Bei gmail ist dies auch explizit bekannt und man räumt dem Anbieter das Recht ein, das Postfach automatisiert zu durchsuchen für bessere Werbevorschläge wobei diese Praxis in 2017 aufgegeben wurde.
Weitere Zugriffe betraf Apps denen man Zugriff auf sein Konto gab.
Für eine gezielte individuelle Attacke gebe ich dir recht aber dann sollte man komplett auf dezentrale Infrastukturen setzen und nicht auf einige wenige große Anbieter. Genau so ließe sich gegen Outlook argumentieren als vermutlich weltweit verbreitetster Mailclient oder allgemein Office... auch wenn da jeder User seine Mails per POP3 nur lokal hat wäre eine gravierende Lücke in der Software fatal.
Schränkt aber auch eben massiv die moderne Bequemlichkeit ein, wenn man seine Mails auf mehr als einem Endgerät durchsuchbar und verfügbar haben möchte.
@halwe Als seriöser Provider würde ich die jeweiligen Nutzdaten (Email, Kalender, Kontakte, Dateien, etc) asymmetrisch verschlüsseln und das Kennwort des Anwenders als Schlüssel verwenden. Würde dann meine Infrastruktur kompromittiert werden so kann ein Angreifer sich da zwar ausstoben aber ohne die Kennwörter des jeweiligen Endnutzers gibt es kein Zugriff auf die Daten. Posteo als Beispiel bietet dies z.B. explizit an:
https://posteo.de/en/help/how-do-i-activate-posteo-crypto-mail-storage und andere Anbieter ggf. auch.
Wie so oft sind für Werbefirmen wie Google jedoch die Metadaten viel interessanter, sprich wer wann mit wem und wie viel Kontakt hat und von wo aus und dies kannst auswerten ohne den Inhalt der Mails zu lesen. Auch ist es als Betreiber von Mailservern problemlos möglich alle ein- und ausgehenden Emails zu duplizieren und wegzusichern. Da hilft dann auch kein Abruf per POP3 da die Mail ja trotzdem durch die Mailserver von $Anbieter geht bevor sie in das Postfach gelangt.
Die Frage ist also: Wie wahrscheinlich ist es, dass $Anbieter ohne Einwilling und mag sie auch noch so verklausuliert sein in den AGBs deine Daten auswertet und dieses Risiko eingeht oder eben nicht. Facebook & Co haben nicht umsonst letztes Jahr oder so ne größere Werbekampagne gestartet um zu zeigen, dass es Privatsphäre Einstellungen gibt. Das Problem ist da eher, dass die Standardeinstellungen eben nicht restriktiv sind sondern eher offen und der durchschnittliche User keine Lust hat sich damit zu beschäftigen.
Entweder vertraust du deinem Anbieter, dass dieser seine Plattform nicht missbraucht oder eben nicht. Wenn nicht sollte man sich aber überlegen warum man diesen Anbieter dann noch nutzt oder man ist sich den Risiken bewusst und verschlüsselt konsequent alle Nutzdaten, dann bleiben dem Anbieter "nur" noch die Metadaten.
Ist aber kein reines Mailproblem sondern auf jedwede Kommunikation ausweitbar. Entweder ich vertraue meinem ISP, dass dieser meine Surfgewohnheiten nicht ausliest oder gar manipuliert oder eben nicht. "Billigster" Lösungsansatz mit dem meisten Marketing sind irgendwelche VPN-Anbieter aber damit verlagere ich das Problem nur. Mein ISP sieht dann zwar nix brauchbares aber dafür sowohl der VPN-Anbieter als auch dessen ISP. Bessere Lösung wäre dann also eine end-to-end Encryption zum eigentlichen Kommunikationspartner. Beim Surftraffic hat sich da TLS/https etabliert. Damit sind nur noch Metadaten bekannt (meine IP als Quelle und IP des Servers).
