i18n/i18n/pt/email.md

meta_title, title, icon, description, cover

meta_title	title	icon	description	cover
Recomendações de Correio Eletrónico Privado Encriptado - Privacy Guides	Serviços de Correio Eletrónico	material/email	Estes fornecedores de correio eletrónico são um excelente local para armazenar as suas mensagens eletrónicas em segurança e muitos oferecem encriptação OpenPGP interoperável com outros fornecedores.	email.webp

O correio eletrónico é praticamente uma necessidade para subscrever qualquer serviço online, mas não o recomendamos para conversas pessoais. Em vez de utilizar o correio eletrónico para contactar outras pessoas, considere a possibilidade de utilizar uma aplicação de mensagens instantâneas que suporte encaminhamento sigiloso.

Aplicações de Mensagens Instantâneas Recomendadas{.md-button}

Para tudo o resto, recomendamos uma variedade de fornecedores de e-mail baseados em modelos de negócio sustentáveis e que incorporem funcionalidades de segurança e de privacidade.

• Fornecedores de Correio Eletrónico Compatíveis com OpenPGP :material-arrow-right-drop-circle:
• Outros Fornecedores com Encriptação :material-arrow-right-drop-circle:
• Serviços de Aliasing de Correio Eletrónico :material-arrow-right-drop-circle:
• Opções Auto-Hospedadas :material-arrow-right-drop-circle:

Serviços Compatíveis com OpenPGP

These providers natively support OpenPGP encryption/decryption and the Web Key Directory standard, allowing for provider-agnostic E2EE emails. Por exemplo, um utilizador do Proton Mail pode enviar uma mensagem E2EE a um utilizador do Mailbox.org, ou pode receber notificações encriptadas em OpenPGP de serviços Internet que o suportem.

• { .twemoji } Proton Mail
• { .twemoji } Mailbox.org

Warning

When using E2EE technology like OpenPGP your email will still have some metadata that is not encrypted in the header of the email, generally including the subject line! Read more about email metadata.

OpenPGP also does not support Forward secrecy, which means if either your or the recipient's private key is ever stolen, all previous messages encrypted with it will be exposed. How do I protect my private keys?

Proton Mail

{ align=right }

O Proton Mail é um serviço de e-mail que privilegia a privacidade, a encriptação, a segurança e a facilidade de utilização. Estão em funcionamento desde 2013. A Proton AG tem sede em Genebra, na Suíça. As contas gratuitas disponibilizam 500 MB de armazenamento.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion Service" } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" }

Downloads

• :simple-googleplay: Google Play
• :simple-appstore: App Store
• :simple-github: GitHub
• :simple-windows11: Windows
• :simple-apple: macOS
• :simple-linux: Linux
• :octicons-browser-16: Web

As contas gratuitas têm algumas limitações, tais como a impossibilidade de pesquisar o corpo do texto e o facto de não terem acesso ao Proton Mail Bridge, que é necessário para utilizar um cliente recomendado de e-mail para PC (por exemplo, Thunderbird). As contas pagas incluem funcionalidades como o Proton Mail Bridge, armazenamento adicional e suporte para domínios personalizados. A Securitum certificou as aplicações do Proton Mail, em 9 de novembro de 2021.

Se tiver o Plano Proton Unlimited, Business ou Visionary, poderá usar o SimpleLogin Premium gratuitamente.

O Proton Mail tem relatórios internos de falhas que não partilham com terceiros. Verifique "Criptografia de E-mail".

:material-check:{ .pg-green } Domínios e aliases personalizados

Os subscritores do Proton Mail podem utilizar o seu próprio domínio com o serviço ou um endereço catch-all. O Proton Mail também suporta sub-endereçamento, o que é útil para as pessoas que não querem comprar um domínio.

:material-check:{ .pg-green } Métodos de pagamento privados

O Proton Mail aceita dinheiro por correio, para além dos pagamentos normais com cartão de crédito/débito, Bitcoin e PayPal.

:material-check:{ .pg-green } Segurança da conta

O Proton Mail suporta TOTP autenticação de dois fatores e chaves de segurança de hardware utilizando as normas FIDO2 ou U2F. A utilização de uma chave de segurança de hardware requer a configuração prévia da autenticação de dois fatores TOTP.

:material-check:{ .pg-green } Segurança dos dados

O Proton Mail tem encriptação de acesso zero no estado de repouso para os seus e-mails e calendários. Só você pode aceder aos dados protegidos com encriptação de acesso zero.

Certas informações armazenadas em Proton Contactos, tais como nomes de apresentação e endereços de e-mail, não estão protegidas por encriptação de acesso zero. Os campos dos contactos que suportam encriptação de acesso zero, como os números de telefone, são indicados com um ícone de cadeado.

:material-check:{ .pg-green } Encriptação de e-mail

O Proton Mail tem encriptação OpenPGP integrada no seu webmail. Os e-mails para outras contas do Proton Mail são encriptados automaticamente e a encriptação para endereços que não sejam do Proton Mail com uma chave OpenPGP pode ser ativada facilmente nas definições da sua conta. Proton also supports automatic external key discovery with Web Key Directory (WKD). This means that emails sent to other providers which use WKD will be automatically encrypted with OpenPGP as well, without the need to manually exchange public PGP keys with your contacts. They also allow you to encrypt messages to non-Proton Mail addresses without OpenPGP, without the need for them to sign up for a Proton Mail account.

Proton Mail also publishes the public keys of Proton accounts via HTTP from their WKD. Isto permite que as pessoas que não utilizam o Proton Mail encontrem facilmente as chaves OpenPGP das contas do Proton Mail, para E2EE entre fornecedores. This only applies to email addresses ending in one of Proton's own domains, like @proton.me. If you use a custom domain, you must configure WKD separately.

:material-information-outline:{ .pg-blue } Remoção da conta

Se tiver uma conta paga e passarem 14 dias da data de pagamento sem que seja paga, não poderá aceder aos seus dados. Decorridos 30 dias, a sua conta ficará em situação de incumprimento e não receberá e-mails. A faturação continuará a ser processada durante esse período.

:material-information-outline:{ .pg-blue } Funcionalidade adicional

O Proton Mail oferece uma conta "Ilimitada" por 9,99 euros/mês, que também permite o acesso ao Proton VPN, para além de fornecer várias contas, domínios, pseudónimos e 500 GB de armazenamento.

O Proton Mail não oferece funcionalidade de legado digital.

Mailbox.org

{ align=right }

Mailbox.org é um serviço de e-mail cujo foco é a segurança. Não apresenta nenhum tipo de publicidade e o seu consumo de energia é garantido de forma privada por energia 100% ecológica. Estão em funcionamento desde 2014. A Mailbox.org está sediada em Berlim, na Alemanha. As contas começam com 2 GB de armazenamento, que podem ser incrementados de acordo com as necessidades.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation}

Downloads

• :octicons-browser-16: Web

:material-check:{ .pg-green } Domínios e aliases personalizados

O Mailbox.org permite-lhe utilizar o seu próprio domínio e suporta endereços catch-all. O Mailbox.org também suporta o sub-endereçamento , o que é útil se não quiser comprar um domínio.

:material-check:{ .pg-green } Métodos de pagamento privados

O Mailbox.org não aceita quaisquer criptomoedas devido ao facto do seu processador de pagamentos BitPay ter suspendido as operações na Alemanha. No entanto, aceitam dinheiro por correio, pagamento em dinheiro para conta bancária, transferência bancária, cartão de crédito, PayPal e alguns serviços de pagamento específicos para a Alemanha: paydirekt e Sofortüberweisung.

:material-check:{ .pg-green } Segurança da conta

O Mailbox.org suporta autenticação de dois fatores apenas para o seu webmail. Pode utilizar o TOTP ou uma YubiKey através da YubiCloud. Normas Web como a WebAuthn ainda não são suportadas.

:material-information-outline:{ .pg-blue } Segurança dos dados

O Mailbox.org permite a encriptação do correio recebido utilizando a sua caixa de e-mail encriptada . As novas mensagens recebidas serão imediatamente encriptadas com a sua chave pública.

No entanto, a Open-Exchange, a plataforma de software utilizada pelo Mailbox.org, não suporta a encriptação do seu livro de endereços e calendário. Uma opção standalone pode ser mais adequada para salvaguardar a segurança dessa informação.

:material-check:{ .pg-green } Encriptação de e-mail

O Mailbox.org tem encriptação integrada no seu webmail, o que simplifica o envio de mensagens para pessoas com chaves OpenPGP públicas. Também possibilitam que destinatários remotos desencriptem uma mensagem de e-mail nos servidores de Mailbox.org. Esta funcionalidade é útil quando o destinatário remoto não tem o OpenPGP e não consegue desencriptar uma cópia do e-mail na sua própria caixa de correio.

O Mailbox.org também suporta a descoberta de chaves públicas via HTTP a partir do seu Web Key Directory (WKD). Isto permite que pessoas que não utilizem o Mailbox.org encontrem facilmente as chaves OpenPGP das contas Mailbox.org, para E2EE entre fornecedores. This only applies to email addresses ending in one of Mailbox.org's own domains, like @mailbox.org. If you use a custom domain, you must configure WKD separately.

:material-information-outline:{ .pg-blue } Remoção da conta

Após o termo do contrato, a sua conta será definida como uma conta de utilizador restrita. Passados 30 dias será irrevogavelmente eliminada.

:material-information-outline:{ .pg-blue } Funcionalidade adicional

Pode aceder à sua conta Mailbox.org através de IMAP/SMTP utilizando o serviço .onion. No entanto, a sua interface de webmail não pode ser acedida através do serviço .onion e podem ocorrer erros de certificado TLS.

Todas as contas incluem um armazenamento em nuvem limitado que pode ser encriptado. O Mailbox.org também oferece pseudónimo @secure.mailbox.org, que força a encriptação TLS na ligação entre servidores de e-mail. Se isso não acontecer, a mensagem não será enviada. O Mailbox.org também suporta Exchange ActiveSync, para além dos protocolos de acesso padrão como IMAP e POP3.

O Mailbox.org tem uma funcionalidade de legado digital para todos os planos. Pode escolher se quer que os seus dados sejam transmitidos aos seus herdeiros, desde que estes o solicitem e apresentem o seu testamento. Em alternativa, pode nomear uma pessoa, fornecendo o seu nome e endereço.

Mais Fornecedores

Estes fornecedores armazenam as suas mensagens eletrónicas com encriptação de acesso zero, o que os torna excelentes opções para manter a segurança do seu armazenamento. No entanto, não suportam normas de encriptação interoperáveis para comunicações E2EE entre fornecedores.

• { .twemoji } Tuta

Tuta

{ align=right }

Tuta is an email service with a focus on security and privacy through the use of encryption. Tuta has been in operation since 2011 and is based in Hanover, Germany. As contas gratuitas disponibilizam 1 GB de armazenamento.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title=Contribute }

Downloads

• :simple-googleplay: Google Play
• :simple-appstore: App Store
• :simple-github: GitHub
• :simple-windows11: Windows
• :simple-apple: macOS
• :simple-linux: Linux
• :octicons-browser-16: Web

Tuta doesn't support the IMAP protocol or the use of third-party email clients, and you also won't be able to add external email accounts to the Tuta app. Email import is not currently supported either, though this is due to be changed. Emails can be exported individually or by bulk selection per folder, which may be inconvenient if you have many folders.

:material-check:{ .pg-green } Domínios e Aliases Personalizados

Paid Tuta accounts can use either 15 or 30 aliases depending on their plan and unlimited aliases on custom domains. Tuta doesn't allow for subaddressing (plus addresses), but you can use a catch-all with a custom domain.

:material-information-outline:{ .pg-blue } Métodos de pagamento privados

Tuta only directly accepts credit cards and PayPal, however cryptocurrency can be used to purchase gift cards via their partnership with Proxystore.

:material-check:{ .pg-green } Segurança da Conta

Tuta supports two factor authentication with either TOTP or U2F.

:material-check:{ .pg-green } Segurança dos Dados

Tuta has zero access encryption at rest for your emails, address book contacts, and calendars. Isto significa que as mensagens e outros dados armazenados na sua conta só podem ser lidos por si.

:material-information-outline:{ .pg-blue } Encriptação de Correio Eletrónico

Tuta does not use OpenPGP. Tuta accounts can only receive encrypted emails from non-Tuta email accounts when sent via a temporary Tuta mailbox.

:material-information-outline:{ .pg-blue } Remoção da Conta

Tuta will delete inactive free accounts after six months. Poderá reutilizar uma conta gratuita desativada, se pagar.

:material-information-outline:{ .pg-blue } Funcionalidade Adicional

Tuta offers the business version of Tuta to non-profit organizations for free or with a heavy discount.

Tuta also has a business feature called Secure Connect. Isto garante que todos os contactos do cliente com a empresa utilizam o E2EE. Esta funcionalidade custa 240 euros por ano.

Tuta doesn't offer a digital legacy feature.

Serviços de aliasing de e-mail

Um serviço de aliasing de e-mail permite-lhe gerar facilmente um novo endereço de e-mail para cada sítio Web em que efetue um registo. Os aliases de e-mail que gera são depois reencaminhados para um endereço de e-mail à sua escolha, ocultando tanto o seu endereço de e-mail "principal" como a identidade do seu fornecedor de e-mail. Um serviço de aliasing de e-mail é melhor do que o endereçamento plus habitualmente utilizado e suportado por muitos fornecedores, que permite criar aliases como yourname+[anythinghere]@example.com, porque os sites, os anunciantes e as redes de rastreio podem remover trivialmente tudo o que se segue ao sinal + para conhecer o seu verdadeiro endereço de e-mail.

• { .twemoji } addy.io
• { .twemoji } SimpleLogin

O aliasing de e-mail pode funcionar como uma salvaguarda no caso de o seu fornecedor de e-mail cessar atividade. Nesse caso, pode facilmente reencaminhar os seus pseudónimos para um novo endereço de correio eletrónico. No entanto, está a depositar toda confiança apenas no serviço de aliasing para continuar a ter acesso ao seu e-mail.

A utilização de um serviço de aliasing de e-mail dedicado tem uma série de vantagens em relação a um alias global num domínio personalizado:

• Os pseudónimos podem ser ativados e desativados individualmente quando necessário, evitando que os sites enviem mensagens de e-mail de forma aleatória.
• As respostas são enviadas a partir do endereço alias, protegendo o seu endereço de e-mail real.

Têm também uma série de vantagens em relação aos serviços de "e-mail temporário":

• Os pseudónimos são permanentes e podem ser ativados novamente se for necessário receber alguma informação, como por exemplo uma redefinição de palavra-passe.
• Os e-mails são enviados para a sua caixa de correio de confiança, em vez de serem guardados pelo fornecedor do pseudónimo.
• Os serviços de e-mail temporário têm normalmente caixas de correio públicas que podem ser acedidas por qualquer pessoa que conheça o endereço; os pseudónimos são privados.

As nossas recomendações de aliasing de e-mail são fornecedores que lhe permitem criar aliases em domínios que eles controlam, bem como no(s) seu(s) próprio(s) domínio(s) personalizado(s), por uma módica taxa anual. Também podem ser auto-hospedados, caso pretenda um controlo máximo. No entanto, a utilização de um domínio personalizado pode ter desvantagens relacionadas com a privacidade: Se for a única pessoa a utilizar o seu domínio personalizado, as suas ações podem ser facilmente localizadas em todos os sites bastando olhar para o nome do domínio no endereço de e-mail e ignorar tudo o que vem antes do sinal arroba (@).

A utilização de um serviço de aliasing requer a sua confiança no fornecedor de e-mail e no fornecedor de aliasing, no caso das suas mensagens não serem encriptadas. Alguns fornecedores atenuam ligeiramente esta situação com a encriptação PGP automática, o que encripta os e-mails recebidos antes de serem entregues ao fornecedor final de e-mail, reduzindo o número de entidades terceiras em que é necessário confiar, de duas para uma.

addy.io

{ align=right } { align=right }

addy.io lets you create 10 domain aliases on a shared domain for free, or unlimited "standard" aliases which are less anonymous.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title=Contribute }

Downloads

• :simple-android: Android
• :material-apple-ios: iOS
• :simple-firefoxbrowser: Firefox
• :simple-googlechrome: Chrome

The number of shared aliases (which end in a shared domain like @addy.io) that you can create is limited to 10 on addy.io's free plan, 50 on their $1/month plan and unlimited on the $4/month plan (billed $3 for a year). You can create unlimited standard aliases (which end in a domain like @[username].addy.io or a custom domain on paid plans), however, as previously mentioned, this can be detrimental to privacy because people can trivially tie your standard aliases together based on the domain name alone. They are useful where a shared domain might be blocked by a service. Securitum audited addy.io in September 2023 and no significant vulnerabilities were identified.

Funcionalidades gratuitas dignas de nota:

• 10 Aliases partilhados
• Aliases padrão ilimitados
• Nenhuma resposta de saída
• 1 Recipient Mailboxes
• Encriptação PGP automática

SimpleLogin

{ align=right }

O SimpleLogin é um serviço gratuito que fornece aliases de e-mail numa variedade de nomes de domínio partilhados e, opcionalmente, fornece funcionalidades pagas, como aliases ilimitados e domínios personalizados.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" }

Downloads

• :simple-googleplay: Google Play
• :simple-appstore: App Store
• :simple-github: GitHub
• :simple-firefoxbrowser: Firefox
• :simple-googlechrome: Chrome
• :simple-microsoftedge: Edge
• :simple-safari: Safari

O SimpleLogin foi adquirido pela Proton AG, em 8 de abril de 2022. Se utiliza o Proton Mail para a sua caixa de correio principal, o SimpleLogin é uma ótima escolha. Uma vez que ambos os produtos são agora propriedade da mesma empresa, só tem de confiar numa única entidade. Também esperamos que o SimpleLogin seja integrado de forma mais estreita com as ofertas da Proton no futuro. O SimpleLogin continua a suportar o reencaminhamento para qualquer fornecedor de e-mail de sua preferência. A Securitum auditou o SimpleLogin no início de 2022 e todas os problemas identificados foram resolvidos.

Nas definições, pode associar a sua conta SimpleLogin à sua conta Proton. Se tiver o Plano Proton Unlimited, Business ou Visionary, terá o SimpleLogin Premium gratuitamente.

Funcionalidades gratuitas dignas de nota:

• 10 Aliases partilhados
• Respostas ilimitadas
• 1 Caixa de correio do destinatário

E-mail auto-hospedado

Os administradores de sistemas avançados podem considerar a possibilidade de configurar o seu próprio servidor de e-mail. Os servidores de e-mail requerem atenção e manutenção contínua para se manterem seguros e para que a entrega de e-mail seja fiável.

Soluções de software combinadas

{ align=right }

Mailcow é um servidor de e-mail mais avançado, perfeito para quem tem um pouco mais de experiência em Linux. Tem tudo o que é necessário num contentor Docker: um servidor de e-mail com suporte DKIM, antivírus e monitorização de spam, webmail e ActiveSync com SOGo, e administração baseada na Web com suporte 2FA.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title=Documentação} :octicons-code-16:{ .card-link title="Código-fonte" } :octicons-heart-16:{ .card-link title=Contribuir }

{ align=right }

Mail-in-a-Box é um script de configuração automatizado para implementar um servidor de e-mail no Ubuntu. O seu objetivo é facilitar a criação do seu próprio servidor de e-mail.

:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title=Documentação} :octicons-code-16:{ .card-link title="Código-fonte" }

Para uma abordagem mais manual, selecionámos estes dois artigos:

• Configurar um servidor de e-mail com OpenSMTPD, Dovecot e Rspamd (2019)
• Como gerir o seu próprio servidor de e-mail (agosto de 2017)

Critérios

Tenha em atenção que não somos afiliados de nenhum dos fornecedores que recomendamos. Para além dos nossos critérios padrão, desenvolvemos um conjunto claro de critérios para qualquer fornecedor de e-mail que pretenda ser recomendado, incluindo a implementação das melhores práticas da indústria, tecnologia moderna e muito mais. Sugerimos que se familiarize com esta lista antes de escolher um fornecedor de e-mail e que faça a sua própria pesquisa para garantir que o fornecedor de e-mail que escolher é a escolha certa.

Tecnologia

Consideramos que estas características são importantes para podermos prestar um serviço seguro e otimizado. Deve garantir que o fornecedor tem as características de que necessita.

Mínimos de qualificação:

• Encriptação de todos os dados da conta de e-mail em estado de repouso, com encriptação de acesso zero.
• Capacidade de exportação como Mbox ou .eml individual com a norma RFC5322 .
• Permitir que aos utilizadores configurar o seu próprio nome de domínio . Os nomes de domínio personalizados são importantes para os utilizadores, porque lhes permitem manter a sua agência do serviço, caso este se torne mau ou seja adquirido por outra empresa que não dê prioridade à privacidade.
• Funciona com uma infraestrutura própria, isto é, não se baseia em fornecedores de serviços de e-mail de terceiros.

Melhor caso:

• Encriptação de todos os dados da conta (contactos, calendários, etc.) em estado de repouso, com encriptação de acesso zero.
• Encriptação E2EE/PGP integrada no webmail, fornecida como uma conveniência.
• Suporte para WKD para permitir uma melhor descoberta de chaves OpenPGP públicas através de HTTP. Os utilizadores do GnuPG podem obter uma chave escrevendo: gpg --locate-key example_user@example.com
• Suporte para uma caixa de correio temporária para utilizadores externos. Isto é útil quando se pretende enviar uma mensagem de e-mail encriptada, sem enviar uma cópia real ao destinatário. Estas mensagens de e-mail têm normalmente um tempo de vida limitado e depois são automaticamente eliminadas. Também não requerem que o destinatário configure qualquer criptografia como o OpenPGP.
• Disponibilidade dos serviços do fornecedor de e-mail através de um serviço onion .
• Suporte de Sub-endereçamento.
• Funcionalidade de Catch-all ou alias para quem possui os seus próprios domínios.
• Utilização de protocolos normais de acesso ao e-mail, como IMAP, SMTP ou JMAP. Os protocolos de acesso normalizados garantem que os clientes podem transferir facilmente todo o seu e-mail, caso pretendam mudar para outro fornecedor.

Privacidade

Preferimos que os nossos fornecedores recomendados recolham o mínimo de dados possível.

Mínimos de qualificação:

• Proteção do endereço IP do remetente. Filtrar o IP para que não apareça no campo de cabeçalho Recebido.
• Não exigir informações de identificação pessoal (PII) para além de um nome de utilizador e uma palavra-passe.
• Política de privacidade que cumpra os requisitos definidos pelo RGPD.

Melhor caso:

• Aceitação de opções de pagamento anónimas (criptomoeda, dinheiro, cartões de oferta, etc.)
• Alojamento numa jurisdição com leis rigorosas de proteção da privacidade do e-mail.

Segurança

Os servidores de e-mail lidam com uma grande quantidade de dados muito sensíveis. É esperado que os fornecedores adotem as melhores práticas do setor para proteger os seus membros.

Mínimos de qualificação:

• Proteção do webmail com 2FA, como o TOTP.
• Encriptação de acesso zero, baseada na encriptação em estado de repouso. Vedar o acesso do fornecedor às chaves de desencriptação dos dados. Isto impede que um funcionário desonesto divulgue os dados a que tem acesso ou que um adversário remoto divulgue os dados que roubou ao obter acesso não autorizado ao servidor.
• Suporte DNSSEC.
• Nenhum erro ou vulnerabilidade de TLS ao ser analisado por ferramentas como Hardenize, testssl.sh, ou Qualys SSL Labs; isto inclui erros relacionados com certificados e parâmetros DH fracos, como os que levaram a Logjam.
• Uma opção de suite de servidor (opcional no TLSv1.3) para suites de cifras fortes que suportem encaminhamento sigiloso e encriptação autenticada.
• Uma política válida MTA-STS e TLS-RPT.
• Registos DANE válidos.
• Registos SPF e DKIM válidos.
• Registo e política DMARC adequados ou ARC para autenticação. Se estiver a ser utilizada a autenticação DMARC, a política deve ser definida como reject ou quarantine.
• Uma opção de suite de servidor por TLS 1.2 ou posterior e um plano para RFC8996.
• Submissão SMTPS, assumindo que é utilizado o SMTP.
• Normas de segurança de sites Web, tais como:
  • Segurança de transporte estrito HTTP
  • Integridade do sub-recurso se estiver a carregar dados de domínios externos.
• Suporte para visualização dos cabeçalhos de mensagens , uma vez que se trata de uma caraterística forense crucial para determinar se uma mensagem de e-mail é uma tentativa de phishing.

Melhor caso:

• Suporte para autenticação de hardware, isto é. U2F e WebAuthn. O U2F e o WebAuthn são mais seguros porque utilizam uma chave privada, armazenada num dispositivo de hardware do lado do cliente, para efeitos de autenticação, ao contrário de um segredo partilhado que é armazenado no servidor Web e no lado do cliente quando se utiliza o TOTP. Além disso, o U2F e o WebAuthn são mais resistentes ao phishing, uma vez que a sua resposta de autenticação se baseia no nome de domínio autenticado .
• Registo de Recursos de Autorização de Autoridade de Certificação (CAA) do DNS, para além do suporte DANE.
• Implementação de Authenticated Received Chain (ARC), útil para pessoas que enviam mensagens para listas de e-mail RFC8617.
• Programas de recompensa de bugs e/ou um processo coordenado de divulgação de vulnerabilidades.
• Normas de segurança de sites Web, tais como:
  • Política de segurança de conteúdo (CSP)
  • RFC9163 Expect-CT

Confiança

Se não confiaria as suas finanças a alguém com uma identidade falsa, por que razão deveria confiar-lhe o seu e-mail? Exigimos que os nossos fornecedores recomendados sejam transparentes quanto à sua propriedade ou liderança. Gostaríamos também de ver relatórios de transparência frequentes, especialmente no que diz respeito à forma como os pedidos do governo são tratados.

Mínimos de qualificação:

• Liderança ou propriedade virada para o público.

Melhor caso:

• Liderança virada para o público.
• Relatórios de transparência frequentes.

Marketing

Gostaríamos que os fornecedores de e-mail que recomendamos tivessem uma política de marketing responsável.

Mínimos de qualificação:

• As estatísticas de análise devem ser auto-hospedados (evitar Google Analytics, Adobe Analytics, etc.). O site do fornecedor deve também estar em conformidade com a política DNT (Do Not Track), para quem opte por não participar.

Não deverão ter políticas de marketing irresponsáveis:

• Reivindicações de "encriptação inquebrável" A encriptação deve ser utilizada com a consciência de poder vir a não ser secreta no futuro, quando existir tecnologia para a decifrar.

• Garantir a proteção do anonimato a 100%. Quando alguém afirma que algo é 100%, significa que não há possibilidade de falha. Sabemos que as pessoas podem desanonimizar-se muito facilmente de várias formas, por exemplo:

  • Reusing personal information e.g. (email accounts, unique pseudonyms, etc.) that they accessed without anonymity software (Tor, VPN, etc.)
  • Impressão digital do browser

Melhor caso:

• Documentação clara e fácil de ler. Isto inclui questões como a configuração de 2FA, clientes de e-mail, OpenPGP, etc.

Funcionalidade adicional

Embora não sejam requisitos obrigatórios, existem outros fatores de conveniência ou privacidade que analisámos ao determinar os fornecedores a recomendar.