 Ich komme mich hier an der 300 Monkey Village Stage auf hier an unserer Planke. Wir haben jetzt einen weiteren Speaker für euch. Erst mal möchte ich euch an meinen großen Applaus für Tim bitten. Genau, und Tim erzählt uns jetzt etwas über E-Mail-Privatheit und Mailbox-Verschlüsselung. Und ich hoffe, ihr verschlüsselt ja ohnehin schon alle eure E-Mails und verschlüsselt alle eure Festplatten. Und ich wünsche euch einfach viel Spaß und übergebe einfach an Tim. Viel Spaß! Hallo, auch von mir herzlich willkommen. Ich freue mich, dass ihr gekommen seid. Ich möchte euch sozusagen was über den Status der E-Mail-Privatheit im ganz großen Bogen erzählen und dann auf das Projekt User League kommen, an dem ich beteiligt bin, um einen Teil davon zu verbessern. Das ist ein Ausschnitt aus dem Transparency Report von Google. Der zeigt, wie viel Prozent der Verbindungen, die bei Ihnen ankommen, verschlüsselt sind. Da kann man sehen, das gibt es seit Anfang 2016. Da war es noch bei 60 Prozent ungefähr. Inzwischen sind wir bei 94. Ich hoffe, es ist klar, wenn die Verbindung nicht verschlüsselt ist, ist die Wahrscheinlichkeit, dass die E-Mail im Klartext über das Netz geht, sehr, sehr hoch. Hat sich aber sozusagen einiges getan. 94 Prozent ist schon ziemlich gut. Und das ist die Liste der sendenden und empfangen Domains, mit denen es die meisten Probleme gibt. Und da sind dann doch wieder ein paar dabei. Amazon kommt mir relativ bekannt vor. Oder GOG, wo man sich fragt, warum die eigentlich noch nicht verschlüsselt sind. Ja, und wie ich gesagt habe, ich versuche so einen relativ großen Bogen zu spannen. Weil wenn es um die Privatheit einer E-Mail geht, also das bedeutet für mich, dass niemand außer dem Sender und der Empfängerin der E-Mail weiß, was der Inhalt der E-Mail ist, dann muss man sozusagen den gesamten Lebenszyklus so einer E-Mail betrachten. Und was ich hier versucht habe zu sagen, ist, die E-Mail wird sozusagen von Klein A los geschickt. Wie das damit der Privatheit ist, das liegt natürlich daran, sagen wie Klein A abgesichert ist, wie sehr sich die Besitzerin davon darum kümmert. Und dann wird es dann meistens inzwischen über das Submission-Protokoll auf den Mail-Server hochgeladen. Und da finde ich im gesamten E-Mail-Kontext, ist das sozusagen eine der Punkte, die am besten abgesichert sind, der Kommunikation zwischen den E-Mail-Clients und den Initialen Mail-Server. Und dann wird das Ganze über SMTP viele, viele Male möglicherweise über das Internet weitergeleitet. Und da wird es ein bisschen schwierig. Das ist sozusagen das, was wir gerade bei dem Transparency Report von Google auch gesehen haben. Da kann man generell nicht davon ausgehen, dass diese Verbindungen immer verschlüsselt sind. Wenn dann Klein B die E-Mail am Ende wieder abholt, auch das sind heutzutage eigentlich immer verschlüsselte Verbindungen. So, warum, kann man sagen, das könnte uns jetzt ja egal sein. Guckt denn da überhaupt jemand rein? Ist das realistisch? Ich vermute, ich muss hier wahrscheinlich niemanden motivieren, dass das ein realistisches Szenario ist. E-Mail ist der erste Punkt in dieser Prism Collection Folie. So, und dann, weil wir uns alle hier super gut auskennen schon, könnte man jetzt ja sagen, naja, jetzt mache ich einfach GPG Encrypted Mail und damit habe ich ja alle Probleme gelöst. So, dann ist mir das auch egal, ob das Transport verschlüsselt ist, weil die E-Mail an sich ist verschlüsselt und dann kann die auch irgendwo liegen und außerdem Empfänger kann die niemand endschüsseln. So, dann ist unser Problem also gelöst. Hat leider in den letzten Jahren nicht geklappt, end-to-end encryption ist komplex. So, und es ist toll für alle, die das schaffen, das zu machen, aber das scheint momentan nicht die Mehrheit der Nutzerinnen zu sein, die das schaffen. Es hat damit zu tun, dass ich das auf jedem Endgerät einrichten muss. Damit es irgendwie Sinn hat, was ich mit der end-to-end encryption machen muss, ich eigentlich zumindest die Möglichkeit schaffen, das zu verifizieren und es sollte ab und an auch mal jemand verifizieren. Das wird dann schon ziemlich kompliziert und dann muss ich vielleicht noch irgendwie Kies über längere Zeit mit mir rumtragen, von einem, die weiß zum nächsten bringen oder sowas. Ich glaube, da geben die meisten Leute auf und ganz außer Acht gelassen natürlich überhaupt, auch bei dieser Grafik habe ich gesagt, den Punkt Metadaten, der ist völlig fast völlig unberührt, wenn wir über GPG reden. Naja, und weil das jetzt alle eingesehen haben, im Prinzip, dass wir das Problem so einfach nicht lösen werden, gibt es halt verschiedene Initiativen, die Vertrautheit oder Privatheit von E-Mails zu steigern. Demark ist wahrscheinlich, also davon gibt es verschiedene Aspekte. Der eine Aspekt ist, rauszufinden, dass ich tatsächlich mit dem E-Mail-Server spreche, mit dem ich auch sprechen möchte. Also die Authentizität des Mails-Servers. Da ist demark das, was am meisten verwendet wird momentan über DNS zu sagen, für meine Domain, example.com, gibt es eben die und die gültigen Mails-Server und dann auch noch zu beweisen, dass man tatsächlich vielleicht von diesen Mails-Servern aus gesendet hat. Und Dane gehört dazu, sagen generell mit dazu, weil es eben DNS absichert. Und wir uns sicher sein können, dass das, was darin stimmt, dass das, was wir bekommen aus dem DNS, das ist sozusagen, was die Person, die für diese Zone verantwortlich ist, auch tatsächlich eintragen wollte und nicht irgendwas, was uns der lokale Admin vorgaukeln möchte, vielleicht. Also das ist der Teil, dass ich erst mal zu den richtigen Mails-Servern hinkomme. Der zweite Punkt ist der, dass wir diese verschlüsselten Verbindungen haben. Das ist der Teil, den ich am Anfang als Rot markiert hatte, weil ich finde, das ist irgendwie, ich finde es überraschend, dass es 2019 immer noch nicht Standard ist oder sagen, erzwungen wird. Und da gibt es deswegen verschiedene weitere Mechanismen, die versucht werden, um das Ganze zu verbessern. MTA-STS ist auch ein DNS-Mechanismus, wo ich sage, diese Mails-Server oder alle meine Mails-Server dürfen nur über eine verschüsselte Verbindung angesprochen werden. Geht also ganz gut Hand in Hand mit den ersten beiden Mechanismen. Genau, dann gibt es ein kleines Tool, Mail-Tales-Helper, wo ich mit dran geschrieben habe. Deswegen nutze ich hier die Gelegenheit, das kurz zu zeigen. Die Idee bei Mail-Tales-Helper ist, dass jedes Mal, wenn ich zum ersten Mal einen E-Mail-Server kontaktiere, weiß ich eben nicht, ob der TLS kann oder nicht. Aber wenn ich es einmal gemacht habe und der hatte TLS, dann macht mir TLS-Helper, sozusagen, sagt, für zukünftige Verbindungen musst du immer TLS verwenden. Das kann natürlich zu Problemen führen, wenn diese empfangende Seite nur manche Verbindungen verschüsselt. Im Alltag scheint das aber bei mir relativ gut zu klappen. Und was wir auf der Folie sehen, ist dann eben so eine Hauswertung. Das ist so eine wöchentliche Mail, die dann kommt. Und da steht dann eben drin, wie viele E-Mails wurden vom Server insgesamt versendet, wie viele davon sind über TLS gegangen, wie viele sind nicht über TLS gegangen. Dann gibt es noch die Möglichkeit, sich ausgeben zu lassen, wie viele über OnionMX verschickt wurden. Und dann eine Liste sozusagen der bekannten problematischen Domains, die keinen TLS unterstützen. Es gibt auch einen Modus beim Mail-TLS-Helper, die Postmaster dieser Mail-Server anzuschreiben und ihn zu sagen, Leute, es ist 2019, bitte schaltet endlich TLS an, weil er macht damit das Internet, das E-Mail-Versenden für alle anderen Nutzerinnen unsichere. Ehrlicherweise muss ich sagen, der Prozentsatz der Antworten darauf, der war relativ gering. Wer das schafft, sagen, TLS über viele Jahre zu ignorieren, schafft das, glaube ich, auch diese E-Mails zu ignorieren. Unten rechts sehen wir, ja, könnt ihr wahrscheinlich nicht erkennen, aber es ist ein Graph, der zeigt uns im Prinzip die Daten, die wir in so einer Summary-E-Mail sehen. Den kann man auch an Moons exportieren, falls das jemand interessiert. Start TLS Everywhere ist der nächste Punkt, das ist sozusagen die Idee von der EFF. Ich glaube, sie machen eine Liste bekannter, guter TLS-Verwendender-Mail-Server. Das ist sozusagen ein Whitelisting-Ansatz, denn das kann ich mir dann runterladen von deren Webseite und in meine E-Mail-Server-Konfiguration einladen. Und dann gibt es noch ein Draft, der IETF, für ein SMTP-Extension, die heißt, oder soll heißen, Require TLS. Und die sollte sozusagen über den gesamten Weg, den eine E-Mail durch das Internet zurücklegt, würde sie an jeder Stelle vorher anfragen, kennst du die Erweiterung Require TLS, dann sagt der Server ja, hast du auch TLS, dann sagt er ja, und dann wird die E-Mail über TLS rausgeschickt. Und wenn das sozusagen an irgendeiner Stelle nein ist, dann wird die E-Mail gebaunst und kommt wieder zurück an den Absendern. Das war der große Bogen, den ich spannen wollte, um zu zeigen, es gibt E-Mail-Privatheit, es ist ein komplexes Problem, das viele einzelne Baustellen hat. Und was ich sozusagen rausgepickt habe, ist die Sicherheit beim Auf-dem-E-Mail-Server, die encrypted Mailboxen, also die verschlüsselten Mailboxen mit einem persönlichen Key. Das ist unser Bild von vorhin. Und um zu sehen, an welcher Stelle das ansetzt, das sollten sagen, dass der erste Mail-Server und der letzte Mail-Server jeweils, die also wirklich mit einem Kleinen in Kontakt stehen. Und dort soll mit einem Geheimnis, das eben nur der Benutzer, die Benutzerin kennt, soll der gesamte Mail-Storage verschüsselt werden. So, das Geheimnis relativ naheliegend, das ist das Passwort, mit der Nutzerin sich authentifiziert. Und was passiert, ist sozusagen, dass auf einer abstrakten Ebene dieses Passwort genommen wird und nicht nur dafür genommen wird, um zu sagen, ich bin tatsächlich Alice, sondern eben auch genommen wird, um diesen Tresor, in dem die ganzen E-Mails liegen, zu öffnen. Und dann kann ich sozusagen damit weiterarbeiten, wie ich das auch vorherkenne. Der Vorteil ist eben, dass ich keine Modifikation auf der Klein-Seite benötige. Und trotzdem, also ich kann alle E-Mails weiterverwenden, die ich auch vorher verwandt habe. Und es gibt mir aber den Schutz, dass meine E-Mails nicht im Klartext auf irgendeinem Server im Internet liegen, zumindest, solange ich nicht gerade mein Passwort eingegeben habe. Das ist, muss man sagen, bei all diesen Ansätzen, wenn ich dem Anbieter des E-Mails-Servers oder der betreibenden Person des E-Mails-Servers nicht vertraue, dann brauche ich das nicht machen. Und dann sollte ich einen anderen E-Mail-Anbieter wählen. Aber hier geht es darum, gerade sowas wie, ach, keine Ahnung, ich mache mal einen Feind auf meinem System und durch Such vielleicht auch aus Versehen alle E-Mails, die da drin liegen, weil ich gar nicht darüber nachgedacht habe. Und sowas ist zum Beispiel an der Stelle nicht mehr möglich, weil der Zugriff nur möglich ist in dem Moment, wo ich das Passwort habe und das eingegeben habe und danach wird sein dieser Mailbox-Tresor auch wieder geschlossen. Das hat natürlich für die Betreiber von E-Mail-Servern auch einen sehr angenehmen Nebeneffekt, nämlich, dass sie nicht wissen können, was ihre Nutzerinnen so alles machen auf dem E-Mail-Server. Und ich persönlich habe das Gefühl, damit ruhiger zu schlafen. Ja. Die Idee, das ist jetzt meine persönliche Liste an der Stelle. Diese persönlichen verschlüsselten Mailbox habe ich zum ersten Mal bei Lava-Bit mitbekommen, wo, glaube ich, ich weiß nicht, ob das bestätigt ist, aber man vermutet hat, dass es da um den E-Mail-Account von Edward Snowden ging und wo der Gründer von Lava-Bit gezwungen werden sollte, dann letztlich diese Verschlüsselung auszuheben und das System abgeschaltet hat in dem Moment, und ich glaube, das zeigt genau den Spielraum, den man hat. Es gibt natürlich Gesetze, an die man sich halten muss, aber es ist eben nicht so, dass diese Daten einfach so anfallen, dass man einfach sagen kann, hier gibt mir mal alle Mails, die da drin rumliegen, weil darauf hat eben der Administrator in dem Fall keinen Zugriff. Und dann die erste Open Source Implementation, die ich mitbekommen habe, die haben einen Scrambler, das ist ein Duff-Code-Plugin. Duff-Code ist ein E-Mail-Server. Das war zum ersten Mal, dass ich diese Funktionalität in Open Source Software gesehen habe, denn Trees ist von RiseUp Labs implementiert worden, hat Ähnlichkeiten dazu, aber mit einer anderen Cryptolibrary. Und dann hat sagen Duff-Code selber ein Plugin geschrieben, das heißt Mail Crypt. Und das bringt schon eine ähnliche Funktionalität mit. Wo man sich halt nur noch darum kümmern muss, eigentlich, wie wird das mit den Keys gemacht, mit denen die Mailboxen verschüsselt werden. Da kenne ich eine Implementation von dem Schweizer Kollektiv immer da. Und dann gibt es eben Userly, über das ich noch weiter sprechen werde. Es gibt eine ganz schöne Masterarbeit unter dieser URL. Ja, also Userly ist ja eine Web-Applikation. So sieht es aus, wenn man sich da angemeldet hat. Man kann zu Webmails gehen. Man kann Invite Codes verteilen. Alle Adressen komme ich später noch darauf zurück, also einfach eine Webseite. Bei der Entwicklung gab es sozusagen Fokus auf drei Themen. Das war zum einen die Privatheit, zum anderen Gemeinschaft und Self-Service. Also nicht, wie ich das auf Deutsch sage. Weil sozusagen, wenn man einen E-Mail-Server verwaltet, dann möchte man, also, oder, wir wollten an der Stelle, dass die Nutzerin möglichst viel selber machen können und wir möglichst wenig Arbeit haben. Daher der Self-Service-Gedanke. So, mit der Privatheit. Klar. Das ist das, worüber ich hauptsächlich spreche hier an der Stelle. Es ist die Mailbox mit dem Nutzerpasswort zu verschlüsseln. So, und das kann man an sich einfach machen. Das ist kein Problem. Nur, manchmal haben Nutzer die unangenehme Angewohnheit, ihre Passworte zu vergessen. Und was passiert denn, wenn ich meinen Passwort vergessen habe und alle meine E-Mails damit verschlüsselt sind? Komm ich halt nicht mehr an meine E-Mails ran. Und das kann schon ganz schön ärgerlich sein, wenn ich das vielleicht für meine Arbeit brauche, oder was weiß ich, mir persönlich wichtige Briefe da drin liegen. Also war für uns die größte Aufgabe, war eigentlich, wie implementieren wir diese Mailbox-Verschlüsselung so, dass ein Vergessen des Passwords möglich ist. Und die Idee, die wir dazu hatten, man kann das halbwegs erkennen, dass wir verwenden sogenannte Recovery-Token. Das ist eine zufällig zusammengewürfelte Zahlenkette, die ich mir aufschreiben kann, aufschreiben muss. Und mit der ich in dem Fall, dass ich meinen Passwort vergessen habe, mein Passwort zurücksetzen kann. Und das mit diesem Recovery-Token tun kann, ist natürlich, ich muss mir natürlich Gedanken machen, wo ich das ablege, vielleicht in einem Schließfach, oder vielleicht in einem Passwortmanager, oder, oder, oder, vielleicht gebe ich das auch zwei Freunden von mir und jeweils die Hälfte, und wenn ich das dann wirklich brauche, dann frage ich die, gebe mir mal bitte jeweils die Hälfte davon, ich habe mein Passwort vergessen. Wichtig war eben für uns, dass keine persönlichen Informationen dabei notwendig sind, weil wir gerade mehr Privatheit herstellen wollten, herstellen wollten, also sprich sowas wie eine Recovery-Email-Adresse, an die man sich wenden kann, wollten wir nicht, oder zu sagen, du kannst deine Telefonnummer eingeben und dann kannst du das damit zurücksetzen. Das sind eben alles Informationen, mit der man eine Nutzer, eine Nutzerin identifizieren kann und deswegen wollten wir die an der Stelle gar nicht haben. So wird das im Prinzip aussehen, ich habe dann geklickt auf, ich habe mein Passwort vergessen, dann trage ich meine E-Mail-Adresse ein, das sind Recovery-Token und dann haben wir das so implementiert, dass, ja also ich lese mal kurz vor, the first step to reset your Password is done, for 48 hours afterwards you can set a new password in the second step. Please keep your Recovery-Token until then. The waiting period is for your own security and cannot be shortened or skipped. Warum wir das gemacht haben ist, es sein könnte, dass dieser Recovery-Token doch jemandem anders in die Hände fällt und jetzt versucht diese Person Zugang zu meinem E-Mail-Konto zu erlangen und mein Passwort zurückzusetzen und deswegen haben wir halt gesagt, in dem Moment, wo das passiert, senden wir eine E-Mail an den Account selber. Das heißt also, wenn ich Zugriff habe in dem Moment, kriege ich mit, dass jemand versucht, mein Passwort zurückzusetzen. Wenn ich es natürlich selber war, dann muss ich eben einfach diese Zeit abwarten und wir, keine Ahnung, da kann man jetzt drüber streiten, was dann eine angemessene Zeit ist, die man warten sollte. In meiner Welt guckt man in seine E-Mails mehr vor am Tag. Und das einmal die Woche 48 Stunden war irgendwie was, dass wir uns einigen konnten. Ja, das war im Prinzip der Verschlüsselungsaspekt. Jetzt hat ja aber gesagt, jetzt hat die Privatheit auch noch andere Aspekte und deswegen haben wir Alias-Adressen hinzugefügt, die man sich selber User-Unterface zusammenklicken kann. Es geht im Prinzip dabei darum, ich zeige das mal kurz, wie das aussieht, dass zu jeder Kommunikation gehört dann immer einen Abseinder und einen Empfänger und vielleicht interessiert es ja jemanden rauszufinden, was diese Person überall im Internet gemacht hat. So, da gibt es so ein Programm, das nennt sich X-Key-Score, das macht genau das. Es nutzt sogenannte Identifier, das können E-Mail-Adressen sein oder Namen oder Telefonnummern und durchsucht alles was im Internet sozusagen durch diese Sensoren kommt und filtert das nach dieser einen Person. Und die Idee ist eben bei diesen Alias-Adressen zu sagen, okay, ich habe für mein Bank habe ich halt ein anderes Alias als fürs Online-Shopping und somit sind diese nicht einfach zu verknüpfen, sondern es ist ganz transparent, dass sie eigentlich zum gleichen Account gehören. So, dann hatte ich gesagt, neben der Privatheit ein weiteres Ziel war die Community. Wir wollten es möglich machen, dass Leute sich auf dem Mail-Server registrieren können, aber den nicht ganz offen machen, sondern wollte eigentlich eine soziale Struktur abbilden. Deswegen haben wir so Einladungscots gemacht. Die bekommt in der Software jede Nutzerin, eine Weile vernünftig genutzt hat, kann die einfach weitergeben. Das sind 6 Stellen. Kann man auf Papier weitergeben oder per Messenger senden oder e-mail oder was heißt ich. Und dann kann ich sozusagen mit diesem Code, kann ich eben ganz einfach mehr einen neuen Account klicken und damit kann man sozusagen als E-Mail-Server-Betreiber das Wachstum so ein bisschen organisch halten. Das macht sich auch tatsächlich im Alltag ganz gut. Und dann gibt es auch die Möglichkeit, noch in dem User-Interface weitere Domains hinzuzufügen und Admin-Features für das gesamte für den gesamten Mail-Server oder eben nur für eine bestimmte Domain. Da gibt es dann hier so dieses Admin-Frontend und dann kann ich eben, was heißt ich, alle Benutzer in meiner Domain sehen oder einen neuen Benutzer hinzufügen oder eine neue Domain anlegen und so weiter und so fort. Ja, außerdem ist die gesamte Software in verschiedenen Sprachen verfügbar. Bisher in Englisch, Spanisch Portugiesisch also Bockmal ich hoffe, ich spreche das richtig aus und das ist eine der zwei Sprachen, die in Norwegen gesprochen werden, habe ich gelernt. Und Deutsch, das sind sozusagen alle Texte, die auf der Webseite vorkommen, die kann man übersetzen. Und ich glaube, das ist ein großen Unterschied macht in der weil diese ganzen Themen mit Security und Privacy, das ist eh kompliziert genug und wenn man das dann so sagen in der Sprache, neigt man, glaube ich, dazu, das eher noch zu verstehen als vielleicht, wenn man noch Englisch lernen muss vorher, deswegen waren es das relativ wichtig. Genau, und vielleicht so ganz ganz kurz, einfach, wie es das konkret implementiert, es ist also ein PRP Software, ein Web Software die auf dem Symphony 4 Framework aufbaut und gleichzeitig nach hinten ein Check-Passwort-Skript macht was wiederum mit dem E-Mail-Server redet. Der sorgt eben genau dafür, was wir vorhin gesagt haben, dass ich in dem Moment, wo ich mich anmelde mit über meinen E-Mail client, zum Beispiel, was ich RoundCube oder Thunderbird, dass dieses Passwort übermittelt wird und gleich diesen Key mitbringt, der eben auf dem Server liegt und ich meine Mailbox entschliesseln kann. Dazu für diese Keys und das Verschlüsselstellen haben wir LibSodium verwendet. Wir haben keine Krypto selber gemacht, das würde ich mir nicht zutrauen und natürlich ist es alles Open Source Software und es gibt auch Installations Anleitungen dazu, falls jemand Ansible kennt und kann, damit geht das dann auch sehr schnell und das war eben eines der Design-Ziele war, dass ich wollte dass dieses System auf jeden Fall replizierbar ist. Dass ich also, ich kann mir eine einzige Maschine nehmen und da meinen Mail-Server draufbauen und da diese Mailbox Verschlüsselung anschalten. Das war, ich denke, wir sollten das alle viel mehr verwenden. Es sollte mehr E-Mail-Provider geben, die das machen und ich glaube, man kann zu sagen, die Security könnte man bestimmt noch weiter erhöhen. Unser Ziel an der Stelle war auf jeden Fall, das reproduzierbar zu machen für andere kleine Provider. Genau. An der Stelle ein kurzes, aber sehr kräftiges Dankeschön von mir an, von all diesen Projekten ohne die das überhaupt nicht möglich gewesen wäre. Symphony habe ich gerade gesagt, der Dove Card-E-Mail-Server ist ein tolles Stück Software. Web-Late gibt uns die Möglichkeit, kooperativ diese Übersetzungen zu machen. Bei Mozilla Open Leaders habe ich mit dem Projekt mitgemacht. Das ist sozusagen ein Projekt, das ich extrem empfehlen kann. Es geht darum, wie man in Open Source oder überhaupt in offenen Communities kollaboriert und wie man das schafft, sich gemeinsam irgendwie auf eine Richtung zu einigen, was man macht und in den Communities bekommt. Es hat einfach wahnsinnig viel Spaß gemacht. Ich habe total viel gelernt dabei. Und am allermeisten bedanken wir uns beim Prototype Fund. Die haben einfach Arbeitsstunden bezahlt an der Stelle ohne die das nicht möglich gewesen wäre. Ja. Jetzt ist sozusagen, das ist der Stand wie es ist. Ein kleiner Blick in die Zukunft vielleicht, was ich sozusagen, ich hätte ja vorhin viel darüber geredet, diese Übertragung zwischen den E-Mails zu erwahren als sehr kritischen Punkt sehe. Ich würde sehr gerne versuchen, weiter, also genau das auch mit Userly anzugehen und vielleicht eben zu sagen, als Benutzer kann ich entscheiden, dass ich nur verschlüsselte Verbindungen haben möchte. Dann gehen vielleicht, keine Ahnung, vielleicht kann ich dann mit Amazon Marketplace keine E-Mails mehr versenden. Aber dafür weiß ich halt, dass sie nie meine E-Mails im Cloud Text drüber gehen. Man muss mal gucken, was das ein guter Mechanismus ist, um das zu implementieren. Das ist glaube ich nicht ganz trivial. Wir verwenden Userly gemeinsam mit dem RoundCube Web Client. Da würde ich sehr gerne das ermöglichen, dass in dem Moment, wo ich so ein Alias anlege, das automatisch auch ein RoundCube da ist. Weil ich muss sozusagen meinem Mail client, den muss ich immer noch sagen, beim Versenden bitte verwende diese Alias-Adresse. Und wenn ich das per Hand eintragen muss, das ist manchmal, das ist ein bisschen, also ich hab das mitentwickelt, aber ich find's auch aber ein bisschen anstrengend. Ich mach es tatsächlich, aber der leichtere Teil ist eigentlich, wenn ich hierhin sage, das ist meine Alias-Adresse, unter der kannst du mich erreichen. Das kommt eben automatisch. Aber dann möchte man ja auch manchmal antworten, vielleicht jemanden, der eine E-Mail gesendet hat und dann muss ich eben dieses Alias momentan per Hand eintragen und ich gerne ändern. Ja, zwei Faktor-Authentifikationen einfach um die Sicherheit zu erhöhen und weiß ich nicht, wenn gleich jemand eine tolle Idee hat, was man weitermachen könnte, würde ich mich sehr freuen. Wie ich gesagt hab, das ist alles ein Open-Source-Software. Ich würde mich total freuen, wenn das jemand sich anguckt und mal ausprobiert. Es gibt die Möglichkeit bei Weblate neue Übersetzungen anzufangen oder die Bestehenden zu verbessern. Das ist auf jeden Fall notwendig. Es gibt eine ganz okaye Dokumentation tatsächlich an der Stelle dazu, aber die ist natürlich ausgeschrieben, mit der das System schon kennt. Also wenn man sich das mal anguckt und sagt, jetzt will ich jetzt installieren, dann wäre so eine Rückmeldung super. Ein Logo wäre toll, falls jemand Fähigkeiten hat oder direkt Features zu implementieren, das zu machen, was ihr gerne sehen würdet mit dem System oder den Mechanismus zu kopieren in euer eigenes System. Mir geht es nicht darum, dieses Software populär zu machen. Mir geht es darum, dass wir im gesamten Email-Environment die Privatheit erhöhen. Es ist doch eine recht große Verantwortung, finde ich, die man mit sich trägt, wenn man einen E-Mail-Server betreibt. Damit bin ich am Ende angekommen. Ich bedanke mich für eure Aufmerksamkeit und würde für Fragen zur Verfügung stehen, wenn jemand einen hat. Ja, wunderbar. Vielen Dank noch mal, Tim. Wir haben hier ein offenes Mikrofon. Wenn ihr Fragen habt oder Anmerkungen, dann kommt doch einfach hier näher. Ansonsten bleibt mir nichts anderes als euch. Ah, da vorne haben wir einen Mutigen. Na dann. Hallo, sehr interessantes Projekt. Ich wollte fragen, hast du dir ein Mail in der Box mal angeschaut? Weil da wäre es ja auch interessant gewesen, von da aus weiterzuarbeiten mit genau diesen Featuren. Genau. Wäre auch interessant gewesen. Es ist kein Greenfield-Projekt gewesen. Wäre es das gewesen, hätte ich das wahrscheinlich gemacht. Aber so an der Stelle, ich kann da nur appellieren vielleicht an die Leute, die e-mail in der Box schon machen und zu sagen, es gibt inzwischen die Open Source Implementation dieser Funktionalität und da kann man einfach gerne mal voneinander abgucken und das einfach irgendwie rüber kopieren. Finde ich super. Die andere Frage ist, bei den Einmokonnetzen entforsst du da immer TLS? Also immer eine, oder kann man da auch mehr oder weniger unverschlüsselte Starr-TLS-Verbindung machen? Also nein, unverschlüsselte nicht und das ist konfiguriert per Default. Also wenn ich ein verantwortungsvoller Betreiber eines e-Mail-Service bin, dann sollte ich das entforssen. Das ist eine Einstellungsmöglichkeit. Das ist die Konfiguration von DAF-Code an der Stelle, tatsächlich. Und da kommt jetzt darauf an, wie du deinen DAF-Code installierst. Es gibt ein, wenn du den mit Enzibel installierst, wenn du den User-Lieb mit Enzibel installierst, die konfiguriertest genau so. Du kannst es aber auch anders zusammenstecken. Du kannst es auch mit der Hand machen. Dann musst du dich halt selber darum kümmern. Ich habe das Projekt so verstanden, dass es ähnlich ist wie ein Mail-In-Abox, was auch schon den DAF-Code und andere Teile mitnimmt. Aber dann ist es nur das User-Interface. Okay, dann ist es gut. Nein, wie gesagt, es gibt, es gibt sozusagen verschiedene Komponenten. Du kannst es als Gesamtsystem verwenden, mit Enzibel und dann werden diese Abhängigkeiten mit reingezogen. Und dann können wir die Komponenten verwenden und alles verschiedene Komponenten zusammenstecken. Ja, weil das, wenn ich den größeren Antriebspunkt Leute, die durchs W-Land laufen und unverschlüsselt, dann E-Mails herunterladen, als Server-zu-Server-Kommunikativität. Die gibt es zuhauf. Ja, haben wir noch weitere Mutikel? Na gut, dann vielen Dank für eure Aufmerksamkeit. Vielen Dank nochmal an Tim, einen großen Applaus bitte. Vielen Dank.