Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
11. Juli 2023

addy.io: Anonyme E-Mail-Weiterleitungen zum Schutz der Privatsphäre/Identität

1. E-Mail-WeiterleitungAnonAddy

Habt ihr das auch schon erlebt? Ihr wollt euch für einen Dienst oder einen Newsletter anmelden, aber möchtet eure persönliche oder private E-Mail-Adresse nicht preisgeben? Es gibt verschiedene Gründe dafür: Ihr wollt eure Anonymität wahren oder einfach unnötige E-Mails und Spam vermeiden, die oft mit einer Registrierung bei einem Dienst einhergehen.

Es gibt mehrere Möglichkeiten, dieses Problem zu lösen. Eine Option ist die Verwendung von Wegwerf-Adressen, bei denen spezielle E-Mail-Konten eingerichtet werden, die ausschließlich für solche Zwecke genutzt werden. Eine andere Möglichkeit besteht darin, einen Alias bei einem E-Mail-Weiterleitungsdienst einzurichten. In vorliegenden Beitrag werde ich euch den E-Mail-Weiterleitungsdienst addy.io vorstellen und euch zeigen, welche Funktionen er bietet. Neben der kostenfreien Version werde ich ebenfalls auf die Lite-Variante des Dienstes eingehen.

2. addy.io

Addy.io ist ein Online-Dienst, der es seinen Benutzern ermöglicht, ihre echte E-Mail-Adresse zu schützen/verschleiern. Die Plattform generiert E-Mail-Adressen, die man für verschiedene Zwecke, wie Registrierungen auf Websites, Newsletter-Abonnements oder den Austausch von Nachrichten, verwenden kann. Eingehende Nachrichten an diese E-Mail-Adressen werden dann an die echte E-Mail-Adresse des Nutzers weitergeleitet – addy.io fungiert also wie eine Art Mittelsmann bzw. Proxy, der die wahre Identität bzw. E-Mail-Adresse verschleiert.

Der Quellcode von addy.io ist vollständig auf GitHub einsehbar. Bei Bedarf kann der Dienst auf einem eigenen Server gehostet werden – eine entsprechende Anleitung ist vorhanden. Die Nutzung von addy.io ist kostenlos und lediglich durch die maximale Menge (10 MB pro Monat) an Weiterleitungen eingeschränkt. Für herkömmliche Anwendungszwecke ist das absolut ausreichend. Ein erweiterter Funktionsumfang bieten dann die Lite- und Pro-Version. Für private Zwecke nutze ich die Lite-Version, die 12 $ im Jahr kostet.

Dokumentation & FAQ

Die API-Dokumentation als auch FAQ zu addy.io sind relativ umfangreich und beantworten viele Fragen. Ein Hilfe-Center befindet sich aktuell im Aufbau.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Wie funktioniert addy.io?

Zunächst muss man ein Konto bei addy.io anlegen. Nachfolgend benutze ich dafür den Kontonamen anonproxy. Bei der Free-Version lautet die E-Mail-Adresse nun *@anonproxy.anonaddy.com. Der Stern ist ein Platzhalter, der den lokalen Teil der E-Mail-Adresse markiert. Wenn man nun bei einer Website ein Konto anlegen oder sich bei einem Newsletter anmelden möchte, erstellt man zunächst einen neuen Alias bei addy.io, anstatt die echte E-Mail-Adresse anzugeben. Angenommen, man möchte den Kuketz-Blog-Newsletter abonnieren, könnte der Alias »kuketzblog« lauten. Die E-Mail-Adresse für den Newsletter lautet dann:

kuketzblog@anonproxy.anonaddy.com

Je nach Einstellung wird der Alias entweder automatisch erstellt oder man muss ihn manuell anlegen. Anschließend werden alle E-Mails, die vom Kuketz-Blog-Newsletter stammen, zunächst an die Adresse kuketzblog@anonproxy.anonaddy.com gesendet und von addy.io im Anschluss an eine E-Mail-Adresse von euch weitergeleitet, die ihr bei eurem addy.io-Konto als Empfänger hinterlegt habt. Als Beispiel:

Kuketz-Blog-Newsletter -> kuketzblog@anonproxy.anonaddy.com -> privat@beispieldomain.de

Addy.io bietet ein benutzerfreundliches Dashboard, über das die Aliase flexibel erstellt und verwaltet werden können. Nehmen wir an, wir haben die E-Mail-Adresse kuketzblog@anonproxy.anonaddy.com verwendet und plötzlich erhalten wir unerwünschte Spam-E-Mails. In diesem Fall besteht die Möglichkeit, den Alias einfach zu deaktivieren, sodass die E-Mails stillschweigend verworfen werden, ohne den Posteingang zu erreichen. Alternativ kann der Alias auch gelöscht werden, wodurch eingehende E-Mails mit einer Fehlermeldung abgelehnt werden.

AnonAddy-Postfach

2.2 Besonderheiten

Nachfolgend möchte ich einige Besonderheiten von addy.io vorstellen:

  • Browser-Erweiterung: Die Verwaltung von Aliasen ist ebenfalls über Browser-Add-ons für Firefox oder Chrome möglich.
  • Android-/iOS-Apps: Nicht nur per Browser lassen sich die Aliase verwalten, sondern auch per App. Addy.io für Android ist neben dem Play Store sogar über den F-Droid-Store verfügbar. Die ebenfalls quelloffene App AddyManager wird für Android als auch iOS angeboten.
  • GPG/OpenPGP: Addy.io unterstützt die Verschlüsselung von Nachrichten (inkl. Betreff). Weitergeleitete Nachrichten werden dann mit dem öffentlichen Schlüssel verschlüsselt und können im Anschluss nur mit dem dazu passenden privaten Schlüssel wieder lesbar gemacht werden.
  • Eigene Domains: Ab der Lite-Version können eigene Domains eingebunden werden. Damit ist die Nutzung nicht auf *@anonproxy.anonaddy.com beschränkt, sondern es sind dann bspw. auch *@beispiel.de-Aliase wie »kuketzblog@beispiel.de« möglich.
  • Reply To: Auf weitergeleitete E-Mails kann man ebenfalls von der privaten/echten Adresse antworten. Der Absender erhält dann, die E-Mail so, als stamme sie vom Alias bzw. der Alias-Adresse. Man kann sogar E-Mail-Konversationen über den Alias einleiten.
  • […]

Neben diesen vorgestellten Funktionen gibt es noch weitere wie zusätzliche Nutzernamen, mehrere Empfänger für einen Alias oder die Zugriffsmöglichkeit über eine API.

2.3 Auch Schutz gegen Tracking

In erster Linie denken die meisten von euch beim Thema E-Mail-Weiterleitung vermutlich an die Verschleierung der echten/privaten E-Mail-Adresse. Es gibt jedoch noch einen weiteren, wichtigen Zweck: Die E-Mail-Adresse wird immer mehr als Datenpunkt für das Tracking bzw. Direktmarketing verwendet. Damit das Tracking mit E-Mail-Adressen funktioniert, muss beständig zentral geprüft werden, wo eine Person eingeloggt und identifizierbar ist. Diese Aufgabe übernehmen sogenannte Identitätsprovider: Sie vermitteln bei Bedarf die Login-Information zwischen unterschiedlichen Seiten der Werbebranche. Im Beitrag »Tracking durch Identitätsprovider« hat das Matthias anschaulich erklärt.

Ein wirkungsvoller Schutz gegen diese Identitätsprovider ist die Verwendung unterschiedlicher E-Mail-Adressen für Anmeldungen bei Online-Diensten und Co. Genau diese Aufgabe kann addy.io übernehmen, indem ihr einfach für jeden Login/Zugang einen eigenen Alias generieren lasst/benutzt. Alternativ kann man sich natürlich auch bspw. mit einem Catch-All schützen, wenn man seine eigene Domain verwendet. Unter anderem sind mailbox.org und protonmail.com Anbieter, die diesen Service in Verbindung mit Catch-All anbieten.

Hinweis

Matthias hat in Beitrag »Tracking durch Identitätsprovider« ab Ziffer 5 verschiedene Gegenmaßnahmen gegen Identitätsprovider zusammengefasst.

3. addy.io im Praxisbetrieb

Für den vorliegenden Artikel habe ich ein Testkonto mit dem Namen anonproxy angelegt und ebenfalls eine Domain (postfachproxy.de) registriert, um die Handhabung zu testen. Nachfolgend werde ich auf ein paar Funktionen von addy.io näher eingehen.

3.1 Anlegen von Aliasen

Über das Dashboard, per Browser-Add-on oder App lassen sich E-Mail-Aliase anlegen. Die nachfolgenden Screenshots stammen aus dem Dashboard einer Browser-Session.

Beim Anlegen eines neuen Alias kann man verschiedene Parameter festlegen. Mit »Alias-Domain« wird der Domain-Teil der neuen (Alias-)E-Mail-Adresse festgelegt. Standardmäßig bietet addy.io hier einige Domains (anonaddy.me etc.) an, lässt euch aber auch eigene Domains auswählen (postfachproxy.de) oder ihr könnt eine Subdomain (anonproxy.*) wählen, die aus eurem Nutzernamen gebildet wird.

Mit dem Parameter »Alias-Format« könnt ihr den Namen/Benutzernamen der (Alias-)E-Mail-Adresse festlegen. Dabei habt ihr die Wahl zwischen folgenden Optionen:

  • Random Characters: Ein zufällig generierter Buchstaben-/Zahlensalat, bestehend aus 8 Zeichen.
  • UUID: Ein Universally Unique Identifier (UUID) ist eine zufällig generierte Zeichenfolge ohne inhärente Logik. Benutzer, die ein Maximum an Anonymität wünschen, können diese Art von Alias verwenden, da er weder Ihren Benutzernamen noch andere identifizierende Informationen in der E-Mail-Adresse enthält.
  • Random Words: Dieser Alias setzt sich aus zwei (englischen) Wörtern zusammen, die mit einem Punkt voneinander getrennt sind. Am Ende werden noch drei zufällige Zahlen angehängt.
  • Custom: Der Custom-Alias funktioniert nur mit Subdomains bzw. mit Domains, die man selbst mit addy.io verknüpft. Der Name des Alias kann frei bestimmt werden.

Optional kann man noch eine Beschreibung zum Alias hinterlegen und eine Empfängeradresse festlegen, an den die eingehenden E-Mails weitergeleitet werden:

Alias anlegen

Nach Anlegen der Aliase können diese über das Dashboard verwaltet werden. Über die drei Pünktchen am Ende einer Zeile stehen nach Anklicken drei Optionen zur Verfügung:

  • Send From: Addy.io leitet im Normalfall über die angelegten Aliase E-Mails an eure hinterlegte (Privat-)Adresse weiter. Ihr könnt über eure Aliase aber auch Konversationen einleiten, ohne zuerst eine E-Mail zu erhalten. Dafür steht die Funktion Send From bereit. Nach Angabe des Empfängers generiert euch addy.io die korrekte E-Mail-Adresse (passend zum Alias), die ihr für die Einleitung der Konversation nutzen sollt. Weitere Details zur Funktion im Hilfe-Center von addy.io.
  • Delete: Ein angelegter Alias kann mit der Auswahl »Delete« gelöscht werden. Ankommende E-Mails an diese Adresse werden dann mit der Fehlermeldung 550 5.1.1 Recipient address rejected: Address does not exist abgelehnt. Auf Wunsch kann ein Alias auch wiederhergestellt werden.
  • Forget: Mit dieser Option wird der Alias vollständig aus eurem Konto entfernt – eine Wiederherstellung ist unmöglich.

Aliase verwalten

3.2 Einbinden einer eigenen Domain

Sofern eine Lite-Subscription (1 $ pro Monat) abgeschlossen wurde, kann eine eigene Domain eingebunden werden. Über das Dashboard -> Domains -> Add Custom Domain ist die Option dann verfügbar. Um die Inhaberschaft der Domain zu überprüfen, muss ein TXT-Eintrag bei den DNS-Einträgen der Domain hinterlegt werden. Durch die Maßnahme wird sichergestellt, dass jemand berechtigt ist, die Domain in Kombination mit dem addy.io-Konto zu verwenden. Addy.io erledigt die Verifikation über einen TXT-Eintrag. Beispielhaft sieht das für die Domain postfachproxy.de wie folgt aus:

Domain hinzufügen

Sobald die Domain verifiziert ist, müssen noch die MX-Einträge, SPF-, CNAME- und DMARC-Records für die Domain erstellt werden. Addy.io stellt alle erforderlichen Werte zur Verfügung, die dann einfach für die entsprechende Domain beim Anbieter, bei dem ihr die Domain registriert habt, hinterlegt werden müssen:

DNS-Records prüfen

Nachdem die DNS-Einträge hinterlegt wurden, empfiehlt es sich, mindestens 8 Stunden zu warten, bis die Einträge im DNS vollständig aktiv sind. Nach dieser Wartezeit könnt ihr die hinterlegten Einträge überprüfen, ob sie gültig und korrekt sind, indem ihr auf Check Records klickt. Sobald dieser Vorgang abgeschlossen ist, könnt ihr Aliase für eure eigene Domain anlegen und sie zusätzlich verwenden – das wurde für die Domain postfachproxy.de bereits bei der Erstellung des Alias in Schritt 3.1 gezeigt.

Geringere Anonymität

Die Verwendung einer eigenen Domain kann den Grad der Anonymität unter Umständen verringern. Normalerweise ist in Deutschland nicht einsehbar, auf wen eine Domain registriert ist. Allerdings können Behörden diese Informationen bei Bedarf von der DENIC erhalten. Abhängig von der Verwendung sollte man die Einbindung einer eigenen Domain sorgfältig abwägen. Persönlich nutze ich addy.io mit einer eigenen Domain, aber ausschließlich mit dem Ziel, gegenüber Websites und Newslettern unerkannt zu bleiben.

3.3 Android-App

Addy.io lässt sich ebenfalls über Apps verwalten. Nachfolgend zeige ich die Verknüpfung der addy.io-App (Android) mit einem bestehenden Konto. Außerdem werfen wir einen kurzen Blick auf das Interface der App.

Wer die addy.io-App nutzen möchte, der muss zunächst über das Webinterface Nutzernamen -> Settings -> Create New Token einen API-Token generieren:

Access Token

Anschließend kann der QR-Code (auf dem Monitorbildschirm) einfach über das Smartphone eingescannt/abfotografiert werden. Tippt dazu in der addy.io-App nach der Installation auf Got the API key?. Nach dem Einscannen befindet ihr euch direkt im Dashboard, mit dem ihr eure Aliase verwalten könnt:

AnonAddy-App

4. Fazit

Zusammenfassend bietet der Online-Dienst addy.io eine praktische Lösung, um sich bei Diensten und Newslettern anzumelden, ohne die eigene private E-Mail-Adresse preiszugeben. Das schützt nicht nur die eigene Identität, sondern auch vor unerwünschter E-Mail-Werbung/Spam. Richtig angewendet, kann addy.io ebenfalls vor Identitätsprovidern schützen, die die E-Mail-Adresse als Datenpunkt für das Tracking bzw. Direktmarketing verwenden.

Wem addy.io nicht gefällt, der kann auch einen Blick auf SimpleLogin oder Firefox Relay werfen, die einen ähnlichen Funktionsumfang bieten. Persönlich hat mir addy.io jedoch am besten gefallen.

Bidquellen:

Man in hoodie: Public Domain Midjourney (photo for a website, man with hoodie reaches into a mailbox, dark street in a city, dimly lit, mysterious)

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
mailbox.org
13. Dezember 2021

mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2

Mit speziellen Funktionen (Sieve-Filter) könnt ihr mehr Kontrolle über eure E-Mails erhalten und gleichzeitig neuen Tracking-Methoden wie denen durch Identitätsprovider vorbeugen.
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Bye Gmail
22. März 2021

Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1

Die Abkehr von einem FreeMailer wie Gmail, GMX, Outlook und Co. ist ein erster Schritt zu mehr digitaler Selbstbestimmung.
CNAME-Cloaking
19. Juli 2021

Tracking-Wettrüsten: Das CNAME-Cloaking

Mit CNAME-Cloaking können Domain-Aufrufe und damit die Herkunft von Cookies verschleiert werden. Die Technik wird eingesetzt, um Anti-Tracking-Maßnahmen auszuheben und das umstrittene Nutzer-Tracking zu ermöglichen.
E-Mail Verschlüsselung
19. Juli 2013

Verschlüsselte E-Mails mit GnuPG als Supergrundrecht

E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.