Перейти к содержанию

Электронная почта

Электронная почта практически всегда необходима для использования любого онлайн-сервиса, однако мы не рекомендуем использовать её для общения с людьми. Вместо того, чтобы использовать электронную почту для связи с другими людьми, мы советуем использовать мессенджеры, которые поддерживают прямую секретность.

Рекомендуемые мессенджеры

Для всего остального мы рекомендуем различных провайдеров электронной почты, которые базируются на устойчивых бизнес-моделях и встроенных функциях безопасности и конфиденциальности.

In addition to (or instead of) an email provider recommended here, you may wish to consider a dedicated email aliasing service to protect your privacy. Among other things, these services can help protect your real inbox from spam, prevent marketers from correlating your accounts, and encrypt all incoming messages with PGP.

Сервисы, поддерживающие OpenPGP

Эти провайдеры нативно поддерживают шифрование/дешифрование с помощью OpenPGP и стандарт Web Key Directory, что позволяет использовать E2EE, не зависимо от провайдера. Например, пользователь Proton Mail может отправлять E2EE-зашифрованное сообщение пользователю Mailbox.org, или ты можешь получить OpenPGP-зашифрованное уведомление от интернет-сервисов, поддерживающих такую функцию.

Предупреждение

Когда вы используете технологию E2EE вроде OpenPGP, электронные письма все равно содержат некоторые незашифрованные метаданные в заголовках письма, в том числе тему! Узнайте больше о метаданных электронной почты.

OpenPGP также не поддерживает прямую секретность, поэтому если ваш приватный ключ или ключ адресата будет украден, все предыдущие сообщения, зашифрованные с его помощью, будут раскрыты. Как я могу защитить свои приватные ключи?

Proton Mail

Логотип Proton Mail

Proton Mail — это сервис электронной почты, фокусирующийся на приватности, шифровании, безопасности и простоте использования. Они работают с 2013 года. Компания Proton AG базируется в Женеве, Швейцария. Аккаунты получают от 500 МБ хранилища на бесплатном тарифе.

Homepage

Downloads

Бесплатные аккаунты имеют некоторые ограничения, такие как невозможность поиска писем по седержимому и отсутствие доступа к Proton Mail Bridge, который необходим для использования рекомендуемого настольного почтового клиента (например, Thunderbird). Платные аккаунты включают такие функции, как Proton Mail Bridge, дополнительное хранилище и поддержку пользовательских доменов. Аттестационное письмо было предоставлено для приложений Proton Mail 9 ноября 2021 года компанией Securitum.

If you have the Proton Unlimited, Business, Family, or Visionary Plan, you also get SimpleLogin Premium for free.

У компании Proton Mail есть внутренние отчеты об ошибках, которые они не передают третьим лицам. Это можно отключить в: Настройки > Перейти в Настройки > Учетная запись > Безопасность и конфиденциальность > Отправка отчетов об ошибках.

Пользовательские домены и псевдонимы

Платные подписчики Proton Mail могут использовать свой собственный домен или универсальный адрес. Proton Mail also supports sub-addressing, which is useful for people who don't want to purchase a domain.

Конфиденциальные способы оплаты

Proton Mail принимает наличные по почте в дополнение к стандартным платежам кредитными/дебетовыми картами, Bitcoin, и PayPal.

Безопасность аккаунта

Proton Mail поддерживает двухфакторную аутентификацию TOTP и аппаратные ключи безопасности с использованием стандартов FIDO2 или U2F. Использование аппаратного ключа безопасности сначала требует настройки двухфакторной аутентификации TOTP.

Безопасность данных

Proton Mail использует шифрование с нулевым доступом в состоянии покоя для твоих писем и календарей. Данные, защищенные с помощью шифрования с нулевым доступом, доступны только тебе.

Определенная информация, хранящаяся в Proton Contacts, такая, как имена пользователей и адреса электронной почты, не защищена шифрованием с нулевым доступом. Поля контактов, поддерживающие шифрование с нулевым доступом, например номера телефонов, обозначаются значком замка.

Шифрование электронной почты

Proton Mail интегрировал шифрование OpenPGP в свою веб-почту. Письма, отправленные на другие аккаунты Proton Mail шифруются автоматически. Шифрование писем с помощью ключа OpenPGP на адреса, не принадлежащие Proton Mail, можно легко включить в настройках аккаунта. Proton also supports automatic external key discovery with Web Key Directory (WKD). This means that emails sent to other providers which use WKD will be automatically encrypted with OpenPGP as well, without the need to manually exchange public PGP keys with your contacts. They also allow you to encrypt messages to non-Proton Mail addresses without OpenPGP, without the need for them to sign up for a Proton Mail account.

Proton Mail also publishes the public keys of Proton accounts via HTTP from their WKD. Это позволяет людям, не использующим Proton Mail, легко находить OpenPGP-ключи учетных записей Proton Mail для кросс-провайдерского E2EE. Это относится только к адресам электронной почты, заканчивающимся на один из собственных доменов "Протона", например @proton.me. При использовании кастомного домена необходимо настроить WKD отдельно.

Блокировка аккаунта

Если у тебя платный аккаунт, и твой счёт не оплачен в течение 14 дней, то ты не сможешь получить доступ к своим данным. Через 30 дней твой аккаунт станет просроченным и не будет получать входящую почту. В течение этого периода тебе будет по-прежнему выставляться счет.

Дополнительная функциональность

Proton Mail предлагает "Proton Unlimited" аккаунт за €9,99/месяц, который также позволяет получить доступ к Proton VPN в дополнение к предоставлению нескольких аккаунтов, доменов, псевдонимов и 500 ГБ хранилища.

Proton Mail не предлагает функцию цифрового наследия.

Mailbox.org

Логотип Mailbox.org

Mailbox.org - это сервис электронной почты, ориентированный на безопасность, отсутствие рекламы и приватное электроснабжение от 100% экологически чистой энергии. Они работают с 2014 года. Mailbox.org базируется в Берлине, Германия. Учетные записи начинаются с 2 ГБ дискового пространства, которое может быть увеличено по мере необходимости.

Homepage

Downloads

Пользовательские домены и псевдонимы

Mailbox.org lets you use your own domain, and they support catch-all addresses. Mailbox.org also supports sub-addressing, which is useful if you don't want to purchase a domain.

Конфиденциальные способы оплаты

Mailbox.org не принимает криптовалюты в связи с тем, что их платежная система BitPay приостановила работу в Германии. However, they do accept cash by mail, cash payment to bank account, bank transfer, credit card, PayPal and couple of German-specific processors: paydirekt and Sofortüberweisung.

Безопасность аккаунта

Mailbox.org supports two factor authentication for their webmail only. You can use either TOTP or a YubiKey via the YubiCloud. Веб-стандарты, такие, как WebAuthn, пока не поддерживаются.

Безопасность данных

Mailbox.org allows for encryption of incoming mail using their encrypted mailbox. Новые сообщения, которые ты получаешь, будут немедленно зашифрованы твоим открытым ключом.

However, Open-Exchange, the software platform used by Mailbox.org, does not support the encryption of your address book and calendar. Отдельное решение может больше подойти для этой информации.

Шифрование электронной почты

Mailbox.org has integrated encryption in their webmail, which simplifies sending messages to people with public OpenPGP keys. They also allow remote recipients to decrypt an email on Mailbox.org's servers. Эта функция полезна, когда получатель не имеет OpenPGP и не может расшифровать копию письма в собственном почтовом ящике.

Mailbox.org также поддерживает обнаружение открытых ключей через HTTP с их Web Key Directory (WKD). Это позволяет людям, не использующим Mailbox.org, легко находить OpenPGP-ключи учетных записей Mailbox.org для кросс-провайдерского E2EE. Это относится только к адресам электронной почты, заканчивающимся на один из собственных доменов "Mailbox.org", например @mailbox.org. При использовании кастомного домена необходимо настроить WKD отдельно.

Блокировка аккаунта

Your account will be set to a restricted user account when your contract ends. It will be irrevocably deleted after 30 days.

Дополнительная функциональность

You can access your Mailbox.org account via IMAP/SMTP using their .onion service. Однако доступ к интерфейсу веб-почты через службу .onion невозможен, и ты можешь столкнуться с ошибками сертификата TLS.

All accounts come with limited cloud storage that can be encrypted. Mailbox.org also offers the alias @secure.mailbox.org, which enforces the TLS encryption on the connection between mail servers, otherwise the message will not be sent at all. Mailbox.org также поддерживает Exchange ActiveSync в дополнение к стандартным протоколам доступа, таким как IMAP и POP3.

Mailbox.org имеет функцию цифрового наследия для всех тарифных планов. Ты можешь выбрать, хочешь ли ты, чтобы какие-либо из твоих данных были переданы твоим наследникам, при условии, что они подадут заявление и предоставят твоё завещание. Кроме того, ты можешь назначить наследника по имени и адресу.

Дополнительные провайдеры

Эти провайдеры хранят твою электронную почту с помощью шифрования с нулевым знанием, что делает их отличными вариантами для безопасного хранения твоей электронной почты. Однако они не поддерживают совместимые между различными провайдерами стандарты шифрования для E2EE коммуникаций.

Tuta

Tuta logo

Tuta is an email service with a focus on security and privacy through the use of encryption. Tuta has been in operation since 2011 and is based in Hanover, Germany. Бесплатные аккаунты начинаются с 1 ГБ хранилища.

Homepage

Downloads

Tuta doesn't support the IMAP protocol or the use of third-party email clients, and you also won't be able to add external email accounts to the Tuta app. Email import is not currently supported either, though this is due to be changed. Emails can be exported individually or by bulk selection per folder, which may be inconvenient if you have many folders.

Пользовательские домены и псевдонимы

Paid Tuta accounts can use either 15 or 30 aliases depending on their plan and unlimited aliases on custom domains. Tuta doesn't allow for sub-addressing (plus addresses), but you can use a catch-all with a custom domain.

Конфиденциальные способы оплаты

Tuta only directly accepts credit cards and PayPal, however cryptocurrency can be used to purchase gift cards via their partnership with Proxystore.

Безопасность аккаунта

Tuta supports two factor authentication with either TOTP or U2F.

Безопасность данных

Tuta has zero access encryption at rest for your emails, address book contacts, and calendars. Это означает, что сообщения и другие данные, хранящиеся на твоём аккаунте, доступны для чтения только тебе.

Шифрование электронной почты

Tuta does not use OpenPGP. Tuta accounts can only receive encrypted emails from non-Tuta email accounts when sent via a temporary Tuta mailbox.

Блокировка аккаунта

Tuta will delete inactive free accounts after six months. Ты можешь повторно использовать деактивированный бесплатный аккаунт, если заплатишь.

Дополнительная функциональность

Tuta offers the business version of Tuta to non-profit organizations for free or with a heavy discount.

Tuta doesn't offer a digital legacy feature.

Электронная почта для самостоятельного хостинга

Продвинутые системные администраторы могут рассмотреть возможность создания собственного сервера электронной почты. Почтовые серверы требуют внимания и постоянного обслуживания, чтобы поддерживать безопасность и надежность доставки почты.

Комбинированные программные решения

Логотип Mailcow

Mailcow - это более продвинутый почтовый сервер, идеально подходящий для тех, у кого есть опыт работы с Linux. В его контейнере Docker есть всё, что тебе нужно: почтовый сервер с поддержкой DKIM, антивирус и мониторинг спама, веб-почта и ActiveSync с SOGo, а также веб-администрирование с поддержкой 2FA.

Homepage

Логотип Mail-in-a-Box

Mail-in-a-Box - это скрипт автоматической настройки для запуска почтового сервера на Ubuntu. Его цель - облегчить людям создание собственного почтового сервера.

Домашняя страница

Для ручной настройки мы выбрали эти две статьи:

Критерии

Please note we are not affiliated with any of the providers we recommend. In addition to our standard criteria, we have developed a clear set of requirements for any email provider wishing to be recommended, including implementing industry best practices, modern technology and more. We suggest you familiarize yourself with this list before choosing an email provider, and conduct your own research to ensure the email provider you choose is the right choice for you.

Технология

Мы считаем эти особенности важными для обеспечения безопасного и оптимального обслуживания. Ты должен проверить, обладает ли провайдер необходимыми тебе функциями.

Минимальные требования:

  • Шифрует данные аккаунта электронной почты в состоянии покоя с помощью шифрования с нулевым доступом.
  • Export capability as Mbox or individual .eml with RFC5322 standard.
  • Разрешает пользователям использовать собственное доменное имя. Пользовательские доменные имена важны для пользователей, поскольку позволяют им сохранить свое агентство от сервиса, если он окажется плохим или будет приобретен другой компанией, которая не уделяет приоритетного внимания конфиденциальности.
  • Работает на собственной инфраструктуре, т.е. не опирается на сторонних провайдеров электронной почты.

В лучшем случае:

  • Шифрует все данные аккаунта (Контакты, Календари и т.д.) в состоянии покоя с помощью шифрования с нулевым доступом.
  • Встроенное шифрование веб-почты E2EE/PGP обеспечивает удобство.
  • Поддерживает WKD для улучшения обнаружения открытых ключей OpenPGP через HTTP. Пользователи GnuPG могут получить ключ, набрав: gpg --locate-key example_user@example.com
  • Поддержка временного почтового ящика для внешних пользователей. Это полезно, когда вы хотите отправить зашифрованное сообщение электронной почты, не отправляя фактическую копию получателю. Такие письма обычно имеют ограниченный срок действия, а затем автоматически удаляются. Они также не требуют от получателя настройки какой-либо криптографии, как OpenPGP.
  • Доступность услуг провайдера электронной почты через службу .onion.
  • Sub-addressing support.
  • Функциональность поймать-все или псевдонимов для тех, кто владеет собственными доменами.
  • Использование стандартных протоколов доступа к электронной почте, таких как IMAP, SMTP или JMAP. Стандартные протоколы доступа обеспечивают клиентам возможность легко скачать всю свою электронную почту, если они захотят перейти к другому провайдеру.

Конфиденциальность

Мы предпочитаем, чтобы рекомендуемые нами поставщики собирали как можно меньше данных.

Минимальные требования:

  • Защищает IP-адрес отправителя. Отфильтрует его от отображения в поле заголовка Received.
  • Не требуйте личной идентификационной информации (PII), кроме имени пользователя и пароля.
  • Политика конфиденциальности, отвечающая требованиям GDPR.

В лучшем случае:

Безопасность

Серверы электронной почты работают с большим количеством очень конфиденциальных данных. Мы ожидаем, что поставщики услуг будут использовать лучшие отраслевые практики для защиты своих клиентов.

Минимальные требования:

  • Защита веб-почты с помощью 2FA, например, TOTP.
  • Шифрование с нулевым доступом, основанное на шифровании в состоянии покоя. Провайдер не имеет ключей расшифровки для хранящихся у него данных. Это предотвращает утечку данных, к которым имеет доступ недобросовестный сотрудник. Или утечку данных, которые злоумышленник украл, получив несанкционированный доступ к серверу.
  • Поддержка DNSSEC.
  • No TLS errors or vulnerabilities when being profiled by tools such as Hardenize, testssl.sh, or Qualys SSL Labs; this includes certificate related errors and weak DH parameters, such as those that led to Logjam.
  • Настройки сервера (опционально для TLSv1.3) для сильных наборов шифров, которые поддерживают прямую секретность и аутентифицированное шифрование.
  • Действующая политика MTA-STS и TLS-RPT.
  • Действительные записи DANE.
  • Действительные записи SPF и DKIM.
  • Имеет надлежащую политику и запись DMARC или использует ARC для аутентификации. Если используется DMARC-аутентификация, политика должна быть установлена на reject или quarantine.
  • A server suite preference of TLS 1.2 or later and a plan for RFC8996.
  • SMTPS отправка, при условии использования SMTP.
  • Стандарты безопасности веб-сайта, такие как:
  • Должен поддерживать просмотр заголовков сообщений, поскольку это важнейшая криминалистическая функция, позволяющая определить, является ли письмо попыткой фишинга.

В лучшем случае:

  • Поддержка аппаратной аутентификации, т.е. U2F и WebAuthn. U2F и WebAuthn являются более безопасными, поскольку для аутентификации людей они используют закрытый ключ, хранящийся на аппаратном устройстве на стороне клиента, в отличие от общего секрета, который хранится на веб-сервере и на стороне клиента при использовании TOTP. Кроме того, U2F и WebAuthn более устойчивы к фишингу, поскольку их ответ аутентификации основан на аутентифицированном доменном имени.
  • Запись ресурса DNS Certification Authority Authorization (CAA) в дополнение к поддержке DANE.
  • Реализация Authenticated Received Chain (ARC), это полезно для людей, которые пишут в списки рассылки RFC8617.
  • Программы "bug-bounty" и/или скоординированный процесс раскрытия информации об уязвимостях.
  • Стандарты безопасности веб-сайта, такие как:

Доверие

Вы бы не доверили свои финансы человеку с фальшивой личностью, так зачем доверять ему свою электронную почту? Мы требуем, чтобы рекомендованные нами поставщики услуг открыто заявляли о своих владельцах или своём руководстве. Мы также хотели бы видеть частые отчеты о прозрачности, особенно в отношении того, как обрабатываются правительственные запросы.

Минимальные требования:

  • Руководство или владение, ориентированное на общественность.

В лучшем случае:

  • Лидерство, ориентированное на общественность.
  • Частые отчеты о прозрачности.

Маркетинг

Провайдеры электронной почты, которых мы рекомендуем, предпочитают ответственный маркетинг.

Минимальные требования:

  • Должен самостоятельно хостить аналитику (без Google Analytics, Adobe Analytics и т.д.). Сайт провайдера также должен соответствовать требованиям DNT (Do Not Track) для тех, кто желает отказаться от отслеживания.

Не должно быть никакого маркетинга, который является безответственным:

  • Заявления о "невзламываемом шифровании." Шифрование должно использоваться с тем расчетом, что в будущем, когда появится технология для его взлома, оно может оказаться не секретным.
  • Предоставление гарантий защиты анонимности на 100%. Когда кто-то утверждает: "Это является на 100% ..." - это не означает, что кто-то не может ошибиться. Мы знаем, что люди могут довольно легко деанонимизировать себя различными способами, например:

В лучшем случае:

  • Понятная и легко читаемая документация. Сюда входят такие вещи, как настройка 2FA, почтовые клиенты, OpenPGP и т.д.

Дополнительная функциональность

Хотя это и не является строгими требованиями, существуют и другие факторы удобства или конфиденциальности, на которые мы обращали внимание при выборе рекомендуемых провайдеров.

You're viewing the C.UTF-8 copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! Visit Crowdin

You're viewing the English copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!