常见问题

对于用户之间的电子邮件加密，Tuta 使用一种标准化的混合方法，由对称算法和非对称算法组成。Tuta 使用长度为 256 位的 AES 和 2048 位的 RSA 或 ECDH (x25519) 和 Kyber-1024 的组合（用于量子安全账户）。发送给外部收件人的电子邮件使用 AES 256 位对称加密。

默认情况下，我们不会记录您登录和发送邮件时的 IP 地址，往来邮件中的 IP 地址也会被删除，以免泄露您所在的位置。

只有当账户涉及谋杀、抢劫、勒索、儿童色情、炸弹袭击等重大犯罪时，我们才会依照德国法院下达的命令记录个人账户相关的 IP 地址。您可以在我们的博客了解更多信息以及德国的数据保护权利。

我们的博客还记载了 Tuta 如何通过提供匿名邮箱服务抗击非法的大规模监视，注册账户不需要任何个人信息（如手机号），我们也将在未来支持使用比特币购买 Tuta 服务。

Tuta自动加密所有存储在您的邮箱的电子邮件。Tuta用户之间的电子邮件会自动进行端对端加密，给外部用户的电子邮件可以在密码的帮助下得到保障。

独立于端到端加密，客户端和Tuta服务器之间的传输是用TLS来保证最大的安全性。

观看我们的YouTube 电子邮件加密指南 Tuta - 你可以得到的最快速的电子邮件加密指南

是的，Tuta内的所有数据均为端到端加密的，只能用您的密码访问，扫描或者分析您的数据是不可能的。

登录后，数据的加解密都只在您的设备本地进行，所有数据都是端到端加密的，只有您能通过密码来访问。

您可以按快捷键H显示收到的电子邮件的标题。Tuta从发送的电子邮件中剥离标题，以保护您的隐私。

要显示Tuta的所有快捷键，请按F1（Fn & F1）。

出于安全考虑，被删除的邮箱地址（包括别名）不会再分配出去，以免别人注册您用过的地址结果接收到要发给您的邮件。

免费账户六个月未使用就可能被删除，因此需要经常登录。删除这些账户既是出于安全考虑，也是为了能够继续提供免费的 Tuta 账户服务。但如果您仍持有被删除账户的账号和密码，可以将其邮箱地址转移至另一付费账户名下，作为邮箱别名或用户地址使用。

如需转移被删除账户的邮箱地址

1. 您需要创建一个付费邮箱账户（或使用您已有的付费 Tuta 账户）。
2. 登录您已被删除的账户。

3. 如上图所示，点击“帮助”。

4. 输入“目标账户地址”（如果您开启了双重验证，还需输入被删除账户的恢复代码）。

然后您就可以将被删除的地址添加为目标邮箱的别名或用户地址了。我们称之为地址合并。

注册时，您的私人密钥和公用密钥将在浏览器本地生成。您的私人密钥与您的密码一起加密。这样，您的登录密码就获得了私人密钥的地位。密钥的加密强度非常高，只有您才能使用密钥加密和解密数据。因此，一个强大的密码至关重要。客户端上的自动密码检查可确保您使用强密码。您的密码绝不会以纯文本形式传输到服务器。密码经过加盐处理，然后在您的设备上用 Argon2 本地散列，这样服务器和我们都无法获取您的密码。通过这一创新设计，您可以从任何设备（台式机、手机）轻松访问加密收件箱。

Tuta不会在您打开电子邮件时自动加载图片。当您手动加载外部图片时，请注意

*有人知道您阅读了电子邮件。
*有人可能会在您的浏览器中添加cookies（如果您的浏览器没有配置为拒绝它们）。
*有人可能会用您的IP地址跟踪您的位置。
*有人可能会跟踪您的设备的参数。

这里我们解释如何显示外部图片。请阅读这里，我们如何确保你可以使用Tuta作为一个匿名电子邮件服务。

我们要求所有邮件都要经过认证。如果没有认证，电子邮件可能来自任何人，或者可能被修改，所以你应该始终谨慎对待此类电子邮件。如果你看到一封认证失败的邮件（红色警告标识），你应该特别小心，因为这意味着这封邮件很可能是伪造的。

网络钓鱼是一种名称或类型的在线骗局，犯罪分子试图看起来像一个合法的发件人，以获得你的数据，如证书或信用卡数据。钓鱼者使用非常复杂的心理技术，并开发出非常逼真的真实网站和电子邮件的副本。

如果你看到一个钓鱼横幅，这意味着在其他用户报告类似的电子邮件是钓鱼行为后，这封电子邮件的某些部分符合我们的钓鱼签名。请对此类邮件格外小心。通常情况下，网络钓鱼邮件包含一个特殊的网站链接，看起来很真实，但实际上却不是。如果你认为该邮件是合法的，并且你打开了链接，请确保检查完整的网站URL：检查你是否看到了全部内容，有时只有一部分或一个字符可能被调换。这里有更多关于如何防止电子邮件钓鱼攻击的信息。

你可以将电子邮件标记为非钓鱼，这样你就不会再看到这封电子邮件的警告信息。

我们从不向你发送带有链接的电子邮件，你需要输入你的密码。我们鼓励你总是用2FA来保护你的登录凭证，因为这使得攻击者几乎不可能登录你的账户。

如果你已经陷入了网络钓鱼攻击，请查看这个常见问题。

Tuta的服务器位于德国的一座安全且拥有ISO27001认证的数据中心，所有的数据都受德国严格的隐私法律保护。另外，所有数据都是端到端加密的，服务商Tutao公司或其他第三方都无法访问。

是的。你可以在设置->登录下查看和远程关闭正在进行的会话。

查看我们的How-to，了解如何启用存储已关闭的会话，以监测其他人是否有机会访问你的账户。为了保证用户的隐私，我们已经实现了以下功能：

• IP地址是加密存储的，只有用户可以解密这些信息。没有其他人--甚至是我们Tuta--可以访问这些信息。
• IP地址只存储一个星期，然后自动删除。

我们加密所有数据（通讯录，邮件，邮件签名，收件箱规则，账单信息，付款方式，证书以及你自有域名的私钥）。当发送一封邮件的时候， Tuta 将自动加密标题内容和附件。

**你可以找到一个具体的页面关于 Tuta 是怎么加密我们的加密邮件 **

我们只能读取以下的元数据：

• 发件人
• 收件人
• 邮件时间

同时我们也在努力将来隐藏元数据。

感谢您花时间报告漏洞。如果您发现任何安全问题，请给我们发送电子邮件，用英语或德语写一份详细的报告，以便我们修复这些问题。

我们 Tuta 会尽最大努力确保您邮箱的安全。Tuta 代码是开源的，发布在 Github 上，我们邀请所有安全专家对其进行审查。

你可以用密码、图案或生物识别技术（指纹、Face ID等）来保护存储的应用程序登录。请到设置->登录->解锁方法来激活这个。

这个选项只有在您在Tuta应用程序中存储了您的登录凭证后才会显示。登录后勾选 "存储密码 "复选框，以存储您的登录凭证。

Tuta 会从多个方面检测您的密码强度是否适合用于加密邮箱。您也可以在这里了解如何设置高强度的密码。

Tuta 对密码长度和所用字符没有要求，任何 Unicode 字符都可以使用。

如果你点击 "注销"，你就注销了。请注意：如果您之前保存了密码，您现在已经注销了，但密码仍被保存，以便自动登录。要'取消'密码，请登出。出现登录屏幕，点击'更多'和'删除凭证'。

一个安全的密码是一个足够随机的密码，在可行的时间内无法被猜到。但随机的字母数字字符串很难记。这就是为什么我们实现了一个口令生成器，在安全性和记忆性之间找到了一个很好的平衡。生成器从一个庞大的策划列表中选择六个简单的词，并输出一个既安全又容易输入和记忆的口令。 这里有更多关于如何创建和记住一个强大的密码的提示。

您的密码在传输到 Tuta 之前，会在您的设备上使用 Argon2 进行加盐和散列处理。Argon2 是最可靠的方法，因为与 MD5 或 SHA 等传统方法相比，暴力攻击需要更多的时间。 通过这种方法，我们保证了综合保密性，并允许您从台式机和移动设备上即时访问和解密您的电子邮件。

不能，当密码用于授权（登录）时，没有必要让授权服务器知道密码，让其收到您密码的指纹（哈希值）就够了。访问Tuta时，您的授权哈希值通过您的浏览器计算得出，并且只有该哈希值被发送给服务器。您的密码不会在网络上以明文传送，服务器也无法获取密码。因为哈希运算是不可逆的，服务器不可能从哈希值倒推您的密码。这样服务器就能在不能解密您的信息的前提下做到可以让您登录。

推荐的进一步阅读：了解Tuta如何自动化加密过程同时让您完全掌握加密数据.

如果此时你仍可登录账户，但觉得密码可能已经泄露，请执行以下操作：

• 在“设置”->“登录”->“密码”中修改密码。
• 在“设置”->“登录”->“恢复码”中更新恢复码。

如果攻击者此前已登录，修改密码的操作将会自动将其踢出。

我们鼓励你使用 2FA，因为这可以让攻击者几乎不可能登录进入你的账户。

如果你再也不能登录，请参考这个 FAQ。

进入 "设置"-"登录"，点击 "恢复密码 "旁边的钢笔符号，显示密码或更新密码。要做到这一点，你需要输入密码。