsselungsoptionen für die Verbindung zu dem Mailservern. In den Erweiterten Einstellungen kann man diese Optionen deaktivieren. Wenn man die gezeigte, schwer verständliche Fehlermeldung beim Abrufen oder Senden von E-Mails erhält, gibt es Probleme beim Aufbau einer sicheren Verbindung und man wechselt am besten den Mail-Provider. Meistens bietet der Server keine Secure Renegotiation beim Aufbau der verschlüsselten Verbindung. Das Problem wird seit 2009 als schwerwiegend eingestuft. In diesem Zusammenhang verweise ich auf die Antwort der Bundesregierung auf eine Kleine Anfrage zu Fernmeldeaufklärung des BND vom Mai 2012:

Frage:“ Ist die eingesetzte Technik auch in der Lage, verschlüsselte Kommunikation (etwa per SSH oder PGP) zumindest teilweise zu entschlüsseln und/oder auszuwerten?“

Antwort: Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung.

Tools zum Ausnutzen der Insecure Renegotiation gibt es auch als OpenSource (z.B. dsniff).

Sichere Konfiguration des E-Mail Client

Einige Hinweise für die sichere und unbeobachtete Nutzung des Mediums EMail mit Mozilla Thunderbird: Mit der Verwendung von HTML in E-Mails steht dem Absender ein ganzes Bestiarium von Möglichkeiten zur Beobachtung des Nutzers zur Verfügung: HTML-Wanzen, Java Applets, JavaScript, Cookies usw. Am einfachsten deaktiviert man diese Features, wenn man nur die Anzeige von Reinem Text zulässt. Die Option findet man im Menüpunkt Ansicht -> Nachrichtentext.

Die Option Anhänge eingebunden anzeigen im Menü Ansicht sollte man ebenfalls deaktivieren, um gefährliche Anhänge nicht schon beim Lesen einer E-Mail automatisch zu öffnen. Der alte Trick mit einem Virus in der E-Mail wird noch immer genutzt, insbesondere wenn man ein Opfer gezielt angreifen will, um den Rechner mit einem Trojaner zu infizieren. Es ist nicht immer möglich, E-Mails als Plain Text zu lesen. Viele Newsletter sind nur als HTML-Mail lesbar, eBay verwendet ausschließlich HTML-Mails für Benachrichtigungen usw. In der Regel enthalten diese HTML-only Mails mehrere Trackingelemente.

Um diese E-Mails trotzdem lesen zu können (wenn auch nicht in voller Schönheit), kann man die Darstellung Vereinfachtes HTML nutzen. Außerdem können folgende Features in den Erweiterten Einstellungen deaktiviert werden, die jedoch nur für die Darstellung von Orginal HTML relevant sind. Alle Bilder in HTML-Mails, die von einem externen Server geladen werden, können direkt mit der E-Mail Adresse des Empfängers verknüpft sein. Anhand der Logdaten kann der Absender erkennen, wann und wo die E-Mail gelesen wurde. Einige Newsletter verwenden auch HTMLWanzen. Im Newsletter von Paysafecard findet man beispielsweise ganz unten eine kleine 1×1-Pixel Wanze, die offenbar mit einer individuellen, nutzerspezifischen URL von einem Trackingservice geladen wird. Um Tracking mit Bildern und HTML-Wanzen zu verhindern, kann man in den Erweiterten Einstellungen das Laden externer Bilder blockieren.

Auch andere Medienformate können von einem externen Server geladen und als Wanzen genutzt werden. Einen derartigen Einsatz von Audiooder Videodateien wurde bisher nicht nachgewiesen, aber technisch wäre es möglich. Man kann das Laden von Videos und Audiodateien mit folgenden Parametern unterbinden. Die Links in HTML-Mails führen oft nicht direkt zum Ziel sondern werden ebenfalls über einen Trackingservice geleitet, der jeden Aufruf des Link individuell für jede Empfängeradresse protokollieren kann. Als Bespiel soll ein Link aus dem Paysafecard Newsletter dienen, der zu einem Gewinnspiel bei Paysafecard führen soll. Diesem Tracking kann man nur entgehen, wenn man diese Links in HTML-Mails nicht aufruft! Der Trackingservice hat die Möglichkeit, Logdaten von verschiedenen E-Mails zu verknüpfen und evtl. auch das Surfverhalten einzubeziehen. Wichtige Informationen findet man auch auf der Webseite des Absenders. Die extension blocklist kann Mozilla nutzen, um einzelne Add-ons in Thunderbird zu deaktivieren. Es ist praktisch ein kill switch für Thunderbird Add-ons. Beim Aktualisieren der Blockliste werden außerdem detaillierte Informationen an Mozilla übertragen. Ich persönlich mag es nicht, wenn jemand irgendetwas remote auf meinem Rechner deaktiviert oder deaktivieren könnte. In den Erweiterten Einstellungen kann man das Feature abschalten. Gespeicherte Passwörter für den Zugriff auf SMTP-, POPoder IMAPServer können mit einem Masterpasswort geschützt werden.

Datenverluste vermeiden

Die folgenden Hinweise wurden von den Mozilla-Entwicklern erarbeitet, um den Nutzer bestmöglich vor Datenverlusten zu schützen. Das Antiviren-Programm ist so einzustellen, dass es den Profilordner von Thunderbird NICHT(!) scannt. Die automatische Beseitigung von Viren kann zu Datenverlusten führen. Der Ordner Posteingang sollte so leer wie möglich gehalten werden. Gelesene E-Mails sollten auf themenspezifische Unterordner verteilt werden. Die Ordner sollten regelmäßig komprimiert werden. Hierzu ist mit der rechten Maustaste auf den Ordner zu klicken und der Punkt Komprimieren zu wählen. Während des Komprimierens sollten keine anderen Aktionen in Thunderbird ausgeführt werden. Alternativ kann man in den Einstellungen von Thunderbird in der Sektion Erweitert auch eine automatische Komprimierung konfigurieren, sobald es lohnenswert ist. Bei jedem Start prüft Thunderbird, ob die Ordner komprimiert werden können. Regelmäßig sollten Backups des gesamten Profils von Thunderbird angelegt werden. Unter WINDOWS sichert man C:/Dokumente und Einstellungen//Anwendungsdaten/Thunderbird, unter Linux ist $HOME/.thunderbird zu sichern.

Wörterbücher installieren

Nach der Installation von Thunderbird sind keine Wörterbücher für die Rechtschreibkontrolle vorhanden. Die Wörterbücher müssen zusätzlich installiert werden, wenn man auf das Feature nicht verzichten möchte. Nach dem Download der Wörterbücher ist Thunderbird als zu starten. Der Menüpunkt Extras -> Add-ons öffnet den Dialog für die Verwaltung. Wenn man oben rechts auf das kleine Werkzeugsymbol klickt, kann man die Dateien mit den Wörterbüchern als Add-on installieren. Danach kann man in den Einstellungen von Thunderbird die Rechtschreibprüfung aktivieren und die bevorzugte Sprache auswählen. Die Auswahl der Sprache kann man beim Schreiben einer Mail jederzeit ändern.

X-Mailer Kennung modifizieren

Ich habe gelesen, dass es böse Buben geben soll, die via Internet ihre Software auf fremden Rechnern installieren möchten. In diesem Zusammenhang werden oft die Stichworte “Spambot” oder “Bundstrojaner ” genannt. Voraussetzung ist die Kenntnis der vom Opfer genutzten Software. Genau wie jeder Webbrowser sendet auch Thunderbird eine User-Agent-Kennung im Header jeder E-Mail, die Auskunft über die genutzte Programmversion und das Betriebssystem liefert.r Linux, hat die Enigmail-Erweiterung v.0.95.3 installiert und verwendet die GnuPG-Version 1.4.6. Das war damals eine typische Kombination für Ubuntu Edgy.

Spam-Filter aktivieren

Das Mozilla Team bezeichnet nicht erwünschte E-Mails (Spam) als Junk. Den integrierten lernfähigen Filter aktiviert man über den Menüpunkt Extras -> Junk-Filter. Im Einstellungsdialog des Filters sollte man die beiden Optionen für das automatische Verschieben der Junk-Mails in einen speziellen Ordner aktivieren, am einfachsten in den Ordner Junk des entsprechenden Kontos. Außerdem sollte der lernfähige Filter aktiviert werden. Ich bin immer wieder von der guten Erkennungsrate beeindruckt.

Spam vermeiden

Man muss nicht bei jeder Gelegenheit im Web seine richtige E-Mail Adresse angeben. Damit fängt man sich eine Menge Spam (Junk) ein. Außerdem ist die E-Mail Adresse ein wichtiges Identitätsmerkmal. Datensammler verwenden sie als ein Hauptmerkmal für die Identifikation, um darauf aufbauend Profile zu erstellen. Stichproben im Internet-Traffic weisen einen hohen Anteil von Suchanfragen nach Informationen zu den Inhabern von E-Mail Adressen aus. Um die eigene E-Mail Adresse nicht zu kompromittieren und trotzdem Angebote zu nutzen, welche die Angabe einer Mailadresse erfordern, kann man temporäre Wegwerf-Adressen nutzen. Bei der Nutzung temporärer Mailadressen geht es nicht(!) um die Umgebung der Vorratsdatenspeicherung. Hinweise dafür findet man im Abschnitt “E-Mail anonym nutzen”. Außerdem ist von einer VDS-artige Speicherung der IP-Adressen auszugehen, wenn der Anbieter keine Angaben zum Datenschutz macht.

AnonBox des CCC

Bei der AnonBox.net des CCC kann ein E-Mail Account für den Empfang von einer Nachricht erstellt werden. Der Account ist bis 24:00 Uhr des folgenden Tages gültig und nicht verlängerbar. Eingehende Nachrichten kann man nur im Webinterface lesen und sie werden nach dem Abrufen gelöscht. Sie können nur 1x gelesen werden! Zusammen mit der E-Mail wird auch der Account gelöscht. Man kann praktisch nur eine Mail empfangen. Beim Erzeugen einer E-Mail Adresse erhält man einen Link, unter dem man ankommende Mails lesen kann. Wenn noch nichts angekommen ist, dann bleibt die Seite leer. Der Link ist als Lesezeichen zu speichern, wenn man später nochmal nachschauen möchte. Die AnonBox bietet als einziger Anbieter SSL-Verschlüsselung und verwendet ein Zertifikat, das von CAcert.org signiert wurde. In den meisten Browsern ist diese CA nicht als vertrauenswürdig enthalten. Das Root-Zertifikat dieser CA muss von der Webseite zusätzlich importiert werden.

Wegwerf-Adressen

Einige Anbieter von Wegwerf-E-Mail-Adressen bieten einen sehr einfach nutzbaren Service, der keinerlei Anmeldung erfordert und auch kein Erstellen der Adresse vor der Nutzung. E-Mail Adressen der Form pittiplatsch@trash-mail.com oder pittiplatsch@weg-werf-email.de kann man überall und ohne Vorbereitung unbekümmert angeben. Das Postfach ist unbegrenzt gültig. In einem Webformular auf der Seite des Betreibers findet man später alle eingegangenen Spamund sonstigen Nachrichten für das gewählte Pseudonym. Für das Webinterface des Postfachs gibt es in der Regel keinen Zugriffsschutz. Jeder, der das Pseudonym kennt, kann die Nachrichten lesen und löschen. Nachrichten werden nach 6-12h automatisch gelöscht.

Liste einiger Anbieter (unvollständig):

  • http://www.spambog.com (weitere E-Mail Domains auf der Webseite, Account kann mit Passwort gesichert werden, Löschen der Mails ist möglich, Session-Cookies erforderlich)
  • http://onewaymail.com (weitere E-Mail Domains auf der Webseite, keine Cookies oder Javascript nötig, E-Mails können gelöscht werden)
  • http://www.trash-mail.com (keine Cookies oder Javascript nötig, EMails können gelöscht werden)
  • http://www.mailcatch.com (keine Cookies oder Javascript nötig, EMails können gelöscht werden)
  • http://www.mailinator.com/ (bietet 5 weitere Domains, keine Cookies oder Javascript nötig, E-Mails können gelöscht werden, POP3-Abruf möglich)
  • http://www.weg-werf-email.de (Session-Cookies erforderlich, Passwortschutz möglich)
  • https://www.guerrillamail.com (HTTPS, Session-Cookies erforderlich, E-Mails können gelöscht werden)

In der Regel speichern diese Anbieter die Informationen über eingehende E-Mails sowie Aufrufe des Webinterface und stellen die Informationen bei Bedarf den Behörden zur Verfügung. Es handelt sich dabei nicht Anonymisierungsdienste.

Temporäre Adressen

Im Gegensatz zu Wegwerf-E-Mail-Adressen muss man eine temporäre E-Mail Adresse zuerst auf der Webseiten des Anbieter erstellen, die dann für 10min bis zu mehreren Stunden gültig ist. Erst danach kann diese Mail-Adresse verwendet werden. Bei Bedarf kann die Verfügbarkeit der E-Mail Adresse mehrfach verlängert werden. Das reicht, um sich in einem Forum anzumelden.

  • www.10minutemail.com (10min gültig, verlängerbar)
  • www.tempmailer.de/ (60min gültig, Session-Cookies freigeben)
  • freemail.ms/ (24h gültig, Session-Cookies freigeben)
  • emailisvalid.com (15min gültig, Session-Cookies freigeben)
  • empemail.co.za (30min gültig, Session-Cookies freigeben)
  • Squizzy.de (60min gültig, Session-Cookies freigeben)
  • sector2.org (120min gültig, Session-Cookies freigeben)
  • topranklist.de (12h gültig, Session-Cookies freigeben)

Um eine temporäre E-Mail Adresse für die Anmeldung in einem Forum o.ä. zu nutzen, öffnet man als erstes eine der oben angegebenen Webseiten in einem neuen Browser-Tab. Session-Cookies sind für diese Website freizugeben, mit Javascript sind die Webseiten oft besser bedienbar. Nachdem man eine neue temporäre Mail-Adresse erstellt hat, überträgt man sie mit Copy & Paste in das Anmeldeformular uns schickt das Formular ab. Dann wechselt man wieder zu dem Browser-Tab der temporären Mailadresse und wartet auf die eingehende Bestätigungsmail. In der Regel einhält diese Mail einen Link zur Verifikation. Auf den Link klicken fertig. Wenn der Browser-Tab mit der temporäre E-Mail Adresse geschlossen wurde, hat man keine Möglichkeit mehr, ankommende Mails für diese Adresse zu lesen.

Firefox Add-on Bloody Vikings

Das Firefox Addon Bloody Vikings vereinfacht die Nutzung von Wegwerfadressen. Nach der Installation von der Webseite kann ein bevorzugter Dienst für die Wegwerfadressen gewählt werden. In Zukunft kann man in jedem Anmeldeformular mit der rechten Maustaste auf das Eingabefeld der E-Mail Adresse klicken und aus dem Kontextmenü den Punkt Bloody Vikings wählen. Es wird in einem neuen Browser Tab die Webseite des Anbieters geöffnet und die temporäre E-Mail Adresse in das Formularfeld eingetragen. Nach dem Absenden des Anmeldeformular wechselt man in den neu geöffneten Browser Tab und wartet auf die Bestätigungsmail.

Private Note

E-Mails werden auf dem Weg durch das Netz an vielen Stellen mitgelesen und ausgewertet. Ein Postgeheimnis existiert praktisch nicht. Kommerzielle Datensammler wie Google und Yahoo scannen alle Mails, die sie in die Finger bekommen. Geheimdienste wie NSA, SSSI, FRA oder BND haben Monitoringprogramme für den E-Mail Verkehr. Gelegentlich möchte man aber nicht, das eine vertrauliche Nachricht von Dritten gelesen wird. Verschlüsselung wäre eine naheliegende Lösung. Das ist aber nur möglich, wenn Absender und Empfänger über die nötige Kompetenz verfügen.

Als Alternative kann man folgende Dienste der Firma insophia nutzen: Certified Privnote ist vom ULD mit dem EuroPrise Siegel zertifiziert. Die Zertifizierung garantiert die Respektierung der Privatsphäre der Nutzer durch den Anbieter. Privnote25 ist eine nicht-zertifizierten Version. Damit sind Änderungen an der Software und Weiterentwicklungen möglich. Man schreibt die Nachricht auf der Webseite des Anbieters und klickt auf den Button Create Note. Javascript muss dafür freigegeben werden. Es wird ein Link generiert, unter dem man die Nachricht EINMALIG abrufen kann. Die Daten werden verschlüsselt auf dem Server gespeichert und nur der Link enthält den Key, um die Daten zu entschlüsseln. Den Link sendet man per E-Mail dem Empfänger der Nachricht. Er kann die Nachricht im Browser abrufen. Nach dem Abruf der Nachricht wird sie auf dem Server gelöscht, sie ist also nur EINMALIG lesbar. Darauf sollte man den Empfänger hinweisen. Man kann den Link NICHT über irgendwelche Kanäle in Social Networks (z.B. Facebook) versenden. Wenn man auf den Link klickt, läuft im Hintergrund ein Crawl der Seite bevor man weitergeleitet wird. Facebook holt sich die Nachricht und der Empfänger kommt zu spät.

PrivNote ist nicht kryptografisch abhösicher wie die E-Mail Verschlüsselung mit OpenPGP. Wenn ein Angreifer unbedingt den Inhalt der Nachricht lesen will, kann er die Nachricht vor dem Empfänger abrufen und über den Inhalt Kenntnis erlangen. Der eigentliche Empfänger kann nur den Angriff erkennen, da die Nachricht auf dem Server gelöscht wurde. Damit sind die Angebote für private Nachrichten geeignet, aber nicht geeignet für geheime oder streng vertrauliche Informationen. Es gibt einige ähnliche Projekte, die ich NICHT empfehle: Burn Note erfordert eine Registrierung mit E-Mail Adresse, was überflüssig ist. Für jeden Account wird die Nutzung des Dienstes protokolliert und eine monatliche Statistik erstellt. Außerdem werden die Notes mit einem Key verschlüsselt, der auf dem Server von Burn Note gespeichert wird. Im Gegensatz zu den Privnote-Diensten von insophia ist der Betreiber damit in der Lage, die Nachrichten zu entschlüsseln.

Road-Message sammelt aus meiner Sicht zuviel Daten. Beim Besuch der Webseite wird besipielsweise die innere Größe des Browserfensters ausgelesen, was ein sehr individueller Wert ist und gut für das Tracking nutzbar. Es gibt keine Privacy Policy auf der Webseite, welche Daten gespeichert werden und wie die Daten genutzt werden. Auch bei RoadMessage wird der Schlüssel für das Entschlüsseln der Nachricht nicht in der URL kodiert (wie bei den Diensten von insophia) sondern auf dem Server gespeichert.

RSS-Feeds

RSS-Feeds bieten die Möglichkeiten, sich schnell über Neuigkeiten in häufig gelesenen Blogs zu informieren ohne die Webseiten einzeln abklappern zu müssen. Thunderbird enthält einen RSS-Reader, den man dafür nutzen kann. Um mehrere interessante RSS-Feeds zu sammeln, erstellt man in der Konten-Verwaltung ein neues Konto und wählt den Typ Anderes Konto hinzufügen….

Im zweiten Schritt wählt man den Typ Blogs und RSS-Feeds und danach eine beliebige Kontenbezeichnung.In den Einstellungen für das RSS-Feed Konto kann man festlegen, in welchem Intervall die Feeds abgerufen werden sollen und ob die RSS-Feeds beim Start von Thunderbird aktualisiert werden sollen. Danach kann man die Abonnements verwalten und die Adressen der RSS-Feeds hinzufügen. Man kopiert die URL des RSS-Feeds von der Webseite des Blogs in das Feld für die Feed URL und klickt auf den Button „Hinzufügen“. Die Neuigkeiten aus den Blogs kann man zukünftig wie E-Mails lesen. Dabei kann man eine simple Textanzeige wählen oder die Ansicht als Webseite. Wer die Ansicht als Webseite bevorzugt, sollte Javascript, Cookies und andere Tracking Elemente deaktivieren. Zum Kommentieren muss man allerdings die Webseite des Blogs im Browser aufrufen.

Filelink

Seit Version 13.0 bietet Thunderbird die Möglichkeit, große Dateianhänge bei einem Filehoster hochzuladen und dem Empfänger nur den Link zum Download per E-Mail zu senden. In der Version 16.0 unterstützt Thunderbird die Filehoster YouSendIt und Box.net sowie Ubuntu One. Ich kann dieses Feature nicht empfehlen.

1. YouSendIt protokolliert alle Aktivitäten und die Protokolle werden für drei Jahre gespeichert:

YouSendIt will retain the Log Data collected from you in its active, internal company databases for up to six months, at which point it will migrate such Log Data to its offline archival systems, where YouSendIt will retain the Log Data for a period of three years.

2. Die bei einem Cloud-Service gespeicherten Dateianhänge unterliegen nicht dem besonderen Schutz des Postund Fernmeldegeheimnisses.

3. Außerdem ist das Filelink nicht in die E-Mail Verschlüsselung integriert.
Auch wenn man eine verschlüsselte E-Mail schreibt, werden die Uploads unverschlüsselt auf dem Server abgelegt. Man muss sich selbst um die Verschlüsselung der Dateien kümmern. Dann kann man sie auch gleich selbst zu einem 1-Click-Hoster hochladen. Um nicht ständig mit der Frage belästigt zu werden, ob man einen großen Dateianhang bei einem Cloude-Anbieter speichern möchte, kann man das Feature in den Einstellungen deaktivieren.