PTIO 邮箱推荐(简体字版)
PTIO EMAIL PROVIDER RECOMMENDATIONS (SIMPLIFIED CHINESE)
Disclaimer: this version is automatically converted from the Traditional Chinese version, using https://github.com/BYVoid/OpenCC.
注:本版本是由繁体版通过 OpenCC 转化而成,尚未仔细核校。
For your best experience, please assign value zh-CN to the lang tag of html element.
为了您的最佳体验,请将 html 元素 lang 标签数值改为 zh-CN。
TRADITIONAL CHINESE/繁
PTIO 推荐——邮箱服务
PTIO RECOMMENDATIONS — EMAIL PROVIDERS
PTIO 推荐的邮箱服务在 3 月 1 日进行了完全的重写,考虑到多语言支持仍然不周,在此以博文的形式呈现。本文以 CC0 协议发布。
This is a translation of the new version of email service recommendations by PTIO, rewritten on 1 March, into Traditional Chinese. The translation is hereby published using CC0 license.
Feel free to correct any error or improve the translation, you can contact me at @-____:privacytools.io.
!警告!
即使使用端到端加密(E2EE)技术,例如 OpenPGP,邮件也会不可避免地具有在邮件头部不可加密的元数据。详情请阅读元数据部分。
OpenPGP 亦不支持前向安全(forward secrecy),这意味着若是你或是邮件接受方的私钥泄露了,那么之前一切加密的消息都会被破解。该怎样才能保护私钥?
长期对话,请考虑使用支持前向安全的媒介,而不是邮箱。
详见[PTIO 推荐的即时通讯服务]
推荐的邮箱服务
PTIO 推荐的邮箱服务商,都位于美国以外,采用现代电邮技术,并满足我们的其他各项指标。在 wiki 上另有一个详细对照表。https://wiki.privacytools.io/view/Comparison_of_email_providers#Provider_comparison
ProtonMail [免费]
ProtonMail 这个邮箱服务专注于隐私、加密、安全及易用,从 2013 年开始运营至今。ProtonMail 位于瑞士日内瓦。免费账户拥有 500MB 的存储空间。
免费账户也有限制,例如,不能够使用 ProtonMail Bridge,而为了使用我们所推荐的邮箱客户端(例如 Thunderbird)或是通过正文内容搜索邮件,都需要用到 Bridge。付费账户起始价格为每年 48 欧元〔作者注:截至撰写本文(2020 年 3 月 2 日)时,汇率大约是 370 人民币/410 港币/1600 新台币〕,支持像是 ProtonMail Bridge、额外存储空间、自定域名之类的功能。网页版邮箱和手机 app 只能通过 To:, From:, Date: 和 Subject: 这四个关键字搜索。不过,这个可能会在 ProtonMail v4.0 改变。
🟩 域名和别名
ProtonMail 的付费用户可以用自己的域名。Professional 和 Visionary 的付费方案支持 catch-all 地址(译注:就是说只要域名,也就是 @ 后面的内容一致,用户名即 @ 前面可以是任意内容)。ProtonMail 也支持子地址,这对不想付费购买域名的用户来说很实用。
支付方法
在信用/储蓄卡和 PayPal 之外,ProtonMail 还支持比特币。
账户安全
ProtonMail 只支持 TOTP 两步验证。U2F 安全设备仍不支持。ProtonMail 计划在完成 Single Sign On (SSO) 部分代码后支持 U2F。
🟩 数据安全
ProtonMail 对用户的邮箱、地址簿和日历采用「零访问」(zero access encryption,译注:意即伺服器访问不了这样的加密信息)全盘加密,这就是说消息和其他存储在用户账户的数据,只有用户才能访问。
🟩 邮箱加密
ProtonMail 在网页版邮箱集成了 OpenPGP 加密。给其他 ProtonMail 用户发送的邮件是自动加密的,在设置里也可以轻易开启用 OpenPGP 密钥给其他邮箱用户加密的功能。他们还允许用户给其他邮箱用户发送加密消息,而无需让他们注册 ProtonMail 账户或是使用诸如 OpenPGP 的软体。
ProtonMail 还支持通过他们的网路密钥目录(WKD)来通过 HTTP 来发现公钥。这就让不使用 ProtonMail 的用户也能够轻松找到 ProtonMail 用户的 OpenPGP 公钥,来实现跨服务商 E2EE。
🟩 .onion 服务
ProtonMail 可通过 Tor 在 protonirockerxow.onion 访问。
🟦 额外功能
ProtonMail 提供 Visionary 付费方案,价格为每月 24 欧元,除多账户、域名、别名和更大存储之外,还包括了 ProtonVPN。
Mailbox.org [12 欧/年]
Mailbox 这个邮件服务关注于安全、无广告以及私人通过完全生态环保的能源来驱动。该服务从 2014 运营至今。Mailbox 位于德国柏林。账户存储 2GB 起步,且可以在需要的时候再添加。
Maibox.org 允许用户选择自己的域名,并支持 catch-all 地址。Mailbox 也支持子地址,这对那些不愿意自己购买域名的用户来说很有用。
付款方式
因为用的交易处理商 BitPay 在德国停运,Mailbox 不支持比特币或是其他加密货币。不过,他们仍然支持邮寄现金、向银行账户付现金、银行转账、信用卡、PayPal 和德国专属的处理商 paydirekt 及 Sofortüberweisung。
账户安全
Mailbox 仅在网页邮箱支持两步验证。用户可以使用 TOTP 或通过 Yubicloud 使用 Yubikey。诸如 U2F 和 WebAuthn 这类的网路标准尚未支持。
数据安全
Mailbox 允许通过他们的加密邮箱来加密所有来信。新来的消息,一收到就会用公钥加密。但是,这只会全局加密邮件内容,所以,用户应该要求发信人在发送前就加密邮件,以确保其保密。
不过,Mailbox 使用的平台 Open-Exchange 不支持加密地址簿和日历。单独的平台可能会更适合。
邮件加密
Mailbox 在其网页邮箱中集成了 E2EE,让给有 OpenPGP 公钥的用户发加密邮件很简单。他们还允许远程收件人在 Mailbox 的伺服器上解密。若是远程收件人没有 OpenPGP,或是不能在自己的邮件服务中解密邮件的时候,这个特性比较有用。
Mailbox 还支持用 WKD 通过 HTTP 发现公钥。这就让使用 Mailbox 以外的服务的用户能够轻松找到 Mailbox 用户的 OpenPGP 钥,来实现跨服务商 E2EE。
🟨 .onion 服务
可以通过 IAMP 或 SMTP 来用 onion 服务访问 Mailbox 账户。但是,他们的网页邮箱界面不能用 onion 服务访问,用户还可能遇到 TLS 证书错误问题。
额外功能
所有账户都有一些有限的存储空间可以加密。Mailbox 还提供 @secure.mailbox.org 的别名,这个别名强制邮箱服务之间的连接使用 TLS 加密,不然就不发送消息。
Posteo [12 EUR/年]
Posteo 这个邮箱服务商注重匿名、安全与私人。其服务器完全基于可持续能源,从 2009 运营至今。Posteo 位于德国,允许 14 天免费试用。付费账户有 2GB 存储,可以以 €0.25/GB/月 的价格购买额外存储空间。
域名和别名
Posteo 不允许使用自定义域名,不过很多用户依然使用子地址功能。
支付方式
Posteo 不支持比特币或其他数字货币,不过他们支持邮寄现金,还支持信用/储蓄卡、银行转账和 PayPal,并宣称他们通过这些付款方式所获得的 PII 不会关联到用户账户。
账户安全
Posteo 只在网页客户端支持两步验证。可以使用 TOTP 或是带 TOTP 的 Yubikey。尚不支持如 U2F 和 Authn 这样的网页标准。
数据安全
Posteo 对邮件存储使用零访问加密。这就是说,存储在你账户上的消息只有你可以阅读。
Posteo 还支持全盘加密你的地址簿联系人和日历。然而,Posteo 仍然使用 CalDAV 和 CardDAV 标准来存储日历和联系人,这两个端口不支持 E2EE。因此,单独使用软体来存储这些信息可能更加合适。
邮箱加密
Posteo 在网页邮箱中集成了加密,可以轻松给拥有 OpenPGP 公钥的用户发送加密消息。他们还支持 WKD 来通过 HTTP 发现公钥,让 Posteo 以外的用户可以轻易发现 Posteo 用户的 OpenPGP 钥,实现跨服务商 E2EE。
.onion 服务
Posteo 没有 onion 服务。
额外功能
Posteo 允许用户创建自己的邮件列表,每个账户可以免费创建一个。
Soverin [€29/年]
Soverin 这个邮箱服务商注重提供隐私、无广告、由可持续能源驱动的邮件服务,从 2015 运营至今。Soverin 位于阿姆斯特丹,不提供免费试用。账户起始存储空间为 25 GB。
Domains and Aliases
Soverin 允许用户使用自己的域名,还可以给自己的域名使用 catch-all 地址和别名。Soverin 亦允许子地址,这对不想自己购买域名的用户来说很实用。
付款方式
Soverin 支持比特币付款,也支持信用/储蓄卡、PayPal,以及荷兰专属的服务商 iDEAL。
账户安全
Soverin 仅在网页邮箱界面支持 TOTP 两步验证,不支持 U2F 安全验证。
数据安全
Soverin 有全盘加密,不过似乎并非「零访问」,就是说,技术上,他们是可以解密这些数据的。
Soverin 使用 CalDAV 和 CardDAV 协议来存储日历和联系人,这两个都不支持 E2EE。单独的服务可能更合适。
邮件加密
Soverin 在其网页版邮箱中集成了加密,让用户可以轻松发送加密邮件。但是,Soverin 尚未集成 WKD 至其平台。
.onion 服务
Soverin 无 onion 服务。
额外功能
Soverin 提供给用户一个空间,可以用来做个人网页。
Disroot [免费]
Disroot 提供邮箱等各项服务,由志愿者和社区维护,自 2015 起一致运营。Disroot 位于阿姆斯特丹,免费,且使用如 Rainloop 这样的开源软体提供服务。用户可以通过捐助和购买额外空间的方式来支持项目。存储空间为 1 GB,不过可以以 0.15€/GB/月(年付)的价格购买额外空间。
域名与别名
Disroot 允许用户使用自己的域名,也支持别名,不过必须手动申请。
付款方式
Disroot 支持 Bitcoin 和 Faircoin 付款,也支持 PayPal、直接银行转账和 Patreon 付款。Disroot 是非营利组织,也支持 Liberapay、Flattr 和 Monero 捐款,但这些支付平台不能用于购买服务。
账户安全
Disroot 仅在网页邮箱支持 TOTP 两步验证,不支持 U2F 安全验证。
数据安全
Disroot 有全盘加密,不过似乎并非「零访问」,就是说,技术上,他们是可以解密这些数据的。
Disroot 使用 CalDAV 和 CardDAV 协议来存储日历和联系人,这两个都不支持 E2EE。单独的服务可能更合适。
邮件加密
Disroot 允许在他们的网页版邮箱通过 OpenPGP 发布加密邮件。不过,Disroot 尚未集成 WKD 至其平台。
.onion 服务
Disroot 不提供 onion 服务。
额外功能
Disroot 还提供其他服务,例如 NextCloud、XMPP、Etherpad、Ethercalc、Pastebin、在线调查和 Gitea 实例。他们还有一个 F-Droid 上的应用。
Tutanota [免费]
Tutanota 是一个免费邮箱服务,致力于通过加密来实现安全和隐私。Tutanota 自 2011 运营至今,位于德国汉诺威。账户存储空间 1 GB 起步。
Tutanota 不允许使用第三方客户端。有计划让 Tutanota 能够用 IMAP 协议从外界邮箱账户获取邮件。目前不能导入邮件。
邮件可以单个或是多选导入。可能不符你的期望,Tutanota 不支持子文件夹。
Tutanota 正在开发桌面客户端,在 F-Droid 上有移动应用,也在便利商店上上架自己的应用,例如 iOS 上的 App Store 和 Android 上的 Google Play。
域名和别名
Tutanota 付费帐号最多可用 5 个别名和自定义域名,不允许使用子地址,但是可以在自定义域名中使用 catch-all 地址。
支付方式
Tutanota 只支持信用卡和 PayPal。
账户安全
Tutanota 支持两步验证。用户可以使用 TOTP 或 U2F,但 U2F 在 Android 上尚不可用。
数据安全
Tutanota 对邮箱、地址簿联系人和日历有零访问全盘加密,即,信息等存储在用户账户的数据,只有用户可读。
邮件加密
Tutanota 不支持 OpenPGP,Tutanota 用户收到加密邮件,只能是其他服务商用户用 Tutanota 临时邮箱给他们发送邮件。
Tutanota 的确有计划支持 AutoCrypt,这样,只要其邮箱客户端支持 AutoCrypt 头,其他服务商的用户就可以给 Tutanota 用户发送加密邮箱。
.onion 服务
Tutanota 无 onion 服务,但可能会在未来考虑这点。
额外功能
Tutanota 向非营利组织免费或是低价提供商业版服务。
Tutanota 还有一个商业功能 Secure Connect,可以确保顾客使用 E2EE 联系商业公司。这个功能每年 240 欧元。
我们的标准
请注意:我们与推荐的服务商没有任何关联,这就能让我们提供完全客观的推荐。我们提出了一系列清晰的标准,能用来衡量邮箱服务商是否值得推荐,这包括是否采用业界最佳标准、新型科技等等。我们建议你先熟悉一下这些标准,然后再选择邮件服务商,并且自己做调查,确保选择的是适合你的。
司法管辖
在五眼/九眼/十四眼联盟之外运营,并不一定就能保障隐私,还有其他因素要考虑。但是,我们相信,为了避免大规模的政府在线监控,尤其是来自美国的,避免这些国家很重要。欲知详细原因,请看我们关于全球大规模监控和避免位于英美的服务的文章。
最低标准:
运营在美国或是其他五眼国家之外。
最佳情况:
运营在美国或是其他十四眼国家之外。
运营在有很强的消费者数据保护法律的国家。
技术
我们认为,为了给用户提供一个安全且理想的服务,这些特性非常关键。用户应该考虑那些有自己需要的特性的服务商。
最低标准:
全盘加密用户数据。
集成的网页版邮箱方便用户添加 E2EE。
最佳情况:
用零访问加密技术全盘加密账户数据。
允许用户使用自己的域名。自定义域名服务对用户很关键,因为这样,用户可以把他们的邮件形象与具体的服务商分离,以防服务商开始做恶、被不重视隐私的公司收购等情况。
支持 WKD,来更好地通过 HTTP 发现 OpenPGP 公钥。
GnuPG 用户可以通过 gpg --locate-key example_user@example.com 来获取钥。
对外部用户提供临时邮箱。在你想发送加密邮件却又不想把实际副本发送给收信人的时候很有用。这样的邮箱通常寿命很短,到期就自动删除,也不需要收信人设置像是 OpenPGP 这样的加密。
可以通过 onion 服务访问邮件提供商的服务。
支持子地址。
为拥有自己域名的用户提供 catch-all 或别名。
使用标准邮件访问协议,例如 IMAP、SMTP 及 JMAP。标准访问接口确保用户在想要切换到其他服务商的情况下可以轻松下载全部邮件。
隐私
我们希望推荐的服务商收集数据尽可能的少。
最低标准:
保护发信人的 IP 地址,将此项从 Received 的头项中删掉。
不需要除用户名和密码之外的个人可识别信息(personally identifiable information,PII)。
满足 GDPR 标准的隐私政策。
最佳情况:
支持比特币、现金和其他形式的加密货币,以及/或其他的匿名付款方式,例如礼品卡。
安全
邮箱涉及到很多非常敏感的数据,我们期待服务商使用业界最高标准来保护用户。
最低标准:
用 TOTP 这样的 2FA 保护网页邮箱。
全局加密(如使用 dm-crypt),这样可以在非法夺取伺服器的情况下保障数据安全。
使用 Hardenize、testssl.sh 或是 Qualy SSL Labs 这样的测试工具不会报出 TLS 错误或是问题,包括证书类问题、弱加密套装和弱 DH 参数。
有效的 MTA-STS 及 TLS-RPT 政策。
有效的 DANE 记录。
注册在 EFF 的 STARTTLS-Everywhere 榜单上。
有效的 SPF、DKIM 和 DMARC,p 值设置为 none、quarantine 或是 reject。
伺服器推荐使用 TLS 1.2 及以后的版本,计划停止 TLS 1.0 和 1.1 版本。
若是使用 SMTP,则发布 SMPTPS。
网页安全标准,如 HSTS、从外部域名加载时使用 SRI。
最佳情况:
支持硬体验证,例如 I2F 及 WebAuthn。U2F 和 WebAuthn 更加安全,因为使用存储在客户端硬体上的密钥来验证,而不是像 TOTP 那样将密钥存储在网页伺服器和客户端上。此外,U2F 和 WebAuthn 更抗钓鱼攻击,因为其验证回应基于已验证域名。
零访问加密,并构建在全局加密之上。这个所带来的差别在于,服务商没有自己所持数据的解密密钥,就能防止一个粗心的雇员不慎泄露数据,或是对手通过未受权访问伺服器所偷盗的密钥来获取数据。
除 DANE 支持之外,还有 DNS CAA Resource Record。
实现 ARC RFC8617,这对向邮箱列表发邮件的用户有用。
漏洞悬赏和/或是类似的漏洞发现程序。
网页安全标准,如 CSP 和 Expert-CT。
信任
你肯定不会信任用虚假身份的人来处理你的财务数据,那为什么要信任他们来处理你的互联网数据?我们要求我们所推荐的服务商公开其所有权或领导权。我们还希望他们经常发布透明度报告,尤其是关于怎样处理来自政府的请求的。
最低标准:
公开的领导权或是所有所有权。
最佳情况:
公开的领导权。
经常发布透明度报告。
营销
我们希望我们推荐的服务商做负责任的营销。
最低标准:
自建分析服务(即没有 Google Analytics 之类的东西),网站配合 Do Not Track(DNT)。
不得含有任何不负责任的营销,这包括:
宣称自己的加密不可破解。用加密,应该意识到将来可能会存在能攻破他们的工具,也就不再保密。
承诺能做到完全匿名。宣称完全匿名就是说丝毫不会有差错。事实上,用户很容易就让自己不再匿名,例如再次使用那些曾经没用匿名软体就访问了的同一个人身份(如邮箱地址、同一假名),或是通过浏览器指纹。
最佳情况:
有清晰易读的文档,包括怎么设置 2FA、邮箱客户端、OpenPGP 等内容。
额外功能:
尽管这些并非严格的要求,但在决定是否推荐服务商的时候,这些也是我们会考绿的因素。
邮箱加密
邮件中的 E2EE 指什么?
端到端加密(E2EE)是加密邮件内容的一种方式,可以保证除了双方外没人看得到邮件内容。
怎样加密我的邮件?
能实现跨服务商的邮件 E2EE 标准是用 OpenPGP。OpenPGP 标准有不同的实现,最流行的有 GnuPG 和 OpenPGP.js。
在商务邮件中还有一种流行的标准叫 S/MIME,不过这个需要来自 CA(CA 不一定都发 S/MIME 证书)颁发的证书。G Suite Enterprise/Education 和 Office 365 Business or Exchange Server 2016, 2019 都支持这个。
用什么软体来 E2EE?
允许使用诸如 IMAP 和 SMTP 的标准访问接口的邮件服务商,可以用任何我们推荐的邮箱客户端来使用。这可能会更不安全,因为现在你需要信任邮箱服务商的加密实现正常,没有被攻破。
怎么保护我的私钥?
像是 Yubikey 和 Nitrokey 这样的智能卡从运行邮箱客户端的设备(可以是手机、平板、电脑等)上接收加密的邮件信息,然后由智能卡解密,随后将解密后的内容传回设备。
解密在智能卡上是有好处的,可以避免将私钥暴露给被攻破的设备。
元数据
元数据谁能看到?
邮件元数据可以被邮箱客户端软体(或是网页客户端),以及任何将你的信息传递给收信人的伺服器看到。有的时候,邮箱伺服器还会使用第三方服务来防 spam。
元数据是什么?
邮件客户端通常会显示一些可见的头部信息,你可能已经见过他们,例如 To、From、Cc、Date 和 Subject。
元数据在哪里使用?
邮件客户端可能会用元数据来显示消息来源和收到时间,伺服器可以用它来决定是否发送邮件,以及进行其他不一定对用户可见的用途。
元数据在哪?
邮件的元数据保存在邮件头部。
为什么邮箱元数据不能端到端加密?
邮件元数据对邮件的基本功能至关重要(邮件来自哪,又要送到哪)。E2EE 原本就不是邮件协议的一部分,也只是可选,因此,只有邮件内容才受到保护。
我的元数据被怎样保护?
当邮件在邮箱服务商之间流通的时候,会使用 STARTTLS 来进行加密。这会保护元数据,使之对外部伺服器不可见。但毕竟这不是 E2EE,伺服器管理员还是能看到邮件的元数据。
邮箱隐匿服务
AnonAddy 能让用户创建别名来转发到自己的邮箱地址,可自建。
自建邮箱
进阶用户可以考虑搭建自己的邮箱伺服器。邮箱伺服器需要很多精力和持续不断的维护,方可保持安全,让邮件可信地抵达。
结合软体方案:
Mail-in-a-Box 是一个自动设置脚本,可以用来在 Ubuntu 上部署邮箱伺服器,其目标是能让用户更轻松地设立自己的邮件伺服器。
Mailcow 是更进阶级别的邮件伺服器,很适合那些有 Linux 经验的人。在一个 Docker 容器里就有所有你所需要的:支持 DKIM 的邮件伺服器、杀毒软体和 spam 监控、通过 SOGo 实现的网页邮箱界面和 ActiveSync,以及支持 2FA 的网页式管理。[文档(英文)]
我们推荐这两篇更类似文档的文章。
https://poolp.org/posts/2019-09-14/setting-up-a-mail-server-with-opensmtpd-dovecot-and-rspamd/
https://www.c0ffee.net/blog/mail-server-guide/
相关文章
https://www.grepular.com/An_NFC_PGP_SmartCard_For_Android
https://www.wired.com/2011/10/ecpa-turns-twenty-five/
https://thinkprogress.org/the-government-can-still-read-most-of-your-emails-without-a-warrant-322fe6defc7b/
