27 KiB
meta_title, title, icon, description, cover, global
| meta_title | title | icon | description | cover | global | |||
|---|---|---|---|---|---|---|---|---|
| 加密私人電子郵件建議 - Privacy Guides | 電子郵件服務 | material/email | 這些電子郵件提供商提供了一個好地方來安全地存儲您的電子郵件,也有不少能與其他供應商相互操作的 OpenPGP 加密。 | email.webp |
|
電子郵件實際上是使用任何線上服務的必需品,但我們不建議把它應用於人與人之間的對話。 與其使用電子郵件聯繫他人,不如考慮使用支援前向保密的即時通訊媒介。
推薦的即時通訊工具{.md-button}
推薦的 DNS 提供商
除此之外,我們還推薦各種基於可持續商業模式和內置安全和隱私功能的電子郵件提供商。 閱讀我們的 完整列表標準 以獲取更多信息。
| 提供商 | OpenPGP / WKD | IMAP / SMTP | 零存取加密 | 匿名支付 |
|---|---|---|---|---|
| Proton Mail | :material-check:{ .pg-green } | :material-information-outline:{ .pg-blue } 僅提供付費版 | :material-check:{ .pg-green } | 現金 |
| Mailbox.org | :material-check:{ .pg-green } | :material-check:{ .pg-green } | :material-information-outline:{ .pg-blue } 限 Mail | 現金 |
| Tuta | :material-alert-outline:{ .pg-orange } | :material-alert-outline:{ .pg-orange } | :material-check:{ .pg-green } | 透過第三方 Monero & Cash |
除(或代替)此處推薦的電子郵件提供者之外,可能還希望考慮使用專門的電子郵件別名服務來保護隱私。 除此之外,這些服務有助於保護真實收件匣免受垃圾郵件的侵害,防止行銷人員關聯您的帳戶,並使用 PGP 加密所有傳入的訊息。
OpenPGP 兼容服務
這些供應商原生支援 OpenPGP 加密以及 Web Key Directory 標準,可進行 provider-agnostic E2EE 電郵。 例如, Proton Mail 用戶可以向 Mailbox.org 用戶發送 E2EE 消息,或者您可以從它支援的網際網路服務接收 OpenPGP 加密通知。
{ .twemoji } Proton Mail
{ .twemoji } Mailbox.org
警告
當使用像 OpenPGP 這類 E2EE 技術時,電子郵件仍然會有一些元數據無法加密如主旨列。 了解更多電子郵件元數據.
OpenPGP 也不支持前向保密,這意味著如果你或收件人的私鑰被盜,所有以前用它加密的消息都會洩露。 [如何保護我的私鑰?
Proton Mail
{ align=right }
Proton Mail 是一個專注於隱私、加密、安全性和易用性的電子郵件服務。 自 2013 年 開始運營。 Proton AG 總部位於瑞士日內瓦。 Proton Mail Free 方案隨附 500MB 的郵件儲存空間,可以免費增加至 1GB。
:octicons-home-16: Homepage{ .md-button .md-button--primary } :simple-torbrowser:{ .card-link title="Onion Service" } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" }
免費帳戶有一些功能限制,例如無法搜索郵件正文內容,也無法無法使用 Proton Mail Bridge;後者是使用建議的桌面郵件客戶端 (例如 Thunderbird) 所需的。 付費帳戶包括 Proton Mail Bridge、額外儲存空間和自訂網域支援等功能。 Proton Mail 應用程式於 2021 年 11 月 9 日由 Securitum 提供認證函 。
如果您訂閱了 Proton Unlimited、Business 或 Visionary 方案,您還可以免費獲得 SimpleLogin 的 Premium 會員。
Proton Mail 的內容崩潰報告不會對其它第三方分享。 可以在 web app 下取消,作法: ⚙️ → 所有設定 → 帳號 → 安全與隱私 → 隱私與資料蒐集.
:material-check:{ .pg-green } 自訂域名和別名
付費的 Proton Mail 訂閱者可以使用自定網域服務或 通用電子郵件 功能。 Proton Mail 還支持 子地址,這對於不想購買網域的人很有用。
:material-check:{ .pg-green } 私密付款方式
Proton Mail 除了支持郵寄現金外,還接受信用卡/簽帳卡、Bitcoin 和 PayPal 付款。
:material-check:{ .pg-green } 帳號安全
Proton Mail 支援使用 TOTP 雙因素驗證 和採用 FIDO2 或 U2F 標準的 硬體安全金鑰。 使用硬體安全金鑰需要先設定 TOTP 雙因素驗證。
:material-check:{ .pg-green } 資料安全
Proton Mail 使用「零存取加密技術」來保護電子郵件和行事曆的資料安全。 使用「零存取加密技術」保護的數據只能由您訪問。
存儲在 Proton 通錄中的某些資訊,例如顯示名稱和電子郵件地址,並未使用零存取加密進行保護。 支援零存取加密的聯絡人欄位(例如電話號碼)會以掛鎖圖示顯示。
:material-check:{ .pg-green } 電子郵件加密
Proton Mail 網頁郵件整合了 OpenPGP 加密 。 發送到其他 Proton Mail 帳號的電子郵件會自動加密,並且可以在您的帳號設置中輕鬆啟用「使用 OpenPGP 金鑰對非 Proton Mail 地址進行加密」。 Proton 也支援透過 Web 金鑰目錄 (WKD) 自動發現外部金鑰。 因此發送到使用 WKD 的其他供應商的電子郵件也將使用 OpenPGP 自動加密,無需與聯絡人手動交換公共 PGP 金鑰。 它可以 加密非 Proton Mail 郵件地址的訊息,不必非得使用帶OpenPGP 的 Proton Mail 帳戶。
Proton Mail 也透過 HTTP 從其 WKD 發布 Proton 帳戶的公鑰。 這可讓非 Proton Mail 使用者可以輕鬆找到 Proton Mail 帳戶的 OpenPGP 金鑰,以利跨供應商進行 E2EE 。 這僅限於使用 Proton 自身網域別名 (例如 @proton.me) 的電子郵件。 如果使用自定域名,則須另行設定 WKD 。
:material-information-outline:{ .pg-blue } 終止帳號
若您的付費帳戶逾期 14 天未付款,您將無法讀取自己的資料。 30 天後,您的帳戶將標記為欠費狀態,無法再收取郵件。 在此期間,我們會繼續向你收費。 Proton 會刪除六個月未登入使用的免費帳戶 。 不能重複使用已停用帳號的電子郵件地址。
:material-information-outline:{ .pg-blue } 額外功能
Proton Mail 無限制 方案除了提供多個自定網域、無限制隱藏之外,還允許訪問其他 Proton 服務。
Proton Mail 不提供數字遺產功能。
Mailbox.org
{ align=right }
Mailbox.org 電子郵件服務,專注於安全、無廣告和使用 100% 民間環保發電能源。 自 2014 年 開始運營。 Mailbox.org 總部位於德國柏林。 初級帳戶有 2GB 儲存空間,可以根據需要升級。
:octicons-home-16: 首頁{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="隱私權政策" } :octicons-info-16:{ .card-link title="文件" }
:material-check:{ .pg-green } 自訂域名和別名
Mailbox.org 可使用自定域名,且支援 [捕獲所有](https://kb.mailbox.org/en/private/custom-domains/how-to-set-up-a-catch-all- alias-with-a-custom-domain-name) 位址。 Proton Mail還支持 <子地址,這對於不想購買網域的人很有用。
:material-check:{ .pg-green } 私人付款方式
Mailbox.org 不接受任何加密貨幣,因為他們的支付處理商 BitPay 暫停了德國業務。 不過他們可以收郵寄現金、銀行帳戶現金支付、銀行轉帳、信用卡、 PayPa l以及幾個德國特定處理商: paydirekt 和 Sofortüberweisung。
:material-check:{ .pg-green } 帳號安全
Mailbox.org 雙重認證功能僅限網頁郵件。 您可以使用 TOTP 或通過 YubiKey 來使用 YubiCloud 進行雙重認證. Web 標準如 WebAuthn 尚不支援。
:material-information-outline:{ .pg-blue } 資料安全
Mailbox.org 允許使用 加密郵箱對傳入郵件進行加密。 收到的新訊息將立即用您的公鑰加密。
不迥 Mailbox.org 使用的軟體平台 Open-Exchange[不支援](https:// kb.mailbox.org/en/private/security-privacy-article/encryption-of-calendar-and-address-book)通訊錄和行事曆加密。 獨立的選項 可能更適合該資訊。
:material-check:{ .pg-green } 電子郵件加密
Mailbox.org在他們的網絡郵件中有 個集成的加密 ,這簡化了向具有公開OpenPGP密鑰的人發送消息。 它們可讓
遠端收件者在 Mailbox.org 的伺服器上解密電子郵件</ a > 。 當遠端收件人沒有 OpenPGP 無法解密自己郵箱中的電子郵件時,此功能非常有用。
Mailbox.org 還支持通過 HTTP 的 Web密鑰目錄( WKD )發現公鑰。 因此其它人可以輕鬆找到 Mailbox.org 帳戶的 OpenPGP 金鑰,便於跨提供者使用 E2EE。 這僅限於使用 Mailbox.org 自身網域(例如 @mailbox.org) 的電子郵件。 如果使用自定域名,則須另行設定 WKD 。
:material-information-outline:{ .pg-blue } 終止帳號
當合約結束時,帳戶將被設定為受限使用者帳戶。 [30天](https://kb.mailbox.org/en/private/ payment-article/what-happens-at-the-end-of-my-contract)後,它會被不可回復地刪除。
:material-information-outline:{ .pg-blue } 額外功能
可利用他們的洋蔥服務與 IMAP/SMTP 協議來訪問 Mailbox.org 帳戶。 然而,他們的網頁郵件介面無法訪問其 .onion 服務,可能會遇到 TLS 憑證錯誤。
所有帳號都附帶有限的可以加密雲端儲存空間 。 Mailbox.org 還提供別名 @ secure.mailbox.org,它對郵件伺服器之間的連線強制進行TLS加密,否則根本不會發送訊息。 Mailbox.org 除了支援 IMAP 和 POP3 等標準存取通訊協議外,還支援 Exchange ActiveSync 。
Mailbox.org 所有方案都提供了數位遺產功能。 你可以選擇是否要將任何資料傳遞給繼承人,但對方必須提出你的遺囑證明。 或者,您可以通過姓名和地址提出人選。
更多供應商
這些提供商以零知識加密方式儲存您的電子郵件,使其成為保護儲存電子郵件安全的絕佳選擇。 但是,它們不支持供應商之間可相互操作 E2EE 通信的加密標準。
{ .twemoji loading=lazy }
{ .twemoji loading=lazy } Tuta
Tuta
{ align=right }
{ align=right }
Tuta 電子郵件服務透由加密應用以專注安全和隱私。 Tuta 自 2011 年 開始運營,總部位於德國漢諾威。 免費帳戶提供 10GB 容量。
:octicons-home-16: 首頁{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="隱私權政策" } :octicons-info-16:{ .card-link title="文件" } :octicons-code-16:{ .card-link title="原始碼" } :octicons-heart-16:{ .card-link title="貢獻" }
Tuta 不支援 IMAP 協議 或使用第三方 電子郵件客戶端,您也無法將 外部電子郵件帳戶 添加到 Tuta 應用程式。 目前不支援匯入電子郵件 ,但這點很快就會改善。 電子郵件可以單個 或選擇資料夾批量匯出 ,但若您有許多資料夾,可能會不方便。
:material-check:{ .pg-green } 自訂域名和別名
付費的 Tuta 帳戶可以根據其方案使用 15 或 30 個別名,並且在自訂域名上可以使用無限個別名。 Tuta 不允許使用子地址 (加號地址),但您可以在自訂域名上使用接收所有郵件功能。
:material-information-outline:{ .pg-blue } 私密付款方式
Tuta 僅接受信用卡和 PayPal ,但 加密貨幣 可用於通過其 合作伙伴 Proxystore 購買禮品卡。
:material-check:{ .pg-green } 帳號安全
Tuta 支援 TOTP 或 U2F 的 雙因素驗證 。
:material-check:{ .pg-green } 資料安全
Tuta 為 郵件、 通訊錄地址聯絡人以及行事曆提供零存取加密 。 這意味著儲存在您帳戶中的訊息和其他資料只有您能讀取。
:material-information-outline:{ .pg-blue } 電子郵件加密
Tuta 不使用 OpenPGP 。 只能透過 臨時 Tuta 郵箱,才能接收非Tuta 電子郵件帳戶寄出的加密電子郵件。
:material-information-outline:{ .pg-blue } 終止帳號
Tuta 刪除六個月未登入使用的免費帳戶 。 付費後,可以重用激活已停用的免費帳戶。
:material-information-outline:{ .pg-blue } 額外功能
Tuta 向非營利組織提供免費 商業版本 或大幅折扣。
Tuta 不提供數位遺產功能。
自主託管電子郵件
進階系統管理員可以考慮設定自己的電子郵件伺服器。 郵件伺服器需要注意和持續維護,以確保安全性和郵件傳遞的可靠性。
結合軟體解決方案
{ align=right }
Mailcow 是一個更先進的郵件伺服器,非常適合有豐富 Linux 經驗者。 它的 Docke r容器中擁有您需要的一切:支援 DKIM 的郵件伺服器、防毒和垃圾郵件監控、具有SOGo 的 Webmail 和 ActiveSync ,以及具有2FA 支援的網頁管理介面。
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title=Contribute }
{ align = right }
Mail-in-a-Box 是部署 Ubuntu 郵件伺服器的自動設置腳本。 它的目標是讓人們更容易建立自己的郵件伺服器。
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" }
為了更清楚手動設定方法,我們挑選了這兩篇文章:
- Setting up a mail server with OpenSMTPD, Dovecot and Rspamd (2019)
- How To Run Your Own Mail Server (August 2017)
標準
請注意,我們與以下推薦的任何供應商並無瓜葛。 除了 我們的條件標準外,我們還為任何希望獲得推薦的電子郵件供應商制定了一套明確要求,包括實施業界最佳做法,現代技術等。 我們建議您在選擇電子郵件提供商之前熟悉此列表,並進行自己的研究,以確保您選擇的電子郵件提供商是您的正確選擇。
技術
我們認為這些功能很重要,以便提供安全和最佳的服務。 您應該考慮提供商是否具有您需要的功能。
最低合格要求:
- 使用零存取加密技術全程加密電子郵件帳戶資料。
- 匯出功能則為Mbox 或RFC5322 標準的個別 .eml 。
- 允許使用者使用自己的 網域名稱。 自定網域名稱對用戶來說很重要,因為它允許用戶在使用服務時仍維持持自我代理,以防服務變差或被另一家不優先考慮隱私的公司收購。
- 在自有基礎設施上運作,即不建立在第三方電子郵件服務提供商之上。
最佳案例:
- 使用零存取加密帳戶全部資料(聯絡人、行事曆等)。
- 網頁郵件整合 E2EE/PGP加密以更方便使用。
- 支援 WKD ,以改善透過HTTP發現公開的OpenPGP金鑰。 GnuPG 使用者可以透過輸入:
gpg --locate-key example_user@example.com取得金鑰。 - 支援外部使用者的臨時信箱。 當您想要發送加密的電子郵件時,這非常有用,而無需將實際副本發送給您的收件人。 這些電子郵件通常具有限定時效,之後會被自動刪除。 它們也不需要收件人配置任何像OpenPGP這樣的加密技術。
- 可提供 onion 服務的電子郵件服務供應商。
- Sub-addressing support.
- 為擁有自己網域的用戶提供通用地址或別名功能。
- 使用標準電子郵件存取協定,例如 IMAP、SMTP 或 JMAP。 標準存取協議確保客戶可以輕鬆下載所有電子郵件,一旦他們想切換到其它提供商。
隱私
我們希望所推薦的提供商盡可能少地收集客戶資料。
最低合格要求:
- 保護發件人的IP位址。 在
Received標題欄位中過濾它。 - 除了使用者名稱和密碼外,不要求提供個人身份識別資訊(PII)。
- 隱私政策符合 GDPR 之要求。
最佳案例:
安全
電子郵件伺服器處理大量非常敏感的資料。 我們期望供應商採用行業最佳實踐來保護其會員。
最低合格要求:
- 使用 2FA 保護網頁郵件,如TOTP。
- 無存取的靜態加密,如零存取加密。 提供者沒有其所持有資料的解密金鑰。 這可以防止流氓員工外洩所存取的資料或遠程對手通過獲得對伺服器的未經授權的訪問來竊取資料。
- DNSSEC 支持。
- 使用 Hardenize, testssl.sh 或Qualys SSL Labs等工具沒發現 TLS 錯誤或漏洞; 這包括與憑證相關的錯誤和弱 DH 參數,例如 Logjam 錯誤。
- 伺服器套件偏好(在TLS v1.3上可選),適用於支持正向保密和已驗證加密的強大密碼套件。
- 有效的 MTA-STS 和TLS-RPT 政策。
- 有效 DANE 紀錄。
- 有效的 SPF 和 DKIM 記錄。
- 擁有適當的 DMARC 記錄和原則,或使用 ARC 進行驗證。 如果正在使用 DMARC 驗證,則必須將原則設置為
拒絕或隔離。 - 伺服器套件最好為 TLS 1.2或更高版本以及 RFC8996計劃。
- 假設使用SMTP,SMTPS 提交。
- 網站安全標準,例如:
- HTTP 嚴格傳輸安全性
- 如果從外部網域加載東西時,子資源完整性 。
- 必須支援檢視 訊息表頭,因為它是確定電子郵件是否為網路釣魚嘗試的關鍵取證功能。
最佳案例:
- 支持硬體驗證,即 U2F 和 WebAuthn。 U2F 和 WebAuthn 更安全,因為它們使用儲存於客戶端硬體設備上的私鑰來驗證人員,而使用 TOTP 時共享祕密則直接儲存在網頁伺服器和客戶端。 再者 U2F 和 WebAuthn 更能抵抗網絡釣魚,因為它們的驗證回應是基於已驗證過的 域名。
- DNS憑證授權機構授權(CAA)資源記錄 除了DANE支持。
- 實現 Authenticated Received Chain (ARC),這對於發佈郵件列表 RFC8617非常有用。
- 漏洞獎勵計劃和/或協調漏洞披露過程。
- 網站安全標準,例如: - 內容安全策略(CSP)
信任
您不會把財務資料給身份作假的人,那麼為什麼會信任讓他們來使用您的電子郵件? 我們要求我們推薦的供應商公開其所有權或領導層級狀況。 我們也希望看到頻繁的透明度報告,特別是關於如何處理政府要求的報告。
最低合格要求:
- 面向公眾的領導或所有權。
最佳案例:
- 面向公眾的領導
- 頻繁的透明度報告。
行銷
對於所推薦的電子郵件供應商,我們樂見其負責任的營銷。
最低合格要求:
- 必須自行託管分析 (不使用 Google Analytics、Adobe Analytics 等)。 供應商的網站還必須遵守 DNT (Do Not Track, 請勿追蹤) 的要求,以供選擇退出的人使用。
不得有任何不負責任的行銷:
-
宣稱破解不了的加密 使用加密時應意識到,當有一天技術足以破解它時,它就不再是祕密的。
-
保證 100% 匿名性保護。 當有人聲稱某件事是100 %時,這意味著失敗沒有確定性。 我們知道人們可以很容易地以多種方式去匿名化自己,例如:
- 重覆使用個人資訊 (如電子郵件帳戶、獨特的假名等等 pseudonyms, etc.) 而沒透過匿名軟體 (如 Tor, VPN 之類)。
最佳案例:
- 清晰易讀的文件。 這包括諸如設置 2FA 、電子郵件客戶端、OpenPGP等。
附加功能
雖然不是嚴格要求,但我們在決定推薦哪些提供商時還會考慮其他一些便利或隱私因素。