Crowdin Bot
30 KiB
meta_title, title, icon, description, cover, global
| meta_title | title | icon | description | cover | global | |||
|---|---|---|---|---|---|---|---|---|
| Doporučení na šifrované soukromé e-maily – Privacy Guides | E-mailové služby | material/email | Tito poskytovatelé e-mailu jsou skvělí pro bezpečné uchovávání e-mailů, a mnozí z nich nabízejí interoperabilní OpenPGP šifrování s ostatními poskytovateli. | email.webp |
|
Chrání před těmito hrozbami:
E-mail je prakticky nezbytný pro používání jakékoliv online služby, ale nedoporučujeme jej pro osobní konverzace. Namísto e-mailu zvažte možnost kontaktování pomocí chatovacích služeb, které podporují dopřednou bezpečnost.
Doporučené messengery{.md-button}
Doporučení poskytovatelé
Pro všechno ostatní doporučujeme různé e-mailové poskytovatele, kteří mají udržitelný byznys model a vestavěné funkce pro zachování bezpečnosti a soukromí. Přečtěte si náš úplný seznam kritérií pro více informací.
| Poskytovatel | OpenPGP / WKD | IMAP / SMTP | Encrypted Storage | Anonymní platební metody |
|---|---|---|---|---|
| Proton Mail | :material-check:{ .pg-green } | :material-information-outline:{ .pg-blue } Pouze placené tarify | :material-check:{ .pg-green } | Cash Monero via third party |
| Mailbox Mail | :material-check:{ .pg-green } | :material-check:{ .pg-green } | :material-information-outline:{ .pg-blue } Pouze maily | Hotovost |
| Tuta | :material-alert-outline:{ .pg-orange } | :material-alert-outline:{ .pg-orange } | :material-check:{ .pg-green } | Monero via third party Cash via third party |
Můžete navíc, nebo místo, zvážit používání kromě zmíněných e-mailových poskytovatelů i používání dedikované služby pro e-mailové aliasy pro ochranu vašeho soukromí. Tyto služby vám mimo jiné mohou pomoct chránit vaši pravou adresu před spamem, zabránit marketingovým týmům v korelování mezi jednotlivými účty a šifrovat všechny příchozí zprávy pomocí PGP.
Služby kompatibilní s OpenPGP
Tito poskytovatelé nativně podporují OpenPGP (de)šifrování a standard Web Key Directory (WKD), který umožňuje posílání koncově šifrovaných e-mailů bez ohledu na poskytovatele. Například uživatel Proton Mailu může poslat koncově šifrovanou zprávu uživateli Mailbox Mail, nebo může přijímat notifikace šifrované pomocí OpenPGP z internetových služeb, které to podporují.
{ .twemoji } Proton Mail
{ .twemoji } Mailbox Mail
Varování
I při používání E2EE technologie, jako je OpenPGP, budou vaše e-maily přesto obsahovat některá metadata, která nebudou šifrovaná v hlavičce e-mailu, obvykle včetně předmětu. Přečtěte si více o e-mailových metadatech.
OpenPGP také nepodporuje dopřednou bezpečnost, což znamená, že pokud někdo jiný získá soukromý klíč, ať už váš, nebo protistrany, všechny vaše předchozí šifrované zprávy budou odhaleny.
Proton Mail
{ align=right }
Proton Mail je e-mailová služba se zaměřením na soukromí, šifrování, bezpečnost a snadné používání. Fungují od roku 2013. Proton AG sídlí ve švýcarské Ženevě.
Tarif Proton Free obsahuje 500 MB úložiště pro e-mail, které můžete zdarma rozšířit až na 1 GB.
:octicons-home-16: Hlavní stránka{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion stránka" } :octicons-eye-16:{ .card-link title="Zásady ochrany osobních údajů" } :octicons-info-16:{ .card-link title="Podpora" } :octicons-code-16:{ .card-link title="Zdrojový kód" }
Free accounts have some limitations, such as not being able to search body text and not having access to Proton Mail Bridge, which is required to use a recommended desktop email client such as Thunderbird. Placené účty zahrnují funkce, jako je např. Proton Mail Bridge, dodatečné úložiště nebo podpora vlastních domén. The Proton Unlimited plan or any multi-user Proton plan includes access to SimpleLogin Premium.
A letter of attestation was provided for Proton Mail's apps in November 2021 by Securitum.
Proton Mail has internal crash reports that are not shared with third parties and can be disabled.
=== "Web"
From your inbox, select :gear: → **All Settings** → **Account** → **Security and privacy** → **Privacy and data collection**.
- [ ] Disable **Collect usage dignostics**
- [ ] Disable **Send crash reports**
=== "Mobile"
From your inbox, select :material-menu: → :gear: **Settings** → select your username.
- [ ] Disable **Send crash reports**
- [ ] Disable **Collect usage dignostics**
:material-check:{ .pg-green } Vlastní domény a aliasy
Uživatelé placených tarifů Proton Mailu mohou používat vlastní domény se službou nebo univerzální adresu. Proton Mail také podporuje sub-adresování, což je užitečné pro lidi, kteří si nechtějí kupovat doménu.
:material-check:{ .pg-green } Soukromé platební metody
Proton Mail kromě běžných plateb kreditní či debetní kartou přijímá také Bitcoin, PayPal a dokonce i hotovost zaslanou poštou. Additionally, you can use Monero to purchase vouchers for Proton Mail Plus or Proton Unlimited via their official reseller ProxyStore.
:material-check:{ .pg-green } Zabezpečení účtu
Proton Mail podporuje dvoufaktorové ověřování pomocí TOTP a hardwarové bezpečnostní klíče pomocí standardů FIDO2 a U2F. Používání hardwarových bezpečnostních klíčů nejprve vyžaduje nastavení TOTP dvoufaktorového ověření.
:material-check:{ .pg-green } Zabezpečení dat
Proton Mail stores your emails and calendars with PGP-based encryption at rest, where only you have the decryption keys needed to access them later.
Certain information stored in Proton Contacts, such as display names and email addresses, are not secured with your own encryption keys, so Proton is able to read them. Contact fields which are protected with your own encryption keys, such as phone numbers, are indicated with a padlock icon.
:material-check:{ .pg-green } Šifrování e-malu
Proton Mail má integrované OpenPGP šifrování ve svém webmailu. E-maily posílané ostatním účtům Proton Mailu jsou automaticky šifrované a šifrování na adresy mimo Proton Mail OpenPGP klíčem lze jednoduše povolit v nastavení vašeho účtu. Proton také podporuje automatické zjišťování externích klíčů pomocí WKD. To znamená, že e-maily poslané jiným poskytovatelům, kteří používají WKD, budou také automaticky šifrované pomocí OpenPGP bez nutnosti vyměňovat si veřejné OpenPGP klíče s vašimi kontakty. Také vám umožňují šifrovat zprávy adresátům mimo Proton Mail bez OpenPGP, aniž by si museli zakládat Proton Mail účet.
Proton Mail také zveřejňuje veřejné klíče Proton účtů přes HTTP z jejich WKD. To umožňuje lidem, kteří nepoužívají Proton Mail, snadno najít OpenPGP klíče Proton Mail účtů jednoduše pro E2EE mezi různými poskytovateli. To ale platí pouze pro e-mailové adresy ve vlastních doménách Protonu, např. @proton.me. Pokud používáte vlastní doménu, je potřeba nastavit WKD zvlášť.
:material-information-outline:{ .pg-blue } Ukončení účtu
Pokud máte placený tarif a nezaplatíte do 14 dnů, nebudete moci přistupovat ke svým datům. Po 30 dnech se váš účet omezí a nebude přijímat příchozí e-maily. Toto období vám bude stále účtováno. Proton odstraní neaktivní bezplatné účty po jednom roce. Nemůžete znovu použít e-mailovou adresu deaktivovaného účtu.
:material-information-outline:{ .pg-blue } Dodatečné funkce
Tarif Proton Mail Unlimited vám kromě několika vlastních domén, neomezených skrytých e-mailových aliasů a 500 GB úložiště navíc umožňuje přístup k prémiovým funkcím ostatních služeb Protonu.
Mailbox Mail
{ align=right }
Mailbox Mail (formerly Mailbox.org) is an email service with a focus on being secure, ad-free, and powered by 100% eco-friendly energy. Fungují od roku 2014. Mailbox Mail sídlí v německém Berlíně.
Účty mají 2 GB úložiště, které může být podle potřeby rozšířeno.
:octicons-home-16: Hlavní stránka{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Zásady ochrany osobních údajů" } :octicons-info-16:{ .card-link title="Dokumentace" }
Ke stažení
:material-check:{ .pg-green } Vlastní domény a aliasy
z Mailbox Mail lets you use your own domain, and they support catch-all addresses. Mailbox Mail also supports sub-addressing, which is useful if you don't want to purchase a domain.
:material-check:{ .pg-green } Soukromé platební metody
Mailbox Mail nepřijímá žádné kryptoměny, jelikož jejich platební brána BitPay v Německu přerušila svou činnost. Přijímají ale hotovost poštou, hotovostní platba na bankovní účet, bankovní převod, kreditní karty, PayPal a pár brán specifických pro Německo: Paydirekt a Sofortüberweisung.
:material-check:{ .pg-green } Zabezpečení účtu
Mailbox Mail supports two-factor authentication for their webmail only. Můžete použít buď TOTP nebo YubiKey přes YubiCloud. Webové standardy, jako je např. WebAuthn, nejsou zatím podporovány.
:material-information-outline:{ .pg-blue } Zabezpečení dat
Mailbox Mail allows for encryption of incoming mail using their encrypted mailbox. Nové zprávy, které obdržíte, budou automaticky zašifrované pomocí vašeho veřejného klíče.
However, Open-Xchange, the software platform used by Mailbox Mail, does not support the encryption of your address book and calendar. Pro tato data může být vhodnější jiná, oddělená služba.
:material-check:{ .pg-green } Šifrování e-malu
Mailbox Mail has integrated encryption in their webmail, which simplifies sending messages to people with public OpenPGP keys. They also allow remote recipients to decrypt an email on Mailbox Mail's servers. Tato funkce je užitečná v případě, že vzdálený příjemnce nemá OpenPGP a nemůže dešifrovat kopii e-mailu v jeho vlastní schránce.
Mailbox Mail také podporuje zjišťování veřejných klíču skrz HTTP z jejich WKD. To umožňuje lidem mimo Mailbox Mail najít OpenPGP klíče Mailbox. org účtů jednoduše pro E2EE mezi různými poskytovateli. To ale platí pouze pro e-mailové adresy ve vlastních doménách Mailbox Mail, jako je např. @mailbox.org. Pokud používáte vlastní doménu, je potřeba nastavit WKD zvlášť.
:material-information-outline:{ .pg-blue } Ukončení účtu
Váš účet bude nastaven jako omezený, jakmile skončí vaše smlouva. It will be irrevocably deleted after 30 days.
:material-information-outline:{ .pg-blue } Dodatečné funkce
You can access your Mailbox Mail account via IMAP/SMTP using their .onion service. Přes .onion službu ale nemůžete přistupovat k jejich webmail rozhraní a může docházet k chybám s TLS certifikátem.
All accounts come with limited cloud storage that can be encrypted. Mailbox Mail also offers the alias @secure.mailbox.org, which enforces the TLS encryption on the connection between mail servers, otherwise the message will not be sent at all. Mailbox Mail také podporuje Exchange ActiveSync kromě standardních přístupových protokolů, jako je IMAP nebo POP3.
Mailbox Mail má službu digitálního dědictví ve všech tarifech. Můžete si vybrat, která data budou poskytnuta vašim dědičům v případě, že o ně požádají a poskytnou vaši závěť. Případně můžete určit osobu podle jména a adresy.
Více poskytovatelů
These providers encrypt your emails in a way that only you can read them later, making them great options for keeping your stored emails secure. Nepodporují však interoperabilní šifrovací standardy pro E2EE komunikaci napříč různými poskytovateli.
{ .twemoji loading=lazy }
{ .twemoji loading=lazy } Tuta
Tuta
{ align=right }
{ align=right }
Tuta (dříve Tutanota) je e-mailová služba se zaměřením na bezpečnost a soukromí prostřednictvím šifrování. Tuta působí od roku 2011 a sídlí v německém Hanoveru.
Bezplatné účty zahrnují 1 GB úložiště.
:octicons-home-16: Domovská stránka{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Soukromí" } :octicons-info-16:{ .card-link title="Podpora" } :octicons-code-16:{ .card-link title="Zdrojový kód" } :octicons-heart-16:{ .card-link title="Přispějte" }
Tuta nepodporuje IMAP protokol ani používání e-mailových klientů třetích stran, a ani nemůžete přidat externí e-mailové účtu do aplikace Tuta. V současnosti není podporován ani import e-mailů, což se má však změnit. E-maily lze exportovat jednotlivě nebo hromadně pro jednotlivé složky, což může být nemotorné, pokud máte více složek.
:material-check:{ .pg-green } Vlastní domény a aliasy
Placené Tuta účty mohou používat buď 15 nebo 30 aliasů v závislosti na jejich tarifu, a neomezené množství aliasů na vlastních doménách. Tuta neumožňuje sub-adresování (plusové adresy), ale můžete použít univerzální adresu s vlastní doménou.
:material-information-outline:{ .pg-blue } Soukromé platební metody
Tuta only directly accepts credit cards and PayPal, however you can use cryptocurrency to purchase gift cards via their partnership with ProxyStore.
:material-check:{ .pg-green } Zabezpečení účtu
Tuta podporuje dvoufaktorové oveřování pomocí TOTP nebo U2F.
:material-check:{ .pg-green } Zabezpečení dat
Tuta stores your emails, address book contacts, and calendars with strong encryption where only you have the decryption keys. This means the messages and other data stored in your account cannot be read by anyone other than you after they are stored.
:material-information-outline:{ .pg-blue } Šifrování e-mailů
Tuta nepoužívá OpenPGP. Tuta účtu mohou přijímat šifrované e-maily od účtů nepocházejících od Tuty pouze tehdy, když jsou odeslány přes dočasnou Tuta schránku.
:material-information-outline:{ .pg-blue } Ukončení účtu
Tuta odstraní neaktivní bezplatné účty po šesti měsících. Pokud zaplatíte, můžete znovu použít deaktivovaný bezplatný účet.
:material-information-outline:{ .pg-blue } Dodatečné funkce
Tuta nabízí firemní verzi Tuty pro neziskové organizace buď zadarmo, nebo s výraznou slevou.
Kritéria
Upozorňujeme, že nespolupracujeme s žádným z poskytovatelů, které doporučujeme. Kromě našich standardních kritérií jsme vypracovali jasný seznam požadavků pro každého e-mailového poskytovatele, který by si přál být doporučený, včetně zavedení osvědčených postupů v odvětví, moderních technologií a dalších. Doporučujeme, abyste se seznámili s tímto seznamem před tím, než se rozhodnete pro některého e-mailového poskytovatele, a také se sami přesvědčili, že daný e-mailový poskytovatel je správná volba pro vás.
Technologie
Tyto funkce považujeme za důležité pro to, aby byla služba bezpečná a optimální. Měli byste brát v potaz, jestli daný poskytovatel má funkce, které potřebujete.
Naprosté minimum:
- Must encrypt email account data at rest with asymmetric encryption, where only the user has the private keys needed to decrypt it.
- Musí být schopen exportovat e-maily jako Mbox nebo jednotlivé .EML v normě RFC5322.
- Umožňovat uživatelům používat jejich vlastní domény. Vlastní domény jsou pro uživatele důležité, protože jim umožňují zachovávat nezávislost na službě, ať už z důvodu jejího úpadku nebo převzetí jinou společností, která nepovažuje soukromí za prioritu.
- Musí fungovat na vlastní infrastruktuře, tzn. že nesmí běžet na e-mailových službách třetích stran.
Nejlepší případ:
- Should encrypt all account data (contacts, calendars, etc.) at rest with asymmetric encryption, where only the user has the private keys needed to decrypt it.
- Měla by pro jednoduchost poskytovat webmail s integrovaným E2EE/PGP šifrováním.
- Měla by podporovat WKD, aby bylo možné lépe nalézat veřejné OpenPGP klíče přes HTTP. Uživatelé GnuPG mohou získat klíč tímto příkazem:
gpg --locate-key uzivatel@priklad.cz. - Podporuje dočasné schránky pro externí uživatele. To je užitečné, pokud chcete poslat zašifrovaný e-mail, aniž byste odeslali skutečnou kopii příjemci. Tyto e-maily mají obvykle omezenou životnost a jsou následně smazány. Také nevyžadují od příjemce nastavování jakékoliv kryptografie, např. OpenPGP.
- Měla by podporovat sub-adresování.
- Měla by umožňovat uživatelům používat jejich vlastní domény. Vlastní domény jsou pro uživatele důležité, protože jim umožňují zachovávat nezávislost na službě, ať už z důvodu jejího úpadku nebo převzetí jinou společností, která nepovažuje soukromí za prioritu.
- Funkce catch-all a aliasy pro ty, kteří chtějí používat svoje domény.
- Měla by používat standardní protokoly pro přístup k e-mailu, jako je IMAP, SMTP nebo JMAP. Standardní přístupové protokoly zajišťují, že si zákazníci mohou snadno stáhnout všechny svoje e-maily, kdyby se rozhodli změnit poskytovatele.
- Služby poskytovatele e-mailu by měly být dostupné přes onion službu.
Soukromí
Preferujeme, aby námi doporučení poskytovatelé shromažďovali co nejméně dat.
Naprosté minimum:
- Musí chránit IP adresu odesílatele, což může zahrnovat její odstranění v
Receivedpoli v hlavičce. - Nesmí vyžadovat osobní údaje (personally identifiable information, PII) kromě uživatelského jména a hesla.
- Zásady ochrany osobních údajů musí splňovat požadavky definované GDPR.
Nejlepší případ:
- Měla by přijímat anonymní platební metody (kryptoměny, hotovost, dárkové poukazy atp.)
- Měla by být umístěna v jurisdikci se silnou právní ochranou e-mailového soukromí.
Bezpečnost
E-mailové servery pracují s velkým množstvím citlivých dat. Očekáváme, že poskytovatelé implementují v odvětví osvědčené postupy, aby ochránili své zákazníky.
Naprosté minimum:
- Ochrana webmailu pomocí 2FA, např. TOTP.
- Encryption at rest, using asymmetric encryption where the service provider does not have the decryption keys to the data they hold. This prevents a rogue employee leaking data they have access to, or a remote adversary from releasing data they have stolen by gaining unauthorized access to the server.
- DNSSEC support.
- No TLS errors or vulnerabilities when being profiled by tools such as Hardenize, testssl.sh, or Qualys SSL Labs; this includes certificate related errors and weak DH parameters, such as those that led to Logjam.
- A server suite preference (optional on TLS 1.3) for strong cipher suites which support forward secrecy and authenticated encryption.
- A valid MTA-STS and TLS-RPT policy.
- Valid DANE records.
- Valid SPF and DKIM records.
- Must have a proper DMARC record and policy or use ARC for authentication. If DMARC authentication is being used, the policy must be set to
rejectorquarantine. - A server suite preference of TLS 1.2 or later and a plan for RFC8996.
- SMTPS submission, assuming SMTP is used.
- Website security standards such as:
- HTTP Strict Transport Security
- Subresource Integrity if loading things from external domains.
- Must support viewing of message headers, as it is a crucial forensic feature to determine if an email is a phishing attempt.
Best Case:
- Should support hardware authentication, i.e. U2F and WebAuthn.
- DNS Certification Authority Authorization (CAA) Resource Record in addition to DANE support.
- Should implement Authenticated Received Chain (ARC), which is useful for people who post to mailing lists RFC8617.
- Published security audits from a reputable, third-party firm.
- Bug-bounty programs and/or a coordinated vulnerability-disclosure process.
- Website security standards such as:
Trust
You wouldn't trust your finances to someone with a fake identity, so why trust them with your email? We require our recommended providers to be public about their ownership or leadership. We also would like to see frequent transparency reports, especially in regard to how government requests are handled.
Minimum to Qualify:
- Public-facing leadership or ownership.
Best Case:
- Frequent transparency reports.
Marketing
With the email providers we recommend, we like to see responsible marketing.
Minimum to Qualify:
- Must self-host analytics (no Google Analytics, Adobe Analytics, etc.).
- Must not have any irresponsible marketing, which can include the following:
- Claims of "unbreakable encryption." Encryption should be used with the intention that it may not be secret in the future when the technology exists to crack it.
- Guarantees of protecting anonymity 100%. When someone makes a claim that something is 100%, it means there is no certainty for failure. We know people can quite easily de-anonymize themselves in a number of ways, e.g.:
- Reusing personal information e.g. (email accounts, unique pseudonyms, etc.) that they accessed without anonymity software such as Tor
- Browser fingerprinting
Best Case:
- Clear and easy-to-read documentation for tasks like setting up 2FA, email clients, OpenPGP, etc.
Additional Functionality
While not strictly requirements, there are some other convenience or privacy factors we looked into when determining which providers to recommend.