Índice
- Por que a privacidade do email é mais difícil do que parece
- Verificação da realidade de auto-hospedagem
- Análise aprofundada do ProtonMail
- Análise aprofundada do Fastmail
- Matriz de comparação: 10 critérios
- Calculadora de TCO real para auto-hospedagem
- Recomendações por perfil
Por que a privacidade do email é mais difícil do que parece
O email é um protocolo de 40 anos projetado numa era em que os nós da rede confiavam uns nos outros por padrão. SMTP, a camada de transporte, foi definida no RFC 821 em 1982. IMAP apareceu em 1986. Nenhum foi construído para confidencialidade — ambos foram construídos para entrega.
As consequências práticas ainda são sentidas em 2026. Um email em trânsito passa por, no mínimo, dois servidores SMTP (relevo de saída do remetente, MX de entrada do destinatário) e frequentemente três a cinco (relevos intermediários, gateways antispam, dispositivos de arquivamento). Em cada salto, a mensagem completa — cabeçalhos, corpo, anexos — é acessível ao operador do servidor, a menos que a encriptação TLS proteja o salto e a encriptação de conhecimento zero proteja o conteúdo.
Os cabeçalhos não são protegidos por S/MIME ou PGP. Metadados — remetente, destinatário, assunto, carimbos de data/hora, endereços IP registrados por servidores de email — viajam em texto simples no envelope SMTP mesmo quando a encriptação do corpo da mensagem está ativa. Uma agência governamental com acesso legal a um único relevo pode reconstruir gráficos de comunicação sem nunca ler o conteúdo da mensagem.
Anexos ampliam a exposição. Um PDF de 10 MB anexado a uma mensagem não encriptada fica no servidor IMAP do destinatário indefinidamente em texto simples. A maioria dos sistemas de email corporativos nunca expira anexos. Retenções legais rotineiramente preservam anexos de email por 7–10 anos.
Acesso compelido pelo governo tornou-se a linha de base operacional para modelagem de ameaças. O US CLOUD Act (2018) permite que as autoridades dos EUA obriguem empresas americanas a produzir dados armazenados em qualquer lugar do mundo. O Assistance and Access Act da Austrália (2018) pode obrigar os provedores a construir mecanismos de acesso. O UK Online Safety Act (2023) cria vetores semelhantes. A jurisdição não é uma nota de rodapé — é uma variável técnica primária.
As três opções que este artigo cobre — auto-hospedagem, ProtonMail e Fastmail — abordam essas ameaças de maneiras fundamentalmente diferentes. Compreender as compensações requer olhar para a pilha, não apenas para a página de marketing.
Verificação da realidade de auto-hospedagem
Auto-hospedar email significa que você opera os servidores SMTP e IMAP. A pilha mais comum em 2026 é Mailcow (orquestração Docker Compose de Postfix, Dovecot, Rspamd, ClamAV, SOGo, Nginx) ou Mailu, uma alternativa mais leve. Ambos são projetos de código aberto mantidos com comunidades ativas.
A configuração está documentada. A manutenção não.
A reputação do IP é o maior custo contínuo. Endereços IP de VPS novos da Hetzner, Vultr ou OVH começam com reputação neutra. Dentro de semanas de envio, a reputação é construída ou destruída por métricas de entrega. Uma única taxa de reclamação de spam acima de 0,1% faz com que o Gmail limite seu email de saída. O Outlook/Hotmail usa listas de bloqueio de IP que exigem pedidos de remoção manual com tempo de resposta de 48–96 horas. Em 2024, o Google e o Yahoo exigiram a aplicação do DMARC para remetentes em massa. Remetentes não conformes enfrentam rejeição automática, não entrega na pasta de spam.
A pilha de registros DNS que você deve configurar e manter:
| Registro | Finalidade | Recomendação de TTL |
|---|---|---|
| MX | Direciona email de entrada para o seu servidor | 3600 |
| SPF (TXT) | Autoriza IPs de envio | 3600 |
| DKIM (TXT, chave de 2048 bits) | Autenticação criptográfica do remetente | 3600 |
| DMARC (TXT) | Política para falhas de SPF/DKIM | 86400 |
| BIMI (TXT, opcional) | Indicador de marca na caixa de entrada | 86400 |
| PTR (DNS reverso) | IP → nome de host, configurado com o provedor de VPS | varia |
Acertar todos os seis no lançamento é alcançável. Mantê-los corretos através de migrações de servidor, rotações de chave e mudanças de IP requer atenção sustentada.
Imposto de tempo: estimativa honesta. Com base em dados da comunidade do r/selfhosted e vários fóruns de sysadmin pesquisados no Q1 2026:
- Configuração inicial (Mailcow num VPS limpo): 8–12 horas para um usuário experiente em Linux, 20–30 horas para um iniciante
- Manutenção mensal (atualizações, ajuste de regras de spam, monitoramento de filas, renovação de certificados, verificações de listas de bloqueio): 3–7 horas para um servidor tranquilo, 8–15 horas durante incidentes de entregabilidade
- Rotação anual de chaves e auditoria de segurança: 4–6 horas
Custo total anual de tempo: 55–100 horas/ano para uma implantação pessoal de domínio único.
O que você ganha em troca: soberania completa dos dados, sem dependência de fornecedor, limites de armazenamento arbitrários, filtros de spam personalizados e a capacidade de executar serviços adicionais (listas de discussão, email transacional) sem taxas por mensagem.
O que você arrisca: falhas de entregabilidade quando a reputação do IP se degrada, perda de dados se os procedimentos de backup falharem e tornar-se uma responsabilidade se o servidor for comprometido e usado para retransmitir spam.
Análise aprofundada do ProtonMail
O ProtonMail foi fundado em 2013 por pesquisadores do CERN e do MIT. A Proton AG está incorporada em Genebra, Suíça. Os servidores operam sob a lei federal suíça, especificamente a Lei Federal de Proteção de Dados (FADP revisada, em vigor desde setembro de 2023) e disposições do código penal que exigem uma ordem judicial suíça formal antes que qualquer dado possa ser divulgado.
Modelo de encriptação. O ProtonMail usa encriptação assimétrica OpenPGP para mensagens entre usuários do ProtonMail. Cada conta tem um par de chaves primário gerado no lado do cliente; a chave privada é encriptada com a senha da conta e armazenada no lado do servidor em forma encriptada. A Proton não pode desencriptá-la sem a senha. Para mensagens a destinatários externos (endereços não-Proton), o ProtonMail envia SMTP padrão — a encriptação de ponta a ponta só se aplica dentro do ecossistema Proton, a menos que você use o recurso opcional de mensagem protegida por senha, que gera uma chave simétrica separada compartilhada fora de banda.
Encriptação de acesso zero aplica-se a todo o armazenamento da caixa de entrada: mesmo mensagens externas encaminhadas são reencriptadas com sua chave pública na chegada. A Proton não pode ler mensagens armazenadas, independentemente de compulsão legal, porque não possuem as chaves de desencriptação.
Limites do modelo. O incidente de registro de IP de 2022 (Proton divulgou o IP de um ativista climático francês às autoridades suíças sob uma ordem judicial suíça válida) demonstrou que metadados — endereços IP, carimbos de data/hora de login — não estão sujeitos às mesmas proteções de acesso zero que o conteúdo das mensagens. A Proton introduziu subsequentemente uma opção estrita de não registro e recomendação obrigatória de roteamento VPN/Tor para usuários de alto risco.
Ponte IMAP permite o uso com qualquer cliente de email padrão (Thunderbird, Apple Mail, Outlook). A ponte funciona como um processo de fundo local, desencripta mensagens dos servidores da Proton e as reexpõe sobre IMAP/SMTP localhost. Funciona de forma confiável no macOS e Windows; o suporte para Linux é sólido a partir de 2024. A ponte está disponível nos planos Mail Plus, Proton Unlimited e Business — não no nível gratuito.
Preços (2026):
| Plano | Mensal (faturamento anual) | Armazenamento | Domínios personalizados | Usuários |
|---|---|---|---|---|
| Gratuito | €0 | 1 GB | — | 1 |
| Mail Plus | €3.99/mês | 15 GB | 1 | 1 |
| Proton Unlimited | €9.99/mês | 500 GB | 3 | 1 |
| Duo | €14.99/mês | 1 TB | 10 | 2 |
| Família | €23.99/mês | 3 TB | 10 | 6 |
| Negócios (por usuário) | €6.99/mês | 15 GB+ | personalizado | ≥1 |
Calendário, Drive e VPN estão incluídos no Unlimited e acima, tornando-o uma suíte de privacidade competitiva em vez de um produto apenas de email.
Entregabilidade. A Proton opera pools de IP dedicados com reputação mantida. A entregabilidade de saída para Gmail, Outlook, Yahoo e Apple Mail é consistentemente acima de 98% para mensagens transacionais e pessoais no monitoramento do PrivSec Lab (Q4 2025–Q2 2026).
Análise aprofundada do Fastmail
O Fastmail é uma empresa australiana (Fastmail Pty Ltd, Melbourne), fundada em 1999 — um dos provedores de email independentes mais antigos ainda em operação. Nunca foi adquirida por uma empresa de publicidade, o que é notável neste mercado.
Modelo de privacidade. O Fastmail não vende dados e não exibe publicidade. A privacidade é contratual e baseada em confiança, não criptográfica. Os dados em repouso são encriptados na camada de armazenamento, mas o Fastmail possui as chaves. Sob a lei australiana (Assistance and Access Act 2018, Telecommunications and Other Legislation Amendment Act 2018), o Fastmail poderia ser obrigado a produzir conteúdo em texto simples ou construir capacidades de interceptação. Eles publicaram um relatório de transparência reconhecendo essa realidade legal.
Para modelos de ameaça que não incluem adversários governamentais australianos — que é o cenário realista para a maioria dos usuários — o histórico operacional de privacidade do Fastmail é limpo.
JMAP. O Fastmail co-desenvolveu e executa o JMAP (JSON Meta Application Protocol, RFC 8620), a substituição moderna para o IMAP. O JMAP é stateful, suporta notificações push, agrupa operações de forma eficiente e tipicamente reduz a latência de sincronização em 40–60% em comparação com o IMAP para clientes móveis. No iOS e Android, os aplicativos nativos do Fastmail parecem significativamente mais rápidos do que o fluxo de trabalho dependente de ponte do Proton.
Pesquisa é um diferenciador significativo. A pesquisa de texto completo no Fastmail retorna resultados em menos de 300 ms para caixas de correio com menos de 50 GB. A pesquisa do ProtonMail requer desencriptação no lado do cliente e é limitada a metadados, a menos que você ative a indexação de pesquisa encriptada, que armazena um índice local encriptado — funcional, mas mais lento, particularmente em dispositivos móveis.
Conformidade com padrões. O Fastmail suporta IMAP4rev2, CalDAV, CardDAV, JMAP, filtragem do lado do servidor Sieve e submissão SMTP. Integra-se de forma limpa com praticamente todos os clientes de email, aplicativos de calendário e gerenciadores de contatos. Nenhuma ponte ou software especial é necessário.
Preços (2026):
| Plano | Mensal (faturamento anual) | Armazenamento | Domínios personalizados |
|---|---|---|---|
| Básico | $3/mês | 2 GB | 1 |
| Padrão | $5/mês | 30 GB | 3 |
| Profissional | $9/mês | 100 GB | ilimitado |
| Equipes (por usuário) | $5/mês | 30 GB | compartilhado |
O Fastmail é precificado em USD. Às taxas atuais de EUR/USD (~1.08), o Padrão é aproximadamente €4.63/mês — ligeiramente mais barato que o ProtonMail Mail Plus para mais armazenamento.
Entregabilidade. A reputação de IP do Fastmail é consistentemente forte. O monitoramento do PrivSec Lab mostra taxas de entrega de saída de 98.5–99.2% para provedores principais. A configuração de domínio personalizado SPF/DKIM/DMARC é tratada através do painel de controle deles com assistentes guiados — nenhuma construção manual de registros DNS é necessária.
Matriz de comparação: 10 critérios
| Critério | Auto-hospedado (Mailcow) | ProtonMail | Fastmail |
|---|---|---|---|
| Encriptação de ponta a ponta | Manual (PGP opcional) | Sim (Proton-para-Proton) | Não |
| Armazenamento de acesso zero | Sim (você possui as chaves) | Sim | Não |
| Jurisdição | Localização do seu VPS | Suíça | Austrália |
| Suporte IMAP | Nativo | Via Ponte (pago) | Nativo |
| Suporte JMAP | Não (roteiro Dovecot) | Não | Sim |
| Domínio personalizado | Sim | A partir do plano €3.99/mês | A partir do plano $3/mês |
| Qualidade do aplicativo móvel | Clientes de terceiros | Boa (aplicativo nativo) | Excelente |
| Calendário / contatos | SOGo (CalDAV/CardDAV) | ProtonCalendar | Sim (CalDAV/CardDAV) |
| Latência de pesquisa | Rápida (lado do servidor) | Lenta (desencriptação do cliente) | Muito rápida (lado do servidor) |
| Preço anual (1 usuário) | €144–216 (apenas VPS) | €48–120 | $36–108 |
| Entregabilidade (est.) | 85–96% (dependente do IP) | 98%+ | 98.5%+ |
| Qualidade antispam | Rspamd (configurável) | Gerido pelo Proton | Excelente, regras Sieve |
| Custo de tempo/ano | 55–100 horas | ~0 | ~0 |
Calculadora de TCO real para auto-hospedagem
O cálculo de custo de auto-hospedagem que a maioria dos posts de blog omite é o custo de oportunidade do tempo. Aqui está a análise completa para uma implantação pessoal típica de domínio único na infraestrutura da Hetzner em 2026.
Custos fixos (EUR/ano):
| Componente | Custo anual |
|---|---|
| Hetzner CX21 VPS (2 vCPU, 4 GB RAM, 40 GB SSD) | €89.76 |
| Registro de domínio (.com, Porkbun) | €10.00 |
| Armazenamento de backup fora do local (Backblaze B2, ~10 GB) | €14.40 |
| Certificado SSL | €0 (Let's Encrypt) |
| Monitoramento (UptimeRobot nível gratuito) | €0 |
| Total fixo | €114.16/ano |
Custos variáveis (a €40/h custo de oportunidade):
| Atividade | Horas/ano | Custo |
|---|---|---|
| Configuração inicial (amortizada ao longo de 3 anos) | 4–10 h | €160–400 |
| Manutenção mensal × 12 | 36–84 h | €1,440–3,360 |
| Resposta a incidentes (lista de bloqueio, entregabilidade) | 5–15 h | €200–600 |
| Auditoria de segurança anual | 4–6 h | €160–240 |
| Total variável | 49–115 h | €1,960–4,600 |
TCO anual total: €2,074–4,714
Com esses números, a auto-hospedagem só faz sentido econômico se:
- Você gosta de trabalho de sysadmin e faria isso de qualquer forma (custo de tempo = hobby, não custo)
- Você tem requisitos de conformidade que proíbem processadores de dados de terceiros
- Você está operando em escala onde o preço por usuário se torna significativo (tipicamente 100+ usuários)
Para um indivíduo ou pequena equipe consciente da privacidade, ProtonMail Unlimited (€119.88/ano) ou Fastmail Professional ($108/ano ≈ €100) é a escolha racional.
Recomendações por perfil
Paranoico — máxima privacidade, sem compromisso de conveniência
Use Mailcow auto-hospedado num VPS numa jurisdição em que você confia, atrás de uma VPN WireGuard ou serviço oculto Tor. Gere um par de chaves PGP RSA de 4096 bits ou Curve25519, e gerencie-o com o fluxo de trabalho baseado em GPG do nosso guia de gerenciadores de senhas CLI. Exija que todos os correspondentes usem PGP ou comuniquem-se via Signal. Aceite que seu endereço de email será praticamente inútil para receber emails de contatos não técnicos e serviços comerciais.
Este perfil é apropriado para jornalistas trabalhando com fontes confidenciais, ativistas em jurisdições de alta vigilância ou pesquisadores de segurança. Não é apropriado para quem valoriza entregabilidade ou conveniência.
Pragmático em privacidade — forte proteção, usabilidade no mundo real
Use ProtonMail (Mail Plus no mínimo, Unlimited se você quiser a suíte completa). A jurisdição suíça, armazenamento de acesso zero e encriptação E2E entre usuários Proton cobrem o modelo de ameaça realista para a maioria dos indivíduos conscientes da privacidade. Emparelhe com ProtonVPN — ou outra opção do nosso benchmark de VPN para usuários técnicos — para proteger metadados de IP. Use a ponte IMAP se preferir um cliente de desktop.
Custo: €3.99–9.99/mês. Custo de tempo: quase zero.
Divulgação: os links abaixo são links de afiliados. Se você se inscrever através deles, ganhamos uma comissão sem custo adicional para você.
Obter ProtonMail → Proton Mail (plano gratuito disponível) · Obter ProtonVPN → Proton VPN (plano gratuito — sem limite de largura de banda)
Foco em produtividade com forte privacidade básica
Use Fastmail Professional ou Fastmail para Equipes. Você obtém excelente entregabilidade, velocidade JMAP, integração CalDAV/CardDAV, filtragem do lado do servidor Sieve e um histórico de mais de 20 anos sem vender dados de usuários. A falta de encriptação E2E é uma limitação real, mas o risco de jurisdição australiana é teórico para a maioria dos usuários.
Custo: $5–9/mês. Custo de tempo: quase zero.
Minimalista — email é um mal necessário
Use um provedor de alias de email privado (SimpleLogin, addy.io ou os próprios aliases do Proton) para encaminhar para um endereço descartável. Aceite que você não tem essencialmente nenhuma privacidade de email para emails recebidos de remetentes desconhecidos, e use Signal/Matrix para qualquer coisa sensível.
Custo: €0–3/mês. Complexidade: baixa.
Para uma visão mais ampla de como o email se encaixa numa pilha completa de ferramentas de privacidade, veja nosso Relatório de Privacidade do Navegador 2026. Para configurações de bloqueio em nível de dispositivo, consulte nossa análise do Modo de Bloqueio do iOS JSC.
