Und das ist der große Nachteil bei Tuta; betrifft allerdings nur die kostenfreien Accounts. Und so wird der Browser zur Achillesferse. Wie „sicher“ Browser (z.B. auf virenverseuchten Windowssystemen, aber auch ganz allgemein) internetweit sind, dürfte inzwischen bekannt sein.
Was genau betrifft nur die kostenfreien Accounts? Meine Bemerkung bezieht sich auf verschlüsselte Mails an Nicht-Tuta-Kunden. Die haben weder kostenfreie, noch kostenpflichtige Accounts bei Tuta. Ob ich als Sender einen kostenpflichtigen oder kostenfreien Account habe, dürfte auf der Empfängerseite nichts ändern.
Was die virenverseuchten Windows-Rechner angeht: Das hört sich jetzt so an, als wäre ein Großteil der Rechner virenverseucht. Abgesehen davon: Wenn ich mir, egal ob per Browser oder über einen anderen Weg, Schadsoftware auf den Rechner hole, rettet mich ein Tuta-Mailkonto auch nicht. In dem Moment, wo ich auf eine Mail zugreife, egal ob per Browser oder per Mailclient, hat die Schadsoftware die Möglichkeit, diese Mail zu lesen und ggf. Daten auszuleiten.
Ein Nicht-Tuta-Kunde muss dann seinerseits die an ihn gesandte E-Mail mittels Link per Browser aufrufen (positiver Aspekt: Alles Ende-zu-Ende verschlüsselt).
Davon muss man (leider auch heute noch) ausgehen.
Das ist richtig. Trotzdem ist der Browser immer und speziell in diesem Fall eine zusätzliche Schwachstelle, auch dann, wenn es sich um ein sauberes und nicht virenverseuchtes Windowssystem handeln sollte.
Ende-zu-Ende-verschlüsselt ist es nicht. Das eine Ende der Verschlüsselung ist der Tuta-Client beim Absender oder aber, wenn dieser den Browser verwendet, der Tuta-Server. Das andere Ende der Verschlüsselung ist ebenfalls der Tuta-Server, auf dem die Mail dann vom Empfänger per Browser gelesen werden kann. Auf dem Weg zwischen Tuta-Server und Browser des Empfängers ist die Mail nur transportverschlüsselt. Der Empfänger kann die Mail nur per Browser lesen, nicht in seinem gewohnten Mailclient (oder Webinterface). Ich würde das als extrem lästig empfinden, in jedem Fall ist es nicht der Übersicht dienlich.
Wie kommst du darauf?
Du suggerierst, dass nur Windows-System virenverseucht sein können und dies überwiegend sind. Das ist entbehrt jeglicher Grundlage. Ein Tuta-Nutzer nutzt entweder einen Browser oder aber einen proprietären Client. Wenn der Browser eine potentielle Schwachstelle ist, ist es der proprietäre Tuta-Client sowieso. Am Ende spricht also nichts mehr für Tuta.
Wichtiger Hinweis, denn das ist das alte Dilemma zwischen Sicherheit und Funktionalität (nicht bloß „Komfort“, wie manche sagen). Bei Proton und Tutanota ist schon seit Jahren ein durchsuchbarer Kalender angekündigt, was IMHO eine unverzichtbare Basisfunktionalität für Kalenderdaten ist. Den kann man in der Beta des Proton-Android-Clients gerade testen, wenn ich das richtig auf dem Schirm habe. Für auf dem Server verschlüsselte Kalender- und Adressdaten clientseitig lokale Indizes zwecks Durchsuchbarkeit zu programmieren, kann doch eigentlich nicht so schwer sein. Bei Mails ist das wegen der Menge an Text (ggf. mit Attachments) noch mal eine andere Hausnummer.
Allein durch die weltweite Verbreitung des Betriebssystems von Microsoft ist es logisch nachvollziehbar, dass es als Angriffsziel ausgesprochen attraktiv ist. Soll aber im Umkehrschluss nicht heißen, dass andere Betriebssysteme nicht verwund- und/oder angreifbar sind.
Diese Meinung teile ich nicht. Aber die technische Lösung bei den kostenfreien Accounts gefällt auch mir nicht sonderlich gut. Insbesondere für die unbedarften E-Mail-Empfänger dürfte es eine Herausforderung darstellen, dass, um eine empfangene E-Mail öffnen und lesen zu können, ein Link geklickt und der bevorzugte Browser geöffnet werden muss. Das trifft natürlich nur dann zu, wenn ein potenzieller E-Mail-Empfänger statt mit einem Webmailer mit einem Mailclient arbeitet.
Natürlich. Daraus zu schließen, dass Windowssysteme mehrheitlich verwundet sind, ist etwas einfach. Allerdings ist im Serverbereich Linux das vorherrschende System.
Insbesondere ist es unschön, dass eine empfangene Mail nicht dort liegt, wo meine Mails sonst liegen. Dabei ist es unwesentlich, ob ich mit einem Mailclient arbeite oder per Webmail. Eine solche Mail liegt bei Tuta, nicht bei meinem Mailprovider.
Nebenbei: Du unterscheidest zwischen kostenfreien und kostenpflichtigen Tuta-Konten. Warum? Ob ich mit einem kostenfreien Tuta-Konto oder mit einem kostenpflichtigen eine verschlüsselte Mail an einen Nicht-Tuta-Kunden sende, ist für den Empfänger doch kein Unterschied.
Fakt ist, dass die Vorteile von Tuta, nämlich die Ende-zu-Ende-Verschlüsselung „out of the box“, dazu noch die Verschlüsselung des Subjects sowie der Klarnamen in den Headerzeilen nur zwischen Tuta-Kunden nahtlos funktioniert. Einem Nicht- Tuta-Kunden wird eine solche Mail nicht zugestellt. Dieser bekommt nur eine Nachricht, dass er sich eine Mail auf dem Tuta-Server anschauen kann. Das ist so, als wenn ich meine Post nicht in meinen Briefkasten bekomme, sondern zu Postfiliale gehen muss, um die Post einzusehen.
Oh, ich scheine auf einem veralteten Wissensstand zu sein. Danke für die Rückfrage! Es gibt tatsächlich keine nennenswerten Unterschiede zwischen kostenfreien und kostenpflichtigen Tuta-Accounts (mehr), wenn man es ausschließlich von Empfängerseite betrachtet. Also ist Tuta so eine Art Threema; nur eben für E-Mail.
Der Vergleich triffts zugegebenermaßen ziemlich gut, ja. 
Schweifen wir hier vom Thema ab? 
Kann mir trotzdem jemand sagen, ob beim IMAP-Aufruf der alten Adresse bspw. über Thunderbird oder das Webinterface eines anderen(neuen) Emailaccounts die IP-Adresse ud ggf. weitere Daten an den alten Emailprovider mitgeteilt werden?
Kurz: Im Fall von Thunderbird ja, im Fall von einen „Abholservice“ bei z.B. Mailbox.org, der die Mails von deinen alten Provider zieht, nicht, nein.
Bei Verwendung von IMAP verbindet sich weiterhin die Software auf deinen Computer mit dem Server der in der Konfiguration eingetragen ist.
Nämlich dem Server des E-Mail Providers.
Ähnlich wie der Webbrowser eben mit der HTTPS Schnittstelle, auf denen der Provider seine Webmail-Oberfläche anbietet.
Dabei wird, weil beides über TCP/IP übertragen wird, immer eine Quellen-IP-Adresse angegeben, mit der die Antwort zu dir zurückgesendet wird. Deshalb ist diese dann immer beim alten Mailprovider, wenn du deine Mails per IMAP abrufst.
Wenn du einen Proxy, VPN, o.Ä. konfiguriert hast, wird dessen IP für gewöhnlich verwendet.
Falls der neue E-Mail Anbieter diese abholt, stammt die Anfrage für gewöhnlich von seinen Servern, deswegen dann auch mit seiner IP-Adresse. Theoretisch kann er natürlich weitere Informationen über dich weitergeben. Macht er vermutlich nicht, hätte aber auch nichts mit IMAP zu tun.
Nachtrag: Nachdem Ich deinen vorherigen Beitrag auch las:
An Daten, die nicht sowieso schon vorhanden sind (E-Mails, …), fällt eigentlich wirklich nur IP-Adresse, und Zeitpunkt an (Thunderbird o.Ä.). An verschiedenen Verhaltensweisen kann man auch auf bestimmte E-Mail Clients oder Einstellungen eben jener schließen.
1 „Gefällt mir“
Wenn es ein kostenloser Anbieter ist, würde ich den Account nicht löschen - dann kann niemand deine Adresse neu registrieren.
Zusätzlich kannst du am Anfang eine Weiterleitung an deine neue Adresse einrichten, dann siehst du, welche Dienste und Kontakte noch die alte E-Mail Adresse haben.
2 „Gefällt mir“
Kennt/nutzt jemand ctemplar?
Ich denke, die haben vor einiger Zeit dicht gemacht!? 
Vielleicht kann man sich auch nur nicht mehr registrieren? Ich finde auf der Homepage zumindest keinen entsprechenden Button.
In aller Regel greift nach Löschung eine Sperrfrist von X Tagen, Wochen oder Monaten. Nach Ablauf der Sperrfrist ist die Adresse dann wieder „frei“.
Vor Jahren habe ich meine bis dahin langjährigen E-Mail-Konten bei web.de und gmx aufgelöst. Glücklicherweise gabs bislang offenbar keine Neuregistrierung meiner Adressen. Alle, die irgendwann mal meine Adressen im Adressbuch hatten, dürften inzwischen bemerkt haben, dass die Postfächer nicht mehr existieren und daher nicht mehr erreichbar sind.
Ich muss hierzu allerdings noch erwähnen, dass die besagten Postfächer keiner inflationären Nutzung unterworfen waren. Das spielt hierbei vlt. auch eine Rolle.
Validation results
CTemplar hat in der Tat seine Tätigkeit beendet, auch einst bestehende Konten existieren nicht mehr.
1 „Gefällt mir“