Zum Dahinschmelzen: FragDenStaat startet eigenen Provider EchtEmail.de

ADN-ZB Häßler 2.9.73 Gü Leipzig: Herbstmesse 1973- Der VEB Eisen- und Hüttenwerke Thale zeigt in der Ausstellungshalle der DDR-Chemie auf dem Messegelände einen neuentwickelten Autoklaven für die chemische Industrie.

Manche Behörden wollen auch fast vier Jahre nach dem Launch von FragDenStaat keine Anfragen über die Plattform beantworten. Besonders das Innenministerium und seine Behörden begründen das gerne in einer Standardmail damit, dass bei einer Anfrage über FragDenStaat nicht sichergestellt sei, ob eine E-Mail ankomme. Außerdem seien die Mail-Adressen von FragDenStaat nicht echt (ausführliche Begründung hier):

„FragdenStaat.de“ kann nicht als E-Mail Provider angesehen werden, da die Zielsetzung nicht primär auf die Erbringung von E-Mail Dienstleistungen gerichtet ist.

Ihre Email wird von Spezial-Experten vor Ort auf korrekte Verarbeitung überprüft.
Ihre Email wird von Spezial-Experten vor Ort auf korrekte Verarbeitung überprüft.

Wir können das nicht wirklich nachvollziehen. FragDenStaat leitet alle Anfragen und Antworten unverändert weiter und generiert eigene Mail-Adressen für jede Anfrage. Das können wir also nicht auf uns sitzen lassen. Deswegen haben wir jetzt einen eigenen Email-Provider gegründet.

Wir präsentieren: EchtEmail.de!

Mit Email von EchtEmail.de geht ihr auf Nummer Sicher: Denn wir bieten Schutz vor toxischem Spam mit einer Extraschicht Deckemail. EchtEmail lässt sich in jedem Haushalt verwenden und ist in verschiedenen Ausführungen verfügbar.

Email made in Germany mit Doppel-S-L-Schlüsseln.
Email made in Germany mit Doppel-S-L-Schlüsseln.

Und EchtEmail ist nicht nur hübsches Schmuckwerk: Für jede Anfrage generieren wir jetzt automatisch zur Mail-Adresse @fragdenstaat.de eine Mail-Adresse @echtemail.de. Wenn also Behörden sich weigern, auf eure FragDenStaat-Anfrage zu antworten, könnt ihr ihnen als Alternative eure praktische Mail-Adresse @echtemail.de vorschlagen.

Anscheinend sind die Behörden auch schon Fans von EchtEmail.de – das Auswärtige Amt hat bereits an eine @echtemail-Adresse geantwortet.

Und gut sieht EchtEmail auch aus.

[Update 18:08]: Auf vielfache Nachfrage hier noch einige Erklärungen zu unserem Email.

Bilder unter CC BY-SA 3.0 de: Bundesarchiv, Bild 183-M0902-0130; https://commons.wikimedia.org/wiki/File:WTU-Email.jpg; https://www.flickr.com/photos/vculibraries/6032106099/

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

    1. Doppel SSL-Verschlüsselung schützt nicht vor Spionage.
      Layer 2 netzwerk verschlüsselung aber schon.

  1. Email für alle für nur 19,90 € im Jahr!
    Wir glauben, dass jeder von Email profitieren kann.

    Jo. Ich weiss, wer davon profitiert. :)
    Und von End-End-Verschlüsselung ist nicht die Rede.
    Email ist tot. Wie brauchen was neues.

  2. Das hat doch sicher was mit Emaille zu tun, oder?
    Wiki: In der industriellen Anwendung dient das Email als Schutzüberzug, beispielsweise von Gebrauchsgegenständen oder verfahrenstechnischen Apparaten.

  3. Was passiert eigentlich, wenn man eine eigene Domain nehmen würde? Ich finde mich nicht als ernstzunehmenden Mail-Provider

  4. Hmm…
    host -t mx fragdenstaat.de
    fragdenstaat.de mail is handled by 1 fragdenstaat.de

    …ich möchte wetten, von einem PTR eintrag für smpt.fragdenstaat.de und/oder mail.fragdenstaat.de, der einfach nur auf fragdenstaat.de zeigt, aber artig „smpt.fragdenstaat.de“ in den „Recieved“-Header schreibt, hätte man sich beim Bundestag eher beeindrucken lassen. Das macht zwar absolut keinen Unterschied, aber „man sieht eben, dass das seine Ordnung hat“.
    …vermutlich hängen diese Falschmailer noch nicht mal einen „juristischen“ Disclaimer (als JPG natürlich) an jede Mail an, um sicherzustellen, dass sie auch den richtigen Empfänger erreicht. Unerhört so was. Das geht natürlich nicht! :/

  5. Bin ich der Einzige, der nicht versteht, wie man auf die Lösung des „CRAPTCHA“ kommen soll, um sich bei EchtEmail.de registrieren zu können?
    http://i.imgur.com/pQUWlTs.gif
    Vorteil für EchtEmail.de ist natürlich, dass sie mit diesem „Schutz vor Registrierung“ unter der 10.000 Teilnehmer-Grenze des TKÜV bleiben werden ;-)

    1. Ich verstehe es auch nicht, habe da korrekt „Vollpfosten“ eingegeben und das wird nicht angenommen ;-)

  6. *lol* – aber im Ernst, und ohne Jurist zu sein: Ist die Mitteilung einer E-Mail-Adresse nicht als eine Art Empfangsvollmacht zu verstehen? Oder muesste man evtl. einfach die IFG-Anfrage um eine entsprechende Vollmacht ergaenzen?

  7. Wenn die gerne die Mehrkosten für „Paper-Mail“ statt „E-Mail“ übernehmen wollen gebe ich doch gerne in Zukunft auch meine Postanschrift bei solchen Anfragen an. Bei individuellen Anfragen kann ich dies im Übrigen auch gut nachvollziehen, aufgrund der de facto nicht als vertraulich zu bezeichnenden klassischen Email bevorzuge ich bei privaten Behördenanfragen auch eine Postantwort von diesen (und wenn ihr zuvor mit eurem „persönlichen“ Beamten im Ministerium X euren PGP Schlüssel ausgetauscht habt braucht ihr ihm auch keine Emails mehr schreiben, sondern könnt ihn gleich persönlich fragen… bevor mir jemand mit dieser Krüke kommt).

    Also, nehmt unsere Staatsdiener beim Wort, lasst euch postalische Antworten geben. Solange inhaltlich Auskunft gegeben wird sehe ich darin nicht wirklich ein „Informationsverhinderungsverhalten“, sondern höchstens ein Eingeständnis darüber, dass nicht einmal unser Staat die Vertraulichkeit unserer digitalen Kommunikation (mit ihm) gewährleisten kann. Angesichts zB des wochenlangen Hacks des Bundestagsnetzwerkes leider eine sehr realistische Selbsteinschätzung.

  8. Eins vorab: Das mit dem Captcha auf der Seite wird schon mal die meisten unerfahrenen User abschrecken, da dort ein Bild blink mit nem Auge auf dem Kinn und dann steht da: Captcha lösen. Jaaa super, das möchte man doch, anstatt ner schnellen Anmeldung, soll man erst drauf kommen, was es darstellen soll. Leute, doch nicht im Jahr 2015 ! NUR ein Captcha in Form von aktuellen Fragen kommt zum Einsatz, wenn es wichtig ist benutzerfreundlich zu sein. Z.B. „welcher Tag ist morgen“ „welche Farbe hat ein blaues Auge“ etc.
    .
    .
    Und warum soll man sich mit echten Daten anmelden ?! Bzw. warum werden diese verlangt, also sowas wie Adresse oder Nachname. Schnell und anonym ist heute ein guter e-mail Dienst.
    .
    .
    So, kommen wir nun zu den anderen Sachen, die ein guter und sicherer e-mail Anbieter mitbringen MUSS:
    .
    .
    VORWORT:
    Sicherheit im Internet besteht in 1. Linie im Grunde nur aus 2 Sachen: Verschlüsselung und Anonymität. Leider wird kaum Wert auf beides gelegt, wenn überhaupt, dann eher auf das weniger bedeutsamere, nämlich Verschlüsselung. Unbedeutender ist es deshalb, weil es oft OK ist, wenn der Inhalt bekannt ist, viel wichtiger ist, dass man nicht weiß, woher dieser kommt – Stichwort Anonymität. Wobei als Verschlüsselung nicht sowas wie PGP gemeint ist oder Stenografie, sondern Server – oder Webverschlüsselung, Protokolle u.ä. also das, was der Kunde im Grunde nicht mitkriegt.

    Daher wurde der perfekte e-mail Dienst nach den 3 wichtigsten Kategorien aufgeteilt, sodass man diese eine große Aufgabe in kleinere aufteilt. So kann man auch die Programmierer besser auswählen und einsetzen. (Eigentlich sind es wie gesagt 2 Kategorien, die 3 ist nur das Sahnehäubchen). Die Kategorien und die Ideen sind nicht nach der Wichtigkeit oder einer Reihenfolge oder Relevanz sortiert.
    .
    .
    ANONYMITÄT
    Keine IP speichern. Weder beim Registrieren noch beim Absenden oder sich einloggen. Höchstens nur während der Sitzung, um z.B. technische Fehler beheben zu können. Alternativ IP Spoofing einbauen.

    Keine Header mitsenden oder gefakete.

    Impressum im Ausland registrieren (außerhalb EU und USA, am besten auch außerhalb Europa. In Asien oder Afrika am besten) Hintergrund: Schutz der User vor Polizei & privaten Firmen + Anwälten. Und für sich mehr Zeit und Geldersparnis, da weniger Bürokratie anfällt aufgrund der rechtlichen Nicht-Zuständigkeit der Länder. Sprich, ignorieren von Abmahnungen oder Anwaltsdrohungen oder ErmittlungenUm auf Nr. sicher zu gehen am besten vielleicht auch gleich Server in Übersee (Stichwort Offshore Hosting). Wobei das eigentlich egal sein kann, siehe VPN Anbieter, da klappt es ja auch.

    Am besten Offshore Domain, aber nicht unbedingt notwendig. Auf jeden Fall aber anonym registrieren, um vor rechtlichen Repressalien davon kommen zu können. Plus ebenfalls Zeit – und Geldersparnis, da man diese in das Projekt investieren kann, anstatt in Anwaltskosten und Bürokratie etc.

    Keine Korrespondenz mit anderen Ermittlungsbehörden o.ä. da deren Zuständigkeit entfällt. So sollte die Korrespondenz ablaufen: https://file.wikileaks.org/file/bnd-correspondence.txt
    Ansonsten diesen Hinweistext auf der Seite schreiben und einfach alle Behördenanschreiben ignorieren

    Schutz der Kundendaten. Sowohl bei der Anmeldung, daher nur relevante Daten abfragen bei Registrierung als auch Schutz der Inhalte der e-mails.
    .
    .
    VESCHLÜSSELUNG
    TLS 1.2 / TLSA / HSTS einsetzen, um Attacken wie POODLE, Heartbleed, ShellShock, Lucky13, LogJam oder FREAK zu vermeiden.
    http://www.golem.de/news/ssl-tls-schwaechen-in-rc4-ausnutzbar-1303-98164-2.html

    Bei DNS Servern DANE oder CurveCP einsetzen
    http://www.heise.de/netze/artikel/DNSSEC-und-DANE-Hilfestellung-zur-Mail-Verschluesselung-2619026.html
    http://www.golem.de/1012/80380.html

    Mails nicht auf Servern speichern nach dem der User diese gelöscht hat
    Keine Tracking Tools einsetzen auf der Webseite, auch nicht Open Source
    Dark mail – keine header

    Als Verschlüsselung AES 256, Elliptische Kurven, Diffie Hellmann oder Perfect Forward Secrecy. Auf jeden Falls Ende-zu-Ende Verschlüsselung einsetzen.
    .
    .
    BENUTZERFREUNDLICHKEIT
    Transparenzbericht erstellen. Alle 6 oder 12 Monate am besten. Reinschreiben wie oft Ermittlungsbehörden oder Anwälte etc. angefragt haben und wonach.

    Mehrere Alias erstellen können, auch mit ganz anderen Domains. Bestes Bsp. http://www.mail.com
    E-mails wie bei Yahoo einteilen in „gestern“ „vor einer Woche“ „heute“ „vor einem Monat“ „älter“
    Eine News Kategorie hinzufügen und einen Blog, sowie eine Community einführen. In den News können allgemeine News veröffentlicht werden, die die (Mail) Security betreffen. Im Blog die Neuerungen und Änderungen am Dienst und in der Community können User sich gegenseitig helfen und Fragen stellen oder Tutorials posten etc. Klar gibts genug Foren, aber es kommt halt immer besser, wenn man die eigenen Supporter bei sich hält, weil man so sehen kann, was deren Wünsche sind, wo die Trends hingehen, was wichtig ist, was die meisten stört usw.
    Keine unnötigen Daten bei der Registrierung, wie z.B. Nachname, Geburtstag, Adresse etc. Da kann man eh was anderes eintragen ohne dass es geprüft wird, also ist der Sinn auch nicht ersichtlich.

    Optional anbieten eine Handynr. zu hinterlegen, z.B. um sein vergessenes Passwort wiederherzustellen (optional nur auf die Weise) oder dass man jedes mal informiert wird, sobald sich eingeloggt wird oder man eine e-mail bekommt.

    Evtl. eine App dazu entwerfen, sofern die normale Bedienung oder Ansicht der Webseite auf dem Smartphone nicht gut klappt oder aussieht.
    Sollten Captchas zum Einsatz kommen, z.B. bei der Registrierung, worauf jedoch trotzdem verzichtet werden sollte, kommen nur benutzerfreundliche zum Einsatz. Statt denen kaum lesbaren von Google etwa solche, wo man aktuelle Fragen beantworten muss. „Wie ist die Hauptstadt von Deutschland“, „Welcher Tag ist morgen“ usw.
    .
    .
    Fortsetzung folgt

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.