Worum geht's hier?

anonbox.net verschenkt vollständig anonyme Einmal-Email-Adressen. Diese lassen sich bequem im Webinterface erzeugen und später per Browser abholen.

Warum tun wir das?

Bis heute gab es keinen bequemen Weg, sich Dokumente anonym zumailen zu lassen. Seien es nach Informationsfreiheitsgesetzen befreite Dokumente oder einfach Passwörter für Web Services, für die man seine wertvolle Email-Adresse nicht verpulvern will.

Da anonbox über Tor erreichbar ist, wird komplette Anonymität gewährleistet, wenn man das Webinterface über Tor benutzt.

Was genau tun wir?

anonbox erzeugt virtuelle Postfächer bestehend aus zwei Teilen: eine zufällige Emailadresse und ein zufälliger Postfachname, zum Beispiel:

   uuuuuuuuuuuu@dddddddddddd.anonbox.net
   https://anonbox.net/dddddddddddd/mmmmmmmmmmmm/

Hierbei ist d einfach ein Hash über das Datum, u und m sind komplett zufällig.

Es ist leicht zu sehen, daß zwischen Emailadresse und dem Postfachnamen keine nachvollziehbare Verbindung besteht. Die Assoziation existiert allein auf unserem Server und beim Benutzer selbst. Auf dem Server wird sie mit dem Postfach fünf Minuten nach erfolgreichem Abholen der Emails gelöscht. Ein leeres Postfach kann beliebig oft abgerufen werden, ein nicht abgerufenes Postfach beliebig viele Mails empfangen.

Alle Postfächer werden um Mitternacht des darauffolgenden Tages komplett gelöscht, egal, ob sie jemals eine Email empfangen haben oder abgefragt worden sind. Es gibt keine Gefangenen!

Welche Logs fallen an?

Generell keine. Wirklich keine. Weder der Nameserver, noch der Mailserver noch (prinzipiell :) der Webserver erzeugen Logs. Im Speziellen benötigen wir zum Löschen der abgerufenen Postfächer kurzzeitig Logs des Webservers, die jedoch nach jeweils fünf Minuten gelöscht werden. In diesen Logs befinden sich aber weder IP-Adressen noch User-Agents, einzig die URI und die Größe des ausgelieferten Postfachs, die Zeit des Zugriffs und der HTTP-Statuscode.

Könnt ihr die Mails lesen?

Ohne Umschweife: natürlich. Es gibt keinen Grund, uns weiter zu vertrauen, als wir beweisen können. Wir erzwingen zwar https zum Erzeugen und Abrufen der Postfächer und die Emails gehen über TLS gesicherte SMTP-Verbindung ein. Auf dem Server liegen sie jedoch komplett unverschlüsselt. Es gibt aber keine Möglichkeit für uns, diese Emails Benutzern zuzuordnen. Tor gibt uns die dafür nötigen Information nicht heraus. Als Administratoren anderer Emailserver fühlen wir uns freilich auch bei diesem Setup dem Fernmeldegeheimnis und Grundregeln des Respekts unseren Nutzern gegenüber verpflichtet.

Falls der Inhalt der Email vertraulich ist, sollte der Sender sie auf möglichst anonyme Art verschlüsseln.

Kann anonbox als Spamschleuder missbraucht werden?

Nein. Weder Firewall noch das Setup auf dem Server erlauben ausgehende Verbindungen. Somit können wir weder "legitime" Emails, noch Spam und auch keine Bounces verschicken. Der dynamische Teil des Hostnames (der Hash über das Datum) bewahrt uns davor, mit Verbindungen von Spammern überrannt zu werden.

Gibt es eine Größenbegrenzung für Nachrichten oder Postfächer?

Nein.

Disclaimer

Wir übernehmen weder Verantwortung für die korrekte Annahme, Speicherung oder Auslieferung der Emails noch garantieren wir für Verfügbarkeit des Dienstes. In Ermangelung von Logs sehen wir uns schon technisch außer Stande, Hilfe- oder Auskunftsersuchen zu befriedigen. Wir bitten darum, von solchen Anfragen abzusehen.