31 KiB
meta_title, title, icon, description, cover, global
| meta_title | title | icon | description | cover | global | |||
|---|---|---|---|---|---|---|---|---|
| Empfehlungen für verschlüsselte private E-Mail-Dienste - Privacy Guides | E-Mail Dienste | material/email | Diese E-Mail-Dienstleister speichern deine E-Mails sicher und viele davon bieten auch interoperable OpenPGP-Verschlüsselung mit anderen Anbietern. | email.webp |
|
Schützt vor der/den folgenden Bedrohung(en):
E-Mail ist praktisch eine Voraussetzung für die Nutzung aller Online-Dienste, wir empfehlen sie jedoch nicht zur Kommunikation von Mensch zu Mensch. Anstatt E-Mails für die Kontaktaufnahme mit anderen Personen zu verwenden, überleg ob du einen Instant Messenger benutzen kannst, der Forward Secrecy (auf Deutsch etwa "vorwärts gerichtete Geheimhaltung") unterstützt.
Empfohlene Instant Messenger{.md-button}
Empfohlene Anbieter
Für alles andere empfehlen wir eine Reihe von E-Mail-Anbietern, die auf nachhaltigen Geschäftsmodellen basieren und integrierte Sicherheits- und Datenschutzfunktionen bieten. Weitere Informationen findest du in unserem vollständigen Kriterienkatalog.
| Anbieter | OpenPGP / WKD | IMAP / SMTP | Null-Zugriff-Verschlüsselung | Anonyme Zahlungsmethoden |
|---|---|---|---|---|
| Proton Mail | :material-check:{ .pg-green } | :material-information-outline:{ .pg-blue } Nur kostenpflichtige Pläne | :material-check:{ .pg-green } | Bar Monero über Dritte |
| Mailbox Mail | :material-check:{ .pg-green } | :material-check:{ .pg-green } | :material-information-outline:{ .pg-blue } Nur Mail | Bargeld |
| Tuta | :material-alert-outline:{ .pg-orange } | :material-alert-outline:{ .pg-orange } | :material-check:{ .pg-green } | Monero über Dritte Bar über Dritte |
Zusätzlich (oder statt) eines Email-Providers die hier empfohlen sind, kann man ebenfalls einen E-Mail-Aliasing-Service benutzen, um deine Privatsphäre zu schützen. Diese Dienste können unter anderem dazu beitragen, deinen echten Posteingang vor Spam zu schützen, zu verhindern, dass Vermarkter deine Konten miteinander in Verbindung bringen, und alle eingehenden Nachrichten mit PGP zu verschlüsseln.
OpenPGP-kompatible Dienste
Diese Anbieter unterstützen OpenPGP verschlüsselung/entschlüsselung und den Web Key Directory (WKD) Standard, was dir erlaubt End-zu-End-Verschlüsselung unabhängig vom Anbieter zu haben. Zum Beispiel, ein Proton Mail Nutzer könnte eine E2EE Nachricht einen Mailbox Mail Nutzer schicken, oder du könntest auch OpenPGP-verschlüsselte Benachrichtigungen von Internetservices bekommen, die es unterstützen.
{ .twemoji } Proton Mail
{ .twemoji } Mailbox Mail
Warnung
Wenn du eine E2EE-Technologie wie OpenPGP verwendest, enthält deine E-Mail immer noch einige unverschlüsselte Metadaten im Header bzw. Quelltext der E-Mail, einschließlich der Betreffzeile! Lies mehr über E-Mail-Metadaten.
Proton Mail
{ align=right }
Proton Mail ist ein E-Mail-Dienst mit dem Schwerpunkt auf Datenschutz, Verschlüsselung, Sicherheit und Benutzerfreundlichkeit. Sie sind seit 2013 in Betrieb. Die Proton AG hat ihren Sitz in Genf, Schweiz.
Der Proton Free Plan kommt mit 500 MB von Mail-Speicher, was du kostenlos auf 1 GB erhöhen kannst.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion Service" } :octicons-eye-16:{ .card-link title="Datenschutzerklärung" } :octicons-info-16:{ .card-link title="Dokumentation" } :octicons-code-16:{ .card-link title="Quellcode" }
Kostenlose Konten haben Beschränkungen, z.B. kann man nicht Nachrichten mithilfe des Email Körpers suchen und man hat kein Zugriff zur Proton Mail Bridge, die gebraucht wird, um einer der empfohlenen Email-Clients wie z.B. Thunderbird zu benutzen. Bezahlte Konten umfassen Funktionen wie Proton Mail Bridge, zusätzlichen Speicher und die Nutzung eigener Domains. Der Proton Unlimited Plan oder jeder Multi-Nutzer Proton Plan beinhaltet Zugriff zu SimpleLogin Premium.
Ein Bescheinigungsschreiben wurde für Proton Mails Apps im November 2021 von Securitum zur Verfügung gestellt.
Proton Mail hat interne Ausfallberichte, die nicht mit Dritten geteilt werden und die deaktiviert werden können.
=== "Web"
Von deinem Postfach, klicke auf :gear: → **Alle Einstellungen** → **Konto** → **Sicherheit und Datenschutz** →**Privatsphäre und Datenerfassung**.
- [ ] Deaktiviere **Nutzungsdiagnosedaten sammeln**
- [ ] Deaktiviere **Absturzberichte senden**
=== "Handy"
Von deinem Postfach, Wähle :material-menu: →:gear: **Einstellungen** → wähle dein Benutzername.
- [ ] Deaktiviere **Absturzberichte senden**
- [ ] Deaktiviere **Nutzungsdiagnosedaten sammeln**
:material-check:{ .pg-green } Eigene Domains und Aliase
Nutzer eines kostenpflichtigen Proton Mail Tarifs können ihre eigene Domain oder eine Catch-All Adresse nutzen. Proton Mail unterstützt auch Subadressen, was für Personen nützlich ist, die keine eigene Domain erwerben möchten.
:material-check:{ .pg-green } Diskrete Zahlungsmöglichkeiten
Proton Mail nimmt Bargeld per Post sowie Standardüberweisung/Debit Karte, Bitcoin und PayPal Zahlungen an. Zusätzlich, kann man auch Monero benutzen, um Gutscheine für Proton Mail Plus oder Proton Unlimited über deren offiziellen Reseller ProxyStore kaufen.
:material-check:{ .pg-green } Kontosicherheit
Proton Mail unterstützt TOTP Zwei-Faktor-Authentisierung und Hardware-Sicherheitsschlüssel mittels FIDO2 oder U2F Standard. Um einen Hardware-Sicherheitsschlüssel zu nutzen, muss zuerst ein TOTP Code eingerichtet sein.
:material-check:{ .pg-green } Datensicherheit
Proton Mail verfügt über Zero-Access-Verschlüsselung bei Ablage auf dem Server für deine E-Mails und Kalender. Die mit einer Zero-Access-Verschlüsselung gesicherten Daten sind nur für dich zugänglich.
Bestimmte Informationen, die in Proton Contacts gespeichert sind, wie z. B. Anzeigenamen und E-Mail-Adressen, sind nicht mit einer Zero-Access-Verschlüsselung gesichert. Kontaktfelder, die eine Zero-Access-Verschlüsselung unterstützen, wie z. B. Telefonnummern, sind mit einem Vorhängeschloss-Symbol gekennzeichnet.
:material-check:{ .pg-green } E-Mail-Verschlüsselung
Proton Mail hat die OpenPGP-Verschlüsselung in sein Webmail integriert. E-Mails an andere Proton Mail-Konten werden automatisch verschlüsselt. Die Verschlüsselung an Nicht-Proton Mail-Adressen mit einem OpenPGP-Schlüssel kannst du ganz einfach in deinen Kontoeinstellungen aktivieren. Proton unterstützt ebenfalls automatische externe Schlüssel-Entdeckung mit WKD. Das bedeutet, dass E-Mails an andere Anbieter, die WKD verwenden, automatisch auch mit OpenPGP verschlüsselt werden, ohne dass du manuell öffentliche PGP-Schlüssel mit deinen Kontakten austauschen musst. Außerdem ist es möglich, Nachrichten an Nicht-Proton-Mail-Adressen ohne OpenPGP zu verschlüsseln, ohne dass die Empfänger ein Proton-Mail-Konto benötigen.
Auch veröffentlicht Proton Mail öffentlichen Schlüssel der Proton-Konten über HTTP von ihrem WKD. Dies erlaubt Leute die nicht Proton Mail benutzen, leichter die OpenPGP Schlüsseln von Proton Mail Konten für anbieterübergreifender E2EE zu finden. Dies gilt nur für E-mail-Adressen, die mit den Domänen von Proton enden, z.B. @proton.me. Wenn du deine eigenen Domains benutzt, musst du selber WKD konfigurieren.
:material-information-outline:{ .pg-blue } Kontokündigung
Wenn du ein kostenpflichtiges Konto hast und deine Rechnung nach 14 Tagen noch nicht bezahlt ist, kannst du nicht mehr auf Ihre Daten zugreifen. Nach 30 Tagen wird dein Konto als säumig markiert und kann keine E-Mails mehr empfangen. Während dieses Zeitraums werden dir die Kosten weiterhin in Rechnung gestellt. Proton löscht inaktive kostenlose Konten nach einem Jahr. Du kannst die E-Mail-Adresse eines deaktivierten Kontos nicht wiederverwenden.
:material-information-outline:{ .pg-blue } Zusätzliche Funktionen
Proton Mails Unlimited Plan erlaubt Zugriff zu anderen Proton-Diensten sowie mehrere benutzerdefinierte Domains, unlimitierte hide-my-email-Aliases und 500 GB Speicher.
Mailbox Mail
{ align=right }
Mailbox Mail (ehemalig Mailbox.org) ist ein E-Mail-Anbieter mit Fokus auf Sicherheit sowie Werbungsfreiheit und wird betrieben von 100% umweltverträglicher Energie. Er wird seit 2014 betrieben. Mailbox Mail hat ihren Sitz in Berlin, Deutschland.
Konten starten mit bis zu 2 GB Speicher, welches bei Nachfrage erweitert werden kann.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Datenschutzrichtlinie" } :octicons-info-16:{ .card-link title="Dokumentation" }
Downloads
:material-check:{ .pg-green } Eigene Domains und Aliase
Mailbox Mail lässt dir deine eigene Domain benutzen, und sie unterstützen catch-all Adressen. Mailbox Mail unterstützt ebenfalls Unteradressen, was Nutzvoll ist, wenn du keine Domain kaufen möchtest.
:material-check:{ .pg-green } Diskrete Zahlungsmöglichkeiten
Mailbox Mail unterstützt keine Kryptowährung da deren Zahlungsanbieter BitPay ihre Geschäfte in Deutschland abgebrochen haben. Allerdings nehmen sie Bargeld über Post, **Bareinzahlung auf Bankkonto **, Überweisung, Kreditkarten, PayPal und manche deutschen Zahlungsanbieter: Paydirekt und Sofortüberweisung an.
:material-check:{ .pg-green } Kontosicherheit
Mailbox Mail unterstützt Zwei-Faktor-Authentifizierung nur für ihre Webmail. Du kannst entweder TOTP oder einen YubiKeyüber die YubiCloud benutzen. Webstandards wie WebAuthn sind noch nicht unterstützt.
:material-information-outline:{ .pg-blue } Datensicherheit
Mailbox Mail erlaubt für Verschlüsselung von eingehende Mails über ihre verschlüsselte Mailbox. Neue eingehende Nachrichten werden dann sofort mit deinem öffentlichen Schlüssel verschlüsselt.
Allerdings unterstützt die Softwareplattform die von Mailbox Mail verwendet wird, Open-Xchange nicht die Verschlüsselung deines Adressbuches oder deines Kalenders. Eine eigenständige Option könnte daher für diese Daten geeigneter sein.
:material-check:{ .pg-green } E-Mail-Verschlüsselung
Mailbox Mail has integrated encryption in their webmail, which simplifies sending messages to people with public OpenPGP keys. They also allow remote recipients to decrypt an email on Mailbox Mail's servers. Diese Funktion ist nützlich, wenn der Empfänger OpenPGP nicht nutzt und daher eine Kopie der E-Mail in seinem eigenen Postfach nicht entschlüsseln kann.
Mailbox Mail also supports the discovery of public keys via HTTP from their WKD. This allows people outside of Mailbox Mail to find the OpenPGP keys of Mailbox Mail accounts easily for cross-provider E2EE. This only applies to email addresses ending in one of Mailbox Mail's own domains, like @mailbox.org. Wenn du deine eigenen Domains benutzt, musst du selber WKD konfigurieren.
:material-information-outline:{ .pg-blue } Kontokündigung
Nach Ablauf deines Vertrags wird dein Konto zunächst auf ein eingeschränktes Benutzerkonto umgestellt. Dieses wird nach 30 Tagen unwiderruflich gelöscht.
:material-information-outline:{ .pg-blue } Zusätzliche Funktionen
You can access your Mailbox Mail account via IMAP/SMTP using their .onion service. Auf die Webmail-Schnittstelle kann jedoch nicht über den .onion-Dienst zugegriffen werden und es können TLS-Zertifikatsfehler auftreten.
Alle Konten verfügen über einen begrenzten Cloud-Speicher, der verschlüsselt werden kann. Mailbox Mail also offers the alias @secure.mailbox.org, which enforces the TLS encryption on the connection between mail servers, otherwise the message will not be sent at all. Mailbox Mail also supports Exchange ActiveSync in addition to standard access protocols like IMAP and POP3.
Mailbox Mail has a digital legacy feature for all plans. You can choose whether you want any of your data to be passed to heirs, providing that they apply and provide your testament. Alternativ kannst du auch eine Person mit Namen und Adresse benennen.
Weitere Anbieter
Diese Anbieter speichern deine E-Mails mit Zero-Knowledge-Verschlüsselung und sind damit eine gute Option für die Sicherheit deiner gespeicherten E-Mails. Allerdings unterstützen sie keine Interoperablen Verschlüsselungsstandards für Ende zu Ende Verschlüsselung zwischen verschiedenen Anbietern.
{ .twemoji loading=lazy }
{ .twemoji loading=lazy } Tuta
Tuta
{ align=right }
{ align=right }
Tuta (ehemals Tutanota) ist ein E-Mail-Dienst mit einem Fokus auf Sicherheit und Privatsphäre durch Verschlüsselung. Tuta ist seit 2011 in Betrieb und hat seinen Sitz in Hannover, Deutschland.
Free accounts start with 1 GB of storage.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Datenschutzerklärung" } :octicons-info-16:{ .card-link title="Dokumentation" } :octicons-code-16:{ .card-link title="Quellcode" } :octicons-heart-16:{ .card-link title="Mitwirken" }
Tuta unterstützt weder das IMAP-Protokoll noch die Verwendung von E-Mail-Clients von Drittanbietern, und du kannst auch keine externen E-Mail-Konten zur Tuta-App hinzufügen. Auch der E-Mail-Import wird derzeit nicht unterstützt, was sich aber bald ändern soll. E-Mails können einzeln oder per Massenauswahl pro Ordner exportiert werden, was bei vielen Ordnern unpraktisch sein kann.
:material-check:{ .pg-green } Eigene Domains und Aliase
Bezahlte Tuta-Konten können je nach Tarif entweder 15 oder 30 Aliase und unbegrenzte Aliase auf benutzerdefinierten Domains verwenden. Tuta lässt keine Unteradressen (Plus-Adressen) zu, du kannst aber einen Catch-All mit einer benutzerdefinierten Domain verwenden.
:material-information-outline:{ .pg-blue } Private Zahlungsmöglichkeiten
Tuta only directly accepts credit cards and PayPal, however you can use cryptocurrency to purchase gift cards via their partnership with ProxyStore.
:material-check:{ .pg-green } Kontosicherheit
Tuta unterstützt die Zwei-Faktor-Authentisierung entweder mit TOTP oder U2F.
:material-check:{ .pg-green } Datensicherheit
Tuta has zero-access encryption at rest for your emails, address book contacts, and calendars. Das bedeutet, dass die in deinem Konto gespeicherten Nachrichten und andere Daten nur von dir gelesen werden können.
:material-information-outline:{ .pg-blue } E-Mail-Verschlüsselung
Tuta verwendet kein OpenPGP. Tuta-Konten können verschlüsselte E-Mails von Nicht-Tuta-E-Mail-Konten nur empfangen, wenn sie über ein temporäres Tuta-Postfach gesendet werden.
:material-information-outline:{ .pg-blue } Kontokündigung
Tuta löscht inaktive kostenlose Konten nach sechs Monaten. Du kannst ein deaktiviertes kostenloses Konto wieder verwenden, wenn du bezahlst.
:material-information-outline:{ .pg-blue } Zusätzliche Funktionen
Tuta bietet die Business-Version von Tuta für gemeinnützige Organisationen kostenlos oder mit einem starken Rabatt.
Kriterien
Bitte beachte, dass wir mit keinem der von uns empfohlenen Anbieter verbunden sind. Zusätzlich zu unseren Standardkriterienhaben wir eine Reihe klarer Anforderungen für jeden E-Mail-Anbieter entwickelt, der empfohlen werden möchte, darunter die Umsetzung branchenweit bewährter Verfahren, moderne Technologien und weiteres. Wir empfehlen, sich mit dieser Liste vertraut zu machen, bevor du dich für einen E-Mail-Anbieter entscheidest, und deine eigenen Nachforschungen anzustellst, um sicherzustellen, dass der gewählte E-Mail-Anbieter die richtige Wahl für dich ist.
Technologien
Wir halten diese Merkmale für wichtig, um einen sicheren und optimalen Service zu bieten. You should consider whether the provider has the features you require.
Mindestvoraussetzung um sich zu qualifizieren:
- Must encrypt email account data at rest with zero-access encryption.
- Must be capable of exporting emails as Mbox or individual .EML with RFC5322 standard.
- Allow users to use their own domain name. Benutzerdefinierte Domänennamen sind für die Nutzer wichtig, da du so deine Identität von dem Dienst fernhalten kannst, falls dieser sich als schlecht erweist oder von einem anderen Unternehmen übernommen wird, bei dem der Datenschutz keine Rolle spielt.
- Must operate on owned infrastructure, i.e. not built upon third-party email service providers.
Im besten Fall:
- Should encrypt all account data (contacts, calendars, etc.) at rest with zero-access encryption.
- Should provide integrated webmail E2EE/PGP encryption as a convenience.
- Should support WKD to allow improved discovery of public OpenPGP keys via HTTP. GnuPG users can get a key with this command:
gpg --locate-key example_user@example.com. - Unterstützung für eine temporäre Mailbox für externe Benutzer. This is useful when you want to send an encrypted email without sending an actual copy to your recipient. Diese E-Mails haben in der Regel eine begrenzte Lebensdauer und werden dann automatisch gelöscht. Sie erfordern auch nicht, dass der Empfänger eine Kryptographie wie OpenPGP konfiguriert.
- Should support sub-addressing.
- Should allow users to use their own domain name. Benutzerdefinierte Domänennamen sind für die Nutzer wichtig, da du so deine Identität von dem Dienst fernhalten kannst, falls dieser sich als schlecht erweist oder von einem anderen Unternehmen übernommen wird, bei dem der Datenschutz keine Rolle spielt.
- Catch-all or alias functionality for those who use their own domains.
- Should use standard email access protocols such as IMAP, SMTP, or JMAP. Standard access protocols ensure customers can easily download all of their email, should they want to switch to another provider.
- Email provider's services should be available via an onion service.
Datenschutz
Wir ziehen es vor, dass die von uns empfohlenen Anbieter*innen so wenig Daten wie möglich sammeln.
Mindestvoraussetzung um zu qualifizieren:
- Must protect sender's IP address, which can involve filtering it from showing in the
Receivedheader field. - Must not require personally identifiable information (PII) besides a username and a password.
- Privacy policy must meet the requirements defined by the GDPR.
Im besten Fall:
- Should accept anonymous payment options (cryptocurrency, cash, gift cards, etc.)
- Should be hosted in a jurisdiction with strong email privacy protection laws.
Sicherheit
Email servers deal with a lot of very sensitive data. We expect that providers will adopt industry best practices in order to protect their customers.
Mindestvoraussetzung um zu qualifizieren:
- Protection of webmail with 2FA, such as TOTP.
- Zero-access encryption, which builds on encryption at rest. Der Anbieter verfügt nicht über die Entschlüsselungsschlüssel zu den Daten, die er besitzt. So wird verhindert, dass ein abtrünniger Mitarbeitender Daten preisgibt, auf die er/sie Zugriff hat, oder dass ein Angreifender Daten freigibt, die er/sie gestohlen hat, indem er/sie sich unbefugt Zugang zum Server verschafft.
- DNSSEC Unterstützung.
- Keine TLS-Fehler oder -Schwachstellen beim Profiling durch Tools wie Hardenize, testssl.shoder Qualys SSL Labs; dies schließt zertifikatsbezogene Fehler und schwache DH-Parameter ein, wie z. B. die, die zu Logjam führten.
- A server suite preference (optional on TLS 1.3) for strong cipher suites which support forward secrecy and authenticated encryption.
- Eine gültige MTA-STS und TLS-RPT Richtlinie.
- Gültige DANE Datensätze.
- Gültige SPF und DKIM Einträge.
- Must have a proper DMARC record and policy or use ARC for authentication. Wenn die DMARC-Authentifizierung verwendet wird, muss die Richtlinie auf
rejectoderquarantineeingestellt sein. - Eine Server-Suite-Einstellung mit TLS 1.2 oder höher und ein Plan für RFC8996.
- SMTPS Übermittlung, vorausgesetzt, SMTP wird verwendet.
- Website-Sicherheitsstandards wie z. B.:
- HTTP Strict Transport Security
- Subresource Integrity wenn Dinge von externen Domains geladen werden.
- Muss die Anzeige von Message Headers unterstützen, da dies eine wichtige forensische Funktion ist, um festzustellen, ob eine E-Mail ein Phishing-Versuch ist.
Im besten Fall:
- Should support hardware authentication, i.e. U2F und WebAuthn.
- DNS Certification Authority Authorization (CAA) Resource Record zusätzlich zur DANE-Unterstützung.
- Should implement Authenticated Received Chain (ARC), which is useful for people who post to mailing lists RFC8617.
- Published security audits from a reputable, third-party firm.
- Bug-Bounty-Programme und/oder ein koordiniertes Verfahren zur Offenlegung von Sicherheitslücken.
- Website-Sicherheitsstandards wie z. B.:
Vertrauen
You wouldn't trust your finances to someone with a fake identity, so why trust them with your email? Wir setzen für die von uns empfohlenen Anbietern voraus, dass sie ihre Eigentumsverhältnisse oder ihre Führungsrolle öffentlich gemacht haben. Außerdem wünschen wir uns häufige Transparenzberichte, insbesondere über die Bearbeitung von Regierungsanfragen.
Mindestvoraussetzung um zu qualifizieren:
- Öffentliche Führung oder Eigentum.
Im besten Fall:
- Häufige Transparenzberichte.
Marketing
With the email providers we recommend, we like to see responsible marketing.
Mindestvoraussetzung um zu qualifizieren:
- Must self-host analytics (no Google Analytics, Adobe Analytics, etc.).
- Must not have any irresponsible marketing, which can include the following:
- Claims of "unbreakable encryption." Encryption should be used with the intention that it may not be secret in the future when the technology exists to crack it.
- Guarantees of protecting anonymity 100%. When someone makes a claim that something is 100%, it means there is no certainty for failure. We know people can quite easily de-anonymize themselves in a number of ways, e.g.:
- Reusing personal information e.g. (email accounts, unique pseudonyms, etc.) that they accessed without anonymity software such as Tor
- Browser-Fingerprinting
Im besten Fall:
- Clear and easy-to-read documentation for tasks like setting up 2FA, email clients, OpenPGP, etc.
Zusätzliche Funktionalitäten
While not strictly requirements, there are some other convenience or privacy factors we looked into when determining which providers to recommend.