Comment ça marche
Vous vous inscrivez avec une adresse de transfert réelle, puis vous créez autant d'alias @anonaddy.me, @addy.io ou de domaine personnalisé que votre forfait l'autorise. Le courrier entrant arrive sur le MTA addy.io à Amsterdam, est réécrit pour que les réponses repassent par le même relais, et est transféré à votre vraie boîte. Par défaut, rien n'est conservé après livraison ; seules les livraisons échouées peuvent être mises en file, et uniquement si vous activez l'option. Vous pouvez attacher une clé OpenPGP pour que les messages soient rechiffrés à la frontière de transfert, pièces jointes incluses. Les clients sont tous sur GitHub : application web, extensions Chrome et Firefox, et applications natives AGPL pour iOS, iPadOS, Android et WearOS.
KYC et vie privée
Aucune étape de pièce d'identité à aucun palier, et aucun numéro de téléphone exigé. Le formulaire d'inscription demande une adresse de transfert — c'est la seule donnée personnelle strictement nécessaire au service, et la FAQ suggère explicitement d'y pointer un alias d'un autre fournisseur. La facturation fiat passe par Stripe, donc les données carte fuient vers un processeur américain ; le paiement crypto est en place depuis janvier 2021 via NOWPayments, actuellement BTC, XMR, ETH, LTC, DOGE, DCR, XRP et Lightning, avec un seuil de facture de 10 $ qui restreint en pratique la crypto aux plans annuels. Les journaux sont volontairement minces : le corps des messages n'est pas conservé par défaut, les IP d'utilisation des alias ne sont pas stockées, et les champs sensibles qui sont stockés en base sont chiffrés au repos en AES-256-CBC.
Forces et limites
Le signal le plus fort est la durabilité. Six ans d'exploitation tranquille, aucun piratage ni gel documenté, une revue externe Securitum en septembre 2023 qui n'a relevé aucune vulnérabilité significative, et un score de 100 % au test de sécurité de transport d'Internet.nl. L'auto-hébergement est réellement de première classe : une image Docker officielle, une documentation à jour, pas d'édition communautaire bridée. Les limites sont honnêtes. Le relais touche toujours des serveurs basés à Amsterdam, et une décision de justice atterrirait là-bas même si la rétention est minimale. Il n'y a pas de passerelle SMTP/IMAP, donc addy.io ne peut pas remplacer une boîte aux lettres principale — c'est un relais, point. Le financement repose sur un opérateur unique au Royaume-Uni qui a documenté mais pas délégué sa succession.
Verdict
Pour les inscriptions pseudonymes, l'isolement des fuites et l'hygiène compte-par-compte, addy.io appartient à la même liste qu'SimpleLogin, avec le confort supplémentaire que le code, la documentation d'infrastructure et les résultats d'audit sont tous sur la place publique. Ce n'est pas une boîte aux lettres ; ce n'est pas un réseau mixte. Note : B+ (8,3/10). Confiance : LEGIT.
Pour les inscriptions pseudonymes et l'hygiène compte-par-compte, addy.io a gagné sa place aux côtés de SimpleLogin, et son audit, son code et ses docs reposent tous sur la place publique. Ce n'est pas un remplaçant de boîte aux lettres et le relais touche toujours Amsterdam, mais en tant que service d'alias privacy-first, son parcours parle de lui-même. Note : B+ (8,3/10). Confiance : LEGIT.
