[iCloud] Sichere Verwendung von eMail-Adressen im Internet

[DocHollywoodD]

Wer viele Dienste im Internet für das alltäglicher Leben verwendet (z.B. Einkäufe und andere Dienste) wird vermutlich hierfür auch eMail-Adressen benutzen.

1. Wie sinnvoll ist es verschiedene eMail-Adressen im Internet für verschieden Dienst zu verwenden?

2. Welche Strategie diesbezüglich ist die sicherste, effektivste und anonymste Strategie?

3. Welche sinnvolle Funktionen bietet Apple mit iCloud+ diesbezüglich an?

4. Welche alternativen Anbieter gibt es auf dem Markt für oben genannten Zweck?

Vielleicht können wir zu diesem Thema einpaar interessante und wichtige Aspekt zusammentragen.

DochHollywoodD

 

[SomeUser]

Eigene Domain.
Catch-All-Adresse einrichten.
Bei Diensten mit $[email protected] oder irgendwie sowas registrieren.
Wenn auf der $dienstname was kommt, was nicht von $dienst ist, weiß man Bescheid wo es her kommt und blockt diese. Spam ist damit erledigt.
Entsprechend hat auch kein Dienst die "Hauptadresse".

 

[Sequoia]

Ich nutze für jede einzelne Anmeldung im Internet eine iCloud+ generierte E-Mail Adresse.

So habe ich den absoluten Überblick, von welcher Spam kommt, und kann sie bei einem möglichen Datenleck einfach deaktivieren.

 

[Globaltravelmaster]

Ich finde die „E Mail verbergen“ Funktion von ICloud+ wirklich spitze. Bei einem Missbrauch ist die dann schnell gelöscht und ich habe wieder Ruhe. Weiterer Vorteil, man muss sich nicht bei sämtlichen Anbeiter für weitere Mail Adressen registrieren

 

[SomeUser]

Ich finde die „E Mail verbergen“ Funktion von ICloud+ wirklich spitze. Bei einem Missbrauch ist die dann schnell gelöscht und ich habe wieder Ruhe. Weiterer Vorteil, man muss sich nicht bei sämtlichen Anbeiter für weitere Mail Adressen registrieren

Das musst du auch bei verschiedenen Email-Anbietern nicht. Bei Google kannst du, wenn ich mich recht entsinne, z.B. "schnell" Adressen durch ein +Zusatz erzeugen.

Unabhängig davon hat das aber auch einen großen Nachteil:
Wenn du mal - aus welchen Gründen auch immer - gezielt auf eine so registrierte Webseite willst, hast du die Email-Adresse nicht zur Verfügung. Dir ist selbst also nicht bekannt, wie die Email-Adresse ist, mit du nun auf Dienst1 oder bei Dienst2 registriert bist. Wenn du also z.B. mal eine Passwort-zurücksetzen-Funktion nutzen willst, kann das ein Problem werden.
Zusätzlich und das ist noch sein ein Punkt: Du bist davon abhängig, dass dieser Dienst
a) bestehen bleibt.
b) dauerhaft funktioniert.
Beides hast du nicht in der Hand.

 

[Mure77]

Kann man die Adressen nicht unter iCloud im System einsehen?

 

[SomeUser]

Das Szenerio ist ja eher, wenn man mal auf irgendwas keinen Zugriff hat. Zum Beispiel, weil einem im Urlaub das Telefon geklaut wurde. Oder oder oder...
MICH würde diese Abhängigkeit stören. Aber ich weise da nur drauf hin - entscheiden muss das jeder für sich. Gibt ja auch Leute, die SIP des Genderns wegen deaktivieren...

 

[Sequoia]

Kann man die Adressen nicht unter iCloud im System einsehen?

Klar. Man hat eine schöne Übersicht mit Suche und natürlich dem automatischen Vorschlag der richtigen Adresse, wenn man sie Seite ansurft.
Das hat man in dem Beispiel mit Google von @SomeUser nicht, denn das ist ein ganz anderes Ding, was so auch mit iCloud funktioniert (name+xyz@...). Aber das ist natürlich völlig was Anderes, nicht zu empfehlen und hat keine Relevanz, wenn es um Anonymisierung und Sicherheit geht, denn man muss immer seine E-Mail Adresse preis geben.

Außerdem kann ich jetzt einfach [email protected] nutzen, und er sende die E-Mail an [email protected]
Es ist somit völlig egal, was man hinter das + schreibt.

Zum Beispiel, weil einem im Urlaub das Telefon geklaut wurde

Schon mal passiert? Berichte mal.

 

[SomeUser]

Klar. Man hat eine schöne Übersicht mit Suche und natürlich dem automatischen Vorschlag der richtigen Adresse, wenn man sie Seite ansurft.
Das hat man in dem Beispiel mit Google von @SomeUser nicht, denn das ist ein ganz anderes Ding, was so auch mit iCloud funktioniert (name+xyz@...). Aber das ist natürlich völlig was Anderes, nicht zu empfehlen und hat keine Relevanz, wenn es um Anonymisierung und Sicherheit geht, denn man muss immer seine E-Mail Adresse preis geben.

Außerdem kann ich jetzt einfach [email protected] nutzen, und er sende die E-Mail an [email protected]
Es ist somit völlig egal, was man hinter das + schreibt.

Korrekt, weswegen ich auch nie verstanden habe, warum einige Leute so steil auf diese Google-Funktion gegangen sind und die so gefeiert haben. Aber sie sei hier natürlich der Vollständigkeit halber genannt.

Ich selbst bleibe bei der Variante mit eigener Domain, da bin ich Herr im Haus.

 

[DocHollywoodD]

Ich nutze für jede einzelne Anmeldung im Internet eine iCloud+ generierte E-Mail Adresse.

So habe ich den absoluten Überblick, von welcher Spam kommt, und kann sie bei einem möglichen Datenleck einfach deaktivieren.

1. Habe ich bei iCloud+ auch die Möglichkeit zu sehen, welche eMail Adresse welchem Dienst zugeordnet ist? Werden diese Informationen auch in iCloud gespeichert so dass diese Informationen über die einzelnen Apple Geräte synchronisiert werden und so von überall abrufbar sind?

2. Kann ich durch Apple Schlüsselbund der eMail/Dienst auch ein Passwort zuweisen, so dass eine automatische Anmeldung bei dem Dienst möglich ist? Ob das gut und sicher wäre, ist natürlich eine andere Frage.

Eigene Domain.
Catch-All-Adresse einrichten.
Bei Diensten mit $[email protected] oder irgendwie sowas registrieren.

Wo liegt der Vorteil gegenüber Apple iCloud+ Email verbergen?

 

[Sequoia]

Zu 1 und 2: ja

 

[SomeUser]

Wo liegt der Vorteil gegenüber Apple iCloud+ Email verbergen?

Steht doch im Wesentlichen schon oben:
- Unabhängigkeit davon, ob Apple das System künftig noch anbietet (wenn es sich nicht mehr lohnt, könnten sie es morgen deaktivieren)
- Wenn der Dienst mal eingestellt wird, hast du kein Problem damit, dass du plötzlich eventuell auf zig Seiten deine Email aktualisieren musst.
- Generell Unabhängigkeit von dem Anbieter. Selbst wenn Apple den Dienst weiter anbietet: Was ist, wenn du in drei Jahren auf Android oder was anderes wechselst? Und welcher Aufwand bedeutet das dann, die von Apple verschleierten Adressen auf deine richtige Adresse umzustellen?
- Technische Unabhängigkeit (wenn das System irgendwie nicht funktioniert, hast du in der Zeit ein Problem)
- besseres Nachvollziehbarkeit (ich weiß, dass ich z.B. $[email protected] als Adresse nutze und kann so jederzeit z.B. "Passwort vergessen"-Funktionen etc. nutzen; wenn du gerade keinen Zugriff auf die verschleierten Adresse von Apple hast, hast du keine Chance dir ein neues Passwort o.ä. zusenden zu lassen, weil du ja dein u$[email protected] gar nicht kennst).

Nachteil: Je nach Anbieter kostet halt eine Domain zum Emailen ein paar Euro im Monat.

 

[R1200R]

Ich nutze für jede einzelne Anmeldung im Internet eine iCloud+ generierte E-Mail Adresse.

So habe ich den absoluten Überblick, von welcher Spam kommt, und kann sie bei einem möglichen Datenleck einfach deaktivieren.

So mache ich das inzwischen auch. Für jeden neuen Anbieter / Forum / Newsletter etc. eine neue Mailadresse. Sollte eine Anmeldung damit verbunden sein, trage ich sie dann zusammen mit dem Kennwort in 1Password ein.

Da man bei jeder neu generierten Mailadresse sofort automatisch eine E-Mail zur Bestätigung bekommt, „klaue“ ich mir daraus die Mailadresse zur Hinterlegung in 1Password. Die sind ja häufig sehr lang und etwas kryptisch.

In den iCloud Einstellungen kann man zudem unter „E-Mail Adresse verbergen“ den Namen („Kennzeichen“) der Mailadresse anpassen. Manchmal gibt die Domain ja nicht unbedingt den Namen des Anbieters wieder. Beispielsweise „7Pass“ bei „Verivox“. Zusätzlich ist ein Notizfeld für weitere Einträge vorhanden.

 

[CrissCross]

Eigene Domain.
Catch-All-Adresse einrichten.
Bei Diensten mit $[email protected] oder irgendwie sowas registrieren.
Wenn auf der $dienstname was kommt, was nicht von $dienst ist, weiß man Bescheid wo es her kommt und blockt diese. Spam ist damit erledigt.
Entsprechend hat auch kein Dienst die "Hauptadresse".

Das finde ich eine gute Idee, hab ich zwar schon mal duschgesponnen, aber bisher nicht konsequent durchgezogen.

Aber auch dabei musst du dir merken, wie du den Dienst genau genannt oder abgekürzt hast, sonst hast du deine Login Adresse nicht sofort parat - oder etwa nicht? Aber für Leute, die einen Passwort Safe verwenden sollte das auch kein Problem sein, man kommt immer wieder an die Adresse ran wenn man sie nicht erraten kann.

Bisher nutze ich ein paar Spam Adressen bei GMX die auf meine eigene Domain weitergeleitet werden - allerdings wird es beim mehrfachen Einsatz natürlich schwer das Datenleck zu lokalisieren.

EDIT:
Ich habe mich nun auch daran erinnert, wieso ich bisher von der Lösung von @SomeUser mit der eigenen Domain abgesehen habe: In Zeiten vor DSGVO konnte man mit Whois ganz einfach auf Domaininhaber, Adresse, sogar Telefonnummer etc. nachsehen. Das ist jetzt nicht mehr ganz so einfach.
Einzig der Domainname meiner Domains lautet aktuell nachname.net / nachname.org / nachname.info Also nicht ganz anonym, aber das würde sich lösen lassen.

 

[SomeUser]

Aber auch dabei musst du dir merken, wie du den Dienst genau genannt oder abgekürzt hast, sonst hast du deine Login Adresse nicht sofort parat - oder etwa nicht?

Du kannst z.B. einfach immer die Domain des Dienstes hernehmen. Hier z.B.: [email protected]
Oder du machst es generischer: foren@...
Was auch immer. Ist ja deine Entscheidung.

Aber für Leute, die einen Passwort Safe verwenden sollte das auch kein Problem sein, man kommt immer wieder an die Adresse ran wenn man sie nicht erraten kann.

Ich habe das Login-Beispiel oben als *eines* von diversen Argumenten genannt. Ich selbst nutzt auch einen Passwort-Safe, daher ist das "Merken" kein echtes Problem. Ich würde mich da nicht immer an einem Punkt festbeißen, nur weil genau dieser einer von x Punkten für einen selbst ggf. nicht zutrifft.

Bisher nutze ich ein paar Spam Adressen bei GMX die auf meine eigene Domain weitergeleitet werden - allerdings wird es beim mehrfachen Einsatz natürlich schwer das Datenleck zu lokalisieren.

Exakt das ist einer der Gründe, warum ich nichts von diesem System halte.
Dazu kommt noch: Wenn ich mal irgendwo bin, z.B. bei einem Autohändler, dem ich wirklich spontan (m)eine Email-Adresse geben will, damit er mir was zusenden kann, dann kann ich in meinem Fall einfach direkt sagen: "Schick mir das bitte an haendlername@...."
Dank der Catch-All kommt das an, ich muss nichts extra einrichten.
Kommt da hingegen später doch Spam, kann ich das direkt und korrekt zuordnen.

In Zeiten vor DSGVO konnte man mit Whois ganz einfach auf Domaininhaber, Adresse, sogar Telefonnummer etc. nachsehen. Das ist jetzt nicht mehr ganz so einfach.

Das geht heute tatsächlich bei DE-Domains nicht mehr ganz so einfach. Das ging aber vorher auch schon bei diversen Nicht-DE-Domains nicht ganz so einfach.

 

[hotrs]

Ich nutze in Zusammenhang mit einer eigenen Domain schon seit Jahren für verschiedene Dienste jeweils eigene Mail-Adressen. Für wichtige Dienste wie z.B. Apple oder Paypal lege ich dabei einen Alias (eine separate Mail-Adresse) in der Form [email protected] an. Für alles andere verwende ich sogenannte Mail-Extensions, bei der eine bestehende, unverfängliche Adresse mittels "+" und dem Dienstnamen dynamisch und ohne vorheriges Anlegen erweitert wird. Wenn z.B. die Adresse [email protected] besteht, kann mittels Extension daraus ganz einfach [email protected] gemacht werden.

Durch die Verwendung von Mail-Extensions kann ich auf die Einrichtung einer CatchAll-Adresse verzichten. Viele Mail-Anbieter unterstützen Mail-Extensions bereits. Mein Mail-Anbieter mailbox.org gehört dazu, AFAIK Google ebenfalls. Bei iCloud bin ich mir gerade nicht sicher. Ein Nachtteil der Mail-Extensions, den ich nicht verschweigen möchte, ist, dass einige Dienste das "+" Zeichen in Mail-Adressen als ungültig ansehen.

Insgesamt fahre ich mit dem System ganz gut. Allerdings gibt es Situationen, in denen Dienste eigentlich nur für sie verwendete Mail-Adressen ungefragt weitergeben. So bekommt z.B. ein Händler, bei dem ich mit PayPal bezahle, von PayPal meine eigentlich nur für PayPal verwendete Mail-Adresse übermittelt. Und ich möchte nicht wissen, wieviel Mail-Adressen inzwischen DHL von mir hat, weil jeder kleine Shop meint, die Mail-Adresse an den Dienstleister übergeben zu müssen.

 

[SomeUser]

Ich nutze in Zusammenhang mit einer eigenen Domain schon seit Jahren für verschiedene Dienste jeweils eigene Mail-Adressen. Für wichtige Dienste wie z.B. Apple oder Paypal lege ich dabei einen Alias (eine separate Mail-Adresse) in der Form [email protected] an. Für alles andere verwende ich sogenannte Mail-Extensions, bei der eine bestehende, unverfängliche Adresse mittels "+" und dem Dienstnamen dynamisch und ohne vorheriges Anlegen erweitert wird. Wenn z.B. die Adresse [email protected] besteht, kann mittels Extension daraus ganz einfach [email protected] gemacht werden.

Durch die Verwendung von Mail-Extensions kann ich auf die Einrichtung einer CatchAll-Adresse verzichten. Viele Mail-Anbieter unterstützen Mail-Extensions bereits. Mein Mail-Anbieter mailbox.org gehört dazu, AFAIK Google ebenfalls. Bei iCloud bin ich mir gerade nicht sicher. Ein Nachtteil der Mail-Extensions, den ich nicht verschweigen möchte, ist, dass einige Dienste das "+" Zeichen in Mail-Adressen als ungültig ansehen.

Aus meiner Sicht hat das doch aber mehrere Nachteile:
1. Bei der Extention gibst du eine echt-existierende Email-Adresse raus/preis, die ja i.d.R. dauerhaft existiert.
2. Wie du selbst schreibst, gibt es sowohl auf Client- als auch auf Dienste-Seite immer wieder Probleme mit der Akzeptanz von "+" als Zeichen in der Email-Adresse.
3. Wenn es Probleme gibt, hast du - ohne Catch-All - kein Fallback, außer auf eine gänzlich "unverschlüsselte" E-Mail-Adresse zu gehen.
4. Es durchbricht eine feste Logik: Hast du jetzt für Forum1 die Adresse forum1@... genutzt, aber für Forum2 Forum2+Irgendwas@... und dann wieder in Forum3 deine "richtige"/normale Adresse DeinName@... . Da ist es doch deutlich konsequenter und einfach nachzuvollziehen, immer [email protected] zu nutzen.
5. Es gibt dir nicht spontan (vgl. mein Händler-Beispiel oben) die Möglichkeit eine individuell zuordbare aber dennoch nicht auf deine Hauptadresse ableitbare Adresse raus zu geben. Außer du richtest halt generische Adressen wie "[email protected]" an und gibst dem Händler dann die [email protected] - was aber direkt durch das in 2. genannte Problem gestoppt werden könnte. Und man müsste vorab wissen, wie granular man das machen will.

Kurzum: Kann man so machen, aber ich finde es ehrlicherweise fehleranfälliger, weniger konsequent und nicht wirklich schlüssig. Aber wenn das für dich die beste Lösung ist, ist das natürlich ok

 

[CrissCross]

Ich habe nun angefangen, das peu à peu umzustellen und habe mich beim Aliasnamen für den Domainnamen entschieden - also [email protected]. Dazu habe ich eine Domain genutzt, die ich registriert, aber bisher nicht genutzt habe.

Besonders bei den "weniger wichtigen" oder "weniger vertrauenswürdigen" Diensten macht das absolut Sinn - wenngleich auch meiner Bank oder auch Apple ein Datenleck passieren kann, hab ich jetzt keinen Bock sofort alles umzustellen. Apple ID ändern bedeutet ein bisschen mehr Arbeit

Die Adressen, besonders durch Datenlecks, die mal im Umlauf sind verschwinden deswegen zwar nicht sofort, aber für die Zukunft halte ich das für eine tragfähige Strategie und bedanke mich bei @SomeUser für die Inspiration

 

[Sequoia]

Aus meiner Sicht ist die Sache mit einer eigenen Domain immer noch zu umständlich.

Bei iCloud+ wird mit einem Klick eine neue E-Mail-Adresse angelegt, wenn man sich anmeldet.

 

[CrissCross]

Was ist daran umständlich? Die Methode mit Catch-all erfordert überhaupt keinen Aufwand, weil erst garkein Mail Adresse angelegt wird.
Einmal eingerichtet ist das System quasi "wartungsfrei" während iCloud noch mit generisch generierten Adressen beschäftigt ist.