此外,雖然該服務的代碼已放在 Github 上,但它缺乏文檔且不包含許可證文件。因此,它並不是真正完全開源的。儘管如此,將代碼放在 Github 上比將其隱藏起來要好。另一方面,它似乎沒有經過任何第三方審核。
從表面上看,ScryptMail 電子郵件提供商似乎擁有很多強大的功能。在我們的 scryptmail 評論中,我們詳細研究了它的一些聲明 - 看看它是否值得花費您的時間和金錢。
ScryptMail 是一種低成本電子郵件服務,可以免費使用。用戶可以免費訪問 300 Mb 的電子郵件存儲空間。用戶可以選擇使用 PayPal 或比特幣“充值”其賬戶餘額。
一旦資金添加到其帳戶餘額中,用戶就可以選擇單獨升級,例如自定義域、別名、更強的 PGP 密鑰加密以及各種其他功能。
這些都是單獨收費的,而且價格相當合理。然而,考慮到每月只需 1 歐元即可獲得功能齊全的安全電子郵件提供商(例如 Tutanota 或 Posteo),如果您開始使用眾多功能,那麼支付此服務的費用將會變得昂貴。
加密郵件功能
- 提供免費電子郵件帳戶
- 採用 PGP 加密方式烘焙
- PIN 加密電子郵件
- 靜態加密
- 垃圾郵件文件夾
- 聯繫方式
- 別名(僅限付費)
- 自定義域(僅限付費)
- 雙因素身份驗證
- 電子郵件過濾
- 黑名單功能
隱私
在隱私方面,總部設在美國始終被認為是一個問題。美國公司可能會收到搜查令和禁言令,迫使他們開始代表政府窺探用戶。如果該公司違反禁言令(迫使其對監控保密),該公司的員工可能會被起訴並面臨牢獄之災。
ScryptMail 網絡郵件服務的鏡像可通過 Tor 在深層網絡上獲得;這對於想要匿名註冊和訪問電子郵件的人來說非常有用。對於那些還沒有準備好進入互聯網的弱點的人來說,可以通過互聯網在瀏覽器中使用與許多其他電子郵件客戶端提供的非常相似的網絡郵件客戶端。
這隱私政策透露該公司存儲了一些連接日誌:上次登錄時間、IP 地址、用戶代理和 API 調用。然而,令人困惑的是,該政策隨後寫道:“我們無法將 IP 與特定用戶帳戶相匹配。”這看起來是一個直接的矛盾。
除了這個問題之外,ScryptMail 還有一個授權金絲雀和透明度報告已經有一段時間沒有更新了。一個過時的權證金絲雀- 自 2016 年以來一直沒有動過 - 似乎表明該公司已收到搜查令。僅此一點就足以成為遠離該服務的理由。透明度報告內容如下:
- 我們收到了執法機構提出的 8 個請求,要求訪問某些用戶特定時間的日誌文件
- 8 次訪問時間和 IP 請求已獲准
好消息(如果你可以這樣稱呼的話)是透明度報告顯示該公司確實收集了包括用戶 IP 地址在內的連接日誌。因此,我們別無選擇,只能嚴厲勸阻消費者不要使用此 VPN。
安全
與 ScryptMail 服務器的所有通信都通過 TLS/SSL (HTTPS) 進行,該公司表示,它實施 HSTS 是為了減輕中間人攻擊以及證書鎖定(以防止攻擊者的冒充)。然而,Qualys SSL Labs 進行的測試表明,該公司在 SSL 實施的強度方面只獲得了 B 分(因為服務器的證書鏈不完整)。這是一個很差的分數,表明該公司實際上並未實施 HSTS。
在存儲方面,該公司聲稱所有電子郵件數據都使用強大的 AES 256 加密進行靜態加密,並且該公司聲稱實施前向保密以提高安全性。總而言之,這意味著該公司似乎以安全的方式處理電子郵件。但是,有一些警告......
ScryptMail 是由一名開發人員編寫的,自 2014 年發布以來,該開發人員僅在 2015 年 1 月更新過一次。這肯定敲響了一些警鐘,正如其他人在 Reddit 和其他地方指出的那樣;很難相信一項僅由一個人開發且從未更新的服務實際上能夠抵禦黑客或政府入侵。
至於該公司聲稱它加密所有元數據,值得注意的是,儘管在靜態時加密所有元數據是可能的(這樣至少 ScryptMail 無法訪問該信息),但不可能隱藏從其他電子郵件提供商發送電子郵件的人(以及時間)。元數據必須包含在電子郵件的標頭中才能傳遞,並且當通過網絡發送電子郵件時,此數據會暴露。因此,元數據可以在傳輸過程中被集體收集(通過情報機構或中間人攻擊)。
對於那些喜歡在帳戶中添加雙因素身份驗證的用戶,可以從設置中使用該功能,並且可以將其設置為與物理 Yubikey 或使用 Google Authenticator 配合使用。
易於使用
啟動 ScryptMail 帳戶非常簡單,如果您不願意,也無需交出任何個人數據。這很好,因為我們更喜歡不要求電話號碼或以前的電子郵件地址進行驗證的電子郵件提供商。
創建帳戶後,系統會提示您下載帳戶的秘密令牌。 ScryptMail 將秘密令牌描述為“帳戶的終極工具”,因為它可用於重置用於登錄的密碼或秘密短語。但是,值得注意的是,除了令牌之外,還必須擁有密碼或秘密短語(因此請確保不要將它們存儲在一起!)
授予網絡郵件訪問權限後,我們決定檢查導入聯繫人的容易程度。遺憾的是,我們找不到使用 CSV 文件導入聯繫人的方法,這意味著您需要手動一一添加聯繫人。
接下來我們決定加密電子郵件。我們可以輕鬆找到 PIN 加密方法(該方法要求您以某種私密方式在 ScryptMail 之外與發件人共享密碼)。
然而,設置網絡郵件來發送 PGP 加密電子郵件並不明顯。最終,我們確定要發送 PGP 加密電子郵件,您必須為收件人創建聯繫人並從聯繫人中添加他們的公鑰。
接下來,您可以創建一封電子郵件,默認情況下會出現一個綠色的掛鎖,表明該電子郵件受 PGP 保護。您可以通過導航至菜單 > 設置 > PGP 密鑰來使用 PGP 密鑰。在這裡您可以訪問您的 PGP 密鑰並要求刷新它,您也可以復制預先存在的密鑰(如果您已經擁有它們)。
僅當您支付服務費用時才可以使用別名,自定義域也是如此。然而,對於特別喜歡使用 ScryptMail 的人來說,選擇升級到這些功能會很方便。總的來說,我們發現這是一個易於使用的電子郵件客戶端,只要您非常精通技術並且不介意自己深入研究客戶端即可。
客戶支持
任何需要幫助的人都可以選擇閱讀其網站的博客和常見問題解答部分。然而,雖然這些指南內容豐富,但很難找到任何有關設置 PGP 加密或發送 PGP 加密電子郵件等有用的教程。此外,該內容確實不是由以英語為母語的人編寫的。
我們通過電子郵件向支持人員發送了有關此內容和其他一些內容的一些信息。但是,我們沒有收到任何通知單來告知我們已收到電子郵件。更重要的是,沒有收到任何回复(在撰寫本文時我們已經等了三天)。
因此,如果任何剛開始使用安全電子郵件客戶端的人在設置或使用該服務時需要任何幫助,我們建議他們去其他地方尋找。看來SyncMail 是完全無人值守的。
ScryptMail 結論
總體而言,我們發現此電子郵件帳戶相當易於使用,特別是對於有使用 PGP 和加密電子郵件提供商經驗的任何人。缺少 IMAP 和 POP 絕對是一個讓許多消費者望而卻步的缺點,而且無法通過 CSV 導入聯繫人也極其煩人。
如果不是因為過時的權證金絲雀以及圍繞它似乎已被其開發人員放棄的事實的擔憂,可能會推薦免費使用此電子郵件帳戶。透明度報告和隱私政策也引起了人們的擔憂,其在美國的基地也引起了人們的關注(我們擔心美國的基地已經受到當局的損害)。
總的來說,由於其隱私問題,我們不願意推薦這項服務,因此,我們通常建議尋找其他服務。