[Empfehlung] - E-Mails versenden, empfangen, verschlüsseln

Ein Leben ohne E-Mails ist nicht mehr wegzudenken, man braucht sie für jeden Sinn und Unsinn des Lebens.
Eben aus diesem Grund lohnt es sich, die Angebote genau anzuschauen und sich auch mit dem Thema Verschlüsselung zu beschäftigen.
Das Problem an der Verschlüsselung ist jedoch, dass nur die allerwenigsten Korrespondenten selbst Verschlüsselung verwenden. Selbst die (mir bekannten) Banken scheinen das nicht zu beherrschen. Also liegen die Daten selbst dann beim eigenen Anbieter verschlüsselt herum, können aber nur unverschlüsselt versendet werden.

Auf die Empfehlung weise ich kurz hin, jedoch geht mir der Artikel nicht weit genug. Analog zum Prinzip mit 3 Browsern möchte ich hier das Prinzip mit 3 E-Mail-Accounts aufzeigen. Wohlgemerkt: 3 private E-Mail-Accounts.

Ein Account an der Uni sollte auch nur für die dortige Kommunikation verwendet werden. Natürlich gibt es von Uni zu Uni große Unterschiede - meine hat keinen Wert auf Datenschutz und Datensicherheit gelegt (2FA war ein Fremdwort, der Account erst ein Jahr nach Exmatrikulation gelöscht).
Gleiches gilt für E-Mail-Accounts des Arbeitgebers. Private Dinge haben in beiden nichts zu suchen. Wenn möglich, sollte auch dort ein zweiter Faktor aktiviert werden. Einfach die IT ansprechen (oder ständig nerven, wenn keiner antwortet).

Wer online viel bestellt, braucht dafür (mindestens) eine eigene E-Mail-Adresse. Oft wird diese nämlich ohne Vorwarnung (wer liest sich schon jedes Mal 20 Seiten AGB und Datenschutz durch?) an Dritte weitergeleitet - und schon wird das Postfach mit Spam überflutet.
Andererseits sollte dieses Postfach sicher sein, schließlich werden hier höchstpersönliche Daten ins Internet gesendet (dieser Account wurde früher von mir praktisch jährlich gelöscht und neu erstellt, siehe nächster Absatz).

Für unbekannte Anbieter empfehle ich SimpleLogin. Die Tarnjacke für E-Mails gehört inzwischen zu Proton, kann aber mit jedem vorhandenen E-Mail-Account genutzt werden. Wenn man über einen dort erstellten Alias Spam empfängt, kann dieser einfach gelöscht werden. Super auch für aufgezwungene Accounts mit E-Mail-Adresse als Pflichtangabe. Die kostenlose Version dürfte für die meisten Privatanwender ausreichend sein. Pro E-Mail-Adresse, die mit diesem Anbieter genutzt werden soll, braucht es einen Account bei SimpleLogin…

Gewollte Newsletter empfange ich mit einem 08/15-Freemailanbieter. Dort werden keine persönlichen Daten gespeichert, der Account ist auf einen Bewohner Entenhausens registriert und die Sicherheit kann mir dort egal sein. Kommt zu viel Mist herum, wird der Account gekündigt und an anderer Stelle ein neuer eröffnet (das musste ich inzwischen schon lange nicht mehr, allerdings hinterfrage ich inzwischen auch Anbieter und lese mindestens die Datenschutzerklärung).

Standard-E-Mails empfange und sende ich mit Disroot (mit unregelmäßiger Spende). Das Passwort ist sicher genug gewählt, dass es heutzutage eine Daseinsberechtigung hat, aber einfach genug, dass ich es mir merken kann (und von überall auf den Account zugreifen kann). Darüber empfange ich auch E-Mails der Familie, wenn z.B. Urlaubsplanungen verteilt werden. Da ich die einzige Person im Familien- und Bekanntenkreis bin, die sich mit der IT etwas auskennt, verwendet hier niemand Verschlüsselung. Viele verwenden sogar das Webinterface ihres Anbieters, obwohl ich den Leuten immer Thunderbird installiere - DAUs sind halt unverbesserlich. Viel Persönliches geht hier nicht ins Internet und Disroot verlangt (im Gegensatz zu den deutschen Freemail-Anbietern Web.de, GMX & Co.) keine persönlichen Daten. Gewisse Dinge werden hier von mir über die hauseigene Nextcloud-Instanz gespeichert und verschlüsselt geteilt.

Was sicher sein muss, geht bei mir über Proton oder Tuta. Jeweils ein Account für unterschiedliche Zwecke. Ein Normalverbraucher sollte sich für irgendeinen Anbieter entscheiden, der ohne große Fummelei Verschlüsselung anbietet. Außer diesen beiden fällt mir dazu leider nichts ein (lasse mich aber gerne belehren). Bei beiden kann der eigene öffentliche Schlüssel standardmäßig an E-Mails angehängt werden, sodass das Gegenüber zumindest die Chance bekommt, selbst verschlüsselt zu antworten.
Und bei beiden funktioniert mein YubiKey einwandfrei. Letzteres ist mir wichtig, damit nicht jeder mit dem Passwort an die Mails kommt.
(YubiKey übrigens deshalb, weil der die beste Unterstützung hat, inklusive Software und Apps für alle möglichen Betriebssysteme).
Der zweite Faktor wird bei beiden Anbietern bei jedem Login - auch außerhalb der Website - abgefragt. Mir ist in diesem Fall die Sicherheit wichtiger als der Komfort, alles per IMAP machen zu können. Und gerade auf dem Handy kommt es auf eine App mehr oder weniger auch nicht mehr an.

Kleine Anmerkung zur Sicherheit:
Alles steht und fällt mit dem Login. Also reine Passwort-Anmeldung nur für weniger wichtige Dinge.
Sobald persönliche Daten im (E-Mail-)Account liegen, sollte ein zweiter Faktor her. Von diesen gibt es so viele wie Sand am Meer, z.B.:

• Hardware-Token (wie mein YubiKey)
• OTP-App auf dem Handy
• TAN per SMS oder E-Mail (normalerweise unverschlüsselt)

Alles hat seine Daseinsberechtigung und man muss sich mit den Dingen beschäftigen, wenn man es immer schlauer werdenden Hackern schwerer machten möchte.

Meine Empfehlung zum Tagesablauf:
Verpasst eurem PC ein sicheres Passwort, damit nicht jeder Einbrecher direkt an alle Daten kommt.
Verpasst eurem E-Mail-Client ein anderes Passwort, damit dort liegende E-Mails und Accounts geschützt sind.
Verwendet ihr ProtonBridge und/oder ProtonVPN (oder andere ähnliche Dienste), gebt dort einen zweiten Faktor an und LOGGT euch bei diesen Diensten AUS (ja, in der installierten Software!), bevor ihr den PC herunterfahrt. Ohne den zweiten Faktor haben es Bösewichte nicht so leicht, an die Daten dort zu kommen. Und der wird im eingeloggten Zustand dauerhaft gespeichert.
Unterwegs ist das natürlich nicht so leicht. E-Mails mobil lesen, aber zweiter Faktor?! Sagen wir es so: Ich konnte Proton schon häufiger nicht am gewünschten Gerät verwenden, weil der YubiKey nicht bei mir war…

Es ist eure Qual der Wahl: mehr Sicherheit und Datenschutz oder mehr Komfort? Perfekt wird es im Augenblick noch nicht. Aber man kann sich annähern.

[Dieser Beitrag hat mich 2 Stunden meines Lebens gekostet. Hat er euch gefallen? Kann ich etwas verbessern? Bitte um Feedback ]

Kleine Anmerkung: Das geht bei Tuta eben nicht.

Was ich hier nicht ganz verstehe, warum nicht einfach gleich alles über Simple Login oder eine gute Alternative laufen lassen. Dann besteht nicht die Gefahr, dass mir ein Anbieter oder ein Breach den Mailaccount versaut?

fefe schreibt das proton auch eher schlangenöl ist. Gibt es denn noch alternativen die wirklich sicher sind?

Ja klar. Er meint damit nämlich die implementierten Lösungen bzgl. PGP im Browser/Webclient.
Deshalb bleibt meine Empfehlung immer noch mailbox.org oder Posteo.

Allerdings bin ich auch kein Fan davon, den „Guard“ bei mailbox.org zu nutzen und da hat Fefe recht! Eben aus seinen genannten Gründen. Aber auch, weil man den privaten Schlüssel aus der Hand gibt. Also nutze Mailbox.org oder Posteo und hole dir PGP auf den PC und generiere lokal deine Schlüssel. Und nutze dann einen Client wie Thunderbird etc., um dann PGP zu nutzen.
Klar, ist etwas Arbeit und nicht so nutzerfreundlich, aber Sicherheit und Komfort war schon immer ein Trade-Off.

Ansonsten hier mal der Blog-Beitrag von Fefe, den du vermutlich meinst:

Seit einiger Zeit läuft ein perfider Angriff auf PGP-E-Mails (als ob man da noch was angreifen müsste!), in Form von stinkenden Anbietern „sicherer Mail“ wie Protonmail oder mailbox.org.

Die erzählen ihren Usern was von „wir machen hier PGP“ und das Ergebnis ist dann, wenn die mir eine PGP-Mail schicken, dass ich eine Plaintext-E-Mail kriege, ich solle mich doch mal bei dem schrottigen Mailanbieter einloggen, damit ich die „sichere“ Mail lesen kann.

Leute, wenn man sich durch Einloggen auf dem Server des Mailanbieters den Inhalt der Mail angucken kann, DANN WAR DIE NICHT VERSCHLÜSSELT.

Das Ziel von PGP-Verschlüsselung ist, dass die Mail auf dem Weg nicht einsehbar ist. Nicht von Kriminellen, nicht von der Polizei, und nicht vom irgendeinem stinkenden E-Mail-Provider auf dem Weg.

Bei mailbox.org kann man immerhin manuell mit einem Texteditor eine PGP-Mail rauspolken, aber die hat dann den falschen Empfänger-PGP-Schlüssel. Hervorragende Arbeit. Das Ökosystem könnte man gar nicht nachhaltiger sabotieren!

Quelle: https://blog.fefe.de/?ts=9b31f88c

Mir wäre es aber auch sehr lieb, wenn sich mailbox.org von „Open-Xchange“ verabschieden würde. Die sind davon viel zu sehr abhängig, auch was neue Funktionen betrifft. Mir wäre da „Roundcube“ viel lieber! Den Office-Kram brauche ich sowieso nicht, könnte man aber für die, die es wollen, mittels „Nextcloud“ mMn besser implementieren. Dann hätte man auch nicht das Problem mit dem „Guard“.

Ok, ich teste das mal. Ich nutze aber eher gerne Apple Mail, da funzt ja auch PGP. Oder bringe ich damit wieder einen unsicherheitsfaktor rein, ne oder?

Ist das so, und wie begründet er es?

Soweit mir bekannt ist, gibt es da kein Problem bzgl. der Sicherheit. Allerdings ist PGP nicht nativ in Apple-Mail integriert und es bedarf, dass man sich PGP extra holt. Eine und die einfachste Möglichkeit besteht über „GPG Suite“, die allerdings einen kleinen Taler kostet für das Add-On. Außerdem gibt es momentan leider das Problem, dass es unter macOS Sonoma noch nicht ordentlich funktioniert, man aber mit Apple daran arbeitet und dazu momentan die Beta empfohlen wird.

Thunderbird hat dabei den Vorteil, dass in ihm schon PGP integriert ist (genauer gesagt ist es eine PGP-Implementierung, also nicht direkt PGP, um nicht auf fremde Software angewiesen zu sein, was aber genauso funktioniert) und man kein Add-On oder Ähnliches benötigt. Das heißt, man braucht nur Thunderbird. Meines Wissens nach ist das aber auf dem gleichen Level, was Sicherheit anbelangt und kein Nachteil (korrigiert mich bitte jemand, falls das hier nicht korrekt ist).

Siehe meinen Beitrag oben.

Oh ja - das hält glaube ich sehr auf in der Entwicklung von Features und überhaupt (alles wirkt mehr und mehr nur noch zusammengekleistert und nicht mehr übersichtlich etc.).

Sorry - den habe ich glatt überlesen. Danke.

Gerne, kann ja passieren

Dazu sah ich heute Morgen zufällig im „Privacy Handbuch“, dass es darauf auch eine Reaktion gibt:

16.02.2024

• Anonym: Was sagen Sie hierzu zu Proton und Mailbox? Fefes Blog.

[…]

Zum Thema der Frage: Der Absender, der an Fefe eine PGP verschlüsselte E-Mail schreiben wollte, hätte sich vorher den PGP Schlüssel von Fefe aus dessen Impressum holen sollen - und alles wäre ok. Nur wenn man den PGP Schlüssel des Empfängers importiert hat, kann man eine vernüftig verschlüsselte E-Mail schreiben (ist bei PGP leider so kompliziert).

Wenn der Absender das nicht verstanden hat, kann man Proton oder mailbox.org nicht vorwerfen, wenn sie sich bemühen, ohne den Schlüssel des Empfängers das bestmögliche aus der Situation zu machen, um wie vom Absender gewünscht, keine Plain-Text-E-Mail zu senden.

Der Absender ist das Probem. Er hätte mit der Technik Proton oder mailbox.org die auch Möglichkeit gehabt, es richtig zu machen, so wie Herr Fefe es wünscht.

Für eine wirklich sichere E-Mail Verschlüsselung halte ich die Krücke von Proton und mailbox.org nicht - da stimme ich Fefe zu. Diese Variante wird aber nur genutzt, wenn der Absender „OpenPGP Verschlüsselung“ beim Schreiben der E-Mail aktiviert aber sich nicht darum kümmert, sich den Schlüssel des Empfängers zu besorgen - also Bildungslücke beim Absender.

Ist zwar besser als eine Plain-Text-Mail zu schicken, aber wenn Fefe unbedingt richtig PGP-verschlüsselt fordert und seine public Key zum Download bereitstellt, dann reicht das nicht.

Quelle: https://privacy-handbuch.de/diskussion.htm

Die Sicherheit eines privaten Schlüssels hängt davon ab, wie der Mailanbieter ihn auf dem Server schützt. Ob er in den eigenen Händen besser geschützt wäre, hängt dann wiederum vom einzelnen User ab.
Daher kann ich die Aussage „Der private Schlüssel darf unter keinen Umständen aus der Hand gegeben werden“ und damit professionelle Lösungen wie bei Proton, Tuta, Mailbox und Posteo usw. zur Speicherung eines Schlüssels auf deren Server von vorne herein auszuschließen, nicht nachvollziehen.

In diesem Zusammenhang kann ich FeFes über einen „perfiden Angriff auf PGP-Mail“ nur so verstehen, dass er sehen wollte, wer diese Information kommentarlos übernimmt und verbreitet. Wäre es nicht sein eigener Artikel, würde ich ihn als Link zu einer Sammlung von Verschwörungstheorien betrachten.

@ToKu Ich verstehe deinen Beitrag ehrlicherweise nicht. Auch die Verbindung zu mir nicht. Was möchtest du erreichen bzw. aussagen? Mir irgendwie widersprechen? Aber wobei? Denn Dinge, die du schreibst, passen nicht zu dem, was ich schrieb.

Heutzutage sind viel eher Unternehmen und nicht die normalen Nutzer ziel von Angriffen, da es lukrativer ist. So ist auch zu erklären, warum es auf privaten Rechner viel weniger Malware gibt als in den 2000er Jahren. Es geht um das große Geld, welches man mit Firmen und nicht mit den normalen Nutzern erreichen kann. Also würde ich schon sagen, dass in der Regel ein privater Schlüssel, der lokal gespeichert ist, sicherer ist. Warum denkst du das nicht? Hier fehlt die Begründung.

Aber nehmen wir mal an, es stimmt, was du sagst. Ist ok. Aber für mich persönlich ist das nicht so und das habe ich mit meinem Beitrag dargelegt; also meine Meinung und kein Fakt. Das sollte aber eigentlich klar daraus hervorgehen, denn ich schrieb ja, dass ich davon „kein Fan“ bin. Ich stelle damit kein Fakt auf, dass es per se unsicher oder unsicherer sei. Denn dazu fehlen mir wahrlich die nötigen fachlichen Kompetenzen.

Zusätzlich schrieb auch das „Privacy Handbuch“ folgendes, wie man hier im Thread auch nachlesen kann:

Für eine wirklich sichere E-Mail Verschlüsselung halte ich die Krücke von Proton und mailbox.org nicht - da stimme ich Fefe zu. Diese Variante wird aber nur genutzt, wenn der Absender „OpenPGP Verschlüsselung“ beim Schreiben der E-Mail aktiviert aber sich nicht darum kümmert, sich den Schlüssel des Empfängers zu besorgen - also Bildungslücke beim Absender.

Quelle: https://privacy-handbuch.de/diskussion.htm vom 16.02.2024; Hervorhebung in Fett durch mich.

Warum das „Privacy Handbuch“ es für eine „Krücke“ hält, kann man hier nachlesen:
https://privacy-handbuch.de/handbuch_31x.htm

Dazu kommt, dass ich folgendes nie sagte:

Wenn das eine Interpretation deinerseits ist, dann mache es doch bitte durch präzisen Gebrauch der Sprache kenntlich.
Somit wirkt dies und auch dein ganzer Beitrag wie ein Strohmann-Argument auf mich.

Und du übernimmst es kommentarlos von ihm, dass er so etwas mit Absicht anwendet? Kann es nicht sein, dass er damit nur versucht, seiner Fehler oder Populismus, den es auf seinem Blog gibt, zu rechtfertigen? Ist für mich eher Kindergarten.
Aber nehmen wir mal an, dies stimmt: Warum sollte man etwas, was jemand auf seinen Blog veröffentlicht, nicht so annehmen, wie es da steht? Warum sollte man es sich so zurechtbiegen, dass es einem passt und ins Weltbild passt?

Aufgrund welcher Grundlage? Denn scheinbar ist ja was dran, denn auch das „Privacy Handbuch“ stimmt dem zu.

Kannst du denn irgendwie belegen, dass die Aussagen nicht stimmen? Ich beziehe mich hier jedenfalls auf Leute, die mMn Ahnung vom Thema haben und darauf, was sie schreiben. Worauf berufst du dich?

Fazit: Sorry, aber ich verstehe deinen Beitrag nicht und auch nicht, auf was du hinauswillst.

Sorry, ich hätte dich nicht zitieren sollen, da mein Beitrag sich eher auf den angesprochenen Fefe bezieht, der auch bei @BBB den Eindruck geweckt zu haben scheint, dass Proton „Schlangenöl“ sei.
Eine ordentliche Ende-zu Ende-Verschlüsselung, die auch Fefe im Sinn hat, findet nun einmal in der Praxis selten statt. Deswegen aber Mailprovider, die nach anderen Möglichkeiten suchen, verschlüsselte Mails auf den Weg zu bringen, als „stinkende Anbieter“ zu bezeichnen, kann ich nicht nachvollziehen und vermute daher eine nicht ganz ernst gemeinte Polemik bei Fefe. Auch das Mailbox einen „perfiden Angriff“ auf PGP-Mails fährt, hört sich aus dem Munde Fefes nicht nach einer ernst gemeinten Meinung an, wäre aber in meinen Augen der Titel einer Verschwörungstheorie. Und Links zu Verschwörungstheorien will er ja gerne geschickt bekommen.

Trotz, dass es der reinen PGP-Lehre nach besser ist, den privaten Schlüssel bei sich zu behalten und eine wirkliche Ende-zu-Ende Verschlüsselung nur lokal auf dem jeweiligen Gerät erfolgen kann, wollte ich nur einmal zu bedenken geben, ob nicht angebotenen Lösungen wie von Proton, Mailbox usw, die mit dem aus der Hand geben des privaten Schlüssels einhergehen, unter bestimmten Umständen nicht doch mehr als nur eine Krücke sind und je nach Anwender sogar sicherer, als wenn er den privaten Schlüssel selber verwalten würde.

Im übrigen kann ich der Beschreibung im Privacy Handbuch über Proton und Tutanota auch nicht entnehmen, dass deren Angebot als Krücke bezeichnet wird. Es wird lediglich darauf hingewiesen, dass sich diese Dienste für höchste Sicherheitsansprüche nicht eignen.

Ja, damit hast du recht. Findet leider nicht in der Praxis statt. Man muss allerdings aufpassen, ob die anderen Möglichkeiten wirkliche Alternativen sind und nicht nur inhaltslose Werbung, die den Nutzer im Schlimmsten Fall täuscht. Und das werden die meisten Menschen nicht richtig einschätzen können bei so einen Fachthema; mich eingeschlossen übrigens. Aber ja, es ist Polemik.

Ich kann es in dem Sinne nachvollziehen, wenn sich etwas etabliert, was nicht so sicher wie „normales“ PGP ist und mögliche Lücken in Design hat, wo dann Behörden oder Regierungen durch Beschlüsse Einsicht bekommen könnten. Also auch die Frage, ob dann wirklich Zero-Knowledge vorliegt. Und man siehe nur in die Kriegsgebiete, wo die freie Meinungsäußerung nicht existiert. Da will man etwas haben, worauf man sich zu 100 Prozent verlassen kann. Wenn dann aber eine Lösung populär wird, die nicht so gut ist, dann ist das sehr ärgerlich und kann im Schlimmsten Fall richtig gefährlich für das Leben von Menschen sein, weil sie sich darauf verließen.
So bietet ja auch WhatsApp E2EE an. Aber würde man dem sein Leben anvertrauen, wenn man weiß, dass WhatsApp zu Meta gehört und in den USA sitzt? Wenn du mich fragst, ich nicht.

Ja, man sollte es natürlich immer hinterfragen. Ich kann nur für mich sprechen, dass ich weiß, wie PGP funktioniert, auch weil es sehr gut Dokumentiert ist (ok, vielleicht nicht ins kleinste Detail, was aber nicht notwendig ist). Allerdings weiß ich nicht wirklich, wie es bei den Mail-Anbietern implementiert ist, wie es dort abläuft etc. Es sind viele blinde Flecken für mich vorhanden. Mag vielleicht für Experten anders sein. Aber ich ziehe dann doch eher was vor, was ich verstehe und wo ich weiß, was passiert oder sehe, dass es sicher ist. Und ich weiß, wo Schwachpunkte und Gefahren sind oder sein könnten. Auch völlig abgesehen vom Source Code. Es geht da um das Prinzip. Aber vielleicht gibt es ja ein Dokument, wo die Anbieter in einem PDF die Funktionsweise mal darstellen. Ich fand dazu leider nichts.

So bietet bspw. 1Password ein PDF an, wo sie erklären wie deren Passwort-Manager funktioniert und was so verwendet wird:
https://1passwordstatic.com/files/security/1password-white-paper.pdf

Und obwohl es ein kostenpflichtiger Dienst ist, der seine Daten in einer Cloud speichert und nicht Open Source ist, weckt das doch ein gewisses Vertrauen in mir. Auch, dass die Leute dort wissen, was sie machen.
Und so etwas fehlt mir irgendwie bei den Mail-Anbietern. Wo man eben sehen kann, wie sie was genau umsetzen und wo.

Als „Krücke“ wird das gesendete Interface benannt, welches Proton, Tuta und mailbox.org (bei aktiviertem „Guard“) senden, wenn kein Public Key vom Empfänger vorliegt bzw. eingespielt wurde. Somit bekommt man eine Mail, die einen Link zur richtigen E-Mail auf die jeweilige Website des Mail-Anbieters enthält. Und dies lässt eben einiges an Sicherheit verpuffen, weil die Mails dann nämlich nicht verschlüsselt ist.

Lastpass bietet auch ein Whitepaper an.
Hättest du bei denen auch ein gewisses Vertrauen?

Du hast aber schon den Kontext verstanden? Ich zweifle nämlich daran.

Zur „Sicherheit“ von PGP Verschlüsselung: das ist ein dehnbarer Begriff.

Das BSI bezeichnet PGP Verschlüsselung als sicher, wenn man für den privaten Key eine Smartcard verwendet und die E-Mails in einem lokalen E-Mail Client geöffnet werden, der in einer VM läuft, die keinen direkten Zugang zum Internet hat.

Unwahrscheinlich, das Fefe sein E-Mail Handling „sicher“ nach BSI Richtlinie ist. Er macht seine ganz spezifisch eigenen Ansichten zum Standard für Sicherheit, weil er es kann, ohne Rücksicht darauf, dass manche Leute nicht so IT-gebildet sind wie er.

Wenn man sich seine Mailserver ansieht, dann erkennt man, dass dort noch „Potential“ nach oben ist…

Es ist einfacher das Prinzip der „Alias Adressen“ bei einem Account , wie Posteo oder Mailbox einzusetzen. Mein Tipp dazu ist, dass Konto auf eine E-Mail Adresse zu setzen, die nicht in der aktiven Kommunikation verwendet wird. Dann , wie beschrieben, eine für Online Einkäufe , eine für pers. Post an xxx usw. Bei Diebstahl und Spam Angriff kann in dieser Variante der betroffene Alias gesperrt werden und ein neuer angemeldet werden. Alles in einem Konto ohne Umzug im Schadenfall.

@bleifrei

Bei Thunderbird liegt der private Schlüssel aktiviert (alos mit deinem Passwort freigeschaltet) in der Anwendung. Das ist nicht vergleichbar mit einem eigenen PGP Key aus dem Generator, wie GPG Suite, der im Übrigen einmalig um die 60 € kostet nach meiner Erinnerung.

Die Arbeit mit dem Webbrowser (via Mailvelope) bei Verschlüsselung des E-Mail Kontos oder gar Ende-zu-Ende Verschlüsselung funktionieren nur sehr eingeschränkt (Posteo). Der Flaschenhals ist Mailvelope, welches nach dem entschlüsselten Öffnen einer E-Mail kein Antworten oder Weiterleiten zulässt. Da will die Posteo Entwicklung nach meinem Hinweis sich mal kümmern, Aus meiner Sicht derzeit nicht alltagstauglich. Also doch Thunderbird oder K9-Mail o.ä.

Aber es ist doch auch mit einem Masterpasswort gesichert und damit dann lokal. Oder was meinst du mit aktiviert?
Bisher vermutete ich, dass sich beides nichts nimmt. Nur eben, dass Thunderbird ein anderes Protokoll nutzt, welches aber kompatibel mit PGP ist.

Könntest du es netterweise mal etwas ausführen, was du konkret meinst oder mir etwas zu lesen hier lassen?

Ich wollte hierbei noch einmal erwähnen, dass du dabei natürlich schon einen Punkt hast und mein Beispiel mit „1Password“ vielleicht nicht das Beste war. Vielleicht ist „Threema“ hierbei das bessere Beispiel. Es ging mir eben darum, dass ich finde, die E-Mail-Anbieter geben alle einfach zu wenig Infos, wie sie was umsetzen oder warum sie der Meinung sind, es ist sicher. Wenn man es aber versteht und nachvollziehen kann, wie etwas umgesetzt ist, dann kann man die Sache viel leichter bewerten, finde ich. Darum ging es mir.