Apple als E-Mail-Anbieter (iCloud Mail)

Hallo,

nachdem ich jetzt grundlegend verstanden habe, dass Emails nie wirklich sicher sind und in den allermeisten fällen unverschlüsselt auf den Servern liegen bin ich ernsthaft am überlegen gleich meine Emails zu Apple (iCloud+) umzuziehen.

Wenn die amerikanischen Behörden Einsicht bekommen stört mich das nicht.
Mir ist eher wichtig, dass die Server gut gewartet und von Eindringlingen geschützt sind, hier traue ich Apple mehr Kompetenz zu, als den meisten anderen Providern.

Hat jemand schon ähnliches gemacht?

Das ist der falsche Ansatz. Allein schon, wenn man dem Grundsatz folgt: „meide Monopolisten“.
Schau Dir die Anbieter Posteo oder Mailbox an. Sie bieten zuverlässige, deutsche Server und stehen für hervorragenden Schutz von Privacy. Dazu gehört natürlich auch der sichere Betrieb ihrer Server.
Das Apple mehr Kompetenzen beim Schutz vor Eindringlingen hat, ist ein Vorurteil.

Du kannst selbst einen Emailserver unter Deiner eigenen Domäne aufsetzen und dann selbst bestimmen ob verschlüsselt wird oder nicht. Ich tue das, und alle Daten sind verschlüsselt - mit einem Schlüssel den nur ich habe. Einem Cloud- oder Hostinganbieter solltest Du dabei allerdings dann nicht vertrauen, der liefert allenfalls das VPN für eine vertrauenswürdige statische IP-Adresse.

Wirklich vertrauenswürdige Anbieter kenne ich keine, denn selbst wenn Verschlüsselung versprochen wird (fast nie, schau in den Auftragsverarbeitungsvertrag) bleibt oft unklar wer Zugriff auf den Schlüssel hat oder bei PGP einen neuen Schlüssel publizieren kann, ganz abgesehen davon dass jeder Anbieter Deine Mails einfach löschen („verlieren“) kann.

Das Mailkonto ist für einen User viel sicherer bei Apple und auch Google aufgehoben, als bei mailbox.org und auch Posteo!
Das ist Fakt und wird wahrscheinlich auch nicht von den genannten Unternehmen verneint. Hier geht es um Security.

Bei dem Thema Privacy scheiden sich die Geister, ob es sicherer in einem EU Land ist (und bleiben wird) oder nicht…

Aber vom Sicherheits-Aspekt bist Du bei den „Großen“ in meinen Augen besser aufgehoben.

Wie kommst du darauf oder anders gefragt, warum? Und ist das wirklich so?

Klar, die haben mehr Ressourcen, aber ist das das, was den entscheidenden Unterschied macht oder nicht eher andere Dinge?
Bspw. ist doch der Gründer von mailbox.org anerkannter Experte in unserer Szene in Sachen Mail und Linux oder etwa nicht? Das heißt dann doch, dass er schon allein wegen seines Rufes die bestmögliche Sicherheit implementieren will; gerade, wenn er auch in der Beratung dazu tätig ist. Dazu gehört auch, ein Team sich zu besorgen, die auch viel Ahnung haben. Das wirkt auf mich sehr professionell und so, dass die wissen, was sie machen. Über kleine Details kann man sich ja immer in Fachkreisen streiten. Aber machen die mMn keinen wirklichen sicherheitsrelevanten Unterschied wie bspw. die etwas merkwürdige Implementierung von 2FA bei mailbox.org.

Man könnte sich dahingehend eher fragen, ob die großen Firmen da nicht eher ein Auge zudrücken, weil Mail primär bei den großen Playern nicht das Geld einspielt. Und nur ein große Firma zu sein, heißt ja nichts, wie man an Microsoft sah und die fahrlässige Handhabung mit dem Master-Key. Oder die Sache mit Outlook und der Bewahrung der Zugangsdaten bei denen in der Cloud.

Ein nicht unwesentlicher Faktor ist die Verhaltensanalyse. Wenn man den Benutzer ausreichend durchleutet, sind außergewöhnliche Kontoaktivitäten leichter zu entdecken und lassen sich auch im Vorfeld verhindern.

Da tendiere ich klar zu Posteo und mailbox.org. In großen Unternehmen sind die Strukturen anders und häufig weiß die eine Hand nicht, was die andere tut (Viele Köche verderben den Brei). Zusätzlich hängen größere Unternehmen weniger an ihrer Reputation als Firmen wie Posteo oder mailbox.org - manche Unternehmen können sich unvorstellbare Pannen leisten und trotzdem rennen die Kunden denen immer noch blind hinterher.

Ein Faktor ist für mich auch, dass ich in iCloud den Webzugang gänzlich deaktiviert habe. Sämtliche Einstellungen (Email Regeln etc.) kann ich über die Apple Geräte selber vornehmen. Das gelingt bei anderen Anbietern nicht so einfach.

Außerdem benötigt man zum einrichten von IMAP auf anderen Geräten als Apple (bei mir nicht vorhanden) zwingend ein App - Kennwort soweit ich das verstanden habe. Das bietet nach meinem Verständnis einen weiteren Schutz gegen Eindringlinge von außen.

Bleibt für mich eigentlich nur der Schutz gegen Apple Mitarbeiter die meine Emails lesen können. Das kann aber so gut wie bei jedem Dienst passieren, auch bei mailbox.org. Eventuell ist bei deutschen Firmen die Policy ein wenig strenger wer welche Daten einsehen kann und darf, das ist aber nur Spekulation von mir.

3 Beiträge wurden in ein neues Thema verschoben: App-Passwörter sinnvoll?

ist die Frage wie Du Sicherheit definierst/misst/… . Bei Kommunikationssicherheit sind Apple (weder SMTP-DANE noch MTA-STS) und Google (nur MTA-STS) schlechter als United Internet und mailbox.org (beide SMTP-DANE). Outlook tanzt aus der Reihe, die können MTA-STS und SMTP-DANE aber nur sendeseitig.
Bei der Verschlüsselung der Persistenz sind amerikanische Firmen meist konsequenter als deutsche - andere Gesetze und Rechtsprechung.
Bezahlen mit Deinen Daten gibt es auf beiden Seiten des Atlantiks.

Gibt es da irgendwo einen Vergleich? Wo steht zum Beispiel Fastmail bei den von dir beschriebenen Verschlüsselungen?

Ja - in der Tat.
Aber eine der großen Schwachstellen in meinen Augen ist der User selbst (und das auch für sich selbst). Von daher finde ich Systeme, welche Ihn dabei unterstützen und für wenig Verwirrung sorgen sehr sehr gut.
Weiter finde ich tools wie Schutz vor Spy Pixels, Tracking Links etc. richtig gut.

Was bringt mir der beste geschützte Server, wenn der User halt trotzdem überall draufklickt, überall das. gleiche Passwort benutzt usw.
Ja - man kann sagen, dass muss der User selbst wissen/können und für einen Betreiber eines Maildienstes ist das auch gut so, weil nicht seine Verantwortung. Aber Betreiber können durch solche Tools doch sehr stark helfen.
Von daher finde ich Dinge wie Proton sie mit seiner Protection angeht richtig gut, oder auch Apple und z.T. auch Fastmail mit dem Image-Proxying.
Das findet man bei mailbox.org, Posteo etc. eher nicht.

So über einen Kamm scheren kann man das sicherlich nicht. Das stimmt. Es kommt immer drauf an.

Den Schutz hast du schon einmal, wenn du im Webclient wie Thunderbird, Fairmail oder K9 oder Webmailer keine HTML Ansicht erlaubst, auch bei Posteo, Mailbox usw. Außerdem kann man das Nachladen externer Inhalte blockieren oder wird standardmäßig sowieso schon verhindert.

Stimmt - und das ist auch das Ärgerliche an der nativen Mail-App für iOS: Einen Umschalter, dass hereinkommende Mails standardmäßig als „plain text“ angezeigt werden, suche zumindest ich vergeblich. Die (auch sonst sehr datenschutzfreundliche) App Preside kann das, hat aber eine sehr gewöhnungsbedürftige Bedienoberfläche und kann auch nicht ohne Weiteres Push-E-Mail. Habe mir angewöhnt, beide Apps im Parallelbetrieb zu nutzen.

„Apple als E-Mail-Anbieter (iCloud Mail)“ nutze ich allerdings nicht, mir geht’s hier wie @ToKu um die Fähigkeiten der Clients.

Mit iCloud+ können immer wieder neue Zufalls-Mailadressen als Alias halb-automatisch generiert werden („Hide my Email“). Das ist praktisch, um nicht überall die gleiche Mailadresse zu hinterlassen. Dürfte selbst aktuell bei über 30 liegen - beispielsweise für den Login in bestimmte Apps oder auch Onlineshops, Newsletter, Foren oder Paypal. Für privatere Sachen können dann ja noch weitere Anbieter ergänzen genutzt werden (Redundanz ist durchaus ein gutes Konzept).

Das ist ein wirklich smartes Feature was ich noch nirgends sonst in der Form gesehen habe.

Es gibt schon seit Jahren AnonAddy, nun Addy.io, SimpleLogin kann das auch, Fastmail ebenfalls seit Jahren, Firefox Relay ist auch seit ein paar Monaten auf dem Markt… Die meisten davon haben zudem den Vorteil, dass sie sich via API ansteuern lassen, in Passwortmanager integrierbar sind (Bitwarden kann z.B. SimpleLogin, Addy, Firefox Relay und Fastmail, 1Password kann Fastmail) und man damit direkt beim Erstellen eines Logins einen Alias generieren kann.

iCloud Hide my Email ist hingegen gar nicht integrierbar, außer die native Einbindung in iOS und macOS. Das stört mich persönlich enorm, da das manuelle Generieren von Aliasen tief in den Systemeinstellungen versteckt ist. Bei allen anderen (habe alle schon getestet) geht es mit wenigen Klicks auf z.B. eine Browser Extension, direkt im Pwd-Manager oder eben via API. SimpleLogin und Addy habe ich beispielsweise direkt in Raycast eingebunden, sodass ich mit zwei Tastatur-Kommandos direkt einen frischen Alias habe. Einfacher geht’s kaum.

Da möchte ich noch etwas zu bedenken geben, was bisher im Thread gar nicht zur Sprache kam: was passiert, wenn der Anbieter mein Konto sperrt. Google macht das ja gerne mal, wenn im Smartphone-Backup Bilder der eigenen Kinder liegen, auch Apple hat in der Vergangenheit schon Accounts einfach so gesperrt und keinen wirklich guten Prozess, irgendwie wieder dran zu kommen. Und dann noch die Fälle, bei denen User durch Smartphone-Diebstahl ausgesperrt wurden (im neuesten iOS gibt’s glücklicherweise ein Feature dagegen). Was ich damit sagen will: ich persönlich würde etwas so zentrales wie Emails, über die ja häufig zahlreiche Authentifizierungen laufen, nicht in die Hände einer Firma geben, die im worst case nur schlecht erreichbar (Google) ist oder sich weigert, zu helfen (Apple). Da sehe ich Anbieter wie Mailbox oder Posteo im Vorteil, aber auch dedizierte Mail-Anbieter wie Fastmail.

Das ist immer gerne ein Tipp und ich betreibe auch eigene Mailserver, habe ein paar Domains für Mail bei Webhostern wie Uberspace und noch ein paar Spielereien auf nem Pi und einer NAS. Ich würde es trotzdem nicht empfehlen, wenn hier jemand explizit danach fragt, was gegen iCloud spricht. Wenn man möchte, dass die ausgehenden Mails zuverlässig auch bei Google und Microsoft ankommen, ist es ein ganz schöner Aufwand. Ganz aktuell gibt’s ja wieder ein Update seitens Google was die DKIM-Anforderungen angeht. Aber auch wenn man vorher schon SPF oder DMARC falsch konfiguriert hat, kommt es gerade im Austausch mit Google- und Microsoft-Diensten schnell zu Problemen. Wenn man an sowas Spaß hat, geschenkt, wenn man einfach nur sicher seine Mails versenden möchte, sollte man zu einem Anbieter gehen, der das hauptberuflich macht, und ihm dafür monatlich Geld rüber schieben.

Ich gebe Dir Recht, aber ich habe ausdrücklich auf

angeknüft. Und ich stehe dazu, denn weder amerikanische noch deutsche Anbieter erfüllen meine Erwartungen, auch keine hauptberuflichen.

hab ich im Griff, versende aber auch keine Massenmails.

Muss jeder selbst entscheiden. Wir können hier nur Hinweise und Erfahrungen teilen - genau das tue ich.

Hallo luposgerus, ich kann deinem Beitrag voll und ganz zustimmen. Persönlich nutze ich seit 6 Jahren ein Mailkonto bei Posteo und habe es bisher nicht ein einziges Mal bereut.

Alles funktioniert ziemlich reibungslos. Die Server stehen in Deutschland und das Unternehmen arbeitet ziemlich transparent.

Hat nicht nur was mit Usability zu tun (Generieren), sondern auch mit Nachhaltigkeit: Wirklich zukunftssicher sind nur plattformübergreifende Implementationen, sonst ist man darauf festgelegt, ein Leben lang nur Hardware der Fa. Apple zu verwenden. Sage ich selbst als zufriedener User von iOS, iPadOS und Watch OS (aber eben nicht Mac OS).

Schutz vor Eindringlingen? In diesem Sinne IST Apple der Eindringling.
Ich würde niemals mit meinen Mails zu einem US-Provider gehen, außer Lavabit (kostenpflichtig).

1. Vertrauen - faktenbasiert? Oder …

Es ist faszinierend, dass sich hier der extrem hohe Werbe- und Lobbyaufwand der Großen auszahlt.
Hast du dich schon einmal gefragt, warum uns teure Werbung manchmal so ratlos im Sessel zurücklässt?
Einfach, weil man sich intellektuell brutal unterfordert fühlte?

Keinerlei Fakten, nur helle (Lichtdesign 38.000 €), sympathische Interieurs (Miete 44.000 €) mit besonders schönen (Styling 12.000 €) Menschen (19.900 €) in bescheidener (edler) Kleidung (Miete 32.000 €), die tolle, ruhige und sanfte Stimmen haben (vor Ort Soundarchitektur 65.000 €). Videobearbeitung (Retusche, Schnitt, Produktion etc. 370.000 €). Reisekosten, Hotel, Spesen etc. (78.000 €).

Das nennt man Vertrauenswerbung und sie soll - insbesondere auch durch stumpfe Wiederholung - bewirken, dass du denkst: Die geben sich soviel Mühe einfach nur für ihr Image, ganz ohne Fakten, die werden es also nie riskieren, also einen Datenskandal … dann wär das ja alles sinnlos.
Kann also gar nicht sein.

Lustigerweise ist es zugleich so, dass, fragt man einen Nutzer der jeweiligen US-Datenkrake, nach Datenskandalen derselben, er sagen wird: „Skandal? War da was?“

Mit extremer intellektueller Anstrengung wird er vielleicht einen oder maximal zwei nennen können! Obwohl es viel mehr gab …

DESHALB glaubt Otto Normal, seine Daten seien bei xyz besonders sicher. Weil „die können/würden sich einen Skandal ja gar nicht leisten können !!!“

Das Gegenteil ist der Fall: Niemand kann sich einen Skandal eher „leisten“ als die, deren Krisen-PR-Management 24 h/7Tage eingeübt ist, hochbezahlt und erfahren.
Der „kleine“ Provider ist weg vom Fenster, geschieht etwas.
Die Großen lancieren weltweit kostenlos für sie binnen 24 h soviele „xyz erfindet Blutzucker-Messung durch Kontatklinsen!“-Schlagzeilen, dass die Fanbois binnen weniger Tage fragen: „Skandal? War da was?“

2. Wer kennt ständig dein Kfz-Kennzeichen?

Es ist im Übrigen nicht so einfach Datensicherheit und Datenschutz auseinanderzuhalten, wie hier gewünscht wird: Was ist mit IP-Stripping? Bei Posteo und Mailbox versprochen.
Im Falle des No-Stripping (oder Ersatz durch eine IP-Adresse der Datenkrake wie es jetzt Mode wird) wird permanent die IP im Verbund mit Klardaten durchs Netz geschickt …
Und es ist egal, ob die IP immer direkt mit deinen Klardaten verbunden werden kann. Dafür gibt es seit llaaannngeemmm Mustererkennung per KI. Mach ein paar „Bewegungen“ und du lieferst soviele Zusatzdaten, dass deine IP binnen kurzer Zeit deinen Umriss ergibt, noch ein paar Bewegungen und ja, wir haben dich! Zu 89 % nur, aber das reicht, nachher sind es 99 % … dann entscheiden wir, ob wir dir einen Namen geben.

Und zunächst sagte Apple immer: „Die iCloud, ja, haben wir jeweils einen Schlüssel zu den Daten der Nutzer. Aber nur zu deren Schutz!!! Falls die mal ihr Passwort vergessen haben!!! Ich schwöre!!“

Das klingt so „glaubwürdig“ wie damals bei der DE-Mail: „Äh, ja, äh, E2E-verschlüsselt, ähm, natürlich müssen wir kurz gucken, ob da nicht Viren drin sind, gell? Aber nur kurz!!“ Ähnlich dümmliche Begründungen bei anderen „staatlichen“ Kommunikationsdiensten.

Und neulich dann die - für mich, rein subjektiv ! - Erleuchtung:

https://www.heise.de/news/Apple-Volle-Verschluesselung-fuer-iCloud-Backups-angeblich-nach-FBI-Gespraech-verworfen-4642839.html

3. Meine Daten in einen Staat, der die hier entscheidenden Rechte negiert?

Und als Europäer, die das demokratienotwendige (!) Recht auf Privatheit (My-home-is-my-Castle, Datenschutz etc.) als MENSCHENrecht definiert haben, also als staatsnotwendiges, höchstrangiges Recht, was für alle Menschen gilt, sogar für US-Bürger in der ganzen EU einklagbar, meine persönlichen Daten in einen Staat zu schicken, dessen Verfassung und kriminelle Totalüberwachungspraxis klar macht: „Keine Privatheit für Ausländer!“ … !!!

Einen Staat, der denjenigen, der die massenhafte, kriminelle (§§ 99, 201 ff. StGB, § 42 BDSG etc.) routiniert-alltägliche Verletzung unserer Rechte erstmals belegt hat, und also für uns strafbefreiende Nothilfe (§ 32 StGB) geleistet hat, mit Jahrzehnten Gefängnis bedroht, so dass dieser sich in einen Unrechtsstaat flüchten muss?!

Wieviel Selbstaufgabe kann man praktizieren, bevor das ganze Gemeinwesen erodiert?
Ach, es bröckelt nicht … nicht ganz von allein?
Ach, da kann man gezielt nachhelfen, wir sind doch Profis!
Also, bei der Datenlage, intimen Kenntnis der maßgeblichen ‚targets‘:

https://www.heise.de/news/NSA-Skandal-Geheimdienste-manipulieren-und-diskreditieren-im-Netz-2123236.html