Mailbox.org - Neuer sicherer Maildienst

Und da das erste Posting 600 Zeichen zu lang war, hier noch der zweite Teil:


nightcoding schrieb:
Ich finde mailbox.org ja nicht schlecht, im Gegenteil, eigentlich ist es eine gute Sache. Aber: ich mag es überhaupt nicht, wenn man durch Marketing Kunden vermeintliche Sicherheit vorgaukelt. Mir fehlt da insgesamt noch mehr Transparenz.
Zum Vergrößern anklicken....

Wir versuchen, auf unseren Webseiten extrem viel Aufklärung und Transparenz zu erreichen. Wirf doch mal einen Blick in unsere ganzen Einträge im Menü "Verschlüsselung". Dort haben wir sogar Stiftfilme produziert um Usern PGP zu erklären und erläutern dort auch die Restrisiken.


xentric schrieb:
Ich meine, was mich gerade "nervt" an der ganzen Diskussion seit Monaten ist, dass hier so viele kleine Startups/Firmen ankommen und nur groß von Sicherheit schreiben (und das reicht schon aus um Kunden zu bekommen), und sofort so viele Leute dahinströmen, obwohl das bei anderen seit Jahren Stand der Dinge ist. Und das ganze ist oftmals völlig intranspartent, weil Closed Source etc. Wo ist da der Gewinn?
Zum Vergrößern anklicken....

Auf https://mailbox.org/geschichte/ stellen wir unsere 25jährige Geschichte dar. Wir sind kein Startup, wir haben auch nicht SSL neu entdeckt. Schon vor 10 Jahren habe ich im Postfixbuch gepredigt, daß und wie man SSL einsetzt. Damals gab's E-Mail-Made-in-Germany noch gar nicht.

Was wir haben sind auch einige Punkte, wo wir (anscheinend weltweit) die ersten sind. Das ist bei anderen nicht seit Jahren Stand der Dinge.

Als Heinlein Support GmbH sind wir ja nun wirklich klar und mehr als eindeutig Open Source. Auch unsere Groupwarelösung ist Open Source.


nightcoding schrieb:
Korrigier mich, wenn ich da jetzt falsch liege, aber dm-crypt verschlüsselt "nur" das Dateisystem wie bei FileVault. Wenn der Server in Betrieb ist und sich jemand einhackt, dann kann er die Mails lesen, da diese als Klartext auf der verschlüsselten Festplatte abgelegt werden, richtig?

Das meine ich nämlich nicht, denn verschlüsselte Festplatte sind mittlerweile fast überall Standard. Ich meine, warum niemand die E-Mail selbst verschlüsselt ablegt. Technisch müsste das ja lösbar sein.
Zum Vergrößern anklicken....

Wir haben genau das gelöst.


Olivetti schrieb:
Edit: Das hat jetzt mailbox.org optional eingeführt und verschlüsselt via Kunden-PGP-Schlüssel.
(Einen kleinen Haken wegen sent-Folder und Workaround gibt es auch)
Zum Vergrößern anklicken....

Sent-Folder ist auch bald gelöst. Gib uns mal noch zwei Wochen, wir können nicht alles und alle GUIs gleichzeitig entwickeln. Wie es geht, wissen wir. Aber alles zu seiner Zeit.


Schönen Gruß

Peer
 
Hallo Peer,

vielen vielen Dank für die ausführlichen Infos. Ich finde es sehr löblich, dass sich der Betreiber hier persönlich meldet! Vorab: ich will weder die Kompetenz hinter mailbox.org in Frage stellen, noch halte ich mailbox.org für schlecht, ganz im Gegenteil!

Und ich denke, wir sind uns einig, dass "email made in germany" Augenwischerei ist.

pheenlein schrieb:
Das ist ein gehöriger Unterschied und das kann bislang kein anderer Anbieter. Die allerletzte Meile, also C=>D ist der Weg vom Empfangs-Mailserver zum Empfangs-IMAP-Server innerhalb des Netzes des Empfängers. Die Verschlüsselung dort können wir nicht garantieren, das ist richtig.
Zum Vergrößern anklicken....

Nur zum Verständnis: verschlüsselt ihr die Verbindung oder die E-Mail an sich? Das ist mir jetzt nicht mehr ganz klar. Bisher bin ich nur von der Verbindung an sich ausgegangen und ich glaube, da seit ihr nicht die einzigen.

pheenlein schrieb:
Aber in diesen Bereichen im lokalen Netz des Providers liegen die Daten zwangsläufig irgendwann klartext rum (es sein denn man nutzt bei uns das vollständig verschlüsselte Postfach, was nochmal ein ganz anderes/neues Feature ist). Darum empfehlen wir ja auch nachdrücklich den weiteren Einsatz von PGP und S/MIME.
Zum Vergrößern anklicken....

Dass ihr den Einsatz von PGP empfehlt, finde ich sehr löblich! Aber gerade die letzte Meile ist das Problem. Ich habe viel mit Kleinunternehmer und kleine Mittelständler zu tun und da ist die Kompetenz in Sachen E-Mail und Technik doch sehr oft gar nicht vorhanden. Die meisten haben IMAP Postfächer bei irgendwelchen Providern, die ihnen ein guter Bekannter empfohlen hat. Das heißt, die bekommen ihre Mails auf einen Server in irgendeinem Rechenzentrum in Deutschland und holen von dort mit ihrer Internetleitung die Mails ab. Und wenn dieser Weg nicht verschlüsselt ist, habt ihr doch keinerlei Möglichkeit sicherzustellen, dass der komplette Weg verschlüsselt ist. Und da sprechen wir dann nicht von einem lokalen Netz, sondern vom Internet!

pheenlein schrieb:
Wir haben genau das gelöst.
Zum Vergrößern anklicken....

Das finde ich spitze! Wie verschlüsselt ihr das dann? Per PGP?

Danke und viele Grüße
Martin
 
Sehr interessanter Thread... Vor Allem weil ich aktuell auch auf der Suche bin nach einem neuen, privaten Mailanbieter.

Ich will weg von GMX und überlege mir, wo die Reise hingeht.

- Eigene Domain ist ja ganz nett - mag aber nicht, dass die ganze Welt meine private Adresse (!) weiß, nur weil ich eine eigene E-Mail-Domain habe (Whois-Abfrage).
- GMail finde ich an Sich echt super (jedoch gibt es ja auch einige Nachteile hier)
- mailbox.org wäre eine mögliche Variante

@Martin: Welchen E-Mail-Anbieter nutzt Du?
 
pheinlein schrieb:
Einen Ersatz für PGP ist das nicht und wird von uns so auch nie im Leben gesagt. Wir empfehlen ausdrücklich den Einsatz von PGP.
Zum Vergrößern anklicken....

Warum PGP und nicht S/MIME?

Was sind die spezifischen Vorteile von PGP gegenüber S/MIME aus deiner Sicht?

Meiner Erfahrung nach ist PGP auf den meisten System aufwendiger einzurichten als S/MIME. Auf dem Mac mit Apple Mail ist S/MIME integriert, PGP nicht. Auch der Schlüsselaustausch ist mit S/MIME deutlich einfacher, sprich erfolgt ohne Zutun des Anwenders beim Empfang der ersten Mail des Korrespondenzpartners.

PGP hat zudem aus meiner Sicht den großen Nachteil, dass es bei signierten Keys einen verifizierten Bekanntenkreis anzeigt, der aus authentischen Realnamen und existenten Mailaddressen besteht. In Verbindung mit einem Keyserver, auf dem jeder der den öffentlichen Key hat, diesen uploaden kann, das ganze auch für alle Zeit öffentlich macht, ohne Möglichkeit dies zu löschen. Der Eigentümer des Keys hat hierauf keinerlei Einfluss. Abgesehen davon, dass die Veröffentlichung auf Keyservern ohne weiters IMO so nach Rechtsprechung und Gesetzeslage nicht erlaubt ist, ist alleine die Systematik, das alles aus der Hand zu geben, wie gesagt, aus meiner Sicht sehr suboptimal.
 
buddyspencer schrieb:
@Martin: Welchen E-Mail-Anbieter nutzt Du?
Zum Vergrößern anklicken....

Primär nutze ich den meiner Arbeit, das ist ein eigener Exchange mit höchstmöglicher Verschlüsselung. Privat bin ich noch am schauen, da nutze ich aktuell auch einen bezahlten Exchange von Domainfactory, was mir auf lange Sicht aber zu teuer ist. Mailbox.org ist bei mir in der engeren Auswahl.

Grüße,
Martin
 
buddyspencer schrieb:
- Eigene Domain ist ja ganz nett - mag aber nicht, dass die ganze Welt meine private Adresse (!) weiß, nur weil ich eine eigene E-Mail-Domain habe (Whois-Abfrage).
Zum Vergrößern anklicken....
Nimm keine .de Domain, dann musst Du da keine Adresse rein schreiben
 
Oder Dir einfach was ausdenken, bei Godaddy usw prüft das nie jemand nach, da kommt die Adresse Platz der Republik 1, 11011 Berlin schon geil :D
 
Das darfst du dann auch nur bei domains machen, die dir nicht wichtig sind.
Ab und zu kommt es zu Situationen (bei z.B. Transfers), die nur per Brief gelöst werden.
 
Ich kann Fastmail empfehlen. Die sind schon 16 Jahre im Geschäft und sie sind einer der ersten IMAP-Anbieter. Sie kennen ihre Software, da sie u.a. auch am Cyrus-IMAP mitentwickeln und neuerdings auch JMAP. Die haben außerdem ein extrem schnelles Web-Frontend (wohl deutlich schneller als das von Gmail). Und deren IMAP ist ebenfalls sehr schnell. Sie haben viele gute Features, wie z.B. CalDAV, CardDAV, WebDAV, XMPP/Jabber, Sieve-Scripte, Plus-Adressen (me+<code>@fastmail.fm), Subdomain-Adressen (me@<code>.fastmail.fm), diverse Loginverfahren, sehr guter Spamfilter (ich betreibe ihn im Paranoia-Modus).

Sehr schön finde ich auch, daß jeder Service von denen via Proxy erreichbar ist, der auf jede Portnummer reagiert. Damit bekommt man z.B. auch in solchen Netzen seine Mails verschickt, die die SMTP-Ports sperren – einfach über Port 80 gehen. :) Sie unterstützen Personalities: ich lasse alle anderen (alten) Mailadressen anderer Anbieter direkt zu Fastmail weiterleiten (incl. Spam), für die ich jeweils eine Personality eingerichtet habe. Wenn ich auf solch eine Mail antworte, sense ich sie an den Fastmail-SMTP und dieser schickt sie an den jeweiligen, in der Personality hinterlegten, SMTP weiter. Für den Empfänger schaut es so aus, als würde er mit mir über die Nicht-Fastmail-Adresse kommunizieren. Der Vorteil ist, daß ich nur noch einen Account benutzen muß.
 
Zuletzt bearbeitet:
Angenommen, dir als mein dann ehemaliger Kunde, wurde von mir dein .de-Domainvertrag gekündigt. Ich gebe deine Domain im Transit(-Modus) an die Denic zurück. Dir wird dann ein Brief mit Transitcenter-Link und Passwort an deine Adresse »Platz der Republik der Hausbesetzer 1½« geschickt. Genauso bei einem gewonnenen DISPUTE.
 
Gut, von der Denic hatten wir es hier explizit nicht
 
Mei, auch GoDaddy will u.U. einen Domain Authorization Letter.
 
Ja, klar, du kannst deine Domain und die dahinter stehenden Dienste dann halt nicht mit SSL betreiben.
Und dann gilt wieder, was ich oben schon mal gesagt habe, das kannst du halt mit unwichtigen Domains machen, weil die dir flöten gehen kann.

Drehen wir es doch einfach mal um, bekräftige du deine Behauptung aus #51.
Beispielsweise bei welchem NIC ein gelöster DISPUTE per Mail benachrichtigt wird.

Edit:
Hast du denn tatsächlich beruflich mit Domains zu tun?
 
Zuletzt bearbeitet:
Nett dazu auch der neueste Test von Stiftung Warentest: Testsieger Mailbox.org und Posteo ;)
Bewertung setzt sich nicht nur aus Sicherheitsüberlegungen zusammen sondern eben aus dem Gesamtpaket.
 
Olivetti schrieb:
Drehen wir es doch einfach mal um, bekräftige du deine Behauptung aus #51.
Beispielsweise bei welchem NIC ein gelöster DISPUTE per Mail benachrichtigt wird.
Zum Vergrößern anklicken....
Immer noch: Nur weil die denic quasi ein Beamtenladen ist, muss das nicht auf den Rest der Welt übertragbar sein.
Godaddy regelt alle disputes per Mail.
 
Lor-Olli schrieb:
Nett dazu auch der neueste Test von Stiftung Warentest: Testsieger Mailbox.org und Posteo ;)
Bewertung setzt sich nicht nur aus Sicherheitsüberlegungen zusammen sondern eben aus dem Gesamtpaket.
Zum Vergrößern anklicken....
Posteo wendet sich aber eher an den Normal-User. Wirklich spannende Features haben sie auch nicht. Und das Web-Interface ist auch eher normal. Mail-Power-User dürften dort eher weniger auf ihre kosten kommen. Aber angucken schadet nicht.

In dem besagten Test fehlen auch so einige rennomierte Mail-Provider.
 
Evtl. bin ich von der "Geiz ist Geil" Mentalität verblendet aber die Tarife auf Mailbox.org finde ich heftig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten