DuckDuckGo Email Protection 安全性分析
核心结论
DDG Email Protection(@duck.com)比裸奔好(能拦截追踪像素),但不是真正零信任/零知识的隐私架构。替代方案:SimpleLogin(Proton旗下)或 AnonAddy —— 开源、可自建、支持 PGP 加密转发。
安全问题
1. 架构决定它必须读你的邮件
为了移除追踪器,DDG 服务器必须接收、解析、拆包每一封邮件,处理完再转发到你的真实邮箱。它声称”不保存”邮件内容——但这无法验证。
2. 闭源不可审计
SimpleLogin 和 AnonAddy 完全开源,代码可审计。DDG 闭源,社区无法验证其是否真的不记录邮件内容或数据。
3. 无零知识架构
SimpleLogin 支持 PGP 加密转发 —— 你上传公钥后,邮件进入用你的公钥加密再转发,服务器也读不了明文。DDG 完全没有这个选项。
4. 真实邮箱与别名绑定
DDG 知道 @duck.com 别名和你的真实收件箱之间的映射关系。一旦被攻击或数据泄露,二者关联即暴露。
5. 不支持反向别名(Reverse Alias)
你用 @duck.com 注册服务后,如果需要回复邮件,无法从该地址发出。SimpleLogin 和 AnonAddy 都支持。
6. 别名管理极差
无管理面板查看/停用别名,只能等收到邮件后在邮件头点击链接操作。
功能对比速览
| 特性 | DDG Email Protection | SimpleLogin | AnonAddy |
|---|---|---|---|
| 开源 | ❌ | ✅ | ✅ |
| 自建托管 | ❌ | ✅ | ✅ |
| PGP加密转发 | ❌ | ✅ | ✅ |
| 反向别名 | ❌ | ✅ | ✅ |
| 自定义域名 | ❌ | ✅(付费) | ✅(付费) |
| 别名管理面板 | ❌ | ✅ | ✅ |
| 免费别名数 | 无限 | 15个 | 20个 |