匿踪:从 Proton Pass 开始

匿踪:从 Proton Pass 开始

这篇文章应该早就应该出现了,但是由于本人太懒,直到现在才发出来 🤪,Proton mail 我已使用一年之久,免费、安全、稳定、可靠、值得信赖! 我的许多付费、重要的服务全面由它接管,好了,废话不多说,我们直接开始!

我们在使用互联网服务时,经常需要用邮箱注册各种账户。但每次用自己的真实邮箱,就相当于在各个平台留下了一个可以追踪我们身份的 “足迹”。今天我们就来聊聊 Proton 家族如何帮我们优雅地管理这些足迹。

全网最全介绍 proton——免费、安全、匿名邮箱,原理解释、注册及使用教程 | B 站

「黑科技」这才是邮箱隐藏的真正玩法! | B 站

一、Proton 家族:一个值得信赖的隐私保护体系

在深入了解邮箱别名之前,我觉得有必要先介绍一下我们使用的这套工具背后的公司和技术。

1. Proton Mail:我们的安全邮箱

Proton Mail 是我们主要使用的加密邮箱服务,地位相当特殊:

  • 总部位于瑞士:说到隐私保护,就不得不提瑞士。作为永久中立国,瑞士有着 全世界最严格的隐私法律——《瑞士联邦数据保护法》(FADP) 被广泛认为是全球对个人隐私保护最有力的法律之一。相比美国的《爱国者法案》允许政府大规模监控,瑞士法律对用户数据的保护可以说是 “铁板一块”。

  • 端到端加密:Proton Mail 采用 端到端加密技术,这意味着只有我们自己能读取邮件内容——即使 Proton 自己也无法查看我们的邮件。这种加密方式最初是为了 军事通信 设计的,如今我们普通用户也能享受到同级别的保护。

  • 无日志政策 (No-Log Policy):Proton 承诺不会记录我们的使用日志。这意味着即使有一天政府要求 Proton 提供用户数据,他们实际上也没有任何有价值的信息可以交付。对于真正注重隐私的人来说,“无日志” 不是一句口号,而是实实在在的安全承诺。

  • 开源与审计:Proton Mail 的加密代码是 开源 的,并经过第三方安全审计。这让我们可以验证他们的安全承诺不是空话——任何人都可以去检查代码是否真的按照他们说的那样工作。

2. Proton Pass:我们的密码保险箱

Proton Pass 是一密码管理器,它不仅仅是一个 “密码存储盒”,还深度集成了邮箱别名功能:

  • 除了保管我们的各种密码,它还内置了 hide-my-email 功能,这就是我们今天要详细讨论的别名系统
  • 支持浏览器扩展和手机 App,无论我们在哪里上网都能方便使用
  • 免费版已经包含了核心功能,付费版则解锁无限别名等高级特性

3. SimpleLogin:邮箱别名技术的起源

SimpleLogin 是一个 开源的匿名邮箱别名服务,2022 年被 Proton 收购:

  • 它最初就是为了解决 “如何在保护隐私的同时注册各种服务” 这个问题而诞生的
  • 被 Proton 收购后,SimpleLogin 的核心技术直接成为 Proton Pass hide-my-email 功能的后端引擎
  • 简单来说,我们在 Proton Pass 里创建的每一个别名,背后都是 SimpleLogin 在提供服务

4. 这三者的关系

打个比方帮助大家理解:

  • Proton Mail = 我们的安全住宅(接收所有重要邮件的地方)
  • Proton Pass = 我们的智能门禁系统(管理 访问权限,包含别名功能)
  • SimpleLogin = 门禁系统的核心加密芯片(提供别名的 底层技术支持

我们用 Proton Pass 创建别名时,实际上是通过 SimpleLogin 的服务生成了一个独立的邮箱地址,所有发到这个地址的邮件都会被 转发 到我们的 Proton Mail。平台只知道我们的别名,不知道我们的真实邮箱,而 SimpleLogin 的 “永不重用” 政策确保了这个别名永远不会落入他人之手。

二、什么是别名邮箱及其工作原理

1. 别名邮箱是什么?

简单来说,别名邮箱就是一个替身邮箱。当我们注册某个网站时,不给他们我们的真实邮箱,而是给一个别名地址。网站只知道这个别名,不知道我们的真实身份和主要邮箱。

举个例子:我们的真实邮箱是 alice@proton.me,但在注册某个论坛时,我们给的是 x7k9m2@passmail.net。论坛记录的是 x7k9m2@passmail.net,而不是 alice@proton.me

2. 工作原理

Proton Pass 的别名工作流程如下:

  1. 创建别名:我们在 Proton Pass 中一键生成一个新的别名地址,比如 random@passmail.net
  2. 邮件转发:所有发送到这个别名地址的邮件,都会被 自动转发 到我们的主 Proton Mail 收件箱
  3. 平台记录:我们注册的平台只记录了这个别名地址作为 “联系邮箱”
  4. 身份隔离:平台无法通过别名追踪到我们的真实邮箱或身份

这就好比我们在小区门口设置了一个代收点(别名),快递员(网站)把包裹(邮件)送到代收点,我们再从代收点取回来。快递员不知道我们住哪栋哪户(真实邮箱),只知道代收点的地址。

3. 别名可以做什么?

  • 注册账户:用别名注册不重要的网站或 App,避免真实邮箱暴露
  • 防止垃圾邮件:如果某个网站开始发送垃圾邮件,我们直接禁用或删除那个别名即可,不会影响真实邮箱
  • 追踪数据泄露:如果我们的别名开始收到垃圾邮件,就能推断是哪个网站泄露或出售了我们的数据
  • 保护隐私:在论坛、评论区等公开场合,用别名而不是真实邮箱,避免被追踪

三、核心差异:Proton Pass 别名 vs 临时邮箱

这两者虽然都能隐藏真实邮箱,但 本质完全不同

1. 临时邮箱:一次性工具,用完即丢

临时邮箱(如 10MinuteMail、TempMail 等)的设计目标是提供 短期有效 的邮箱地址。这类地址通常在几分钟到几十小时后自动失效,之后就无法再接收任何邮件。它的逻辑是“用后即焚”,适合只需接收一次验证码、注册后不再需要管理的场景。但“短暂”也带来了特有的安全隐患:

  • 地址可能被回收重用:部分临时邮箱服务为了节省地址资源,会在过期后将同一个地址重新分配给其他人。如果对方碰巧注册了我们注册过的平台,系统会提示“邮箱已存在”,对方就可以通过忘记密码重置我们的账户,所以 千万不要在临时邮箱账户中留存任何个人信息
  • 共享收件箱风险:某些临时邮箱的收件箱是公开共享的——任何人都能在输入相同地址后,看到该地址收到的所有邮件。这意味着我们的验证码、重置链接可能被他人随时查看,账户接管的风险高。

2. Proton Pass 别名:持久可控,终身独占

Proton Pass 内置的 hide-my-email 别名,本质上是一个 持久、可由我们完全控制 的转发地址。它没有自动过期的机制,我们可以 无限期 使用它,并且只有在我们手动禁用或删除后,邮件转发才会停止。最关键的区别在于 所有权和生命周期

  • 主动控制:别名是否有效由我们自己决定,而不是服务端预设的倒计时。我们可以让一个别名正常工作多年,直到不再需要它。
  • 永不重用:当删除某个别名后,Proton 和 SimpleLogin 会将它移入“全球垃圾桶”,并确保这个地址 永远不会再被任何人(包括你自己)创建和使用。这是官方明确承诺的安全政策,从根本上杜绝了地址被回收、导致账户被他人接管的可能。

3. 失效后果:表象相似,本质不同

无论是删除 Proton Pass 别名,还是临时邮箱过期,从外部平台的角度看,效果是相同的:它们记录的那个邮箱地址“失效了”,邮件可能会被退回。平台账户本身不会因此发生任何变化。但对我们而言,两者的安全含义天差地别:

  • 使用 Proton Pass 别名:删除后,我们只是切断了接收邮件的通道。因为地址在被删除后永不重用,任何人都不可能重新控制这个地址来重置我们旧账户的密码。旧账户将成为一具安全的“僵尸账户”。
  • 使用临时邮箱:地址过期后,如果服务商回收并重用了该地址,我们的旧账户就面临被他人接管的直接风险。别人可以通过这个邮箱重置密码,从而访问和修改我们的账户信息。

所以,若你的目标是安全地抛弃一个账户,Proton Pass 别名删除后能提供一个“干净的切断”,而很多临时邮箱则留下了一条可能通向账户接管的隐线。

四、删除别名,平台账户会怎样?

一个常见的误区是:以为删除了注册用的邮箱,平台账户就会自动消失。事实并非如此。删除或禁用 Proton Pass 别名,不会导致我们用其注册的任何平台账户被自动注销或删除,那些账户会继续完整地存在于对方的服务器上。

1. 为什么会这样?

用任何一个邮箱注册平台时,对方只是在它的 数据库 里记录了这个邮箱字符串,作为我们的“联系邮箱”或“登录账号”。平台不会,也无法实时监控这个邮箱在第三方服务(比如 Proton)那里是否仍然有效。我们在自己邮箱服务端的删除操作,平台毫不知情。

2. 禁用和删除分别有什么实际影响?

  • 禁用别名

    • 邮件转发会立即停止,所有发往此别名的新邮件都会被 退回(bounce)给发件人,不会再进入我们的 Proton Mail 收件箱。
    • 历史邮件不受影响,依然可以在 Proton Pass 中查看过去转发的邮件。
    • 其他平台账户当然还在,但无法收到来自该平台的任何新通知、验证码或密码重置邮件。

  • 删除别名

    • 别名被永久移除,不可恢复,发往此地址的邮件会因“地址不存在”而被退回(bounce)。
    • 该别名的转发日志和本地元数据也会一并清除,但已经转发并存储到自己 Proton Mail 主邮箱中的邮件不受任何影响。
    • 同样,平台账户毫发无损,依旧可以用原来的密码登录(如果记得密码)。但一旦忘记密码,通过邮箱找回的途径就彻底关闭了。长远看,极少数平台可能会因为长期不活跃加上多次邮件退信,最终清理账户,但这非常罕见且耗时漫长。

3. 这对我们意味着什么?

  • 如果只是想 阻止某个平台继续发送邮件(比如垃圾订阅),禁用别名是更优选择。它保留了历史邮件,并且可以在未来需要时重新启用,相当于一个可控的开关。
  • 如果决定 彻底废弃某个账户,删除别名可以实现“干净的切断”,因为地址永不重用,所以旧账户信息不会因邮箱被回收而泄露。
  • 始终牢记:邮箱只是账户的一个入口钥匙,而不是账户本身。 就算把钥匙扔了,那个房间(我们的账户)依然存在于平台的数据库里,只是我们再也无法通过“邮箱”这扇门进去了。

五、别名地址会被他人 “捡走” 吗?

这个担忧完全合理,这种场景确实是一种潜在的账户接管风险(account takeover),但它是否会发生,取决于我们使用的具体邮箱服务类型。

1. Proton Pass(或 SimpleLogin)别名的情况:几乎无此风险

Proton Pass 的 hide-my-email 别名(基于 SimpleLogin 技术)设计时就考虑了这种攻击向量。

  • 每个别名地址是 全局唯一 的,一旦我们创建,它就 只属于我们
  • 如果我们删除别名,Proton/SimpleLogin 会把它放入 “全球垃圾桶”,并明确确保这个地址永远不会被其他人重用(can’t be reused)。这是官方政策,目的是防止别人创建相同地址后收到我们的旧邮件,或进行账户接管。
  • 因此,别人不可能 “拿到和我们一样的” 别名地址来注册同一个网站。他们即使尝试创建,也会失败(地址已被永久保留在全球公用垃圾桶中)。
  • 所以我们的旧账户信息不会因为别人重置密码而泄露。别人即使知道那个地址,也无法控制它(因为邮件不会转发给任何人,通常会直接退信)。

这是 Proton/SimpleLogin 的核心隐私优势之一,比普通临时邮箱安全得多。

2. 普通临时邮箱的情况:风险确实存在

临时邮箱服务五花八门,风险差异很大,我们的场景可能发生:

1. 共享型临时邮箱

如 YOPmail、Guerrilla Mail 等:收件箱是公开共享的!任何人输入同一个地址(如 abc@yopmail.com),都能看到同一个收件箱的所有邮件。这风险最高——别人随时可能看到我们的验证码、重置链接,直接接管账户。

2. 随机生成型临时邮箱

如 Temp-Mail、10minutemail、Mohmal 等:地址一开始是独占的,但过期后:

  • 有些服务会回收重用地址(别人后来可能生成或拿到相同的)
  • 如果别人正好拿到相同的地址,注册时网站会提示 “邮箱已存在”,然后他可以点击 “忘记密码” → 发送重置链接 → 如果他控制了这个临时邮箱,就能收到链接 → 重置我们的密码 → 访问/修改我们的账户信息(包括个人信息、历史订单等)

3. 实际风险程度

  • 如果临时邮箱很快过期且不重用,风险较低(别人很难正好撞上同一个)
  • 但很多服务为了节省资源,会重用地址,或者地址池子小,碰撞概率不低
  • 一旦发生,我们的账户信息就可能泄露(尤其是如果平台没有额外验证,如手机号绑定)

这种风险在隐私社区被广泛讨论,正是为什么很多人推荐用 Proton Pass/SimpleLogin/Addy.io 等 “持久别名服务” 代替纯临时邮箱。

六、附录:SimpleLogin “永不重用” 官方政策

这个政策是真实的且可信的。Proton Pass 的 hide-my-email 别名在删除后,会被放入 “global trash”(全球垃圾桶),并明确确保该别名地址永远不会被任何人重用(包括原创建者或其他用户)。

1. 官方说明与来源

这个政策直接来自 SimpleLogin 的官方文档和 FAQ(Proton Pass 的别名功能完全继承自 SimpleLogin,后端共享):

“When an alias is deleted, it’s put into a global trash and we make sure that it can’t be reused.”
(当别名被删除时,它会被放入全球垃圾桶,我们确保它无法被重用。)

“To avoid a deleted alias from being reused by another user, a deleted alias is moved to a global ‘trash’ and SimpleLogin make sure no one can reuse a deleted alias.”
(为了避免删除的别名被其他用户重用,它会被移到全球垃圾桶,SimpleLogin 确保没有人能重用它。)

2. 主要官方来源

  • SimpleLogin FAQ:明确说明删除后的别名会进入“全球垃圾桶”,并防止重用;默认情况下,删除后有 30 天恢复期,之后永久移入垃圾桶。
  • SimpleLogin Privacy Policy:隐私政策中同样强调了别名的不可重用机制。
  • SimpleLogin 文档 - Delete an alias:详细解释了删除流程,并重申防止重用的安全设计。
  • SimpleLogin 官方 Reddit 子版块(r/Simplelogin,由 SimpleLogin/Proton 团队管理),团队多次在社区回复中反复确认该政策的真实性与执行情况。

3. 注意事项

  • “永不重用”政策主要适用于使用 SimpleLogin / Proton 默认域名 创建的别名,这也是 Proton Pass hide-my-email 功能的默认类型。
  • 如果使用 自定义域名(custom domain) 创建别名,删除后可以重新创建相同的地址(因为域名由用户自己控制),但历史邮件记录会被清空。
  • 早期(2020 年左右)曾有 GitHub issue 报告过别名恢复或重用的 bug,但该问题已被修复,目前政策严格生效并执行。

反观当下,国内超九成的服务都需要绑定手机号,而手机号与个人身份深度关联,这实际上构成了实名上网的框架,值得我们深思……

本文基于 SimpleLogin 官方文档及社区讨论整理,供我们在保护隐私的路上参考。