安全電子郵件使用
選擇看重用戶隱私的安全電郵供應商,最好避免廣告式平台。不可輕信任何公司,郵件最好能加密。
即便使用如OpenPGP之類端對端加密的技術,email 本質上仍不夠安全不宜作為敏感內容的通訊管道。它的元數據只能以明文型式傳輸,就算正確使用加密法,也可能在轉寄或回信時不小心把早先加密過的內容以明文方式傳送。進一步了解郵件元數據。
OpenPGP GPG 也無法方便地支援新的密碼學功能,如密鑰輪替(key rotation)和 向前保密(forward secrecy),所以寄件人或收件者的私鑰有可能被竊取, 全部加密郵件 就會曝露。請參考「如何保護私鑰」
若是長篇對話,請考慮使用可支援向前保密(forward secrecy 的傳播工具,例如我們。
推薦的即時通訊軟體具隱私意識的電郵服務商- 與本站無利害關聯
優質的電郵服務商
ProtonMail Free
ProtonMail.com 專注於提供安全、隱私保護與簡便好用的加密電郵服務。自They have been in operation since 2013營運,ProtonMail 總部位於瑞士日內瓦,他們提供容量 500 MB 的免費電郵。
免費版功能受限,不能使用ProtonMail Bridge,須用推薦的郵件軟體 (e.g. Thunderbird) 才可搜尋郵件全文。付費帳號費用自 € 48 歐元/年起跳,含 ProtonMail Bridge、更大儲存容量、自定網域名等功能。網頁版電郵無法搜尋郵件全文,只能查 To:
, From:
, Date:
and Subject:
寄件、收件、日期、主旨( Protomail <v4.0 第四版可能會加以修改。)
網域名與別名信箱
付費帳號可使用自定域名,自定域名的專業版與尊貴版用戶可使用Catch-all 功能收取該網域名的任何信箱。 ProtonMail 也支援子地址 ,這對不想買域名的用戶很方便。
支付方式
ProtonMail 可收 Bitcoin、信用卡/借貸卡與 PayPal等付款方式
帳號安全
ProtonMail 目前僅支援 TOTP 雙因子驗證,尚未支援硬體式的U2F 安全鑰。 ProtonMail 打算在完成單次登入Single Sign On (SSO) 程式碼之後實施 U2F。
資料安全
ProtonMail 全程使用 零讀取加密 zero access encryption保護用戶電郵 、聯絡簿與行事曆,所以這些資料只有帳號當事人才可以讀取。
郵件加密
ProtonMail 的網頁電郵整合了 OpenPGP 加密。寄給 ProtonMail 的信件會自動予以加密,而寄給持有 OpenPGP 密鑰但非 Protonmail 使用者的信件能簡單在帳號設定處啟動>信件加密。
用戶可透過 ProtonMail 的Web Key Directory (WKD)來發現公鑰,如此一來非 ProtonMail 用戶可以利用 ProtonMail 用戶的公鑰目錄寄出加密信,進行不同服務商之間的電子郵件加密。
.onion Service
ProtonMail 可運行於 Tor 網路,訪問網址在 protonirockerxow.onion.
額外功能
ProtonMail 每月付費 €24 歐元/月的"Visionary" 尊貴版,其可同時使用 ProtonVPN、多個帳號、自定域名、別名信箱、額外容量等服務。
Mailbox.org €12/y
Mailbox.org完全使用綠色能源提供客戶安全、無廣告干擾、尊重隱私的郵件服務。他們於 2014 成立於 德國柏林 Germany,入門帳號有 2 GB 儲存空間,可以加碼昇級。
網域名與別名信箱
Mailbox.org 可自定域名且支援lets users use their own domain and they support Catch-all收取該網域名的任何信箱。不想買域名的用戶,Mailbox.org 也提供 子地址服務。
付款方式
Mailbox.org 不接受比特幣或其它加密貨幣,因為他們的支付處理商 BitPay 遭德國政府禁止營運。可接受現金袋郵寄、現金、銀行滙款、轉帳、信用卡、 PayPal 以及一些德國特定的支付商如 paydirekt 與 Sofortüberweisung。
帳號安全
Mailbox.org 僅有網頁郵件支援 雙因子驗證 可設定TOTP 或利用雲端版Yubicloud Yubikey 操作。網頁標準如U2F 與WebAuthn 則未支援。
資料安全
Mailbox.org 利用 加密信件匧來收取信件,新收到的郵件會立即先用收件人的公鑰加密。
但是 Mailbox.org 所使用的Open-Exchange 無法加密聯絡簿與行事曆。因此最好是另外個別獨立儲放這些資料。
郵件加密
Mailbox.org 的網頁版郵件 已整合加密功能,簡化了用戶以公開的 OpenPGP 金鑰寄送郵件的手續。遠端收件人也可在 Mailbox.org 伺服器進行解密,這對於沒有 OpenPGP 密鑰不會解密郵件的收信人而言大為方便。
Mailbox.org 有Web Key Directory (WKD)功能如此一來非 Mailbox.org 用戶可以利用 WKD 向Mailbox.org 用戶發送加密郵件,完成不同服務商之間的電子郵件加密。
.onion Service
用戶可透 IMAP/SMTP 來使用其 Tor 網路 .onion 服務下的信箱帳號,不過其網頁介面卻無法在 .onion 服務下訪問,可能會遇上 TLS 憑證錯誤的問題。
額外功能
提供所有用戶容量限額的加密雲端>空間,也提供尾綴為 @secure.mailbox.org的別名信箱,此信箱強制郵件伺服器之間使用 TLS 加密,否則不會送發訊息。除了一般標準的 IMAP and POP3,Mailbox.org 還可用 Exchange ActiveSync。
Posteo €12/y
自 2009於 德國成立以來,Posteo.de 同樣全部使用綠色能源,提供用戶安全、匿名、私密的電郵服務。新註冊者可有 14天免費運試用,入門帳號享有 2 GB 容量,可加購郵箱空間(1GB 每月 €0.25 歐元。)
網域名與別名信箱
付款方式
Posteo 不收比特幣與其它加密貨幣,可收現金、信用卡、借貸卡 PayPal 等等,Posteo 收款後會移除可辨識身份之資訊。
帳號安全
Posteo 僅有網頁版郵件支援 雙因子驗證。用戶可透過TOTP a Yubikey 雙重驗證。網頁標準如U2F 與WebAuthn 則未支援。
資料安全
Posteo 運用 零存取加密 zero access encryption來保存郵件,只有所有者才能看得內容。
Posteo 也可對用戶的 聯絡簿 與 行事曆 予以加密,不過它使用的是標準的 CalDAV 和 CardDAV 格式,這些協定並不支援 E2EE (端對端加密End-To-End Encryption),所以更安全的作法是另外 單獨存放。
郵件加密
Posteo 的電郵網頁版 整合了加密功能,簡化用戶以公開的 OpenPGP 金鑰寄送郵件。他們也有Web Key Directory (WKD),如此一來非用戶可以利用 WKD 向 Posteo 用戶發送加密郵件,進行不同服務商之間的電子郵件加密。
.onion Service
Posteo 不能透過 Tor 網路訪問 .onion
額外功能
Posteo 用戶可以 設定自己的郵件論壇 mailing lists,一個帳號僅限一個免費論壇。
Disroot Free
Disroot的other services多項服務,電子郵件只是其中之一。Disroot 由志工營運,自 2015成立以來, Disroot 以 荷蘭阿姆斯特丹為基地,利用開源軟體如 Rainloop 提供社群免費服務。使用者可利用捐款表示支持或是花錢加購額外容量。電子郵件基本額度是 1 GB 而加購價則是 1 GB 0.15€/月(年繳)
網域名與別名信箱
使用可自定網域、別名信箱,其設定須自行手動變更。
付款方式
可收比特幣、Faircoin、 PayPal、Patreon、銀行直接帳號扣款等支付方式, Disroot 為非營利組織,可透過 Liberapay, Flattr, Monero 接受捐款,但這些捐款不能被視為購買支付其提供的服務使用。
帳號安全
Disroot 支援網頁版的 TOTP 雙因子驗證,無法使用U2F 安全硬體驗證。
資料安全
雖然 Disroot 使用全磁碟加密,但它並不是 "零存取",在技術上有可能自行解密他人的資料。
Disroot 使用聯絡人與行事曆的標準 CalDAV and CardDAV 協定,故無法 E2EE 加密,最好能另外 個別獨立較安全。
郵件加密
Disroot 可運用網頁版與 OpenPGP 送出加密郵件。它們並未整合 Web Key Directory (WKD)功能。
.onion Service
Disroot 不能透過 Tor 網路訪問 .onion
額外功能
除電郵外,還提供
其它服務例如 NextCloud, XMPP Chat, Etherpad, Ethercalc, Pastebin, Online polls and a Gitea 等等,也可以在 F-Droid找到 Disroot 自己的應用 app。Tutanota Free
Tutanota.com 提供加密,強調安全與隱私的電子郵件服務商,Tutanota 2011 成立於德國 漢諾瓦。免費版提供 1GB 的容量。
Tutanota 無法 使用第三方的 郵件軟體,他們打算利用 IMAP協定來開發外部郵件帳號收取 支援。 目前無法滙入其它帳號郵件。
郵件可 個別或大批選取滙出,但它沒有別家服務商提供的個別信件匧功能。
Tutanota 正在開發 電腦版的客戶端軟體,現有手機版應用可從 F-Droid下載,或是主流的 App Store與Google Play 下戴。
網域名與別名信箱
付費版最多可設置 5 個別名 與 自定網域。 它不能設 子地址 (加號地址plus addresses),但用戶可利用自定域名作 catch-all域名下的全部信件接收。
付款方式
Tutanota 僅收信用卡和 paypal
帳號安全
Tutanota 提供 雙因子驗證,用戶可透過 TOTP 或U2F,但安卓版尚未支援 U2F。
資料安全
Tutanota 全程使用 零讀取加密 zero access encryption保護用戶電郵 、聯絡簿與行事曆,所以這些資料只有帳號當事人才可以讀取。
郵件加密
Tutanota 無使用 OpenPGP,用戶收取其它服務商的加密郵件時必須透過一個臨時的信箱。
Tutanota 計畫要提供AutoCrypt支援,好便於非用戶利用郵件軟體 AutoCrypt 功能來寄送加密郵件給 Tutanota 用戶。
.onion Service
Tutanota 無法運行於 Tor 網路 .onion 服務,但以後或許會考慮新增此服務。
額外功能
對非營利組織,Tutanota 提供免費或拆扣價的商務帳號。
Tutanota 有提供商用特別功能,稱之為 Secure Connect,它可確保客戶利用 E2EE 進行業務郵件聯繫,本功能每年收費 €240。
StartMail Personal USD $59.95/y
StartMail.com使用標準 OpenPGP 加密,專注安全與隱私的電子郵件服務商。至 2014營運以來, StartMail 荷蘭為基地,帳號容量從 10GB 起跳,提供 30天的試用體驗。
網域名與別名信箱
付款方式
StartMail 可收 Visa, MasterCard, American Express 信用卡與 Paypal,還可接受 其它付款方式 如比特幣 (目前僅供個人帳號支付)、 SEPA 直接扣款則須帳號使用滿一年。
帳號安全
StartMail 僅支援網頁郵件 的 TOTP雙因子驗證。用戶無法使用U2F 安全鑰物理驗證。
資料安全
StartMail 運用其 "user vault" 系統,提供全程的零存取加密,用戶登入後即會開啟此 vault,並將郵件透過收信人的私鑰解密後移到此區 。
StartMail 可滙入 聯絡人資料,不過此功能須透過網頁版服務而非利用CalDAV之協定。聯絡人的資訊也並非以零知識加密儲存,因此最好對這些資料 另外採取獨立的保護方式 更為妥當。
郵件加密
StartMail 的網頁郵件有 整合型加密,大大簡化了用戶操作 OpenPGP 公鑰傳送訊息的麻煩。
.onion Service
StartMail 無法運作於 Tor 網路 .onion 服務
額外功能
StartMail 允許郵件內的圖片代理,如果用戶同意載入遠端圖片,送件人並不會知道用戶的 IP 地址。
電郵服務商推薦標準
本站與下列推薦的供應商並無任何關聯,以維持完全客觀的立場和評論,特此聲明。 透過消費者自己一番研究確認可信任的對象後,再決定電子郵件的服務商。
司法管轄地
供應商在非五眼/九眼/十四眼等國家之外營運,不必然保證隱私安全,還要考量其它因素。不管如何,最好還是不要選用這些集團國家所在地,避免大規模政府無差別的拖網式監控,尤其是美國。請參考全球大規模監控與避免使用美國與英國的服務商,了解為何這點很重要。
基本合格線:
- 在美國境外或其它五眼聯盟以外的國家營運。
最佳作為:
- 在美國與十四眼聯盟以外的國家營運。
- 營運所在地有強勢的消費者保護法令。
技術
以下為安全與最佳電郵體驗的重要必備功能,消費者在挑選服務商時,應慎重看待這些條件。
基本合格線:
- 全程安全加密帳號資料
- 網頁版郵件整合加密功能,方便使用者來改善原本無E2EE加密的情況。
最佳作為:
- 全程使用 zero-access 加密方式處理用戶的帳號資料(zero-access 指只有資料所有人才能讀取,別人無法看到)
- 用戶可自定網域名。 自定域名的重要性在於讓用戶可以中介自我保護,一旦原使用的服務商作惡或遭到收購改變隱私政策,原用戶可以快速移走不受太大波及。
- 支援 WKD,便於透過 HTTP 來找 OpenPGP 公鑰目錄,
GnuPG 使用者只要輸入:gpg --locate-key example_user@example.com
,就可查找他人的公鑰。 - 服務非註冊客戶,利用臨時信箱。臨時信箱可傳送加密郵件給不會使用加密郵件的外部收件,這些郵件通常都有讀取時限之後就會自動刪除。此功能讓收件者不必設定複雜的加密方法。
- 可透過 Tor 網路洋蔥服務使用郵件服務
- Subaddressing 支援
- 使用自定網域名者可享Catch all 或 aliases名別功能。
- 使用標準的郵件取用協定,如 IMAP, SMTP or JMAP等。標準協定能確保用戶若要轉換其它服務商時,可方便下載帶走全部郵件。
隱私
建議考慮服務商收集用戶資料的必要性,以資料最少量為宜
基本合格線:
- 保護寄件人的 IP 位置,過濾避免此資訊顯示在
已接收
表頭欄位 - 除了用戶名稱和密碼,不強制要求提供其它可辨識的個人資訊(personally identifiable information,PII)。
- 隱私政策符合歐盟個資保護指令 GDPR
最佳作為:
- 可接受比特幣、現金、加密資幣或其它可匿名的付款方式(如禮物卡)。
安全
郵件伺服器經手許多敏感資料,故我們希望服務商們能採行業界最佳示範方案來保護客戶。
基本合格線:
- 網頁版電郵提供 雙因子驗證 (2FA),例如 TOTP。
- 全程加密保護 (e.g. dm-crypt) 以確保放在伺服器內容萬一遭非法入侵也不會外洩。
- DNSSEC 支援
- 使用 Hardenize、testssl.sh、 Qualys SSL Labs等工具時,無 TLS 錯誤/缺陷弱點,像憑證錯誤、不良密碼組、單薄的 DH 參數等等,容易造成 Logjam 安全問題。
- 有效的 MTA-STS和 TLS-RPT 政策
- 有效的 DANE 記錄
- 有 SPF, DKIM 與 DMARC,
p
值設置為:none
,quarantine
orreject
. - 伺服器採用 TLS 1.2 以上版本或是提出停止使用 TLSv1.0 / TLSv1.1 版本的規劃宣告。
- 若已使用SMTP,最好進一步採加密級的SMTPS 提交
- 網站安全標準如:
- HTTP Strict Transport Security , 告知瀏覽器應強制使用 HTTPS 以取代 HTTP
- 子资源完整性 Subresource Integrity(自外部網站載入資料時)
最佳作為:
- 支援硬體驗證, 如 U2F、 WebAuthn等設備。U2F 與 WebAuthn 將私鑰儲存在用戶所保留的硬體,而非放在他人管理的網站伺服器,前者利用硬體直接驗證,後者則透過 TOTP 等軟體作雙因子驗證。再者,硬體驗證更能夠防止釣魚風險,因為它們的驗證必須符合已查驗過的網域名。
- 全程使用零讀加密,服務商手上沒有可讀取內容的解密鑰,以防止服務商不良員工洩露所保管的資料或是遠端的仇家利用不法手取得伺服器上的資料。
- DNS憑證頒發機構授權 (CAA) 資源記錄與 DANE 支援。
- 實施驗證收取鏈 Authenticated Received Chain (ARC),尤其有助於郵件群組發送。RFC8617.
- Bug-bounty 找錯賞金方案以及弱點揭露的程序協調
- 網站安全標準如:
信賴度
一般人不敢與冒名者有財務往來,同樣地使用電子郵件服務又怎麼能安心交給這類人?故我們建議的電郵服務商必須向公眾負責,且最好能定期提供透明報告,尤其是說明如何處理政府對資料索取的要求。
基本合格線:
- 面向公眾的領導或管理風格
最佳作為:
- 面向公眾的領導風格
- 定期的透明報告
行銷
負責的行銷手法
基本合格線:
- 必須使用的主機數據分析(不可用 Google Analytics 之流)。其網站必須遵照 DNT (不追蹤)原則讓用戶有退選的權利。
不得進行不負責任的行銷手段:
- 誇大所謂"無法破解的加密",加密時須認知道:未來技術的進步這些加密內容有一天都可能會被解開。
- 宣稱可作到百分之百的匿名保護,當聲稱某物為 100%時,這意味著絕無失敗餘地。但實際上,用戶可透過多種方式輕鬆地對自己進行去匿名處理:
- 重覆使用的個人資料,例如 email 帳號、獨特的化名等等,這些都不必透過匿名軟體(Tor, VPN etc)即可取得
- 瀏覽器指紋資料
最佳作為:
- 明確易讀的文件,例如說明如何設置雙因子驗證、客戶用郵件軟體、OpenPGP 等等。
額外功能
雖非嚴格必要,但有些推薦功能消費者在考慮供應商時不妨一併放入考量。
Email 加密
介紹電子郵件的端對端加密方式(E2EE)
端對端加密(E2EE) 加密郵件內容,防止其它人可隨意看到其訊息。
如何加密郵件?
即便選用不同的郵件服務,電子郵件的端對端加密的標準作法是OpenPGP,但 OpenPGP 標準有不同的操作方式,其中最普遍的GnuPG 和 OpenPGP.js。
另一套業界歡迎的加密方式是 S/MIME,但它需要有憑證授權單位 Certificate Authority (不見得每一家 CA 都能發出 S/MIME 憑證)所發的憑證。 Google Workplace 與 Outlook for Web or Exchange Server 2016, 2019皆已支援。
E2EE 加密軟體
使用標準電子郵件協定如 IMAP、 SMTP的電郵服務,可利用本網站所推薦的客戶端電郵軟體自行加密。若僅使用服務商所提供的加密保護(較不安全),請確認他們的加密操作不會輕易被破壞。
Email 元資料
誰可看到 Email 元資料?
通常客戶端郵件軟體(或 webmail)與所有中繼傳送訊息的伺服器都可看到 Email 元資料。有些郵件伺服器可能會使用外部服務來阻檔垃圾郵件。
什麼 Email 元資料?
Email 軟體會顯示某些可見的表單,例如: 收件人 To
, 寄件人 From
, 附本傳送 Cc
, 日期 Date
, 主旨 Subject
.
何時會用到 Email 元資料?
客戶端郵件軟體使用元資料來顯示郵件一些基本資訊,如誰寄出誰收件、發出與接收時間等等。伺服器用元資料來決定如何傳送郵件,但一般人不知道郵件表頭中其它作用的元資料
Email 元資料在哪裏?
Email 元資料儲存在電郵訊息的 表單部份。
為何 Email 元資料無法使用 E2EE 加密?
Email 元資料對電子郵件許多基本功能至關重要(誰寄來、寄去哪等等)。 E2EE 功能在一開始並未被放入電郵標準協定因此僅能加密訊息內容。
如何保護 Email 元資料?
當郵件在傳送的旅程中,各家服務商利用 Opportunistic TLS協定進行加密傳送協商。這可保護元資料避開外頭的觀念者,但它並非 E2EE 加密,伺服器管理員可以偷看郵件的元資料。
電子郵件遮掩服務
AnonAddy 可自建別名信箱,將之轉發到使用者自己的信箱,AnonAddy 可自己架設, 其源代碼在 GitHub。
SimpleLogin 輕鬆地建立電郵帳號別名,可自行架設。碼源庫 GitHub.
自架 Email
有能力的使用者可考慮自己架設 email 伺服器,不過後續的照料維護也得靠自己,確保其安全與服務穩定可靠。
統合式的軟體方案
Mail-in-a-Box運行於 Ubuntu 作業系統自動設定佈署的郵件伺服軟體,便於讓使用者自行搭置郵件主機。 /p>
Mailcow 較為進階複雜的郵件主機軟體,安裝者須有一定程度的 Linux 使用經驗。安裝者需要透過 Docker container 安裝以下功能: DKIM 支援的郵件主機、防毒與垃圾信監測、SOGo 的網面版郵件與自動同步、雙因子驗證管理等。完整文件請參考 Mailcow Dockerized docs
更詳細的操作手冊,推薦讀者可參考以下二份文件(英文)