Freemail

E-Mail-Anbieter-Test: mailbox.org

10. Januar 2017
  • Freemail

© Rido - Fotolia.com

Vor etwa 2,5 Jahren testeten wir mailbox.org erstmals – mit einem sehr zufriedenstellenden Ergebnis. Zwar war spürbar, dass der Service noch sehr jung war, seinen Hauptjob, das Versenden und Empfangen verschlüsselter, also sicherer E-Mails gelang äußerst gut! Wir sind sehr gespannt, was sich innerhalb dieser langen Zeitspanne bei mailbox.org getan hat!

mailbox.org: das Angebot der Heinlein Support GmbH

Peer Heinlein ist der Geschäftsführer der Heinlein Support GmbH. Mailbox.org ist ein Service dieser GmbH. Hintergrundwissen rund um das Unternehmen hinter dem Service entnehmen Sie bitte unserem ersten Testbericht.

Einstiegshürden bei mailbox.org

Einstiegshürden - mailbox.org
© lightwavemedia – Fotolia.com

Um einen Account bei mailbox.org einzurichten, können Sie sich auf dieser Site registrieren. Wir sind gleich zweifach erfreut: die Site ist gut verschlüsselt (TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, 256-Bit-Schlüssel, TLS 1.2), verfolgt keine Aktivitäten und erfordert keine Berechtigungen. Außerdem sind die Registrier-Daten ein Witz gegenüber bisherigen Testkandidaten:

Lediglich Ihren gewünschten Usernamen, der gleichzeitig Ihrer E-Mail-Adresse entspricht, sowie Ihr Passwort möchte mailbox.org wissen. Das gibt dicke Punkte!

Passwortsicherheit: was leistet der Sicherheitsanbieter?

Wir fühlen uns gut aufgeklärt: Auf der Registrierungssite erfahren wir sofort, dass die Accountkosten nach dem 30-tägigen Testzeitraum bei 1 €/Monat liegen, also 12 € jährlich. Weiter erfahren wir, dass der Account werbefrei und auf Guthabenbasis funktioniert. Wir erhalten für diesen Preis nebst E-Mail auch „Kalender, Kontakte, Cloud-Datenspeicher aus einer Hand“ und Serverstandorte in Berlin.

Außerdem wird unser kostenfreier 30-tägiger Testzugang erklärt, bei dem der E-Mail-Versand aus Sicherheitsgründen auf 10 E-Mails pro Tag limitiert ist. Jederzeit sei ein Tarifwechsel möglich und das Postfach sei monatlich kündbar, mögliches Restguthaben wird erstattet.

Jetzt sind wir aber äußerst gespannt auf die Passwortprüfung von mailbox.org. Dazu erklärt das Berliner Unternehmen: „Ihr gewähltes Passwort sollte mindestens 6 Zeichen lang sein, nicht in einem Wörterbuch stehen und eine Kombination aus Groß- und Kleinbuchstaben sowie Zahlen enthalten.“ Wir testen die üblichen Klassiker:

  • „Passwort“ geht nicht: der Daumen rechts neben dem Eingabefenster geht herunter und wir erfahren den Grund dafür: „Das Passwort enthält keine Ziffern“.
  • Mit „123456“, „12345678“ sowie „12345678!“ schaut’s genauso mau aus: „Das Passwort enthält keine Großbuchstaben“.
  • „P4sswort“ kam bei den anderen Diensten durch. Nicht aber bei mailbox.org: „Das Passwort steht in einem Wörterbuch“, erklärt die Passwortprüfung des Services.
  • Leider geht „Mayerin83“ als Bestandteil unserer Test-E-Mail-Adresse „mayerin83@mailbox.org“ durch. Das ist enttäuschend, denn ausschließlich Yahoo befand bislang, dass Bestandteile der E-Mail-Adresse schlechte Passwörter sind. Hier darf mailbox.org nachholen!

Persönliche Angaben können, müssen aber nicht sein

Jetzt können Sie noch weitere Angaben machen. Da der Service nicht kostenfrei ist und somit die Rechnungsstellung erfordert, müssen Sie einen Namen angeben. Dies muss jedoch kein Klarname sein; ein Pseudonym tut es auch. Die Gründe werden ausführlicher im Support-Teil erklärt.

Um zu wissen, in welches Land mailbox.org die Umsatzsteuer zu versteuern hat, geben Sie zudem Ihr Land an. Wenn Sie einen Gutschein für mailbox.org besitzen, können Sie den entsprechenden Code nun eingeben. Weiter beweisen Sie mittels Google reCaptcha, dass Sie kein Roboter sind.

Zum Schluss bestätigen Sie aktiv, also ohne dass die Checkboxen vorgecheckt sind, dass Sie die Datenschutzerklärung, AGB sowie die Widerrufsbelehrung gelesen haben und damit einverstanden sind. Erst dann gehen Sie auf „Postfach eröffnen“.

Einstiegshürden nimmt mailbox.org gekonnt

Nachdem Sie sich registriert haben, können Sie Ihre Angaben ergänzen – wenn Sie das möchten. Gezwungen werden Sie nicht. Zum Passwort-Reset können Sie eine alternative E-Mail-Adresse sowie Ihre Mobilfunknummer eingeben. Für die Rechnungslegung können Sie – ebenfalls optional – Ihre Adressdaten ergänzen.

Zusammenfassung Einstiegshürden:

  • Einfachheit: ja, sehr einfach, 1 Punkt
  • Sicherheit/ Seitenverschlüsselung: sehr gute Verschlüsselung, 1 Punkt
  • Passwortvergabe: lässt auch unsichere Passwörter durch, 0 Punkte
  • notwendiger Datenumfang: keine echten Daten notwendig, 1 Punkt
  • vorausgewählte Checkboxen: nein, 1 Punkt

Damit erreicht das Angebot bei den Einstiegshürden 4 von 5 Punkten.

Usability bei mailbox.org

Usability - mailbox.org
© Tyler Olson – Fotolia.com

Nach der Registrierung wird schnell deutlich, dass mailbox.org auf Übersichtlichkeit setzt. Die versprochene Werbefreiheit tut nach den Tests der Freemail-Anbieter Ende letzten Jahres sehr gut! Wir starten mit einer Guided Tour, die alles erklären möchte. Diese Tour ist sehr ausführlich und zeigt auch dem weniger versierten User, wo man was wofür findet. Ein guter Start!

Auch mailbox.org begrüßt uns mit einer E-Mail. Darin finden wir relevante Informationen zum Account: Wo man Guthaben einzahlt, was es zum Einrichten alles braucht inklusive Link zum Support-Teil, wo wir Fragen beantwortet finden und was Sie künftig von dem Service erwarten können, wird erklärt. Das ist eine sehr unaufdringliche Willkommens-Mail.

Vom E-Mail- zum Office-Anbieter

Als wir mailbox.org vor gut 2,5 Jahren testeten, erwähnten wir, dass der Service noch jung sei. Viele Features waren seinerzeit noch in Planung und sind nun umgesetzt. Somit hat sich der Funktionsumfang von mailbox.org sehr erweitert:

  • E-Mail:
    • 2 GB Mail-Speicherplatz
    • 3 E-Mail-Aliase inklusive
    • ActiveSync (synchronisieren des Postfachs auf allen Anwendungen; Desktop wie mobile)
    • einzelne Ordner (mit oder ohne Unterordner) lassen sich mit anderen Usern teilen
  • Office:
    • 100 MB Office-Speicherplatz
    • Text- und Tabellendokumente inkl. Vorlagen
    • Cloud für Dokumente, Musik, Bilder & Videos (10 MB Speicherplatz)
    • Cloud-Verknüpfung optional mit Dropbox, Google Drive, OneDrive oder Box
  • Aufgaben
  • Kalender
  • Adressbuch

Wie erwähnt, sind einige Funktionen im Testzugang eingeschränkt. So können beispielsweise täglich nur 10 E-Mails versendet werden, um etwaigen Accountmissbrauch (z. B. Spam) auszuschließen. Mit Einzahlung des ersten Guthabens lösen sich diese Einschränkungen auf.

Die Featureliste bei mailbox.org kann mit den Freemail-Anbietern mithalten. Ein wesentlicher Unterschied ist die Werbefreiheit, die Sie gegen die doch insgesamt sehr geringe Gebühr von 12 Euro pro Jahr erwerben. Bei den bisher getesteten Anbietern zahlen Sie zwar nichts, werden jedoch mit Werbung teilweise zugeschüttet oder Ihre Daten dürfen ziemlich großzügig verkauft/ verbreitet werden.

mailbox.org: einer für alles

Die Featureliste sowie die Usability überzeugen! In der Willkommens-Mail versuchte man nicht, uns irgendwas zu verkaufen, sondern klärte über die Möglichkeiten des Postfachs auf. Angehängt waren zudem die Rechtsdokumente, sodass wir diese erneut einsehen können. Die Werbefreiheit des Postfachs ist auffallend angenehm! Mailbox.org eignet sich nicht nur zum Mailen, sondern darüber hinaus zur Organisation und als Office-Möglichkeit mit Text- und Tabellendokumenten sowie Cloud-Speicher.

Auch das sichere Versenden verschlüsselter E-Mails begeistert uns! Darüber lesen Sie bitte mehr im Bereich Sicherheit weiter unten. Wir können Ihnen schon mal verraten, dass die Lösung fürs verschlüsselte Senden von mailbox.org sehr einfach sowohl für Versender als auch für Empfänger ist.

Zusammenfassung Usability:

  • Preis-Leistungsverhältnis: kostenpflichtig (0 Punkte), Standardfunktionen vorhanden (1 Punkt), Zusatzfunktionen vorhanden (1 Punkt) – also 2 Punkte
  • Werbeeinblendungen auf der Seite: gar keine, 3 Punkte
  • Anmeldung/ Login-Prozess: einfach, 2 Punkte
  • E-Mail-Versand & -Empfang: einfach, 2 Punkte
  • (Pflicht-)Newsletter: nein, 1 Punkt

Damit erreicht der Anbieter bei der Usability 10 von 11 Punkten.

Rechtstexte bei mailbox.org

Rechtstexte - mailbox.org
© sepy – Fotolia.com

An den Rechtstexten (AGB, Datenschutzerklärung sowie Widerrufsbelehrung) hat sich seit unserem letzten Test nichts geändert. In der Datenschutzerklärung ist das Datum der letzten Anpassung zu finden. In den AGB fehlt diese Angabe zwar, allerdings bekamen wir die AGB in der Willkommens-Mail, in der das Anpassungsdatum (02/2012) steht.

Die Auffindbarkeit dieser Rechtstexte stimmt: Jederzeit können Sie sie über den Footer der mailbox.org-Website einsehen. Darüber hinaus mussten Sie die Rechtstexte während der Registrierung bestätigen und fanden AGB und Widerrufsbelehrung in Ihrer Willkommensmail.

Zusammenfassung Rechtstexte:

  • Auffindbarkeit: gut, 2 Punkte
  • Verständlichkeit: gut (kein Fachchinesisch, auf den Punkt gebracht, kein zusätzlich verwirrendes Geschwafel), 2 Punkte
  • Klarheit/ Eindeutigkeit: unmissverständlich klar und eindeutig, 2 Punkte
  • Inhalt: alles bestens, keine Mängel, 3 Punkte

Damit erreicht der erste der bisher getesteten Sicherheits-Anbieter 9 von 9 Punkten.

Sicherheit bei mailbox.org

Sicherheit - mailbox.org
© Mikko Lemola – Fotolia.com

Wie unter „Einstiegshürden“ bereits erklärt, verschlüsselt mailbox.org sämtliche Seiten (vom Login bis zum Backend) ausgezeichnet. Weder stören uns Checkboxen noch nerven Aktivitätentracking sowie Berechtigungen. Das Verschlüsseln von E-Mails ist außerdem kinderleicht!

In unserem Test nutzten wir die „mailbox.org Guard“-Funktion: sehr einfach und zügig haben wir die Server-seitig verschlüsselte Test-E-Mail versenden können. Im Webinterface von mailbox.org gaben wir wie gewohnt Text und Empfänger sowie Betreff ein. Wir wurden gefragt, ob wir mailbox.org-Guard nutzen oder mit dem Mailvelope-Plugin im Browser arbeiten möchten.

Mailbox.org geht mit den Informationen über beide Möglichkeiten äußerst transparent um und erklärt auf der Privacy-Site:

  • vorteilhaft am mailbox.org Guard sind:
    • PGP im Webmailer
    • keine Plugins o. ä. notwendig
    • kein privater Schlüssel auf Drittgeräten notwendig
    • für Empfänger ohne PGP wird ein sicheres temporäres Postfach angelegt. Eine Registrierung ist für den Nachrichtenempfänger unnötig.
  • nachteilig an dieser Variante ist allerdings die Tatsache, dass der private Schlüssel auf den mailbox.org-Servern gespeichert wird.

Mailbox.org erklärt seinen HKPS-Keyserver, der für die OpenPGP-Schlüssel von mailbox.org Guard zuständig ist, ausführlich in seinem Support-Bereich.

Alternative: Browser-Plugin Mailvelope

Möchten Sie das Plugin Mailvelope als Alternative verwenden, ergeben sich auch daraus Vor- und Nachteile: Vorteilig ist auch hier das Verwenden von PGP im Webmailer. Auch das Verwalten der Keys auf Ihrem Rechner ist deutlich angenehmer als der Keyserver. Aber: Speichern Sie Ihren Private Key im Browser, besteht die Gefahr von etwaigen Sicherheitslücken, die das Zutagefördern Ihres privaten Schlüssels fördern können.

Auch dafür hat mailbox.org eine FAQ-Sammlung erstellt, die Ihnen als Entscheidungshilfe dienen soll.

Nach wie vor offeriert mailbox.org auch den Service „@secure.mailbox.org“. Neben Ihrer normalen E-Mail-Adresse können Sie sich diese secure-Adresse einrichten. Immer, wenn Sie von dieser Adresse versenden, schreiben Sie eine sichere Datenübertragung fest vor und nehmen es als gegeben hin, dass ein unverschlüsselter Versand bzw. Empfang unter keinen Umständen erfolgt.

Das Thema ist hier nämlich, dass vielfach – auch in Behörden und anderen öffentlichen Stellen – nicht verschlüsselt wird. Wenn Ihr Gesprächspartner bzw. dessen Provider nicht in der Lage ist, E-Mails zu verschlüsseln, so scheitert der Empfang dieser Mail, wenn er an die @secure.mailbox.org-Adresse geht. Der Absender erhält diese E-Mail dann mit dem Hinweis „unzustellbar“ zurück. Alles Weitere über Ihren sicheren E-Mail-Alias lesen Sie direkt bei mailbox.org.

In einem Film aus 2014 erklärt mailbox.org die hauseigene Verschlüsselungs-Philosophie:

 

Sonstige Sicherheitsparameter bei mailbox.org

Nicht nur der Slogan („damit Privates privat bleibt“), sondern auch die Featureliste und der Gesamteindruck von mailbox.org machen eines klar: hier soll die Privatsphäre ganz oben stehen. Datenschutz ist das Steckenpferd des Services.

Deshalb verschlüsselt mailbox.org sämtliche Zugriffe (Website wie Postfach, s. o.), sämtliche E-Mails sind transportverschlüsselt, die E-Mail- und Dateiverschlüsselung erfolgt individuell wie soeben erläutert. Dazu gehört auch das Tool „TLS/DANE-Checker“, das im Mai 2015 eingeführt wurde. Kurz erklärt, erlaubt Ihnen dieser Checker, auf einem Blick herauszufinden, wie Ihre E-Mail verschlüsselt ist. Ausführlich erklärt mailbox.org dieses Feature im Support-Bereich.

Die Verschlüsselung überzeugt, weil Sie ausschließlich verschlüsselt auf den Service zugreifen können: Webmailer, lokale E-Mail-Clients sowie Mobilgeräte – überall ist Ihr Zugang verschlüsselt. Dafür werden ausschließlich aktuelle Technologien eingesetzt: seit Januar 2017 darf nur noch TLS in der Version 1.2 verwendet werden; 1.0 und 1.1 werden von mailbox.org nicht mehr verwendet. TLS 1.2 gibt es nur mit PFS, jedoch keinesfalls mit SHA-1 als Hash-Algorithmus. Auch setzt mailbox.org nicht auf NIST-, sondern auf Brainpool-Kurven. Warum, wieso und seit wann, das erklärt der E-Mail-Anbieter in seinem Blog.

Weiter arbeitet mailbox.org mit HSTS, DANE/TLSA sowie DNSSEC, setzt auf erweitert validierte SSL/TLS-Zertifikate (EV-Zertifikate mit grüner Adressleiste) und weitere Security-Features. Das bedeutet für Sie:

  • ECDHE nur in Verbindung mit PFS: auch nachträglich kann Ihre Kommunikation nicht entschlüsselt werden.
  • Gesalteter Hash: Passwörter werden nie im Klartext, sondern immer gehashed gespeichert. Damit kennt auch mailbox.org Ihr Passwort nicht – Sie müssen es sich gut merken oder aber E-Mail-Adresse/ Mobilfunknummer angeben, damit Ihr Passwort ggf. zurückgesetzt werden kann.
  • Eigener Tor Exit Node im Rechenzentrum: mailbox.org möchte das anonyme Nutzen unterstützen und seine Kunden auch gegen Vorratsdatenspeicherung (VDS) schützen.
  • 2-Faktor-Authentifizierung: Gerade wenn Sie von Fremdrechnern auf Ihre E-Mails zugreifen möchten, wollen Sie wohl kaum Ihr Passwort dort hinterlassen. Deshalb gibt es die 2-Faktor-Authentifizierung mit zwei verschiedenen Wegen: YubiKey oder OTP Token-Generatoren.
  • Absolute Anonymität möglich (einschl. Zahlung per Bitcoins).
  • Werbefreiheit und damit keinerlei Weiterverwendung Ihrer ohnehin unnötigen persönlichen Daten.
  • Serverstandorte in Berlin/ Deutschland.
  • TÜV-zertifizierter Datenschutzbeauftragter.

Zusammenfassung Sicherheit:

  • Seitenverschlüsselung (Login-Site & Mail-Interface): sicher verschlüsselt, 2 Punkte
  • E-Mail-Verschlüsselung: sehr sicher verschlüsselt (z. B. durch PFS, secure.mailbox.org-Adresse und weitere Features), 3 Punkte
  • sonstige Sicherheitsfeatures: umfangreich, 2 Punkte
  • Serverstandorte: Berlin, Deutschland, 3 Punkte
  • Serververschlüsselung: gut (s. Video im Text), 2 Punkte
  • Datenspeicherung auf Servern: kaum; lediglich das Nötigste, 2 Punkte

Damit erreicht das Angebot bei der Sicherheit 14 von 14 Punkten.

mailbox.org: Fazit

Erstmals in der aktuellen Testrunde, die im Dezember mit den Freemail-Anbietern begann, haben wir fast volle Punktzahl. Mailbox.org überzeugte von Anfang an:

Bei den Einstiegshürden war die Passwortvergabe problematisch, denn sie ließ auch einen Teil der E-Mail-Adresse als Passwort zu. Ansonsten war das Einrichten denkbar einfach, sicher, brauchte nur extrem wenige Daten, die nicht mal den Klarnamen enthalten mussten, und verzichtete auf vorgekreuzte Checkboxen.

Auch die Usability sprach uns an: Zwar kostet das Angebot eine Gebühr, die ist unterm Strich jedoch günstiger als der Verkauf der eigenen Daten in völlig unbekannte Hände. Die Standardfunktionen werden von zusätzlichen Features ergänzt, sodass mailbox.org ein stimmiges Gesamtbild schafft. Der Verzicht auf Werbung ist erleichternd nach den Freemailer-Tests, das Einloggen genauso einfach wie das Versenden sicherer E-Mails.

Die Rechtstexte wurden seit unserem vorigen Test nicht geändert; sie sind und bleiben hoffentlich auch in Zukunft so überzeugend. Auch die Sicherheit stimmt rundherum: Server in Deutschland, auf denen kaum etwas gespeichert wird, nehmen sogar der Vorratsdatenspeicherung ihren Schrecken: wo keine Daten sind, können auch keine gespeichert werden.

So schafft es mailbox.org auf sensationell gute 37 von möglichen 39 Punkten – Abzüge gab es lediglich, weil wir mit dem Passwort „mayerin83“ als E-Mail-Adressen-Bestandteil durchkamen und weil das Angebot nicht kostenfrei ist. Bei einem Euro im Monat hält sich die Gebühr jedoch sehr in Grenzen. Wird die Passwortprüfung noch mal optimiert, gibt es nichts mehr an dem Angebot von mailbox.org auszusetzen.

Update: mailbox.org hat Passwortprüfung nachgebessert

Wir freuen uns sehr darüber, dass sich Geschäftsführer Peer Heinlein mit einer Nachbesserung bei uns meldete (s. Kommentare). Ein Change im Anmeldeprozess sorgte demnach dafür, dass die Passwortprüfung Usernamen-Bestandteile durchgehen ließ. Innerhalb von 48 Stunden nach unserem Test hat mailbox.org gefixt, nun sind Passwörter mit Usernamen-Bestandteil nicht mehr möglich. Vielen Dank für die zügige Reaktion!



4 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 4 Reaktionen

  1. Peer Heinlein | 27. Februar 2017

    PSW hat zurecht kritisiert, daß wir den Usernamen als Passwortbestandteil zugelassen haben. Das ist durch einen Change letzten Sommer entstanden und ist uns durchgerutscht. Wir haben das wenige Stunden nach der Testveröffentlichung hier korrigiert, danken für den Hinweis und entschuldigen uns dafür.

    27. Februar 2017 @ 16:50 Antworten
    • Bianca Wellbrock | 28. Februar 2017

      Herzlichen Dank fürs zügige Fixen, Peer, wir haben unserem Beitrag ein Update spendiert 🙂

      28. Februar 2017 @ 10:07 Antworten
  2. B | 22. Mai 2017

    Was ist die PSW Group bloß für ein Saftladen wenn dort infantile Mitarbeiterinnen beschäftigt werden, die wie Bianca, meinen in der öffentlichen Kommentarfunktion andere Leute einfach so Duzen zu müssen, so als wäre das ganze Internet ihr persönlicher Kindergarten. Das ist nicht nur kindisch und respektlos. Es zeigt viel mehr dass der PSW Group GmbH höchstwahrscheinlich ein unseriöse Firmenphilosophie und Personalpolitik zugrunde liegt. Nie wieder werde ich diese Website besuchen.

    22. Mai 2017 @ 12:08 Antworten
    • Tulinska | 23. Mai 2017

      Sehr geehrter Leser,

      wir bedauern, dass Sie sich an den Schreibstil unserer Kommentare stören. Danke für Ihre Meinung.

      23. Mai 2017 @ 09:25 Antworten