静默邮件的费用是多少?
Hushmail 提供免费试用,让用户无需花费一毛钱即可体验其服务。用户免费获得 15 Mb 的存储空间和一个电子邮件地址。
高级版售价 49.98 美元,允许人们使用无限量的别名和 10 GB 的存储空间。该服务还具有安全表单功能。
对于任何需要使用自定义域的人:您将需要支付更昂贵的“企业”帐户。每个用户每月 5.99 美元(每年 71.88 美元)。
特征
与许多电子邮件提供商相比,Hushmail 的功能有点薄弱。如果您要从 Google 迁移,日历、存储(通过驱动器)和电子表格的丢失可能会令人震惊。但是,如果您只需要安全的电子邮件服务,Hushmail 可能就足够了。
还值得注意的是,如果您想要以下是高级版可用的全套功能:
- 10 GB 存储空间
- 无限别名
- IMAP、POP 支持
- 通过 CSV 导入联系人
- 垃圾邮件/垃圾文件夹
- OpenPGP 加密
- 两步验证(短信、电子邮件或应用程序)
- 安全表单功能
- 兼容iPhone
- 重新设计的消息中心收件箱使阅读和回复加密电子邮件变得更加容易
- 表单共享功能
隐私
在微软公司诉美国案中败诉后,美国最高法院裁定,美国公司有义务在美国当局发出搜查令时从其国际服务器中提取数据。对于一家美国公司的子公司 Hushmail 来说,这引发了人们对禁言令可能性的隐私担忧。
除此之外,Hushmail 总部位于加拿大,众所周知,加拿大与其他“五眼”国家合作进行监视。总而言之,这给您在使用 Hushmail 时可能获得的隐私打了一个问号 - 特别是考虑到该平台的闭源性质。
此外,为了开设 Hushmail 帐户,您确实需要同意对个人数据进行某些处理。该公司还告知用户,如果获得合法授权,他们将遵守当局的规定。值得注意的是,目前市场上还没有日志电子邮件提供商允许您在不提供个人详细信息或电子邮件地址的情况下进行注册。
Hushmail 对个人信息的数据收集在其隐私政策中详细说明如下:
作为帐户创建过程的一部分,您的 IP 地址将被记录。我们还可能要求您提供其他信息,例如电话号码。我们使用这些信息来分析市场趋势、收集广泛的人口统计信息并防止滥用我们的服务。我们不会与第三方分享这些信息。
此外,该公司警告用户,如果他们决定购买订阅,则需要处理以下数据:
姓名、您要升级的帐户、您希望用于电子邮件的域、备用电子邮件地址、您的帐单地址和您的信用卡信息。此外,我们将记录付款所在的 IP 地址。当我们处理您的付款交易时,该付款信息将被传输到我们的付款处理器。我们使用符合 PCI 标准的第三方服务来处理您的支付交易。当我们处理您的付款时,我们会与第三方反欺诈服务共享您的 IP 地址、城市、国家/地区和邮政编码,以确定该购买属于欺诈交易的可能性。我们不会将您的信用卡号存储在我们的服务器上。
此外,Hushmail 解释说,当您登录并使用其服务时,它会收集您的数据:
我们记录的信息可能包括您的 IP 地址、浏览器类型、浏览器语言、操作日期和时间、帐户用户名、发件人和收件人电子邮件地址、附件文件名、电子邮件主题、未加密电子邮件正文中的 URL 以及我们认为为了维护系统和防止滥用而需要记录的任何其他信息。
正如您所看到的,该公司收集并保留所有电子邮件元数据,大概是为了遵守执法部门的搜查令和要求(如果有)。那么,是否有任何证据表明 Hushmail 向当局传递了数据?
首先,Hushmail 不提供透明度报告,也不像许多竞争对手那样拥有金丝雀授权令。这是一种耻辱,因为这意味着消费者无法了解其正在接收和遵守的数据请求的数量。然而,只需进行一点研究,就有可能找到 Hushmail 向加拿大当局泄露信息的证据。
2007 年,Hushmail 交出了相当于 12 张 CD 的电子邮件,涉及三个 Hushmail 帐户。根据该案件的消息来源,Hushmail 提供了加密电子邮件的明文版本,由于端到端加密,它本不应该能够访问。根据美国和加拿大之间的互助条约 (FVEY) 获得的法院命令,这些数据已传递给美国联邦储备委员会。该案件非常令人担忧,并对这项服务及其存在后门的可能性产生了严重怀疑。
此案发生后,Hushmail 的首席技术官还承认,情报机构能够通过 Javascript 浏览器应用程序中的漏洞侵入目标帐户的加密电子邮件。
公平地说,对于 Hushmail,这对于所有使用 Javascript 执行的基于浏览器的加密来说都是一个问题。因此,任何想要安全地发送和接收 PGP 加密电子邮件而不可能遭受中间人攻击的人都需要选择使用具有专用客户端的电子邮件服务。 (Hushmail 可以通过这种方式使用;如果您信任它。)
另一方面,坦率地承认这个 Java 漏洞实际上正在 Hushmail 用户身上被利用,这比简单地说理论上是可能的要更进一步,它尖锐地提醒人们一个事实,即很难相信声称提供隐私的美国服务。
最后,我们讨厌必须在订阅阶段提供电话号码才能接收短信验证码。必须提供您的旧电子邮件和电话号码对我们来说太具有侵入性。
安全
Hushmail 对在其服务器上发送和存储电子邮件实施加密。然而,任何未加密发送的电子邮件都未加密地存储在 Hushmail 的服务器上,这也意味着如果该公司收到搜查令,这些电子邮件可能会受到损害。这是一种耻辱,因为 Hushmail 绝对没有理由不能加密所有静态电子邮件;包括那些未加密发送的内容。
当用户使用 Hushmail 发送电子邮件时,他们的真实 IP 地址会从标头中清除,并替换为属于 Hushmail 的 IP 地址。这对于安全性很有好处,因为收件人永远不会看到发件人的真实 IP 地址。但值得注意的是,当您登录其服务时,Hushmail 始终会记录您的 IP 地址;这样数据就会被记录下来,并可以在以后交到当局手中。
尽管 Hushmail 使用专有的闭源软件,但它确实实施了经过全面审核的 OpenPGP 电子邮件加密标准。该公司还对传输到其服务器的所有数据实施传输层安全 (TLS/SSL) 加密。为了增加安全性,该公司实施了 Hushmail,使用前向保密、HTTP 严格传输安全和证书锁定。当公司在服务器之间传输电子邮件时,也会使用 SSL/TLS 加密。这种安全性应该可以阻止中间人攻击的发生。
就 PGP 加密而言,Hushmail 确保电子邮件中包含的主体和附件受到 OpenPGP 加密的保护。 OpenPGP 加密可通过 Hushmail 的网络邮件服务及其 iPhone 应用程序获得。通过 IMAP 或 POP3 访问 Hushmail 时也可以使用此功能。
与 Tutantoa 的情况一样,Hushmail 具有允许用户向没有 Hushmail(或其他 PGP 兼容电子邮件帐户)的用户发送加密电子邮件的功能。当向非 Hushmail 用户发送加密电子邮件时,加密电子邮件将存储在 Hushmail 服务器上,并向收件人发送一个访问该电子邮件的链接,该链接可以通过问答系统解密,收件人必须知道答案。
该系统通常被认为是安全的。然而,这确实意味着你必须信任 Hushmail,这可能会让一些消费者感到冷淡。您需要根据您的威胁模型自行做出判断。
为了登录帐户,Hushmail 建议用户输入密码。该公司表示,这些密码永远不会存储在其服务器上,使其成为零知识服务。相反,它们会变成一个哈希值,永远无法从中派生出密码。这是我们赞扬的一点,但这也意味着如果您忘记密码,您将永远无法恢复密码。
如果用户愿意,他们还可以在其帐户上设置双因素身份验证。这允许他们通过辅助电子邮件帐户、短信或使用身份验证应用程序接收代码。 Hushmail 提供了另一种安全措施,如果在短时间内多次尝试访问某个帐户,则会锁定帐户,这可以保护帐户免受暴力攻击。
总体而言,Hushmail 服务的安全性和加密性似乎不错。尽管不可否认,我们已经看到了更好的实现,包括完美前向保密和其他安全措施,例如 HSTS、CAA、CSP、MTA-STS 和 X-XSS。
易于使用
获取 Hushmail 帐户就像访问其网站并设置免费电子邮件选项一样简单。然而,令人烦恼的是,您必须输入以前的电子邮件地址和电话号码才能注册并获取短信激活码。这是极具侵略性的。输入短信代码后,您就可以访问您的电子邮件帐户。
免费用户在他们设置的单个电子邮件地址上可以获得 25 Mb 的存储空间。
升级到高级订阅可为用户提供无限数量的别名、假名和临时电子邮件地址。此外,用户还可以获得 10 Gb 的数据存储空间。高级版本还允许订阅者使用其设置两个安全的网络表单拖放表单生成器。
与市场上许多更便宜的安全电子邮件提供商不同,您不会获得任何很酷的附加功能,例如日历、存储(驱动器)、网络聊天、电子表格等。但是,您会获得一个非常重要的联系人部分,该部分位于基于网络的界面右上角的汉堡菜单中。而且,与某些电子邮件提供商不同的是,您可以非常轻松地了解如何通过 CSV 格式(vCard 不可用)从以前的电子邮件帐户导入联系人。
您还可以获得表单共享功能,该功能允许您构建一个表单并与业务中的每个人共享,而不是一遍又一遍地重建相同的表单。
由于其极简的方法,可以说这个电子邮件提供商没有太多的学习曲线。收件箱的新消息中心允许您从一个地方管理所有电子邮件,而无需经常登录。
如果您不熟悉处理 PGP 密钥,那么您需要自己进行研究或使用 Hushmail 有用的帮助中心 (FAQ)。好消息是,新的消息中心还允许用户阅读和回复加密的电子邮件。
要通过 PGP 向非 Hushmail 用户发送电子邮件,收件人需要将其公钥上传到 Hushmail 的服务器。常见问题解答中有完成此操作的指南。
IMAP 和 POP 可跨设备同步,并且适用于 iOS 和 Android。还提供了使用这些有用功能的指南。
对于那些愿意的人来说,IMAP 可用于设置 Hushmail,以便与独立客户端(例如 Outlook、MacMail 或 Mozilla Thunderbird)配合使用。与使用基于浏览器的网络邮件系统(及其固有的 JavaScript 漏洞)相比,这将提高平台的安全性。
我们还喜欢免费用户自动获得 14 天免费高级试用,这是我在本次评论中测试电子邮件提供商时使用的。
也许免费服务的最大缺点是休眠时间超过三周的帐户将被自动删除。如果您碰巧外出旅行了很长一段时间,回来后发现您的帐户已关闭并且您丢失/错过了一些您期待的重要电子邮件,这肯定会令人沮丧。
当然,这个问题的简单答案就是订阅。不过,考虑到我们在这项服务中发现的隐私问题(以及相对较高的价格),我们通常建议在其他地方购买订阅。
客户支持
除了有用的常见问题解答帮助中心(附带各种指南和文章)之外,免费用户和高级用户都可以通过电子邮件寻求支持。
不存在票务系统,因此您需要耐心等待回复。客户支持仅在美国太平洋时间工作时间内提供。除了电子邮件支持之外,用户还可以获得电话支持(仅适用于高级订阅者)。
总的来说,平台上的支持是足够的,我们等待回复的时间从来没有超过一天。然而,考虑到高昂的价格(与其他服务相比),Hushmail 的网站上没有实时聊天功能,这很遗憾。
结论
总的来说,我们发现这家电子邮件提供商的基于网络的软件易于使用,并且易于跨设备同步。而且,虽然对于初学者来说它可能被认为是一个不错的选择(就易用性而言),但与其他更有信誉的电子邮件提供商相比,它可能被认为是昂贵的。考虑到 Mailfence、Posteo 和许多其他提供商提供的功能,它缺乏功能也可能会让许多消费者望而却步。
之前的一个案例中,Hushmail 向当局提供了电子邮件的明文副本,这一案例非常令人担忧,这可能意味着 Hushmail 的闭源应用程序存在后门。缺乏功能也可能会让一些人望而却步。
总而言之,我们建议您寻找其他地方。这家电子邮件提供商的总部位于加拿大,其美国母公司在隐私和安全方面留下了太多问号。
最后,因为可以以不到一半的价格获得更好的电子邮件帐户 - 我们建议您选择替代服务。