FOLD ist ein nativer E-Mail-Client für Menschen, die ihre Postfächer ernst nehmen. Entwickler, Wissenschaftler, Journalisten, Sysadmins. Sicherheit ist kein Polish-Schritt, sondern Architektur-Constraint.
Die meisten Mail-Clients verkaufen dich an Werbenetzwerke, importieren halb das Web als Dependency, blenden ständig Banner ein und nennen das Produktivität. FOLD geht den anderen Weg. Wenig Code, wenig Oberfläche, wenig Annahmen.
Eine Antwort beginnt nur mit dem An-Feld. Cc, Bcc, Anhänge, Verschlüsselung erscheinen erst auf Geste oder Tastenkürzel. Was sichtbar ist, muss sich seine Sichtbarkeit verdienen.
Command Palette per ⌘K. Suche mit Operator-Syntax (from:, has:attachment, before:2024-06, /regex/). Header-Inspektor auf Knopfdruck. Mausarbeit ist optional.
Alle Mails liegen lokal. Eigene IMAP-Engine in Swift. Eigener 4-Tier-Storage. Kein Cloud-Sync-Dienst, der mitliest. Du behältst deine Daten.
Diese vier Sätze stehen wörtlich in unseren Sicherheits-Dokumenten. Sie sind keine Marketing-Lyrik, sondern Entscheidungsregel im Pull-Request.
Sicherheits-Eigenschaften werden vor dem Feature designt, nicht danach drangeklebt. Krypto, TLS-Validierung, Sandbox und Logging-Verbote stehen früher im Pull-Request als die Erstellung der Datei.
Eine Fremdabhängigkeit kommt nur rein, wenn wir die Primitive nicht selbst korrekt bauen können und die Quelle vertrauenswürdig ist. Im MVP: ausschließlich Apple-System-Frameworks. Kein swift-crypto, kein libetpan, kein JSON-Helfer-Paket.
TLS · Keychain · App Sandbox · Hardened Runtime · Code Signing · optional Fortress-Mode mit Argon2id + AES-256-GCM. Wenn eine Schicht fällt, halten die anderen.
Wenig Code. Wenig Dependencies. Wenig Entitlements. Wenige Daten unnötig im Speicher. Sensible Buffer werden nach Gebrauch mit Null-Bytes überschrieben. JavaScript in HTML-Mails ist hart deaktiviert.
Drei Ansichten, die zeigen, was FOLD in der Praxis ausmacht: tastatur-orientiert, transparent gegenüber dem Protokoll, ohne Ablenkung.
Mailbox · Mail-Liste · Mail-Detail. Hardware-Keyboard und Trackpad first. Auf iPadOS dasselbe Drei-Spalten-Layout, keine Mobile-Approximation.
Alles, was sich tun lässt, ist eingetippt erreichbar. Such-Operatoren wie from:, has:attachment, before:2024-06 und /regex/ inline.
Raw IMAP/SMTP-Trace per Tastatur. Lebt im RAM-Ring-Buffer, nie auf Disk. Für die, die wissen wollen, was über die Leitung geht.
Jede Aktion in FOLD läuft über eine einzige Schicht. Kommandozeile, Shortcuts, Widgets und Filter sprechen damit dieselbe Sprache: Was du im Terminal tust, erledigt auch ein Knopfdruck im Widget. Nichts davon ist nachträglich drangeschraubt.
$ fold search 'from:alerts@acme.dev is:unread before:2026-01' --json \
| jq -r '.[].id' \
| xargs fold flag --readGit-artige Subcommands fürs Lesen, Suchen, Flaggen, Verschieben, Senden. Stabiles --json-Schema, dokumentierte Exit-Codes, pipe-freundlich. Fügt sich nahtlos in jq, xargs und deine Skripte.
Filter sind deklarative Regeln, deren Bedingung exakt die Such-Grammatik ist, die du ohnehin kennst. Destruktive Aktionen erzwingen --dry-run, Auto-Replies sind gegen Schleifen (RFC 3834) abgesichert.
Über App Intents ist jede Aktion in Apples Automatisierung verfügbar: Kurzbefehle, Sprache, Spotlight. Ohne Brücken, ohne Plugins.
Ungelesen-Zähler, Posteingangs-Vorschau und Thread-Wächter — mit Knöpfen, die direkt handeln, etwa markieren oder archivieren. Auf dem Sperrbildschirm standardmäßig nur Zahlen, Inhalte nur auf Wunsch.
Dieselben Operatoren in der Befehlsleiste (⌘K), im fold-CLI und in deinen Filtern. Von einfachen Stichwörtern bis zu regulären Ausdrücken, account-übergreifend in Millisekunden.
from:ci@acme.dev has:attachment file:pdf after:2026-01 -is:read
subject:"deploy failed" OR body:/timeout|5\d\d/
size:>10M in:work account:allfrom:, to:, subject:, body:, has:attachment, file:pdf, size:>10M, before:/after:, is:unread, label:, list:. Kombinierbar mit AND, OR, Klammern und - zum Ausschließen.
Reichen Stichwörter nicht, filtert /regex/ direkt im Suchfeld nach. Exakte Phrasen in Anführungszeichen. Dieselbe Grammatik treibt UI, CLI und Filter.
Ergebnisse nach Datum oder BM25-Relevanz. Volltext über FTS5 in ≤ 200 ms, über alle Accounts in einem Rutsch.
Du gibst deine Adresse ein, FOLD findet die Server selbst. Eine sechsstufige Erkennung greift der Reihe nach: bekannte Provider, signierte FOLD-Datenbank, DNS, Mozilla-ISPDB. Bevor verbunden wird, siehst du, mit welchen Servern, ohne stille Verbindung.
Cache, eingebaute Provider, signierte FOLD-DB, DNS-SRV (DNSSEC-fähig), Mozilla-ISPDB, dann manuell. Rund 15 Provider sind eingebaut, von Gmail und Outlook bis Posteo, Mailbox.org und Proton Bridge.
Die offene Provider-Datenbank ist Ed25519-signiert. FOLD verifiziert die Signatur, bevor auch nur ein Byte geparst wird. Die Daten sind öffentlich (CC0), die Server siehst du immer vor dem ersten Connect.
OAuth2 mit Pflicht-PKCE für Google und Microsoft, inklusive Office 365 und persönlicher Konten. Kein Client-Secret in der App. Tokens erneuern sich selbst, parallele Anfragen werden zusammengefasst.
Mehrere Konten, pro Konto mehrere Alias-Identitäten. Antwortest du, wählt FOLD automatisch die Adresse, an die die Mail ging, mit Fallback und Opt-out pro Alias.
FOLD ist in aktiver Entwicklung. 2026 öffnen wir Early Access für ausgewählte Tester — trag deine Adresse ein, wir melden uns, sobald ein Platz frei wird.
Jede Schicht hat eine eigene Aufgabe und einen eigenen Test. Wenn ein Angreifer eine durchbricht, steht die nächste. Wenn zwei kippen, hält die dritte.
Strikte Zertifikats-Validierung. Min TLS 1.2, bevorzugt 1.3. Kein Auto-Accept. Optional Cert Pinning pro Account mit Fingerprint-Anzeige.
OAuth2-PKCE bevorzugt vor Passwort. SASL: SCRAM-SHA-256 > XOAUTH2 > CRAM-MD5 > PLAIN. PLAIN nur über TLS.
App Sandbox + Hardened Runtime. Minimale Entitlements: network.client, files.user-selected, keychain. Kein disable-library-validation.
Tokens nur im Keychain, gebunden ans entsperrte Gerät. Kein iCloud-Sync, nie in UserDefaults oder Plist.
JavaScript in HTML-Mails ist hart deaktiviert. Externe Inhalte laden nie automatisch, Anhänge bekommen das Quarantäne-Bit, beim Hover steht das echte Linkziel. Gehärteter MIME-Parser mit Tiefenlimit.
Wer mehr will als FileVault: App-Level-Verschlüsselung pro Account. Aus deiner Passphrase leitet Argon2id (64 MiB, 3 Runden) einen 256-bit-Master-Key ab, der nur im RAM lebt. Pro Account ein HKDF-Subkey, AES-256-GCM über den Body-Cache. Bei Inaktivität sperrt sich der Tresor und wischt den Schlüssel aus dem Speicher.
Vollständig dokumentiert: Threat-Model nach MITRE ATT&CK + D3FEND, CVE-Test-Suite gegen EFAIL & Co., Fuzzing für MIME-Parser. Coordinated Disclosure willkommen.
Sicherheits-Dossier lesenGeschwindigkeit in der Kurzform gegen den typischen Cloud-Mail-Client. Sicherheits-Architektur in der Kurzform gegen die fünf bekanntesten Konkurrenten. Volle Matrix mit Quellen auf der Sicherheits-Seite.
FOLD-Werte aus internen Performance-Targets. Werte des typischen Cloud-Mail-Clients als qualitative Erfahrungsreferenz, ohne Bezug auf ein konkretes Produkt.
Stand: Mai 2026. Belegquellen pro Spalte in der vollen Matrix.
Keine Cross-Plattform-Wrapper. Keine Web-Views, die als App verkauft werden. Eine echte native App, gebaut auf den Frameworks, die das Betriebssystem schon hat.
Interne Messung auf Apple-Silicon gegen einen synthetischen 500.000-Mail-Korpus (Mai 2026). Die Budget-Werte oben gelten geräteübergreifend, nicht nur im Optimum.
Der Body-Cache adressiert jede Mail über ihren SHA-256-Hash. Zwei Effekte: Identische Inhalte liegen nur einmal auf der Platte, und ein nachträglich veränderter Body fällt beim Laden sofort auf, weil der Hash nicht mehr passt. Dazu drei weitere Tiers: HotIndex (mmap) fürs sofortige Scrollen, HeaderStore (SQLite WAL) und SearchIndex (FTS5).
macOS 13 (Ventura) aufwärts, iOS 16 aufwärts, iPadOS 16 aufwärts als First-Class-Citizen. Drei-Spalten-Layout, Hardware-Keyboard, Trackpad-Hover und Drag-and-Drop sind auf dem iPad Pflicht, nicht Beigabe.
Weil jede Dependency Angriffsfläche ist. CryptoKit, Security, Network und SQLite liefern alles, was wir brauchen, in auditierter Apple-Qualität. Wer Swift lesen kann, kann unseren gesamten Code lesen. Niemand muss sich auf den Build-Output eines fremden Maintainers verlassen.
S/MIME über die System-CMS-API. OpenPGP als bewusst kleiner Modern-Only-Subset (RFC 9580): Ed25519, X25519, AES-OCB, SHA-256/512, HKDF. Kein RSA, kein DSA, kein MD5/SHA-1, kein CAST5, die meisten OpenPGP-CVEs der letzten 20 Jahre kamen genau aus diesen Legacy-Pfaden.
Der Code ist proprietär. Vertrieb über Datargo GmbH. Externer Security-Audit ist vor Beta vorgesehen. Bug-Bounty-Programm in Vorbereitung. Pull-Requests gegen die Provider-DB werden öffentlich kuratiert.
Preise stehen noch nicht fest. Geplant ist ein einmaliger Kauf pro Plattform plus ein optionales Abo für Komfort-Features (Provider-DB-Updates, Backup-Sync). Kein Werbe-Geschäftsmodell, niemals.
Sie bleiben auf deinem Gerät. FOLD verbindet sich nur mit den Mail-Servern, die du selbst konfigurierst, und mit unserer signierten Provider-DB für die Auto-Konfiguration. Keine Telemetrie. Keine Crash-Reporter, die Mail-Inhalte mitschicken könnten.
Schreib uns deine E-Mail-Adresse. Du bekommst eine kurze Bestätigung, sobald wir den Test-Slot vergeben können. Keine Newsletter, keine Werbung, kein Tracking-Link.
Öffnet dein Mail-Programm, keine Server-Verarbeitung.