CounterMail 的费用是多少?
CounterMail 允许用户免费试用该服务 7 天。但是,该公司确实指出存在某些限制:
高级帐户可以购买三个订阅期,所有这些计划都具有相同的功能和 4 GB 的加密存储空间。六个月的订阅费用为 29 美元,一年的订阅费用为 49 美元,两年的订阅费用仅为 79 美元。
这些价格并不算太贵。然而,它们比 Tutanota 和 Posteo 等其他著名服务的成本更高;两者都以每年 13.68 美元的价格提供服务。
任何想要使用自定义域的人都需要支付 15 美元的一次性费用。这并不罕见,因为许多安全电子邮件服务确实对引入(或设置新的)自定义域名收件箱收取统一费率。
任何对 4 GB 存储容量感到困扰的用户都可以选择扩展收件箱。用户可以选择 250 MB 到 1.75 GB 的额外空间。这是一次性统一费率,用于扩展存储容量,250 MB 为 19 美元,500 MB 为 35 美元,每增加 1 GB 为 59 美元,1.75 GB 为 89 美元。考虑到这是一次性费用,这并不是什么大问题。
订阅付款可以通过信用卡、Paypal、电汇或比特币进行。使用比特币的选项可以允许人们私下订阅,只要他们还使用 VPN 来隐藏他们的 IP。
特点概述
- OpenPGP 加密
- 支持 PGP/MIME
- 无盘网络服务器
- 安全表格
- Android、Windows、MacOS X 和 Linux 支持
- 动态别名
- 消息过滤器/自动回复器
- 匿名电子邮件标头
- 用于使用第三方客户端的 IMAP
- USB 密钥选项
- 密码管理器
- 支持自定义域
- XMPP聊天服务器
- 接受比特币付款
- XMPP聊天服务器
隐私
CounterMail 是一家安全电子邮件提供商,总部位于瑞典并在瑞典托管,由于持续的强制性数据保留指令迫使 ISP 必须将网络浏览历史记录和元数据存储六个月,因此瑞典的隐私状况并不理想。然而,值得注意的是,这些指令并不直接影响电子邮件提供商,而且实际上瑞典 ISP 似乎无论如何都拒绝合作。
瑞典是“14 眼”监视协议的一部分,这意味着它确实与“5 眼”成员合作进行监视。此外,2009 年通过的一项法律(Försvarets radioanstalt,FRA)允许国防无线电管理局出于国家安全原因窃听跨越瑞典边境的所有电话和互联网流量。虽然该法律应该仅适用于国际网络流量,但 FRA 已被用来证明不加区别的批量数据收集的合理性。
瑞典当局也有权力强迫加密服务提供商“命令了解计算机系统功能或用于保护[所需]信息的措施的人提供执行搜查令所需的信息。”因此,从理论上讲,CounterMail 可能会获得搜查令,迫使其解密任何静态加密的电子邮件。
值得庆幸的是,CounterMail 为其服务提供了完整的端到端加密,这意味着用户可以选择自己控制电子邮件数据的密钥。这使得 CounterMail 失去了解密电子邮件的权力,并且意味着瑞典政府将无法强迫该公司提供对该电子邮件数据的访问权限。
另一方面,您必须相信 CounterMail 正在履行其对您的加密密钥的承诺(并且该软件不会秘密地将您的密码和密钥传递给公司)。不幸的是,这是一种盲目的信仰飞跃,因为 CounterMail 运行在非公开可用且从未经过第三方审核的闭源软件上。与所有闭源隐私服务的情况一样,这可能足以让一些人放弃该服务。
更重要的是,CounterMail 确实要求用户从其服务器中删除他们的私钥(这意味着它一开始就在那里,这肯定会敲响一些警钟)。此外,我们要求该公司将我的 PGP 密钥更新为我们已经持有的密钥,该公司告诉我:
他们希望我们通过电子邮件将私钥发送给他们的建议很奇怪,PGP 的全部意义在于只有您持有您的私钥,无需信任任何第三方。那么,为什么 CounterMail 似乎有意引入这种信任元素呢?
与电子邮件的情况一样,电子邮件提供商可以访问一些元数据(主题、IP 地址、发件人/发件人、DKIM 签名信息、参考标头等),以便提供发送电子邮件的服务,并且理论上可以收集这些数据或将其传递给当局。
为了在一定程度上缓解此问题,CounterMail 会清除电子邮件标头中的所有 IP 地址。 CounterMail 还承诺永远不会在其服务器上记录客户的 IP 地址。因此,它是少数可以被视为无日志的电子邮件提供商之一。为了实现这一目标,CounterMail 使用无盘中间服务器来清理 IP 地址,然后再将加密消息传递到其裸机服务器。这种“过滤”系统可确保 IP 地址不会被意外记录到公司硬盘中。
我们在线检查了该公司的隐私政策,但网站页脚中的链接没有链接到正确的政策,这不仅仅是微不足道的。完全符合 GDPR 的政策将使这项服务更容易推荐,特别是考虑到它是一家欧盟公司。
最后,该公司在其网站上不使用 cookie,并且 Privacy Badger 未检测到任何跟踪器。该公司还承诺在两周内删除所有交易数据。但是,如果您使用 PayPal 或银行卡付款,则交易证据将存在于其他地方。
安全
CounterMail 据说是 SquirrelMail 的定制版本(它是开源通用公共许可证)。然而,该公司很快指出他们的修改版本是闭源的。
该服务允许用户使用经过全面审核的 OpenPGP 加密标准在浏览器中对电子邮件进行签名和加密。附件也可以加密。 Plus Countermail 始终对其服务器上静态存储的所有内容(包括纯文本消息)进行加密。
CounterMail 使用 OpenPGP 的标准实现。完整的密钥管理可用于联系人,但对于更新您自己的密钥来说是非正统的。 Countermail 可轻松与所有其他 PGP 电子邮件服务互操作,并且在您开设帐户后即可发送加密电子邮件。 PGP 密钥在您的浏览器中生成并加密存储在 CounterMail 的服务器上。
值得注意的是,CounterMail 默认会存储您的私有加密密钥(处于加密状态)。
但是,它永远不会存储您的密码,而密码是解密访问消息的密钥所需的。这听起来确实合理,并且可能是为了方便而进行的公平权衡,尽管密钥永远不会离开自己的桌面肯定更安全。如果用户愿意,可以选择从公司的服务器中删除其密钥并将其存储在本地。
值得注意的是,如果您丢失密码,则无法恢复 CounterMail 帐户。私钥使用您的密码进行加密,两者都是访问帐户所必需的。因此,始终记住您的密码至关重要。
CounterMail 是一个在浏览器中运行的 Java 环境 Web 邮件应用程序。这意味着该服务容易受到某些 Java 攻击(服务器操作员可以推送浏览器只会接受的恶意代码)。公平地说,对于 Countermail,所有 Java 和 Javascript Webmail 界面都是如此。为了避免任何可能的漏洞,需要使用 IMAP 或 SMTP 以及独立的第三方电子邮件客户端(例如 Thunderbird 或 Enigmail)来访问该服务。
值得注意的是,可以为您的帐户设置电子邮件别名,这允许您设置转发到主收件箱的随机地址。这些可以创建用于countermail.com或者cmail.nu域名。这些临时别名可以随时删除,并可用于保护您的主要收件箱地址。
然而,CounterMail 使用的别名存在一个安全问题。与其他一些提供商将别名列入黑名单以防止其在创建后再次使用不同,CounterMail 允许回收别名。这意味着,在您关闭别名后,其他人可能会创建相同的别名,并最终收到原本发给您的电子邮件。这带来了重大的安全和隐私风险。
最后,我们使用 Qualys SSL Labs 检查了该服务,以检查其 SSL/TLS 实施的质量,并很高兴地发现该公司得分为 A+。该公司还通过在标准 SSL 协议下添加 RSA 和 AES-CBC 加密来提供针对 SSL 中间人攻击的保护。因此,Countermail 为用户数据提供四层保护:SSL 加密、会话加密、OpenPGP 加密和静态数据的服务器端磁盘加密。
还值得一提的是;您可以选择购买包含密钥文件的 USB 记忆棒来登录您的帐户。这可以确保即使有人钓鱼或猜测您的密码,如果没有物理加密狗,他们也永远无法访问您的帐户。这是该公司提供的唯一形式的双因素身份验证。
易于使用
订阅 CounterMail 非常简单,并且不需要以前的电子邮件地址、电话号码、真实姓名或其他个人身份数据来设置免费电子邮件帐户。 7 天免费试用期结束后,您将需要付款,如果您这样做,公司就会知道您是谁。不过,它确实承诺在两周后删除这些交易数据,这很好。此外,您可以选择使用比特币支付以增加隐私。
一旦进入网络邮件界面,导航就很简单,用户会收到一封使用 PGP 加密的欢迎电子邮件。此消息将使用您注册时生成的 PGP 密钥自动解密。任何拥有现有 PGP 密钥的人都可以通过向公司发送电子邮件并提供其公钥来更新其密钥。这方面的服务非常适合初学者。
导入联系人也同样简单。只需单击联系人,然后导入即可。 CounterMail 支持 CSV 和 vCard 格式,因此您可以从几乎任何以前的电子邮件提供商处导入。我们发现该函数在使用 CSV 函数时可以顺利运行。
从 CounterMail 设置中导入和导出加密密钥也很简单,如果您需要的话,还有指南。使用 Countermail 向某人发送电子邮件将使用您的密钥环中的密钥自动加密该邮件。如果未找到密钥,系统会通知您需要添加一把。
此外,向 Countermail 用户(或 Hushmail 用户)发送消息不需要您在密钥环中已有收件人的密钥。相反,该服务会自动为您获取密钥。这绝对可以节省您的时间,并允许您轻松地向其他用户发送安全的电子邮件,这对于初学者来说也是理想的选择。
值得注意的是,如果您出于安全原因决定从 Countermail 的服务器中删除您的私有加密密钥,您将无法直接在 Webmail 界面中查看邮件(用户报告的主要错误)。相反,您需要将消息下载为附件,将其另存为文本,然后在本地解密。
这有点耗时,但这是使用 CounterMail 并 100% 控制您的私钥的唯一方法。再次,这感觉就像 CounterMail 强迫人们交出他们的私钥,这让我感到不安。
如果像我们一样,您确实希望从其服务器中删除您的私钥,您可以通过导航到“设置”>“首选项”>“安全和密钥”来执行此操作。在这里您可以选择下载密钥并删除私钥。
虽然与许多电子邮件提供商相比,CounterMail 的功能有点不足,但它确实有一些值得一提的额外功能。保险箱功能允许您安全地存储笔记、日历可用,并且用户可以使用与 Jabba 客户端兼容的 XMPP 聊天服务器。
然而,不可否认的是,与许多其他服务(即使是成本约为一半的服务)相比,它的基础有点薄弱。
客户服务
所有客户都可以使用其网站上的票务系统向客户服务团队寻求帮助。回复通知将发送到您的收件箱。我们从初学者的角度提出了一系列简单而棘手的问题,看看团队会如何反应。
通常会在三到四个小时内得到回复,团队似乎渴望提供真实且乐于助人的信息。这是服务的一部分,绝对是一个优点。但是,请记住,根据我们的经验,客户支持仅在欧洲工作时间内提供,因此根据您所在的位置,您可能需要等待更长时间。
其网站上提供常见问题解答和知识库,其中包含各种指南和重要问题的答案。解释该服务各个方面(例如无盘服务器和会话加密)的博客写得很好,并提供了有用的信息。
结论
CounterMail 应该易于使用,在很多方面确实如此。注册时自动分配 PGP 密钥非常棒,这当然意味着用户可以直接进入深层并开始向其他 CounterMail(和 Hushmail)用户发送开箱即用的加密消息。
然而,对于任何已经拥有 PGP 密钥的人来说,更换公司自动分配给您的密钥(您已经花时间与联系人共享的密钥)并不是立即显而易见的。这同样适用于通过 IMAP 设置 CounterMail 在第三方客户端上工作,这是可能的,但即使按照说明进行操作,也可能会感觉有点令人畏惧。
涉及额外功能时;只需点击几下即可获得所有内容。然而,我们不禁感到这个界面有些不让新手感到宾至如归的感觉。它当然不具备某些竞争对手令人愉悦的美感。另一方面,任何人都不需要很长时间就能入门,因为该公司确实提供了大量的支持选项和指南。
总的来说,考虑到成本,这项服务的功能似乎有点薄弱。考虑到整个网站对隐私和安全的重视,封闭源代码的事实绝对令人失望。
如果一切如所声称的那样,那么可以公平地说,CounterMail 是一家极其安全且高效的电子邮件提供商。无 IP 日志记录是一项非标准功能,使该提供商属于相对较小的安全电子邮件提供商群体。但是,您必须相信 CounterMail 的话,而且,如果您偏执,这肯定会破坏交易。
另一方面,对于那些希望摆脱 Google 并希望获得一项服务来让他们开始发送 PGP 加密电子邮件而无需学习任何有关密钥管理的内容的人(只要他们能够说服所有朋友、家人和联系人也使用 CounterMail),这可以提供一个非常可行的解决方案。