Ik las laatst een blog waarin er vluchtig gesproken werd over Soverin, een (relatief) nieuw bedrijf (het bestaat sinds 2014) dat e-maildiensten aanbiedt. Soverin zet zichzelf in de markt als een alternatief voor gratis e-mail, met een sterke focus op privacy. Van “gratis” naar “gracieus”, zoals ze dat zelf noemen.

Als je mij een beetje kent, dan weet je dat ik van dit soort nieuwe dingen altijd enthousiast wordt. Hun dienst uitproberen was dan ook een no-brainer. Ik vond het daarbij niet zo gebruiksvriendelijk dat je wordt verplicht direct voor een jaar een abonnement af te sluiten. Geen trial, geen maandabonnement. €29,- betaal je daarvoor, of €39 als je een eigen domeinnaam wilt gebruiken. Laten we eens kijken wat deze investering ons oplevert. We krijgen daarvoor het volgende:

• 25 GB opslag voor bijlagen
• Spamfiltering
• Mogelijkheid om oude e-mails te importeren
• Geen reclame
• Nederlands recht

Prima specificatie’s, en dat voor teruggerekend €3,25 in de maand. Goed betaalbaar dus. Daarnaast bieden ze binnen 30 dagen ook een niet-goed-geld-terug garantie.

Pluspunten

Dit zijn de pluspunten die mij het meest opvielen. Soverin heeft zelf ook een pagina waar ze al hun voordelen beschrijven.

Geweldige huisstijl

De website van Soverin is ontzettend mooi. Met illustratie’s, heldere teksten & een leuke video wordt het product op mij over gebracht. Erg goed gedaan. (Ik vind het overigens daarbij wel jammer dat de webmail client een compleet andere stijl heeft).

Gebruiksvriendelijk aanmelden

Een account heb je zo gemaakt. Je hebt daarvoor alleen een telefoonnummer nodig. Soverin heeft bewust gekozen voor alleen een telefoonnummer ten overstaande van een eindeloos formulier omdat ze eigenlijk zo min mogelijk van je willen weten. Wat je niet hebt kun je namelijk ook niet verliezen. Dat is een goede best-practice.

Het aanmeldformulier is mooi en het aanmelden werkt erg gebruiksvriendelijk.

Mijn bezwaren

Ik vind dat Soverin met een hoop holle termen en zinnen duidelijk probeert te maken dat ze hun beveiliging en privacy op orde hebben.

Zo linkt Soverin op hun features pagina naar de SSLLabs score van hun marketingsite. Daar prijkt een A+ score, geweldig! Het zegt alleen dus vrij weinig. Het gaat hier om hun marketingsite, waar dus geen klantgegevens naartoe worden verstuurd. Gegeven, het dashboard en de webmail scoren ook een A+.

Gecomprimeerde backups

In een artikel waar ze de technische details van hun product uiteenzetten vertellen ze dat ze data encrypten en dat “Compressing the data makes it even harder to access. “. Als ze hun versleutelde backups comprimeren heeft dat geen zin, want versleutelde data is (in theorie) willekeurig waardoor het comprimeren (bijna) geen zin meer heeft. En als ze de data eerst comprimeren, en dan versleutelen, heeft dat voor zover ik kon vinden alleen maar nadelen qua veiligheid. Let wel; ik ben geen cryptografie-expert, maar ik kan geen bewijs vinden dat data comprimeren om het vervolgens te versleutelen de veiligheid van die gegevens bevordert.

Offices in the US

Nog zo’n claim van Soverin:

Our partners are carefully chosen within The Netherlands: we only work with companies that do not have branches or offices in the United States. This is because we want to keep things legally clear.

Ze gaan zelfs zo ver om te zeggen dat “we geen bedrijven kiezen [om mee samen te werken] die vestigingen of kantoren hebben in de Verenigde Staten”, om dingen “juridisch helder” te houden. Prima, maar waarom heeft het tweede bedrijf in het lijstje dan kantoren over de hele wereld— waaronder in de Verenigde Staten?

Niet dat het mij ook maar iets uitmaakt dat een leverancier van hun een kantoor in de US heeft, maar zet dan niet op je website dat dat niet zo is.

Een e-mailadres “dat echt van jou is”

Soverin claimt dat bij hun je e-maildres van jou is— blijkbaar meer dan dat dat bij andere partijen het geval is. Als extra service kun je je domeinnaam ook via Soverin registreren. Erg handig.

Maar, ze registreren het domeinnaam met de gegevens van Soverin. Juridisch gezien is het domeinnaam dan dus van Soverin B.V., niet van jou. Daar heb ik verder geen moeite mee, want in de praktijk zal dat geen probleem worden.

Uiteraard, dit is een beetje muggenziften. Maar als je jezelf verkondigt als “het” alternatief voor gratis e-mail en de eerste zin op je homepage “Een emailadres dat echt van jou is” is, vind ik dat je dit soort zaken gewoon helemaal goed geregeld moet hebben.

De 2FA set-up is de minst gebruiksvriendelijke die ik ooit heb gezien

Veel websites maken voor 2FA-authenticatie (“tweefactor-authenticatie”) gebruik van zogenaamde TOTP-codes (Time-bases One Time Passwords). Je scant met je telefoon een QR-code en ontvang vervolgens een 6-cijferige pincode. Die moet je vervolgens telkens als je inlogt weer invullen. Zo is je account beveiligt met iets dat je weet (je wachtwoord) en iets dat je hebt (je telefoon).

Bij veel websites is dit eenvoudig in te stellen. Klikken op activeren, QR-code scannen, code opgeven ter controle en klaar. Soms kun je ook een aantal herstelcodes downloaden voor het geval je je telefoon verliest.

Onderstaand het instellingenscherm voor de 2FA-authenticatie van Soverin. Mijn moeder gaat dit niet zelf in kunnen stellen.

Ik heb Soverin hier ook over getweet, hun reactie was dat dit de standaard manier is waarop hun softwarepakket het levert. Niet om flauw te zijn, maar ik vind dat niet mijn probleem. Soverin claimt gemaakt te zijn om mijn gegevens en privacy te beschermen en om dat heel gemakkelijk te maken. Maak dat dan ook waar.

Kwalijker dan de gebruiksvriendelijkheid; 2FA voegt in dezen niks toe

Door de manier waarop Soverin 2FA heeft geïmplementeerd ben ik van mening dat het in dezen he-le-maal niks toevoegt. Waarom? Omdat de 2FA alleen geldt voor de webmail client van Soverin. Dat betekent dus dat je via IMAP nog steeds met alleen de gebruikersnaam en het wachtwoord van een gebruiker bij al zijn e-mail kunt.

Als een beveiligingsmiddel alleen gegevens beschermd als je ze via een bepaalde manier benadert, maar er via een andere wijze alsnog bij kunt, vind ik dat geen goed beveiligingsmiddel.

Soverin is hier in een supportartikel wel eerlijk over. Er staat dat de 2FA alleen voor de webmail geldt, maar ik snap niet waarom je het dan überhaupt zou activeren. Via Twitter geeft Soverin wel aan binnenkort een beta uit te willen uitrollen met “echte” 2FA.

Het product lijkt niet helemaal af

Door sommige gekkigheden in de UI van Soverin lijkt het product niet helemaal af. Om te beginnen bij het licht aangepaste Roundcube thema dat Soverin voor hun webmail client gebruikt. Ik vond dat toch jammer, na zo’n mooie huisstijl op de marketingsite. Het lijkt me betere UX als het product mooier is dan de marketingsite, in plaats van andersom

Los van het uiterlijk, over smaak valt niet te twisten, is het ook gewoon niet af. Kijk even met me mee terwijl ik mijn agenda probeer te openen.

Oops… something went wrong. If this keeps happening please log a support request. For now if you want to access the calendar, please go to webcal.soverin.net

Gaat er iets mis? Hoort dit? Geen idee.

“Van gratis naar gracieus”? Hmm..

Auto-setup voor Apple apparaten

Apple biedt een handige manier om apparaten te configureren, de zogenaamde .mobileconfig -bestanden. Het zijn feitelijk gewoon tekstbestanden (XML om precies te zijn) waar configuratiegegevens in kunnen staan. Bedrijven gebruiken het bijvoorbeeld om apparaten van medewerkers in bulk in te stellen.

Het is ook heel handig om als particulier snel je e-mail in te stellen. Even een profiel downloaden, je e-mailwachtwoord opgeven en klaar! Soverin biedt het ook aan, maar niet op een gracieuze manier.

Als je via de portal van Soverin het bestand download wordt het bijvoorbeeld al gedownload als .xml-bestand, niet als .mobileconfig-bestand. Als ik daar op klik wordt bij mij Xcode geopend, bij een ander wellicht de teksteditor of iets dergelijks. Ik moet nu handmatig de bestandsextensie gaan hernoemen naar .mobileconfig om het bestand met systeemvoorkeuren te kunnen openen.

Als ik dat heb gedaan krijg ik van mijn Mac de waarschuwing dat “het niet mogelijk is te controleren wie dit profiel heeft gemaakt”. Soverin heeft het profiel namelijk wel ondertekend, maar alleen met het “leaf” certificaat, niet met de “chain” van het certificaat. Je hoeft niet precies te weten wat het betekent, maar je kunt onthouden dat het essentieel is om de echtheid van certificaten te kunnen vaststellen. Als je er meer over wilt weten kun je googelen op “How do SSL chains work?” of bijvoorbeeld eens deze video bekijken.

Áls je het al voor elkaar krijgt om het configuratiebestand te openen en alle waarschuwingen negeert wordt ook alleen je e-mailaccount geconfigureerd. Niet je agenda en contacten, dat moet je nog steeds handmatig doen, terwijl dat ook met een mobileconfig bestand kan worden ingesteld.

De auto-setup kan fantastisch werken, maar dan moet het wel correct zijn geïmplementeerd.

Soverin, als jullie meelezen:
openssl smime -sign -signer cert.pem -inkey key.pem >>>> -certfile chain.pem <<<<<< -nodetach -outform der -in soverin.mobileconfig -out soverin_signed.mobileconfig

Conclusie

De gedachte achter Soverin is mooi. Een privacyvriendelijk alternatief voor je gratis e-mail voor de prijs van een cappuccino in de maand. Het product daarentegen lijkt nog niet helemaal af en sommige claims op hun website zijn feitelijk onjuist of verwarrend.

Zou ik Soverin aanraden? Jazeker, maar niet aan iedereen. Ik denk dat eenieder die momenteel een gratis e-mailprovider gebruikt, voor meer privacy wil gaan en het belangrijk vindt dat de provider in Nederland is gevestigd baat zou hebben bij Soverin. Je gaat er op sommige vlakken echter wel op achteruit, daar moet je in je overweging rekening mee houden. Bekijk bijvoorbeeld ook eens wat alternatieven.

Ga ik zelf overstappen? Nee. Voor mij wegen de voordelen niet op tegen de nadelen. Ik zeg nooit nooit, Soverin heeft zeker potentie. Ik blijf het volgen.