Messenger

Mailbox.org: Sichere E-Mails – sicherer Messenger?

12. Mai 2015
  • Messenger

Zu den neuen Sternen am Messenger-Himmel, die im vergangenen Jahr seit unserem ersten großen Messenger-Test den Markt bereichert haben, gehört mailbox.org. Lesen Sie unseren Blog regelmäßig, dürfte Ihnen dieser Name bekannt sein: wir haben mailbox.org auch im Zusammenhang mit unserem Freemail-Test geprüft. Mit 18 von 21 möglichen Testpunkten konnte mailbox.org unseren E-Mail-Anbieter-Test für sich gewinnen. Wir sind gespannt, ob mailbox.org mit dem hauseigenen Messenger an diesen Erfolg anknüpfen kann.

Bedienbarkeit & Features von mailbox.org

Mailbox1Mailbox.org ist kein Messenger im eigentlichen Sinne: das Berliner Unternehmen hat einen Server aufgesetzt, mit dem Sie übers XMPP-Protokoll chatten können. Das erlaubt es, auch mit den Nutzern anderer Jabber-Server zu kommunizieren und das mailbox.org-Feature auf jedem internetfähigen Gerät zu verwenden. Sie sind also komplett plattformunabhängig. Jedoch besteht eine Abhängigkeit zu einem gängigen mailbox.org-Account, denn um den Server verwenden zu können, müssen Sie sich mit Ihren Zugangsdaten des E-Mail-Dienstes einloggen. Das führt dazu, dass die Nutzung nicht kostenfrei geschehen kann: um einen mailbox.org-E-Mail-Account zu verwenden, wird eine Gebühr von mindestens 12 Euro pro Jahr nötig; die genaue Preisgestaltung können Sie in unserem Freemail-Test oder direkt bei mailbox.org nachlesen. Mailbox.org empfiehlt unter Linux und Windows Pidgin als Client, unter Mac OS X Adium; weitere XMPP-fähige Clients stellt Ihnen die XMPP Standards Foundation auf ihrer Website vor. Bislang unterstützt die mailbox.org-Office-Oberfläche Jabber noch nicht, sie arbeiten jedoch daran.

Basis des Angebots von mailbox.org ist also XMPP (= Extensible Messaging and Presence Protocol); ein Protokoll, das gemeinhin als „Jabber“ bezeichnet wird (Jabber war der erste XMPP-Client; der Begriff hat sich mittlerweile als Synonym für XMPP und entsprechende Clients eingebürgert). Das Protokoll hat die IETF speziell für Instant Messaging-Dienste standardisiert und darauf geachtet, dass verschiedene Jabber-Server miteinander kommunizieren können. Wenngleich Jabber in den vergangenen Jahren eher auf dem Rückzug war, woraufhin Anbieter wie GMX oder Web.de ihre Jabber-Server abgeschaltet hatten, setzen insbesondere Datenschutz-bewusste Anwender gerne auf das Protokoll. Warum, erfahren Sie genauer im Sicherheits-Teil unseres Tests.

Die Bedienbarkeit des Messengers von mailbox.org richtet sich also danach, welchen Client Sie verwenden. Die meisten Clients sowie das komplette Protokoll XMPP sind Open Source und funktionieren auch dezentral; Sie machen sich also nicht von einem speziellen Anbieter abhängig. Jabber kann wesentlich mehr als nur Textnachrichten zu übermitteln. Sie können auch Dateien austauschen – das Prinzip ist dem von Skype oder ICQ recht ähnlich. In Ihrem Jabber-Client sehen Sie eine Liste Ihrer Kommunikationspartner, können Benutzer eintragen oder die Freigabe Ihres Gesprächspartners bekommen, zu sehen, ob er gerade online ist oder seine Ruhe haben möchte. Jabber-Nachrichten werden, ähnlich dem E-Mail-Prinzip, an die unterschiedlichen Jabber-Server zugestellt, jedoch in Echtzeit, damit Sie live chatten können.

Etwas schwerer ist das Nutzen von XMPP auf Mobilgeräten, da das Protokoll für Desktop-Messenger entwickelt wurde. XMPP kommt nur schwerlich damit zurecht, dass sich beispielsweise Ihr Smartphone in den Energiesparmodus versetzt. Für Smartphones konzipierte Anwendungen erhalten in aller Regel die Berechtigung, Ihr Smartphone aus dem Ruhezustand zu erwecken, um Sie umgehend über neue Nachrichten zu informieren (Push-Benachrichtigung). Diese Eigenschaft fehlt dem Protokoll XMPP. Sie erhalten die Information über eine neue Nachricht erst in dem Moment, wenn Sie das Smartphone wieder zur Hand nehmen und das Display entsperren.

AGB & Datenschutzvereinbarungen von mailbox.org

Mailbox2In unserem Freemail-Anbieter-Test von mailbox.org haben wir die Datenschutzbedingungen sowie die Allgemeinen Geschäftsbedingungen sehr intensiv beleuchtet; interessieren Sie sich für die Details, schauen Sie sich bitte im entsprechenden Beitrag den Absatz „Datenschutz & AGB bei mailbox.org“ an. Zusammenfassend lässt sich sagen, dass AGB und Datenschutzrichtlinien nicht nur transparent, sondern auch verständlich und im Sinne des Verbrauchers ausfallen. So gibt der Berliner an, sich seit 1992 auf „sicheren Datenschutz und den Schutz der Privatsphäre spezialisiert“ zu haben. Das Gesamtpaket stimmt einfach: anstelle der unsicheren Datenschleuder Google Analytics setzt mailbox.org zur statistischen Auswertung beispielsweise auf das Open Source-Tool Piwik, und selbst dieser statistischen, anonymisierten Datensammlung können Sie widersprechen. Diese Datensparsamkeit zeigt sich bereits im Registrierungsprozess: mehr als Ihren Vor- und Nachnamen möchte mailbox.org nicht wissen, alle anderen Angaben sind optional.

Die Sicherheit von mailbox.org

Vom Login bis zum Versand Ihrer Nachrichten läuft bei mailbox.org alles verschlüsselt ab. Die Server mussten gegen Mitte/ Ende Februar noch mal konfiguriert werden, um ausschließlich verschlüsselte Logins zuzulassen, vorher wurden auch unverschlüsselte Login-Versuche erlaubt. Die Server-Zertifikate von mailbox.org sind via DANE/DNSSEC gesichert. Schön zu wissen, nützt jedoch momentan noch nicht allzu viel: bislang prüfen keine verbreiteten Jabber-Clients Zertifikate über DANE. Nun bewirbt mailbox.org auch seine Ende-zu-Ende-Verschlüsselung im Chat. Jedoch ist dies ausschließlich Sache des Clients, den Sie verwenden; welchen Jabber-Server Sie nutzen, ist für die Ende-zu-Ende-Verschlüsselung via OTR-Protokoll vollkommen unerheblich.

Relevant ist für Sie lediglich, dass das OTR-Protokoll als sicher gilt und auf Perfect Forward Secrecy (PFS) setzt. Das bedeutet in aller Kürze: aufgrund eines Session-Keys (Sitzungsschlüssel), der nach Ihrer Sitzung unwiederbringlich vernichtet wird, kann Ihre Kommunikation selbst bei im Nachhinein kompromittierten Schlüsseln nicht mehr gelesen werden. Hinzu kommt die OTR-Eigenschaft Plausible Deniability, also die Abstreitbarkeit: im Nachhinein kann nicht mehr nachgewiesen werden, ob ein bestimmter User eine gewisse Nachricht versendet hat.

Mailbox3Jedoch hat OTR auch Nachteile und ein ganz wesentlicher ist die Tatsache, dass Ihr Kommunikationspartner für den verschlüsselten Nachrichtenaustausch online sein muss. Versenden Sie eine Nachricht an einen Offline-Gesprächspartner, wird diese nicht verschlüsselt. Das und die oben erwähnten Eigenschaften von OTR führen dazu, dass sämtliche verschlüsselten Nachrichten nach der Sitzung verschwinden. Das bringt ein sehr hohes Maß an Privatsphäre mit sich. Jedoch bleiben Nachrichten, die unverschlüsselt an Offline-Chatpartner versendet wurden, auch bei mailbox.org erhalten. Dass lediglich Nachrichten an Gesprächspartner, die online sind, verschlüsselt werden, hat ausschließlich technische Gründe und liegt insbesondere am Implementieren von PFS. Fortschrittlichere Protokolle, etwa das Axalotl-Protokoll von TextSecure, das nun auch WhatsApp verwendet, haben diese Problematik behoben und auch Offline-Nachrichten können mittels PFS geschützt werden. Der Client-Report von XMPP.net jedenfalls bescheinigt dem Server von mailbox.org gute Noten – wichtig ist, dass Sie sich beim Anwenden der Tatsache bewusst sind, dass Ihr Chatpartner idealerweise online ist.

Fazit mailbox.org: wer mitdenkt, chattet sicherer

Aufgrund der Vor- und Nachteile, die OTR und XMPP mit sich bringen, eignet sich die Messenger-Lösung von mailbox.org eher für versierte Anwender. Es ist notwendig, die Technik dahinter zu verstehen, um wirkliche Sicherheit zu erreichen. Denn zu glauben, jede versendete Nachricht wird verschlüsselt übermittelt, könnte fatale Auswirkungen haben. Setzen Sie auf Jabber und mailbox.org, machen Sie sich also bewusst, dass Ihre Sicherheit mit davon abhängt, ob Ihr Chatpartner aktuell online ist.

Die Usability richtet sich nach dem von Ihnen bevorzugten Client. Auch mobile Lösungen existieren, sodass der mailbox.org-Messenger als plattformunabhängig bezeichnet werden kann. Bedenken Sie jedoch die unter „Bedienbarkeit & Features“ erwähnten Einschränkungen bezüglich der Push-Benachrichtigungen. AGB und Datenschutzrichtlinien haben uns bereits bei unserem E-Mail-Test überzeugt. Dass mailbox.org ein deutsches Unternehmen ist, das folglich auch seine Server in Deutschland betreibt, sind weitere Vorteile. Können Sie also über die Usability-Einschränkungen hinwegsehen, in Kauf nehmen, dass ein kostenpflichtiger E-Mail-Account bei mailborx.org Voraussetzung ist, und handeln Sie beim Nachrichtenversand mit Bedacht, finden Sie in der mailbox.org-Lösung einen sicheren Messenger, den Sie überall verwenden können.

Zusammenfassung mailbox.org

  • Verbreitung: plattformunabhängig dank XMPP-Client
  • Einschränkungen: keine
  • Installation: einfach
  • Kontakte rüberziehen: je nach Client
  • Optik/ Bedienbarkeit: je nach Client
  • Flexibilität: je nach Client
  • Kosten: ab 12 Euro pro Jahr
  • Organisation/ Land hinter dem Service: Peer Heinlein (Geschäftsführer bei mailbox.org & der Heinlein Support GmbH), Berlin
  • Verschlüsselung: Ende-zu-Ende-Verschlüsselung via OTR-Protokoll in allen gängigen XMPP-Clients
  • Quellcode: je nach Client
  • Datenschutz: Datenschutzrichtlinien leicht auffindbar & gut verständlich, keine Hintertüren und im Sinne des Verbrauchers
  • AGB: leicht auffindbar & gut verständlich
  • Zuverlässigkeit: keine Probleme
  • Sicherheitsprobleme: keine
  • Jugendfilter: nicht vorhanden
  • Datenspeicherung: nein
  • XMPP: ja
  • Finanzierung: Cross-Finanzierung mit dem E-Mail-Angebot von mailbox.org (E-Mail-Account ist Voraussetzung für den Messenger)



1 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es eine Reaktion

  1. Marc | 19. August 2015

    Hallo,
    verstehe ich das richtig? Posteo verschlüsselt seine Server und mailbox.org tut das nicht? In dem Film bei mailbox.org darüber heißt es doch dies ginge im laufenden Betrieb nicht.
    Verwirrte Grüße 😉

    19. August 2015 @ 06:43 Antworten