Weg von Freemail: Erste eigene E-Mail Domain - Empfehlungen, best practice?

Guten Abend liebe Leute.
Ich möchte weg von meine 10 Freemail Accounts und mir eine eigene E-Mail Domain samt Hoster holen für mehr Unabhängkeit.
Bin absoluter Laie aber ein paar Gedanken habe ich mir schon dazu gemacht. Vielleicht könntet ihr mir noch gute Tipps zur richtigen Anwendung, Hoster, „best practice“ mitteilen.

Ich bin ein sehr „basic“ E-Mail User, brauche diese zu 99% nur um Accounts zu registrieren. zB.: Onlineshops, Foren, Gaming, Banken etc.
Ich verwende einen PW Manager und überall wo es möglich ist 2FA.

Am PC bin ich bisher immer per Webmail rein, in Zukunft könnte/würde ich über Thunderbird falls es einen Vorteil bringt.
Am Smartphone mit K9 oder FairMail.

Meine Gedanken:
->Ich möchte Aliase für jeden Anbieter nutzen(anstatt Catch All), der Hoster muss dann natürlich minimum 200 Aliase anbieten, am besten „unlimitiert“.
->Anbieter wie Tuta/Mailbox/Posteo/Proton fallen dementsprechend weg, zusätzlich aber auch weil ich der Meinung bin ICH brauche weder E2EE, Encryption at Rest(ich lösche immer meine E-Mails) oder sonstige Extras?
->SimpleLogin/AnonAddy kenne ich, ansich super Idee um meine originale Domain zu verstecken allerdings besteht dann hier wieder eine Abhängigkeit von einem Provider & kostet extra.
->Also heißts Abwägen zwischen Anonymität und „Zukunftssicherheit“, da mir niemand den Zugang zu meiner Domain im Normalfall verwähren kann.
->Über SPF DKIM DMARC DNSSEC habe ich schon gelesen, man solle entweder die von Cloudflare verwenden oder von deSEC. Weiß nur das es wichtig ist um nicht als Spam geflagged zu werden aber ansonsten keine Ahnung vorerst. Damit möchte ich mich erst beschäftigen wenn das Grundlegende geklärt ist.

Meine Fragen die sich auftun:
->Macht es Sinn sich zwei Domains zu holen, eine Domain für den alltäglichen Gebrauch, die zweite als BackUp bzw. Wiederherstellungsemail zu verwenden?
->Macht es Sinn Subdomains zu erstellen zB.: gaming.domain.tld, finance.domain.tld und dann jeweils steam(datum)@gaming.domain.tld oder ist das absolut unnötig ohne wirklichen Mehrwert?
->Wenn ich eine Nachricht bekomme auf die ich Antworten muss, kann ich dann im Namen des Aliases antworten?
->bestimmt habe ich noch wichtige Sachen vergessen…

->Ansich hätte ich gern ein All-in-one Paket weil die meist günstiger sind, ein paar mögliche Anbieter habe ich schon rausgefiltert, vielleicht könnt ihr Erfahrungen teilen denn ich habe keine Ahnung ob die „alles“ können was sie sollten?

Netcup: sehr günstige Domains + günstiges Hosting, müsste aber Webhosting 2000 nehmen für 500 Aliase. Keine Ahnung wie deren UI ist.
Domaintechnik: sehr teure Domains, günstiges Hosting, unlimitierte Aliase, Webseite bietet viele Anleitungen, Webmail UI sieht auch nicht schlecht aus.
Lima-City: günstige Domain/Hosting, Webseite und UI finde ich ansprechend, unlimitierte Aliase
Manitu: sehr günstiges Hosting, Domains OK, Webseite sieht Ok aus, keine Ahnung wie die Webmail aussieht
UD Media: absolut günstigstes Hosting(1€), günstige Domains, unlimtierte Aliase, Webseite gefällt mir richtig gut, Demomodus etc. aber noch nie von diesem Anbieter gehört, auch nur sehr wenige Bewertungen auffindbar.
IP Projects/Febas: beide günstige Domains/Hosting, sprechen mich von allen aber am wenigsten an, kann ich kaum was dazu sagen, noch nie zuvor gehört.

Viele andere hatte ich auch noch in meiner Liste zB webgo, informaniak, bitpalast, Hetzner und andere. Aber entweder waren sie mir zu teuer fürs selbe Angebot, boten nicht genug Aliase, haben einfach eine sehr altbackene Webseite oder habe einige schlechte Bewertungen darüber gelesen.

Wer es bisher geschafft hat oder zumindest grob überflogen hat, vielen Dank. Ich freue mich auf gute Tipps von euch Profis die mir bei dieser „Lebensaufgabe“ weiterhelfen können

Anstatt AnonAddy könntest du unbox.at nutzen. Der Service von adminforge.de ist kostenlos.

Danke für die Antwort aber was ändert das? Egal ob SimpleLogin, AnonAddy oder Unbox. Sobald ich meine echte Domain verstecken will, bin ich abhängig. Aber das ist auch gar nicht mein oberstes Ziel, sonst würde ich einfach bei gmail/gmx/etc. bleiben.

Das einzige was ich mir vorstellen könnte wäre: domain bei X, SimpleLogin kaufen und eigene Domain verwenden, Domain bei Mailbox mit dem 3€ Tarif verbinden. Das könnte ich mir zwar vorstellen aber finde ich nicht optimal, das es mehr kostet und mehr Dienste involviert sind.

Aber mir gehts hauptsächlich um die „richtige“ Vorgehensweise, wie zB.: Subdomains - nützen die mir was außer das es „schön“ geordnet aussieht oder nutze ich einzig allein nur eine Domain für alles, sollte ich eine zweite als backup nutzen und so weiter. Da finde ich leider kaum Erfahrungsberichte darüber.

Als ich mich damals mit Mailprovidern beschäftigt habe, hatte ich viel über die Sicherheit der Mailserver und Datenschutz gelesen. Für mich blieb damals nur Posteo und Mailbox über, weil Notizen, CardDav & Co für mich auch wichtig waren und das konnten nicht alle kleineren auch guten Alternativen. Vielleicht ist das mittlerweile anders. Die meisten Anbieter flogen aber sehr schnell wegen Sicherheit und Datenschutz raus.

Wenn die Aliase wichtig sind, dann scheint Mailbox die bessere Variante zu sein. Dann nimmste Mailbox für wichtige Hauptaliase und für weniger wichtige Seiten nutzte Anbieter wie AnonAddy.
Falls es nur wenige wichtige Hauptaliase sind, könnte Posteo auch die günstigere Variante sein.

Und brauchst du wirklich eine Domain!? Hatte mir die Frage damals auch gestellt, aber finde es ziemlich unwichtig.

Zumindest würde ich nicht für möglichst viele Aliase Kompromisse eingehen. Das kehrt deinen Mehrwert an „Sicherheit durch Aliase“ ja eher ins Gegenteil.

Soweit ich es bisher gesehen habe bietet jeder Anbieter den ich auf meiner Liste habe, Lets Encrypt und TLS an.

Wegen dem Datenschutzaspekt dachte ich, wähle ich deshalb einen Europäischen Anbieter. Ich hoffe dank der DSGVO sollte es keine Bedenken geben? Vielleicht bin ich da auch zu gutgläubig.

Ich habe schon sehr viele wichtige Accounts die ich nicht verlieren möchte.

Der Grund warum ich eine Domain möchte ist der, damit mir kein Anbieter den Zugriff auf meine Accounts blockieren kann. Und ich möchte die E-Mail die nächsten Jahre vielleicht auch Jahrzehnte nutzen bzw. die Accounts die mit jener verknüpft sind. Deswegen sehe ich hierfür keine wirkliche Alternative?

Welche Kompromisse würde ich deiner Meinung nach eingehen zwecks Sicherheit?

Das Kriterium alleine reicht nicht aus.

Ebenso hier. Gmail und Outlook sollten auch dsgvo-konform sein.

Letztlich hilft es am meisten den jeweiligen Anbieter auszuprobieren, was durch die monatsweise Kündigung oder angebotenen Probemomonat oder 30 Tage Geldrückgabegarantie kostengünstig zu bewerkstelligen ist.

Bei Mailbox habe ich z.B. erfolgreich eine eigene Domain eingebunden, bei der auch DNSSEC-/DANE funktioniert. Allerdings muss dabei der eigene Domainhoster dies unterstützen. Bei mir hat es mit Febas als Domainhoster funktioniert, den man aber für dieses Feature per Mail anschreiben muss.

UdMedia verspricht dies standardmäßig zu unterstützen. Ich habe dort zwar einen Account mit dem Mailtarif, mich aber noch nicht weiter mit beschäftigt.
Das 1€ Hosting gilt aber nur für Email, Websitehosting fängt ab 3€ an. Nur Domainhosting einer de Domain für 9€ pro Jahr ist nicht so günstig (febas 3,38€/Jahr, hosting.de 3,90€/Jahr, elitedomains (reiner de Domainhoster mit Verkaufsplattform) 5,95€/Jahr).

Für viele Mailaliase benutze ich zur Zeit runbox.com aus Norwegen, die außer Datenschutz und einer sehr individuellen Preisgestaltungsmöglichkeiten in allen Tarifen 100 Aliase mit *.runbox.com und unbegrenzt viele Aliase mit eigenen Domains anbieten. Das Einbinden einer eigenen Domain habe ich hierbei auch noch nicht ausprobiert, DNSSEC-/DANE wird wohl nicht angeboten, aber DMARC DKIM, SPF funktioniert wohl, laut dem Runboxforum.

Ja klar, ausprobieren um zu sehen wie die Oberfläche der Webmail aussieht, wie einfach es ist Einstellungen zu ändern usw. werde ich aufjedenfall dort wo es möglich ist.

Webseiten Hosting benötige ich überhaupt nicht, aber die meisten bieten eben (nur) solche Pakete an und/oder sind nicht teurer als reines E-Mail Hosting. Bei UD Media würde mir also reines E-Mail hosting vollkommen genügen solang ich auch per Webmail darauf zugreifen kann, wovon ich ausgehe?

Domains würde ich mir sonst auch wo anders besorgen zB bei Netcup falls ich unbedingt zu Anbieter A möchte aber deren Domains zu teuer sind.

Wie ist deine E-Mail Strategie bezüglich wer bekommt Aliase, wer bekommt die originale usw.?

ich weiß, dass das kontrovers ist, aber was versprichst Du Dir von Aliasen statt Catch-All?

Der Webmailer bei UD Media ist Roundcube.
Ich es jetzt bei UD Media eingerichtet und auf https://mecsa.jrc.ec.europa.eu/de/ einen Check gemacht, mit dem Ergebnis von überall 100 Punkten (StartTLS, X509, SPF, DKIM, DMARC, DANE, DNSSEC).
Nur MTA-STS hat 0 Punkte, was man aber auch selber einrichtet, wozu man einen kleinen SSL gesicherten Webspace braucht (oder über Gitlab)

Grundsätzlich will ich mit den Aliassen nachvollziehen, wer eventuell die Quelle von Werbung und Spam ist und bei erstellte Accounts eine eigene Adresse nehmen, um im Falle eines Hacks nicht bei allen möglichen Anbietern die Mailadresse ändern zu müssen. Heißt konkret, jeder Account den ich länger nutze bekommt eine eigene Mailadresse.
Für einmalig oder selten genutzte Registrierungen verwende ich ein Alias auch schon einmal mehrfach.
Um dabei nicht den Überblick zu verlieren, schreibe ich mir aber auch auf, wer welche Mailadresse hat.

Wie ToKu sagte „Quelle von Werbung und Spam“ sehen.
Wenn ich sehe, ein Alias bekommt plötzlich viel Spam, wird diese E-Mail geändert.

Klar Catch All geht auch und vielleicht werde ich doch damit einfach mal anfangen bevor ich noch ein Jahr am grübeln bin.
Dennoch bekommt jeder Anbieter schon mal eine eigene Adresse verpasst zB in der Form "kuketz(datum,random zahlen etc).forum@, „Bank.finanzen@“ so lässt sich im Postfach auch schön Ordnen.

Und sollte ich in laufe der Zeit merken ich bekomme zu viel Spam(wegen Catch All), kann ich immer noch die jeweiligen Adressen als Aliase beim Hoster anlegen und Catch All deaktivieren. Vielleicht ist das erstmal eine kluge Idee um starten zu können

Mir sagen zwar die Begriffe kaum was und was sie bewirken aber „überall 100 Punkte“ würde ja schon mal FÜR UD Media sprechen. Günstig sind sie auch, zumindest das Hosting weil ich eben nur E-Mail benötige, keine Webseite.

Ok ja genau so wäre auch mein Plan. Für wirkliche „spamseiten“ oder einmalige geschichten wo es mir auch egal ist wenn der Account weg ist, werde ich SimpleLogin o.Ä. nutzen damit die gar nicht erst meine domain kennen.

MECSA testet im Unterschied zu meinem Test (https://blog.lindenberg.one/EmailSicherheitsTest) Verschlüsselung leider nur empfangsseitig, nicht sendeseitig.

mit 6+ Jahren Catch-All: Spam kommt nur auf tatsächlich verwendete Adressen/Aliase, und zwar auf:

• öffentliche Adressen wie Impressum
• Adressen die der Move-IT Lücke bei Verivox zum Opfer gefallen sind (landen inzwischen im Junk-Ordner)
• unerwünschte Mails von Geschäftspartnern.

ich sehe nicht, dass Aliase da signifikant besser abschneiden würden.

Ich absolut neu in diesem „eigene E-Mail Domain“ Thema, aber das war nur mein erster Gedanken dazu. Warscheinlich wird es so sein wie du sagst und höre dann auch auf die Profis, deswegen frage ich hier um Rat

Bin nochmal meine möglichen Provider durchgegangen und habe mir deren Preise angesehen:

domains334×196 5.87 KB

Im Hosting (für meine Zwecke) sind sie alle relativ ähnlich. Aber bei den Domains(de, eu, at)unterscheiden sie sich teils gewaltig. Ich habe ansich kein Problem damit die Domain bei zB.: Febas/Netcup zu registrieren aber bei Domaintechnik/UD Media usw. zu hosten.

Aber ich habe keine Ahnung welcher registrar mit welchen hoster kompatibel ist bezüglich DNSSec? Soweit ich es immerhin mitbekommen habe, ist das schon ein wichtiger Punkt den man vorher schon beachten sollte.

Oder mache ich mir zu viele Gedanken darüber die für meine ohnehin niedrigen Bedürfnisse keinen großen Unterschied machen?

Das habe ich jetzt mal zum Anlass genommen und dir Mails von diversen Anbietern geschickt. Für zwei externe Domains die ich bei Mailbox.org eingebunden habe, lautet das Ergebnis.

Analyse Senden von Email
Es erhielten die Mailserver Post, die das nach RFC 7672 tun sollten. Ihr Mailserver verwendet vermutlich RFC 7672 (Postfix: dane) (sehr gut).
Ihr Mailservice sendet eine Fehlernachricht wenn STARTTLS von Servern mit RFC 7672 oder RFC 8461 nicht angeboten wird, aber garantiert keine Verschlüsselung bei anderen (könnte besser sein)

Bei „Analyse Empfangen von Email“ ist in der Zeile Summary überall ein Häkchen.
Bei Mesca überall ein Wert von 100. Eine Domain ist bei hosting.de gehostet, bei der auch in der Webverwaltung DNSSEC aktiviert werden kann, die andere Domain ist bei Febas gehostet, wo ich DNSSEC durch eine Mailanfrage aktivieren konnte.

Bei einer in Tutanota eingebundenen externen Domain gab es das überraschende Ergebnis

Analyse Senden von Email
Ihr Mailserver verwendet kein SNI, also auch kein RFC 7672 oder RFC 8461, und akzeptiert dann vermutlich auch beliebige Zertifikate beim Senden (nicht gut).
Ihr Mailserver hat eine Mail (FROM/RCPT/DATA) ohne Verschlüsselung (STARTTLS) übertragen. Selbst wenn er RFC 7672 oder RFC 8461 verwenden sollte, erzwingt er keine Verschlüsselung (nicht gut, aber leider normal).

Bei „Analyse Empfangen von Email“ ist in der Zeile Summary in der Spalte DNSSEC/Mx, A, Tlsa kein Häkchen. Bei Mesca bei DKIM und DNSSEC eine 0, sonst 100.

Bei Mail im Rahmen eines Webhostingpakets bei Febas gab es folgendes Ergebnis

Analyse Senden von Email
Ihr Mailserver verwendet kein SNI, also auch kein RFC 7672 oder RFC 8461, und akzeptiert dann vermutlich auch beliebige Zertifikate beim Senden (nicht gut).
Ihr Mailserver hat eine Mail (FROM/RCPT/DATA) ohne Verschlüsselung (STARTTLS) übertragen. Selbst wenn er RFC 7672 oder RFC 8461 verwenden sollte, erzwingt er keine Verschlüsselung (nicht gut, aber leider normal).
Einige Mails scheiterten an der Authentifizierung mit DKIM oder SPF - möglicherweise Spam.
Ihr Mailserver unterstützt SPF nicht (nicht gut).
Ihr Mailserver unterstützt DMARC nicht (nicht gut).

Bei „Analyse Empfangen von Email“ ist in der Zeile Summary in der Spalte DNSSEC, Passende TSLA und MTA-STS kein Häkchen. Bei Mesca steht DMARC, DANE, DNSSEC und MTA-STS auf 0, sonst 100.

Die Lindbergtestergebnisse für UD Media und runbox.com lassen noch auf sich warten.

Schwer zu sagen. Ich denke, will man mithelfen, Mail vertraulicher zu machen, sollte man die in den letzten Jahren entwickelten Sicherheitsfeature auch nachfragen und damit bei den Anbietern den Angebotsdruck erhöhen.
Für jemanden der sich ziemlich sicher ist, das die Mail auch vom erwarteten Absender stammt wird auch mit Febas und vielen anderen glücklich werden und sein Hauptaugenmerk darauf legen, dass der Mailhoster die Mails nicht scannt/analysiert und für Profilbildung und Werbung missbraucht.

Unterstützt der Registrar prinzipiell DNSSEC ist das in meinen Augen schon einmal ein Vorteil. Findet man die Unterstützung nicht schon in der Beschreibung hilft es nachzufragen. Zumindest ist das die Vorraussetzung, um eine externe Domain z.B. bei Mailbox.org auch mit DNSSEC/DANE einbinden zu können.

Bitte unbedingt bescheid geben sobald die Ergebnisse vorliegen. Auf UD Media bin ich gespannt.

Vielen Dank, wieder ein Stück mehr Info worauf ich bei meiner Auswahl achten kann. Werde bei alle Provider von meiner Liste nachsehen bzw. nachfragen bezüglich DNSSEC.

Febas weiß ich ja schon, kann man es per Anfrage aktivieren.
UD Media hat es bereits aktiv.
Netcup, Domaintechnik, Lima City und Manitu muss ich noch nachsehen.

Nach und nach wird ein Schuh daraus.

1. ich kaufe grundsätzlich alle Dienste getrennt, keine Bundles
2. der Hoster spielt bei DNSSEC keine Rolle, dafür sind Registrar und DNS-Betreiber relevant.
3. für Email musst Du klären wie die DNS-Records für SPF, DKIM, DMARC, SMTP-DANE oder MTA-STS aktualisiert werden - das ist natürlich einfacher wenn Hoster und DNS-Pflege zusammenarbeiten (ich mach das selbst).

Habe ich schon oft gelesen aber nie verstanden warum. Welchen Hintergrund hat das? Nach der Vertragslaufzeit könnte ich ja trotzdem entweder das Hosting wo anders beginnen oder die Domain umziehen?

Um das nochmal für die Praxis zu verdeutlichen, anhand einer Domain beim Registrar Febas. Um DNSSec nutzen zu können, musste ich mich noch bei einem DNS Betreiber (in meinem Fall desec.io) anmelden, um einen Nameserver zu haben. der DNSSec unterstützt. Die dort generierten DS Einträge hat dann Febas per Mailanfrage bei der entsprechenden Registry erfolgreich hinterlegt. Bei hosting.de musste ich lediglich im Webinterface DNSSec aktivieren.

Nun ist auch mittlerweile das Ergebnis des Lindbergtest für UD Media angekommen

Analyse Senden von Email
Es erhielten die Mailserver Post, die das nach RFC 7672 tun sollten. Ihr
Mailserver verwendet vermutlich RFC 7672 (Postfix: dane) (sehr gut).
Die Domäne im EHLO und in der DNS Rückwärtssuche stimmen nicht
überein.
Ihr Mailserver hat eine Mail (FROM/RCPT/DATA) ohne Verschlüsselung
(STARTTLS) übertragen. Selbst wenn er RFC 7672 oder RFC 8461 verwenden
sollte, erzwingt er keine Verschlüsselung (nicht gut, aber leider
normal).
Ihr Mailserver verwendet eine DMARC policy mit (s)p=none (nicht gut).

Bei „Analyse Empfangen von Email“ ist in der Zeile Summary überall ein Häkchen (bis auf MTA-STS, da ich das nicht selber eingetragen habe).
Bei Mesca überall ein Wert von 100 (bis auf MTA-STS).
Den kritisierten Wert der DMARC policy kann man in den DNS Einstellungen noch selber verändern. @Joachim auf welchen Wert stellst du die DMARC policy?

Weil ich gerade den Begriff Nameserver lese und mir dieser schon untergekommen ist: heißt das wenn ein Registrar keine anderen Nameserver zulässt, würde das schon nicht mehr funktionieren weil ich ihn nicht auf den von deSEC ändern könnte?
Mir wäre es natürlich am liebsten wenn ich diese Funktion direkt beim Hoster aktivieren kann anstatt wieder eine 3rd Party dafür zu benötigen.

Für absolute Laien, was bedeutet das? Alles im „normalen“ Rahmen und unbedenklich?

Hallo designersieb,
ich habe vor ein paar Jahren ein günstiges Hosting Paket gekauft und weise seit dann jedem Dienst, den ich länger verwende, eine eigene E-Mail-Adresse zu.
Sachen, die ich nur kurz verwende, bekommen eine Einweg-E-Mail-Adresse, von einem den bekannten Anbietern.
Theoretisch könnte man es mit einer zweiten Domain bzw. Subdomains beliebig redundant bzw. kompliziert machen; worin ich derzeit für mich aber keinen Nutzen sehe.

Catch-All-Adressen verwende ich nicht.
Ich lege beim Hosting-Anbieter für jede E-Mail-Adresse ein Konto an, dass ich dann zentral mit aktuell noch Outlook abrufe.
Das hat den Vorteil, dass wenn ich eine E-Mail erhalte und in Outlook auf „antworten“ klicke, dass dann über das gleiche E-Mail-Konto die Antwort versendet wird. Beim Versenden einer neuen E-Mail muss man dann aus einer langen Liste an E-Mail-Adressen die richtige auswählen.

Mit Outlook 2016 hatte ich das Problem, dass es bei mehr als 50 E-Mail-Adressen Probleme beim Abrufen gibt, sodass ich diese in mehrere Chargen unterteilt habe und nacheinander abgerufen habe.
Mit Outlook 2021 funktionieren knapp 100 Adressen einwandfrei.
Bezüglich der technischen Details die bisher diskutiert wurden, kann ich nichts sagen, ich habe nur STARTTLS als Verschlüsselung beim Abrufen eingestellt.

Für die Wahl des Hosting-Anbieters habe ich mich an dieser Liste von digitalcourage orientiert, da ich aber noch eine Nextcloud hinzugenommen habe.
https://digitalcourage.de/blog/2020/nextcloud-hosting-tabelle