— Гость (03/08/2014 01:15)   
Все логично – к черту привязку к мобильным. Мобильный только ИРЛ и только для своих в Сети мы же все анонимы. Для пущей уверенности хотел добавить телефон в гугл, это почта для меня в ИРЛ, чтобы подозрений не было, но я сам спалился начав пользовать гпг на этой почте, так что забил. Ваще надо свой почтовый сервис создать для себя и для понтов вкрячить на главную страницу регу по инвайтам за 100БТС. Чтобы никто не понял, что домен мой и я там один. А имя домена общее сделать, типа smail.is и все. Надоели эти анальные зонды.
Кстати, тут говорили, что есть тема, мол вся переписка гпг собирается до лучших времен. Как это обойти? Ну не в криптоконтейнеры же сохранять гпг письма и аттачить их к письму.. как паранойу утешить?

— Гость (03/08/2014 01:16)   
Есть современные шифропанковские проекты, или там все тухло? Что-нибудь из жеской криптоанархии посоветуйте, прям чтобы по беспределу. Спасибо.

— Гость (04/08/2014 02:27)   

В некоторых организациях можно позвонить секретарю, сказать «так и так, я забыл пароль... не могли бы вы его сменить... у меня проблема с доступом к ящику» и получить новый пароль. Никакой дополнительной верификации не требуется, по голосу всех тоже не знают. Впрочем, гугл тоже недалеко ушёл^[link1].


Никак. Принять, как данность. Шифрование за тем и создавалось, чтобы коллекционирование шифрованной переписки не имело смысла.


Почта, как протокол с центральным сервером, да ещё и жёстко привязанная к инфраструктуре DNS — устаревшее средство связи, но если выбирать менее поганое из поганого то:

Адрес	Трансляция почты вовне	PGP-ключ админа	Web-интерфейс	JS	Пометки
Годное
TorBox[link2]	Только на некоторые HS, с которыми есть соответствующая договорённость.	Нет	SquirrelMail	Не нужен	Нарушает права Tor как торговой марки(?).
SIGAINT[link3]	Имеется (домен sigaint.org). Кроме того, почта на Torbox, Lelantos и mail2tor посылается через Tor (HS2HS).	Есть	SquirrelMail	Не нужен
Mail2Tor[link4]	Есть (домен mail2tor.com).	Нет	SquirrelMail	Не нужен	Слишком корявый и неформальный английский, много ошибок, как будто школьник создавал сайт. На странице http://mail2tor.com много ура-эмоций и заявлений, смахивающих на кулхацкерские.
Трэш и угар
mailtor[link5]	Есть (домен mailtor.net).	Нет	SquirrelMail	Не нужен	У сайта есть какие-то странные то ли клоны, то ли зеркала (см. пример[link6]). Или в качестве платы за сервис или для защиты от спамовых регистраций (до конца сам не понял) требуют какой-то pin number для биткоинов. Если его не предоставлять, грозятся закрыть аккаунт.
tormail[link7]	Планируется, но пока не работает (домен tormail.to).	Нет	Webmail	Не нужен для регистрации (и, возможно, чтения корреспонденции — не проверялось), но нужен для отправки писем.	Сервис пока ещё в «α-стадии».

Лично меня мало интересовал вопрос поддержки POP/SMTS к HS, но помню, что некоторые из перечисленных сервисов это поддерживают. Потом, виртуалками и соответствующей программной изоляцией можно поборить сайты хоть на флэше, но, раз авторы некоторых HS требуют включения JS и предлагают мириться с соответствующими угрозами, у меня есть масса поводов сомневаться в их профессионализме (если вообще не сказать доброжелательности к анонимности). Кстати, недавно тут упоминавшийся^[link8] https://vfemail.net тоже доступен как HS^[link9] (зеркало авторизовано^[link10]), но из-за завязки на JS его тоже можно считать неюзабельным.

Дополнительные ограничения на регистрацию (плата, приглашения, биткоины) мне тоже кажутся сомнительными, поэтому любители этих ограничений, в первом приближении, тоже идут в топку. Ещё стоит обратить внимание, как выглядит сайт внешне: эстетичный эргономичный интерфейс, где нет ничего лишнего, и где сразу понятно, где что искать, да ещё и написаный на грамотном английском — 90% рекламы. Яркий представитель такого типа сайта — TorBox. Я бы безусловно счёл его лидером во всех смыслах, если бы не отсутствие PGP-ключа владельца сайта. Вдруг уведут домен хостинг, уркадут ключи, или из-за дыры придётся менять сервис — как в этом случае сайт будет доказывать пользователям, что он есть он? Одним словом, в этом плане TorBox уступает SIGAINT'у — последний также в целом всем хорош, но тёмная гамма и некоторые его заскоки мне не нравятся, хотя английский грамотный.

В общем, первые три (а лучше даже два) сервиса — то, что, в принципе, можно рассматривать в качестве почты (IMHO). Впрочем, как всегда, любой такой сайт может оказаться поднятым очередным любителем, который бросит его тут же, как только ему надоест, поэтому привязываться надо не к мылу, а к активным uid'ам на вашем PGP-ключе.

С зеркалами обычных сайтов в onion-сети есть проблема их авторизованности. Кто-нибудь создаст такой... и будет снифать ваш трафик. Например, какое-то время назад сайт Tor-проекта был доступен как http://idnxcnkne4qt76tg.onion, хотя это зеркало нигде не упоминается на самом сайте Tor. Позже оно умерло. Что это было? Меня вообще удивляет тот факт, что сам сайт https://torproject.org не имеет onion-зеркала — это бы помогло со сбором статистики на Exit-нодах, да и посетителям было бы больше анонимности.

— Гость (04/08/2014 03:28)   

Интересно, как это связано с Whonix^[link11]...

— unknown (04/08/2014 09:51, исправлен 04/08/2014 10:01)   

Когда-то было вроде даже полуофициально, упоминалось в рассылке кем-то из проекта, но, возможно закрыли из-за невозможности на обычном скрытом сервисе обслуживать слишком много запросов. Подробностей не помню.

Каким образом?

По теме в общем был текст^[link13], несколько наивный и в котором много воды, но была поставлена правильная проблема: необходимость ухода от серверной модели почты с PGP к неким специализированным сетям криптосвязи. Вот только пока ещё не до этого не созрели.

— Гость (04/08/2014 10:31)   

Таким, что сейчас Exit-ноды могут смотреть, кто обращается к сайту Tor, кто скачивает дистрибутивы TBB... В случае HS за статистикой мог бы следить только сам сайт Tor'а, а не все, кому ни лень.

П^[link14]ри посещении скрытых ресурсов анонимность повышается за счёт того, что отслеживать внутренний шифрованый и стандартизированный трафик в сети Tor сложнее, чем выходящий наружу.

— Гость (28/08/2014 19:37)   
У кого-нибудь работает POP3 нa Mail2Tor (и на каком порте)?

— Гость (01/09/2014 13:44)   
Пожалуйста, объясните, почему адрес почты, зарегистрированной на mail2tor2zyjdctd.onion (это mail2tor), получается в форме *@mail2tor.com? Как такой адрес соотносится с HS?

— Гость (04/09/2014 23:21)   
А как, по-вашему, почта вовне будет работать, если будет только onion-адрес? Если есть трансцляция почты во внешку, то каждый ящик имеет 2 адреса: внутренний (onion) и внешний (clear net). Если пишете на тот же mail-сервис или другой HS, с которым есть прямая связь, не выходящая за Tor, то трафик Tor не покидает, всё идёт как onion2onion (HS2HS). А если внешка, то нужен обычный узел с обычным доменом, который будет как отправлять с HS, так и принимать на HS почту.

— Гость (15/12/2014 18:18)   

Вроде зарегистрироваться с извратами можно без JS. Пользоваться без JS и чисто через onion тоже можно, но для этого надо заходить через страницу https://344c6kbnjnljjzlz.onion/horde/mimp/ и не менять mode=minimalist. При использовании иных интерфейсов он может не только автоматически редиректить на vfemail.net, но и не работать (не давать отсылать письма) без JS. Короче, сервис проблематичный, но есть у него один плюс: его ящики не так сильно заблэклистчены у других mail-серверов и вообще на веб-сервисах, как у того же mail2tor.com, поэтому если надо больше гарантий, что ваше письмо-таки дойдёт адресату, можно предпочесть vfemail.

— Гость (15/12/2014 18:26)   
P.S. При отправке писем сервис активно спамит рекламой (добавляется в конец сообщения, причём вы об этом не знаете), и это никак не исправить. Более того, в рекламе пишется, что он хорош против NSA и тотальной слежки. Понятно, что трудно найти лучший способ привлечь внимание того самого NSA к своей переписке, чем писать прямым текстом в каждом отправляемом письме про NSA. Этот сервис ещё и разработчки Tor'а используют^[link15]?

— Гость (15/12/2014 18:28)   
А ещё они не додумались отключить https, в итоге траблы с тем, что сертификат выдан на web-домен, а не на onion, из-за чего браузер ругается, надо каждый раз добавлять в исключения. К тому же, https вреден для анонимности, его всюду в onion рекомендуют отключать.

— Гость (15/12/2014 18:38)   
И с кириллицей он не дружит. Если пишут на кириллице, при включенном JS можно прочитать, ткнув на кнопку определённую — тогда открывается в новой вкладке текст с правильной кодировкой. А в минималист-интерфейсе без JS он просто тупо сглатывает весь кириллический текст, как будто его там отродясь не было. С отсылкой своего письма на кириллице вроде тоже траблы, но деталей не помню.

— Гость (16/01/2015 15:10)   
Что касается списка^[link16], тут были взяты onion-адреса, засвеченные во всяких разных wiki и списках HSов, а по гуглу не искалось. Если б так же было сделано для джаббера, список^[link17] был бы не из 35-ти серверов, как сейчас, а из пяти, причём всех они были бы сдохшие. Для почты тоже было бы хорошо пошерстить гугл... Информация во всяких wiki сильно устаревшая, неактуальная, и много чего там просто нет.

— Гость (16/01/2015 15:16)   

Ага, вот именно по тем же соображениям не хочется указывать второй ящик, который позволяет восстановить доступ к первому: с одной стороны, это хоть какая-то страховка на случай фейла, а, с другой, если взломают один ящик, то взломают все.

— Гость (16/01/2015 16:07)   
Гость (04/09/2014 23:21), спасибо за ответ^[link18]. Именно эти детали интересовали.

— Гость (16/01/2015 16:25)   
Пожалуйста. Заходите ещё. :)

— Гость (15/02/2015 12:35)   
Ещё Tor'овские мыльники, попавшие на глаза в сети (ничего не проверялось и не тестировалось):

1. http://4ecwfvbvxojjequ4.onion, http://onionmail.info
2. mailshow34bxmjmd.onion, https://toremail.net.
3. h2qkxasmmqdmyiov.onion, mail.systemli.org
   (сервис systemli^[link19], упомянут на их странице)

По ссылке второго сервиса:

What if the toremail.net domain is seized?

We have a large number of alternate domain names we can fall back on if needed. It would present a small annoyance and would mean any mail inflight over the public internet to toremail.net addresses could potentially be intercepted at the time. We do give every user that registers an internal @mailshow34bxmjmd.onion address as well which should be used for emails between toremail.net users and which can never be put at risk by a seizure of our public DNS domain name.

— Гость (13/03/2015 02:00)   
Ещё одна onion-почта: http://inocncymyac2mufx.onion [трансляция вовне с домена innocence.se]. Бесплатные аккаунты на трансляцию вовне права не имеют, но можно или заплатить или написать автору, что ты весь из себя активист. Автор на всякий случай запасся свидетельством канарейки^[link20].

— pgprubot (27/07/2015 19:22, исправлен 27/07/2015 19:24)   

В дауне.

T^[link21]he Dark Web email service SIGAINT suffered a major attack that involved 70 exit nodes, a circumstance that suggests Government operation.

According to the Administrator a persistent attacker with access to nearly 70 bad Tor exit nodes (around 6 percent of the total) have tried to compromise the email service, the attack occurred a few days ago. The administrator of the anonymous web email service alerted the users via the tor-talk mailing list this week.

“C^[link22]laiming it was a state actor feels like a major reach to me,” Weaver told Motherbaord.

Weaver estimated the cost of mounting such an attack would be less than $400 dollars a day, if the attacked used their own servers. If they hacked other people’s servers, then the cost would drop to zero. Considering that, Weaver concluded that the attackers “could be anybody.”

It’s unclear how many users were targeted in the attack. The admin said that everyone who visited the clearnet site to find the dark web link “was advised to change their password.”

Интересно, эти 70 нод сразу принадлежали нужным людям или были скомпрометированы? Правда, атаку могли делать и не на нодах, а на других промежуточных узлах в сети. Интервью с администратором^[link23].

По вебу HS не отвечает. Заявлено, что регистрация только по приглашениям.

Нет веб-интерфейса к почте.

P.S. Ещё один сервис: http://epjhlyfgxenf2q4o.onion, отправка вовне(?) с t0rmail.com.

— pgprubot (31/07/2015 08:17, исправлен 31/07/2015 08:23)   

С некоторых пор они отключили как шифрованный POP3, так и SMTP, остались только нешифрованные варианты. Шифрованных нет ни как SSL, ни как Tor HS, шифрование осталось только при доступе через веб — крайне странное поведение сервиса.

Ещё один сервис: https://ruggedinbox.com, он же — http://s4bysmmsnraf7eut.onion. Все характеристики отличные:

Tor friendly

Anonymous friendly

No JavaScript friendly

SquirrelMail

POP

IMAP

SMTP

200 MB Free space

Ad free

(Admin's) PGP public key

Canary

Правда, свидетельство канарейки они почему-то не додумались подписать своим ключом.

— pgprubot (02/08/2015 09:56, исправлен 02/08/2015 09:58)   

U^[link24]pdates

Our upstream host got a massive DDoS.
We seek your undestanding in this issue.

Right now, we have decided to migrate to a new host.

For now, if you are unable to login, we seek your patience as the files are being securely transfer over tor. Due to Tor's latency, it will take a day or 2.

Это новый анонс, или он всегда там висел? Даты не пишут. Ссылки регистрации, разрегистрации и смены пароля открываются, но логин всё ещё возвращает «not found». Какое-то время назад скрытый сервис по этому адресу вообще не открывался, теперь хотя бы страница появилась. Может быть, ещё оживёт.

— гыук (02/08/2015 13:13, исправлен 02/08/2015 13:32)   

Настроить ящик без них не получится.

Еще малые неприятности:
"Sorry RuggedInbox.com has limits, only 1 outgoing email every 3 minutes is allowed"

— pgprubot (04/08/2015 07:05, исправлен 04/08/2015 07:06)   

Борьба со спамом. Если не участвовать в рассылках, ограничение не столь существенное (как и другое их ограничение — не более 30 писем в сутки).

Что понимается под настройкой? Веб-морда SquirrelMail, насколько я помню, ни в каком месте не требует JS.

— pgprubot (07/08/2015 01:28, исправлен 07/08/2015 01:29)   

При попытке авторизоваться пишет

Preference file, /var/lib/squirrelmail/data/YOUR_LOGIN.pref, could not be opened. Contact your system administrator to resolve this issue.

— pgprubot (08/08/2015 09:30)   
Ошибка авторизации сохраняется. Если попытаться зарегистрировать новый ящик, в конце процесса сервис не пишет об успешности и не позволяет потом зайти под новыми данными. Похоже, сервис «всё».

— Гость_ (09/08/2015 16:25)   

Еще малые неприятности:
"Sorry RuggedInbox.com has limits, only 1 outgoing email every 3 minutes is allowed"

Cерьёзнее неприятность в том, что их squrrelmail, вебморда без JS, не понимает письма на кириллице. Вместо кириллических символов ничего не печатается. Если отправитель и тема письма не содержат латинских символов, его даже не открыть в squrrelmail. Опции посмотреть оригинал письма также нет. В их roundcube всё работает нормально, но там нужен JS.

— pgprubot (24/08/2015 02:37)   

Для вновь создаваемых ящиков этой проблемы уже нет, но для ранее созданных она сохраняется.

— pgprubot (16/10/2015 07:58)   

Починили, работает снова, даже содержимое ящиков не потеряли, но зато сломали кириллицу — теперь она отображается в виде HTML-символов &#XXXX.

— Гость_ (08/01/2016 18:16)   
Мылоподобные сервисы в торе, завязанные на PGP:
http://cwu7eglxcabwttzf.onion
http://uphnm2dgilz4dysl.onion

— Гость_ (08/01/2016 19:15)   

Например, какое-то время назад^[link16] сайт Tor-проекта был доступен как http://idnxcnkne4qt76tg.onion, хотя это зеркало нигде не упоминается на самом сайте Tor. Позже оно умерло.

Не знаю, фишинг это или нет, вот ещё 4 зеркала:
http://5xgrs443ogbyfoh2.onion
http://bt3ehg7prnlm6tyv.onion
http://torsiteyqk5ajx5o.onion
http://zgfgvob256pffy62.onion

Загуглил первую ссылку:

Until tpo is in a position^[link25] to run a maintained official hidden service on their own infrastructure again: The following .onion points to the torservers.net mirror. I will keep this up no matter how this ticket is resolved.

Реакция тор-проекта:

We currently don't plan to provide hidden services for our infrastructure.

Why not?!

Because our infrastructure volunteers are all full up on the current stuff, and nobody wants to load them down with this too.

That said, I agree with you that it would be nice to do this. For many of our infra machines, it is as simple as installing the Tor deb, and adding a few lines to the torrc.