ich bin seit einigen Jahren bei mailbox.org und nutze dort die Funktion des verschlüsselten Postfachs.
Wie man sicherlich im Titel bereits erahnen kann, nutze ich ein IPhone. Unter iOS ist es wirklich sehr schwierig eine praktikable Lösung für OpenPGP zu finden.
Es gibt zwar Apps mit denen man eine verschlüsselte E-Mail entschlüsseln kann aber der Weg war immer etwas umständlich. Die meisten kennen für iOS den aktuellen Anbieter Canary, der eine angenehme Lösung für diese Marktlücke anbietet. Durch Zufall bin ich im mailbox-Userforum auf die App eM Client gestoßen. Oh Wunder! Dort kann ich PGP und S/MIME gleichermaßen praktikabel nutzen.
Die App sagte mir ehrlich gesagt nichts. Das Unternehmen dahinter ist in der EU ansässig, die Datenschutzerklärung hilft mir auch nur wenig weiter (recht wenig konkret) und sonst habe ich auch nicht viel dazu gefunden.
Kennt jemand diese App und hat sie bereits getestet? Findet Tracking statt? Werden die Daten auf irgendwelchen anderen Servern gespeichert?
Ich selbst nutze nie die Push-Benachrichtigung, weil ich mal gelesen hatte, dass etwaige Anmeldedaten dazu an die Appleserver weitergegeben werden.
Erstmal Danke für den Hinweis auf die App. Ich bin auch auf der Suche nach einem Mail-Client, der PGP kann. Ich habe eben ein wenig getestet:
Das Mailbox.org-Konto einrichten war kein Problem. Allerdings habe ich die PGP-Schlüssel aus dem Mailbox-Guard nicht in den em Client importieren können. Nach dem angeblich erfolgreichen Import geht es nicht weiter. Ich kann zwar sagen, ohne Verschlüsselung weitermachen, aber später lässt sich die Verschlüsselung nicht nachträglich einschalten.
Der App-Datenschutzbericht ist nach der ersten Nutzung relativ voll (u.a. Firebase, fcmtoken.googleapis.com). Vor allem werden ungefragt die Favicons der Absender heruntergeladen, obwohl externe Inhalte von Haus aus blockiert werden (sollen). Ich habe auch keine Einstellung gefunden, die das abstellt.
Mein ernüchterndes Fazit: Schade. Der Ansatz ist gut. Die App sieht auch gut aus und bietet einige Funktionen, die es in anderen Mail-Apps für iOS nicht gibt. Leider habe ich PGP nicht zum Laufen gebracht. Aber vielleicht war ich auch nicht fähig genug.
ich habe mich jetzt auch mal hingesetzt und die App einfach mal eingerichtet. Bei mir ließ sich alles problemlos einrichten (E-Mail-Konto, PGP & S/MIME). Meine E-Mail-Aliase konnte ich ebenfalls hinzufügen.
Externe Inhalte und Tracking-Parameter in der E-Mail muss man bestätigen, ansonsten ist dies standardmäßig blockiert. Wird zumindest so angezeigt und kommuniziert.
An sich gibt es einige Einstellungsmöglichkeiten. Das aber automatisch der Avatar der Mailadresse (Favicon) abgefragt und hinzugefügt wird, stört mich auch etwas. Das konnte ich bisher nicht abstellen.
Komisch. Der Schlüssel ist auch nicht unter Signieren & Verschlüsselung → Zertifikate aufgelistet?
So, jetzt habe ich es auch hinbekommen. Es war das falsche Schlüsselpaar…
Jetzt habe ich noch die Herausforderung, dass der em-client offenbar nur für den Hauptaccount ein Schlüsselpaar speichert. Den nutze ich bei Mailbox.org nur für den Login und arbeite ansonsten mit den Alias-Adressen. Diese kann ich zwar hinterlegen, aber ihnen kein PGP-Schlüsselpaar zuweisen, oder?
Doch, kannst Du. Unter Einstellungen/Zertifikate kannst Du rechts oben 3 kleine Punkte in einem Kreis sehen. Drauf klicken und dann kannst auswählen wie Du das/die Zertifikat(e) einpflegen willst… z.B. aus Datei importieren.
Ich exportiere unter macOS die Schlüsselpaare aus meiner „GPG-Keychain“ raus und lege sie dann für den Import in den emClient in den iCloud Drive…
Nach dem Import in den emClient lösche ich das Schlüsselpaar wieder im iCloud Drive.
Wie funktioniert denn eigentlich der Download der Favicons? Kann mir jemand sagen woher diese Daten kommen und welche Tracking-Möglichkeiten abseits „irgendein Benutzer greift auf mein Favicon zu“ es noch gibt? Wie findet der Client die Favicons und woher lädt er diese?
Der Grund warum Mail-Apps für die Nutzung von Push-Notifications Deine Anmeldedaten an einen Server des App-Anbieters übertragen habe ich hier einmal hier in einem anderen Thread zusammengefasst.
Vielen Dank für den Hinweis. Die Einstellung schaltet nur die Anzeige der Avatare in der Liste aus. Spätestens beim Anzeigen der Mail erscheint auch der Avatar wieder.
Ich vermute, die App greift auf die Domain der Mailadresse zu. und falls es eine passende Webseite mit Favicon gibt, wird dieses geladen.
So ist es. Ich habe nun über eine Stunde mir alles erdenkliche angeschaut. Das lässt sich aktuell nicht abschalten. Ich frage die Entwickler mal an, ob hier zukünftig eine Option kommen könnte.
Interessante Herangehensweise. Ich lass es lieber für alle Mailclients deaktiviert.
Hab das einfach mal getestet. Er greift auf die Domainendung zu (Bsp: …@mailbox.org).
Leider kann ich das Verhalten der App nicht überwachen. Wenn noch die Bestätigung kommt, dass die App im Hintergrund bzw. im aktiven Zustand nicht ständig pingt und trackt wäre sie eine europäische und aktuell kostenfreie Alternative zu Canary.
Ich kann hier nur mit dem iOS Datenschutzbericht arbeiten. Aber demnach kontaktiert em Client deutlich mehr Server als Apple Mail oder Protonmail. Auch werden die Avatare/Favicons immer wieder mal abgefragt (z.B. wenn ich eine Mail zum Lesen öffne).
Das führt ja irgendwie das Aussperren von Trackingpixeln und anderen externen Inhalten ad absurdum…
Wenn der Hersteller das abstellen würde, wäre em Client sicherlich eine tolle Mail-App. Bis dahin werde ich sie aber wieder deinstallieren.
Nun ja, Tracking Pixel beziehen sich auf eine ganz spezielle Email. Wenn die Favicons basierend auf der Absender-Domain gezogen werden, dann ist die Trackingmöglichkeit stark beschränkt auf
Jemand der eine E-Mail empfangen hat.
Jemand der unsere Webseite aufgerufen hat.
Natürlich nur wenn beim Abruf der Favicons kein Cookie gesetzt und mitgesendet wird.
Danke. Jetzt funzt es so, wie ich mir das vorgestellt habe.