Инструкция для чайников. Многоцелевой web-сервис xmail.net
В продолжение чайниковой темы[link1].
Еще один полезный двухбитным домохозяйкам web-сервис, сочетающий функции почтового сервиса с web-интерфейсом, файлового хранилища и интернет-хостинга. Его дружба с анонимизирующим браузером Tor Browser и средствами автономного шифрования типа gpg дает криптоанонимный информационный канал обмена и хранения информации.
Сервис xmail.net управляется Aaex Corp, зарегистрированной на Британских Виргинских Островах, сервера находятся в Канаде. Бесплатная версия поддерживает POP3 (без SMTP), предоставляет 1GB места для хранения писем, 1GB места под файловое хранилище/ сайт, максимальный размер одного письма до 20 MB, обеспечивается криптозащита доступа посредством 4096-битного RSA-ключа web-интерфейса. Интерфейс позволяет структурировать файлы и письма в системе каталогов с возможностью перетаскивания мышью, zip-архивацией и zip-разархивацией. К недостаткам относится местами глючноватый интерфейс и отсутствие защищенного канала https к публичной части файлового хранилища.
http://xmail.net/teapot/webxmail/
http://xmail.net/teapot/webxmail.zip
Ссылки
[link1] https://www.pgpru.com/forum/prakticheskajabezopasnostj/instrukcijadljachajjnikovshifrobloknotgpg4usb
[link2] http://www.phishtank.com/phish_detail.php?phish_id=1375825
[link3] https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/
[link4] http://lavabit.com/
[link5] https://silentcircle.wordpress.com/2013/08/09/to-our-customers/
[link6] http://possibility.com/LavabitArchitecture.html
[link7] https://en.wikipedia.org/wiki/Lavarand
[link8] https://github.com/SilentCircle
[link9] http://www.forbes.com/sites/jonmatonis/2013/02/06/pressure-increases-on-silent-circle-to-release-application-source-code/
[link10] https://www.pgpru.com/biblioteka/statji/securityagainstnsa
[link11] https://www.pgpru.com/biblioteka/osnovy/fondpoleznyhpostov/anonimnostj#fppCA
[link12] https://www.pgpru.com/comment48145
[link13] https://www.pgpru.com/comment32246
[link14] https://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
ага, нужно заплатить для smtp.
https://www.mywot.com/en/scorecard/xmail.net
Caution. This site participates in fraud. The site is listed, verified and confirmed as a phish to PhishTank.
The current report:
http://www.phishtank.com/phish.....php?phish_id=1375825[link2]
upd
это, правда, м.б. связано с активностью одного из плохих юзеров (хостят html), но никакой информации, кто они и что они (для зап. компаний странно), карточкой платить в любом случае не надо :).
Пользовался сайтом в прошлом десятилетии. Примерно в 2004-2006 годах. В один прекрасный момент они закрыли бесплатную регистрацию. Потом сам сайт был долгое время недоступен. Так что пришлось отказаться от данного сервиса.
Пользуюсь этим сервисом сейчас. В большей степени тестово.
Нормальный сервис. Правда с кириллицей траблы.
После отечественных почтовых гигантов непривычно, но дружба с тором и шифрованное соединение перекрывают немногочисленные недостатки.
Aaex Corp, кстати, предлагает множество сервисов, правда, многие из них не функционируют, насколько я помню.
В последние годы работает стабильно, из открытых лучший ИМХО. Все что заявлено работает, никакой рекламы нет, как и проблем с регистрацией, триал-периодами. Был еще zoho.com, но они недавно урезали всю бесплатную функционалку.
С Tor Browser подобных проблем не видел, могут быть некоторые другие глюки из-за особенностей Tor и NoScript, как это преодолеть я описал: http://xmail.net/teapot/webxmail/#tor.
Рекламы нет, правда за использование аккаунта в качестве медиахостинга обещают бо-бо. Кто-нить еще аналоги может указать?
XMail Registration
XMail.net is temporarily out of service. System updating is taking place. Thank you for your patience. Please come back soon.
И так полгода если не больше...Как туда попасть?
Странно, я беру обычный Tor Browser, захожу согласно мануалу на сайт, жму на регистрацию -> https://www.xmail.net/app/signup -> вываливается форма регистрации безо всяких сообщений.
Зарегистрировал ящик без проблем.
Для чего там Virtual Mail Map и POPOver Manager?
Спасибо, прекрасный сервис, очень доволен. Но обнаружился серьезный недостаток. Мне не доставляется никаких писем с домена yandex.ru, проверял несколько адресов знакомых, заведомо "белых". На яндекс письма приходят без проблем. Написал позавчера вебмастеру с копией заголовка тестового письма, ответа нет. В хелпере инфы нет, по форумам порыл, тоже ноль. Кто нибудь может прояснить ситуацию? Буду очень благодарен.
Да, и насколько обоснованы подозрения на фишинг, откуда, по каким критериям? Я не специалист, но лиса и хром с опциями антифишинга не реагируют. Спасибо.
ссылки на ябеднические сайты вверху, их читает аддон для firefox WOT[link3]. скорее всего, активность нехорошего юзера.
Спасибо, ясно. В любом случае, гуглевский список фишинговых сайтов не совпадает со списком firefox WOT.
А что с яндексом, не знаете?
Ну вот, вернулся первый ответ от майлер-демона яндекса: connect to mail.xmail.net Connection refused
Ответа от саппорта о причине бана одного из крупнейших почтовиков россии, нет. Можно пополнить список недостатков.
плюс еще очевидная вещь, что за этим делом стоит один человек. и если он глубоко-глубоко нырнет у берегов виргинских островов... или окажется в тюрьме, там же, то ваши конспиративные долгосрочные контакты погибнут.
lavabit не регистрирует мейл через tor, но у lavabit нет полного текущего списка всех exit nodes.
new identity + F5. рано или поздно (в пределах трех минут) он зарегистрироваться позволяет.
UPD
фашисты его убили[link4]. вместе с моим ящиком.
что-то тяжело становится жить на свете
[off]
Как бы да. Как-то одно за другим – Либерти, законы копирастов, атака на FH, думские маразмы, международная активность вокруг Инета, Сноуден etc.
Легкая тенденция. Пока это частности, но их всплеск еще не означает дальнейший рост неприятностей для свободы в Интернете теми же темпами, но неприятный осадок остается.
Свято место пусто не будет, на месте одного закрытого сервиса вырастет несколько новых. По идее, они не должны быть хуже предшественников в плане архитектуры и безопасности, учитывая опыт предыдущих атцов. Это касается как скрытых сервисов, так и сервисов в Интернете.
Кто не следит за новостями, для того вообще ничего не изменилось, степени свободы действий в Сети не уменьшились. Не считая краха FH или LR для тех, кто там имел свои интересы. Мы долго этого "ждали" и удивлялись, почему до сих пор это не произошло? Произошло. Следующая реинкарнация, возможно, проживет еще несколько лет до очередного форс-мажора. Бред, конечно, держать все яйца в одной корзине. Временно можно было, но постоянно? Хотя известно, что нет ничего более постоянного, чем временное.
[/off]
Lavabit, FH, LR — это централизованные сервисы, оказывающие услуги, особенно если они зарабатывают на этом, хотя бы рекламой. Они вроде как обязаны вести свою деятельность зарегистрированно и лицензированно. Т.е. их всегда можно или заставить сотрудничать, или вынудить закрыться. Как и все другие сервисы, работающие по аналогичной модели. Просто раньше таких сервисов вообще было мало, или до них руки не доходили, или у них была слабая модель обеспечения приватности пользователей, или они сотрудничали, поэтому и скандалов не было.
По этим же причинам Silent Circle сегодня объявил[link5] о закрытии своей почтовой службы: не хотят подставляться под NSL и прочие квази-законные методы выемки клиентской информации.
у меня с тех. службой lavabit была небольшая переписка, я их — как-то поздно ночью — спросил, что значит их название (ну, странная лат. коннотация :). кончился разговор тем, что они обещали подумать о third-party certification.
в сущности, это первый необходимый кирпичик, если с системой всё более или менее хорошо (судя по тому, что они о себе говорили[link6] (и еще, с недоступного ныне места: Presently we use Elliptical Curve Cryptography (ECC) with 512 bits of security to encrypt messages etc. — одним словом, если верить самоописанию, архитектура сервиса не позволяла им получить доступ к письмам) (само собой, что такие вещи легко изменить :).
второй — законодательный, в ближ. пять лет, надо думать, европейский хаос еще будет жив. то есть если это парень — Ladar Levison, запомним это имя, — что-то сделает в европе, есть смысл смотреть, что.
а третий — это из дискуссии про почт. ящики, правильная вещь от некоего анонима, что бессмысленно бороться с этим наступлением шифропунковскими способами, п.ч. дожмут, и это будет скоро. и да, как ни банально звучит, без политического действия ситуация ухудшится, причем радикально.
беда в том, что они сами не понимают, какую опасную штуку создают, и как она может быть использована. и что временные рамки для возможной дискуссии по теме довольно ограниченные.
В вину FH можно поставить только централизацию, как мне кажется.
Это парень. Я гарантирую это =)
И что они ответили? У меня как-то сразу ассоциации с проектом Lavarand[link7].
банальнее: бит, который лавой. ну и сказали, что было как-то не до рефлексии на тему.
lavabit (лат.) 'омоет', 'вымоет', в вульгате один раз, в контексте — "омоет в крови"... имяюзера@омоет.ком, я был озадачен поначалу :).
А что,
за содержимым и метаданными звонковза тем, чтоб они бэкдор в софт поставили, к ним прийти не могут, только из-за почты? Кто-нибудь интересовался, в каком оно сейчас статусе, это проприетарное циммермановское Silent Circle? Работает?Ему можно доверять? Я бы поостерёгся проприетарного софта с закрытыми исходниками, от кого бы он ни исходил.Какая-то часть исходников открыта[link8], но общественность это явно не удовлетворяет[link9]. Шнайер, тем не менее, пользуется[link10], но, вероятно, прежде всего из-за доверия к Циммерману и Калласу.
Попробовал воспользоваться этим xmail.net. Зарегистрировался через Тор без скриптов, используя legacy-версию (xmail 3.2). Чтобы не светить уже имеющиеся адреса, направил на новую почту сообщения путём регистрации на паре форумов (сообщения для активации ника). В течение суток ничего не пришло. Обратился на адрес админа postmaster@xmail.com с вопросом, работает ли вообще сервер и описал ситуацию с непришедшими письмами. В результате похоже что удалёна моя учётная запись, т.к. исчез доступ к веб-интерфейсу. Возможно что админ отомстил за Тор и выключенные скрипты. Так что хвалёный сервис оказался не так хорош. Вернее, вообще не пригоден. А так была бы хорошая возможность для анонимной покупки хостинга. Перепробовал уже пару десятков бесплатных почтовых сервисов, везде нужны скрипты.
Скрипты можно включить. Если сильно боитесь, врубите файерволл и подстраховки. Если параноя мучит конкретно, то и виртуалками воспользуйтесь. В любом случае блокировать за отсутствие JS глупо. Может, у вас звёзды не сошлись или вы что-то напутали в своих экспериментах.
Спасибо что разрешили. При чём тут фаирвол и что за подстраховки? Глупо жертвовать безопасностью так где нужна анонимность. При виртуалки знаю, пока не до них, хотя это наверное единственный приемлемый способ работать черз Тор с включенными скриптами (сейчас возможно опять появится unknown с мантрой что виртуалки и chroot не предназначены для безопасности). Что там можно напутать не представляю – нужно тупо набрать логин и пароль. В общем сделал вывод: "сервис" – херня.
Круг вопросов, описанных здесь[link11]. Сводится к набору подстраховок, нейтрализующих угрозу деанонимизации при таких отказах, как например, фатальные уязвимости в FireFox или получение злоумышленником полного контроля над вашим пользователем, под которым вы ходите в Tor. Можете считать, что имелись в виду виртуалки и файерволл.
При том, что его можно настроить так, чтобы трафик от заданного пользователя не мог идти в обход Tor. Если вы боитесь, что эксплоит на JS получит возможность что-то послать в сеть напрямую, то файерволл может от этого подстраховать, но он, конечно, не запретит эксплоиту послать что-то в сеть через Tor, а интересной инфы, которую он сможет послать даже в последнем варианте, предостаточно[link12]. Чтоб закрыть и эту дыру, уже нужны виртуалки.
Это смотря о какой безопасности идёт речь. И речь про анонимность в мантрах вообще не шла, такую задачу попросту не рассматривали. Кстати, речь про то, что виртуалки — не панацея, здесь я впервые завёл[link13], насколько мне помнится, так что можете сразу прям на меня ругаться, минуя unknown'а.
Часть ваших вопросов снимается этим[link14] баяном трёхлетней выдержки.
Надо будет тоже попробовать:
а) посмотреть, живы ли еще старые акки,
б) регнуться на разных сайтах,
в) переслать себе письма с другого акка иксмайла,
г) переслать себе письма с других почтовых сервисов на иксмайл,
д) написать себе на другие почтовые сервисы с иксмайла.
В настоящее время этим сервисом не пользуюсь.
А чем вас скрипты напрягают? Без них мало что вообще работает...
Посмотрите хотя бы, что за скрипты.
С точки зрения и анонимности, и безопасности, и непривлечения лишнего внимания и вопросов, лучше использовать популярные почтовики через веб-интерфейс. Через Tor. Скрипты нейтрализуются настройкой фаера, правил и окружения, виртуалки, ограниченные права.
Помимо гигантов отрасли можно посмотреть в сторону национальных мыльных операторов разных стран.
P.S. Кто-то писал, что с иксмайлом некорректно работает Яндекс, т. е. письма не проходят. Про остальные траблы не слышал,хотя нет, что-то с кириллицей там не так было когда-то...
Да, припоминаю такое. Плюс драконовские ограничения на объём inbox'а.
Возможно, тоже было. Уже не помню, давно пользовался. А чем вас safe-mail.net не устраивает? Он чем-то хуже?
Почему не устраивает? Отзывы о нем в основном положительные. Позволяет, если не ошибаюсь, работать без скриптов, что для некоторых будет большим плюсом.
В то же время любой сторонний сервис, для определения характеристик которого используются только косвенные показатели, априори не может быть доверяемым. Только относительно.
В то же время бесплатный ящик имеет сильно ограниченный объем — 3 Мб. На фоне безграничных ящиков от основных игроков рынка это почти ничто. В то же время, это что-то. А что-то лучше, чем ничего. Если переписка не носит массовый характер и не содержит прикреплений, то вполне можно юзать. Сам им не пользуюсь и даже аккаунтов там не заводил. Впрочем, это
никогдапока еще не поздно сделать. И если эмигрирую в Израиль, то и ящик под рукой, таки все для человека, да.