Vor allem darf man nicht vergessen, dass US-amerikanische Behörden auf Anbieter in ihrem Land sowieso Vollzugriff haben und jederzeit absaugen können, was sie wollen (PRISM).
- Beispiel: Unverschlüsselte Daten auf Servern. Ein ganz interessanter Artikel ist dieser: https://infosec-handbook.eu/blog/xmpp-aitm/ Wesentlicher Inhalt: ejabberd-Admins können alles auslesen (inkl. Klartextpasswörter der User) und modifizieren, oder sich als jemand anderes ausgeben. Das Problem besteht bei allen Diensten, die die Accountverwaltung serverseitig vornehmen. Manche Dienste wie Briar oder Signal haben eine clientseitige Accountverwaltung, wo so welche Probleme nicht auftreten. Welcher Nutzer weiß das aber? Oft versucht man ihn von einem Dienst wie WhatsApp wegzulocken, um ihm dann so etwas zu bieten.
[Hervorhebung meine]
Das ist schlicht falsch, jeder Admin der nicht hinterm Mond lebt hasht heutzutage Passwörter, das geht selbstverständlich auch bei XMPP-Servern.
Sich als jemand anderes auszugeben funktioniert auch nur eingeschränkt wenn man OMEMO verwendet und das Gegenüber plötzlich einen neuen Fingerprint hat.
Zum Thema, ich hoste z.B. XMPP selbst. Wie bei vielen Serversachen ist es anfangs etwas Arbeit sich einzulesen und alles einzurichten, danach ist es aber sehr wartungsarm.
Für E-Mail nutze ich unter anderem auch Posteo. Das Webinterface ist mir relativ egal, jeder vernünftige Mensch nutzt ohnehin einen richtigen lokalen Client, sei es am Handy oder am PC 
