Manche Behörden wollen auch fast vier Jahre nach dem Launch von FragDenStaat keine Anfragen über die Plattform beantworten. Besonders das Innenministerium und seine Behörden begründen das gerne in einer Standardmail damit, dass bei einer Anfrage über FragDenStaat nicht sichergestellt sei, ob eine E-Mail ankomme. Außerdem seien die Mail-Adressen von FragDenStaat nicht echt (ausführliche Begründung hier):
„FragdenStaat.de“ kann nicht als E-Mail Provider angesehen werden, da die Zielsetzung nicht primär auf die Erbringung von E-Mail Dienstleistungen gerichtet ist.
Wir können das nicht wirklich nachvollziehen. FragDenStaat leitet alle Anfragen und Antworten unverändert weiter und generiert eigene Mail-Adressen für jede Anfrage. Das können wir also nicht auf uns sitzen lassen. Deswegen haben wir jetzt einen eigenen Email-Provider gegründet.
Wir präsentieren: EchtEmail.de!
Mit Email von EchtEmail.de geht ihr auf Nummer Sicher: Denn wir bieten Schutz vor toxischem Spam mit einer Extraschicht Deckemail. EchtEmail lässt sich in jedem Haushalt verwenden und ist in verschiedenen Ausführungen verfügbar.
Und EchtEmail ist nicht nur hübsches Schmuckwerk: Für jede Anfrage generieren wir jetzt automatisch zur Mail-Adresse @fragdenstaat.de eine Mail-Adresse @echtemail.de. Wenn also Behörden sich weigern, auf eure FragDenStaat-Anfrage zu antworten, könnt ihr ihnen als Alternative eure praktische Mail-Adresse @echtemail.de vorschlagen.
Anscheinend sind die Behörden auch schon Fans von EchtEmail.de – das Auswärtige Amt hat bereits an eine @echtemail-Adresse geantwortet.
Und gut sieht EchtEmail auch aus.
[Update 18:08]: Auf vielfache Nachfrage hier noch einige Erklärungen zu unserem Email.
Bilder unter CC BY-SA 3.0 de: Bundesarchiv, Bild 183-M0902-0130; https://commons.wikimedia.org/wiki/File:WTU-Email.jpg; https://www.flickr.com/photos/vculibraries/6032106099/
(c) 2013? :D
Doppel SSL-Verschlüsselung schützt nicht vor Spionage.
Layer 2 netzwerk verschlüsselung aber schon.
Jo. Ich weiss, wer davon profitiert. :)
Und von End-End-Verschlüsselung ist nicht die Rede.
Email ist tot. Wie brauchen was neues.
Das hat doch sicher was mit Emaille zu tun, oder?
Wiki: In der industriellen Anwendung dient das Email als Schutzüberzug, beispielsweise von Gebrauchsgegenständen oder verfahrenstechnischen Apparaten.
Was passiert eigentlich, wenn man eine eigene Domain nehmen würde? Ich finde mich nicht als ernstzunehmenden Mail-Provider
Wurde daran gedacht, dass ab 10.000 User auch eine Abhörschnittstelle bereitzustellen ist?
http://www.gesetze-im-internet.de/tk_v_2005/BJNR313600005.html
ich bin offensichtlich zu blöd den Witz hier zu kapieren.
Hmm…
host -t mx fragdenstaat.de
fragdenstaat.de mail is handled by 1 fragdenstaat.de
…ich möchte wetten, von einem PTR eintrag für smpt.fragdenstaat.de und/oder mail.fragdenstaat.de, der einfach nur auf fragdenstaat.de zeigt, aber artig „smpt.fragdenstaat.de“ in den „Recieved“-Header schreibt, hätte man sich beim Bundestag eher beeindrucken lassen. Das macht zwar absolut keinen Unterschied, aber „man sieht eben, dass das seine Ordnung hat“.
…vermutlich hängen diese Falschmailer noch nicht mal einen „juristischen“ Disclaimer (als JPG natürlich) an jede Mail an, um sicherzustellen, dass sie auch den richtigen Empfänger erreicht. Unerhört so was. Das geht natürlich nicht! :/
Bin ich der Einzige, der nicht versteht, wie man auf die Lösung des „CRAPTCHA“ kommen soll, um sich bei EchtEmail.de registrieren zu können?
http://i.imgur.com/pQUWlTs.gif
Vorteil für EchtEmail.de ist natürlich, dass sie mit diesem „Schutz vor Registrierung“ unter der 10.000 Teilnehmer-Grenze des TKÜV bleiben werden ;-)
Ich verstehe es auch nicht, habe da korrekt „Vollpfosten“ eingegeben und das wird nicht angenommen ;-)
*lol* – aber im Ernst, und ohne Jurist zu sein: Ist die Mitteilung einer E-Mail-Adresse nicht als eine Art Empfangsvollmacht zu verstehen? Oder muesste man evtl. einfach die IFG-Anfrage um eine entsprechende Vollmacht ergaenzen?
Wenn die gerne die Mehrkosten für „Paper-Mail“ statt „E-Mail“ übernehmen wollen gebe ich doch gerne in Zukunft auch meine Postanschrift bei solchen Anfragen an. Bei individuellen Anfragen kann ich dies im Übrigen auch gut nachvollziehen, aufgrund der de facto nicht als vertraulich zu bezeichnenden klassischen Email bevorzuge ich bei privaten Behördenanfragen auch eine Postantwort von diesen (und wenn ihr zuvor mit eurem „persönlichen“ Beamten im Ministerium X euren PGP Schlüssel ausgetauscht habt braucht ihr ihm auch keine Emails mehr schreiben, sondern könnt ihn gleich persönlich fragen… bevor mir jemand mit dieser Krüke kommt).
Also, nehmt unsere Staatsdiener beim Wort, lasst euch postalische Antworten geben. Solange inhaltlich Auskunft gegeben wird sehe ich darin nicht wirklich ein „Informationsverhinderungsverhalten“, sondern höchstens ein Eingeständnis darüber, dass nicht einmal unser Staat die Vertraulichkeit unserer digitalen Kommunikation (mit ihm) gewährleisten kann. Angesichts zB des wochenlangen Hacks des Bundestagsnetzwerkes leider eine sehr realistische Selbsteinschätzung.
Eins vorab: Das mit dem Captcha auf der Seite wird schon mal die meisten unerfahrenen User abschrecken, da dort ein Bild blink mit nem Auge auf dem Kinn und dann steht da: Captcha lösen. Jaaa super, das möchte man doch, anstatt ner schnellen Anmeldung, soll man erst drauf kommen, was es darstellen soll. Leute, doch nicht im Jahr 2015 ! NUR ein Captcha in Form von aktuellen Fragen kommt zum Einsatz, wenn es wichtig ist benutzerfreundlich zu sein. Z.B. „welcher Tag ist morgen“ „welche Farbe hat ein blaues Auge“ etc.
.
.
Und warum soll man sich mit echten Daten anmelden ?! Bzw. warum werden diese verlangt, also sowas wie Adresse oder Nachname. Schnell und anonym ist heute ein guter e-mail Dienst.
.
.
So, kommen wir nun zu den anderen Sachen, die ein guter und sicherer e-mail Anbieter mitbringen MUSS:
.
.
VORWORT:
Sicherheit im Internet besteht in 1. Linie im Grunde nur aus 2 Sachen: Verschlüsselung und Anonymität. Leider wird kaum Wert auf beides gelegt, wenn überhaupt, dann eher auf das weniger bedeutsamere, nämlich Verschlüsselung. Unbedeutender ist es deshalb, weil es oft OK ist, wenn der Inhalt bekannt ist, viel wichtiger ist, dass man nicht weiß, woher dieser kommt – Stichwort Anonymität. Wobei als Verschlüsselung nicht sowas wie PGP gemeint ist oder Stenografie, sondern Server – oder Webverschlüsselung, Protokolle u.ä. also das, was der Kunde im Grunde nicht mitkriegt.
Daher wurde der perfekte e-mail Dienst nach den 3 wichtigsten Kategorien aufgeteilt, sodass man diese eine große Aufgabe in kleinere aufteilt. So kann man auch die Programmierer besser auswählen und einsetzen. (Eigentlich sind es wie gesagt 2 Kategorien, die 3 ist nur das Sahnehäubchen). Die Kategorien und die Ideen sind nicht nach der Wichtigkeit oder einer Reihenfolge oder Relevanz sortiert.
.
.
ANONYMITÄT
Keine IP speichern. Weder beim Registrieren noch beim Absenden oder sich einloggen. Höchstens nur während der Sitzung, um z.B. technische Fehler beheben zu können. Alternativ IP Spoofing einbauen.
Keine Header mitsenden oder gefakete.
Impressum im Ausland registrieren (außerhalb EU und USA, am besten auch außerhalb Europa. In Asien oder Afrika am besten) Hintergrund: Schutz der User vor Polizei & privaten Firmen + Anwälten. Und für sich mehr Zeit und Geldersparnis, da weniger Bürokratie anfällt aufgrund der rechtlichen Nicht-Zuständigkeit der Länder. Sprich, ignorieren von Abmahnungen oder Anwaltsdrohungen oder ErmittlungenUm auf Nr. sicher zu gehen am besten vielleicht auch gleich Server in Übersee (Stichwort Offshore Hosting). Wobei das eigentlich egal sein kann, siehe VPN Anbieter, da klappt es ja auch.
Am besten Offshore Domain, aber nicht unbedingt notwendig. Auf jeden Fall aber anonym registrieren, um vor rechtlichen Repressalien davon kommen zu können. Plus ebenfalls Zeit – und Geldersparnis, da man diese in das Projekt investieren kann, anstatt in Anwaltskosten und Bürokratie etc.
Keine Korrespondenz mit anderen Ermittlungsbehörden o.ä. da deren Zuständigkeit entfällt. So sollte die Korrespondenz ablaufen: https://file.wikileaks.org/file/bnd-correspondence.txt
Ansonsten diesen Hinweistext auf der Seite schreiben und einfach alle Behördenanschreiben ignorieren
Schutz der Kundendaten. Sowohl bei der Anmeldung, daher nur relevante Daten abfragen bei Registrierung als auch Schutz der Inhalte der e-mails.
.
.
VESCHLÜSSELUNG
TLS 1.2 / TLSA / HSTS einsetzen, um Attacken wie POODLE, Heartbleed, ShellShock, Lucky13, LogJam oder FREAK zu vermeiden.
http://www.golem.de/news/ssl-tls-schwaechen-in-rc4-ausnutzbar-1303-98164-2.html
Bei DNS Servern DANE oder CurveCP einsetzen
http://www.heise.de/netze/artikel/DNSSEC-und-DANE-Hilfestellung-zur-Mail-Verschluesselung-2619026.html
http://www.golem.de/1012/80380.html
Mails nicht auf Servern speichern nach dem der User diese gelöscht hat
Keine Tracking Tools einsetzen auf der Webseite, auch nicht Open Source
Dark mail – keine header
Als Verschlüsselung AES 256, Elliptische Kurven, Diffie Hellmann oder Perfect Forward Secrecy. Auf jeden Falls Ende-zu-Ende Verschlüsselung einsetzen.
.
.
BENUTZERFREUNDLICHKEIT
Transparenzbericht erstellen. Alle 6 oder 12 Monate am besten. Reinschreiben wie oft Ermittlungsbehörden oder Anwälte etc. angefragt haben und wonach.
Mehrere Alias erstellen können, auch mit ganz anderen Domains. Bestes Bsp. http://www.mail.com
E-mails wie bei Yahoo einteilen in „gestern“ „vor einer Woche“ „heute“ „vor einem Monat“ „älter“
Eine News Kategorie hinzufügen und einen Blog, sowie eine Community einführen. In den News können allgemeine News veröffentlicht werden, die die (Mail) Security betreffen. Im Blog die Neuerungen und Änderungen am Dienst und in der Community können User sich gegenseitig helfen und Fragen stellen oder Tutorials posten etc. Klar gibts genug Foren, aber es kommt halt immer besser, wenn man die eigenen Supporter bei sich hält, weil man so sehen kann, was deren Wünsche sind, wo die Trends hingehen, was wichtig ist, was die meisten stört usw.
Keine unnötigen Daten bei der Registrierung, wie z.B. Nachname, Geburtstag, Adresse etc. Da kann man eh was anderes eintragen ohne dass es geprüft wird, also ist der Sinn auch nicht ersichtlich.
Optional anbieten eine Handynr. zu hinterlegen, z.B. um sein vergessenes Passwort wiederherzustellen (optional nur auf die Weise) oder dass man jedes mal informiert wird, sobald sich eingeloggt wird oder man eine e-mail bekommt.
Evtl. eine App dazu entwerfen, sofern die normale Bedienung oder Ansicht der Webseite auf dem Smartphone nicht gut klappt oder aussieht.
Sollten Captchas zum Einsatz kommen, z.B. bei der Registrierung, worauf jedoch trotzdem verzichtet werden sollte, kommen nur benutzerfreundliche zum Einsatz. Statt denen kaum lesbaren von Google etwa solche, wo man aktuelle Fragen beantworten muss. „Wie ist die Hauptstadt von Deutschland“, „Welcher Tag ist morgen“ usw.
.
.
Fortsetzung folgt
Hier aktuell eine Liste der sichere(re)n e-mail Anbieter, die es momentan gibt
https://community.hide.me/threads/sammler-sichere-e-mail-anbieter.1308/
https://www.mail1click.com
https://anonmail.biz
https://www.secure-mail.biz
https://protonmail.ch
https://bitmessage.ch
https://vmail.me/en/
https://privatdemail.net
https://mailbox.org
https://www.aikq.de/index.php?action=faq
https://www.jpberlin.de/hilfe/#E-Mail (Macher von mailbox.org)
https://user.riseup.net/forms/new_user/first (nur mit Bewerbung)
https://lavaboom.com
https://tutanota.de
https://darkmail.info
http://secure-email.org
http://www.cryptoheaven.com
https://www.aikq.de
https://aktivix.org
http://ghostmail.com
http://safe-mail.net
https://posteo.de
https://www.vfemail.net
http://lelantoss7bcnwbv.onion
http://lelantos.org
http://sigaintevyh2rzvw.onion/faq.html
http://sigaintevyh2rzvw.tor2web.org/faq.html
https://www.openmailbox.org
https://www.anonymousspeech.com
http://mail2tor.com
http://onionmail.in
http://www.inventati.org/de/services/mail.html
https://torguard.net/anonymous-email.php
http://www.seppmail.ch