ممارسات الأمن
مقدمة
في فوروارد إيميل، يُعدّ الأمان أولويتنا القصوى. لقد طبّقنا إجراءات أمنية شاملة لحماية مراسلاتكم عبر البريد الإلكتروني وبياناتكم الشخصية. توضح هذه الوثيقة ممارساتنا الأمنية والخطوات التي نتخذها لضمان سرية بريدكم الإلكتروني وسلامته وتوافره.
أمن البنية التحتية
مراكز البيانات الآمنة
يتم استضافة البنية التحتية الخاصة بنا في مراكز بيانات متوافقة مع SOC 2 مع:
- الأمن المادي والمراقبة على مدار الساعة طوال أيام الأسبوع
- ضوابط الوصول البيومترية
- أنظمة الطاقة الزائدة
- الكشف المتقدم عن الحرائق وإخمادها
- الرصد البيئي
أمن الشبكات
نحن ننفذ طبقات متعددة من أمان الشبكة:
- جدران حماية من الدرجة المؤسسية مع قوائم صارمة للتحكم في الوصول
- الحماية من هجمات الحرمان من الخدمة الموزعة والتخفيف من آثارها
- فحص منتظم لثغرات الشبكة
- أنظمة كشف ومنع التطفل
- تشفير حركة المرور بين جميع نقاط نهاية الخدمة
- حماية فحص المنافذ مع الحظر التلقائي للأنشطة المشبوهة
[هام!] جميع البيانات المنقولة مشفرة باستخدام TLS 1.2+ مع مجموعات تشفير حديثة.
أمان البريد الإلكتروني
التشفير
- أمان طبقة النقل (TLS):يتم تشفير جميع حركة البريد الإلكتروني أثناء النقل باستخدام TLS 1.2 أو أعلى
- التشفير من البداية إلى النهاية:دعم معايير OpenPGP/MIME وS/MIME
- تشفير التخزين:يتم تشفير جميع رسائل البريد الإلكتروني المخزنة في حالة السكون باستخدام تشفير ChaCha20-Poly1305 في ملفات SQLite
- تشفير القرص الكامل:تشفير LUKS v2 للقرص بأكمله
- الحماية الشاملة:نطبق التشفير في حالة السكون، والتشفير في الذاكرة، والتشفير أثناء النقل
[!ملاحظة] نحن أول خدمة بريد إلكتروني في العالم تستخدم صناديق بريد SQLite مقاومة للكميات ومشفرة بشكل فردي.
المصادقة والتفويض
- توقيع DKIM:جميع رسائل البريد الإلكتروني الصادرة موقعة باستخدام DKIM
- SPF و DMARC:دعم كامل لـ SPF وDMARC لمنع انتحال البريد الإلكتروني
- MTA-STS:دعم MTA-STS لفرض تشفير TLS
- المصادقة متعددة العوامل:متاح لجميع حسابات الوصول
تدابير مكافحة الإساءة
- تصفية البريد العشوائي:اكتشاف البريد العشوائي متعدد الطبقات باستخدام التعلم الآلي
- فحص الفيروسات:المسح الضوئي في الوقت الحقيقي لجميع المرفقات
- تحديد معدل:الحماية من هجمات القوة الغاشمة والهجمات التعدادية
- سمعة الملكية الفكرية:مراقبة سمعة إرسال IP
- تصفية المحتوى:الكشف عن عناوين URL الضارة ومحاولات التصيد الاحتيالي
حماية البيانات
تقليل البيانات
نحن نتبع مبدأ تقليل البيانات:
- نحن نجمع فقط البيانات اللازمة لتقديم خدمتنا
- تتم معالجة محتوى البريد الإلكتروني في الذاكرة ولا يتم تخزينه بشكل مستمر إلا إذا كان ذلك مطلوبًا للتسليم عبر IMAP/POP3
- يتم إخفاء هوية السجلات ويتم الاحتفاظ بها فقط طالما كان ذلك ضروريًا
النسخ الاحتياطي والاسترداد
- النسخ الاحتياطي اليومي الآلي مع التشفير
- تخزين النسخ الاحتياطي الموزع جغرافيًا
- اختبار استعادة النسخ الاحتياطي بشكل منتظم
- إجراءات استرداد الكوارث مع RPO وRTO المحددين
مقدمي الخدمة
نختار مُزوّدي خدماتنا بعناية لضمان استيفائهم لمعاييرنا الأمنية العالية. فيما يلي مُزوّدو الخدمات الذين نتعامل معهم لنقل البيانات دوليًا وحالة امتثالهم للائحة العامة لحماية البيانات (GDPR):
| مزود | غاية | مرشح جسيمات الديزل معتمد | صفحة الامتثال للقانون العام لحماية البيانات (GDPR). |
|---|---|---|---|
| كلاود فلير | شبكة توصيل المحتوى (CDN)، حماية DDoS، DNS | ✅ نعم | كلاود فلير GDPR |
| حزمة البيانات | البنية التحتية للخادم | ❌ لا | خصوصية حزمة البيانات |
| المحيط الرقمي | البنية التحتية السحابية | ❌ لا | اللائحة العامة لحماية البيانات من DigitalOcean |
| فولتر | البنية التحتية السحابية | ❌ لا | فولتر GDPR |
| شريط | معالجة الدفع | ✅ نعم | مركز خصوصية Stripe |
| باي بال | معالجة الدفع | ❌ لا | خصوصية PayPal |
نتعامل مع هؤلاء المزودين لضمان تقديم خدمات موثوقة وآمنة، مع الالتزام بلوائح حماية البيانات الدولية. تُجرى جميع عمليات نقل البيانات مع تطبيق إجراءات وقائية مناسبة لحماية معلوماتك الشخصية.
الامتثال والتدقيق
تقييمات أمنية منتظمة
يقوم فريقنا بمراقبة ومراجعة وتقييم قاعدة البيانات والخوادم والبنية التحتية والممارسات بانتظام. نطبق برنامج أمان شاملًا يتضمن:
- التدوير المنتظم لمفاتيح SSH
- المراقبة المستمرة لسجلات الوصول
- المسح الأمني الآلي
- إدارة الثغرات الاستباقية
- التدريب الأمني المنتظم لجميع أعضاء الفريق
امتثال
- GDPR ممارسات التعامل مع البيانات المتوافقة
- اتفاقية معالجة البيانات (DPA) متاح لعملاء الأعمال
- ضوابط الخصوصية المتوافقة مع قانون CCPA
- عمليات التدقيق من النوع الثاني SOC 2
الاستجابة للحوادث
تتضمن خطة الاستجابة للحوادث الأمنية لدينا ما يلي:
- كشف:أنظمة المراقبة والتنبيه الآلية
- الاحتواء:عزل فوري للأنظمة المتأثرة
- الاستئصال:إزالة التهديد وتحليل السبب الجذري
- استعادة:استعادة الخدمات بشكل آمن
- إشعار:التواصل في الوقت المناسب مع المستخدمين المتأثرين
- تحليل ما بعد الحادث:مراجعة شاملة وتحسين
[!تحذير] إذا اكتشفت ثغرة أمنية، يُرجى الإبلاغ عنها فورًا إلى security@forwardemail.net.
دورة حياة تطوير الأمان
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
جميع التعليمات البرمجية تخضع لـ:
- جمع متطلبات الأمن
- نمذجة التهديدات أثناء التصميم
- ممارسات الترميز الآمنة
- اختبار أمان التطبيقات الثابتة والديناميكية
- مراجعة الكود مع التركيز على الأمان
- مسح ثغرات التبعية
تقوية الخادم
ملكنا تكوين Ansible تنفيذ العديد من تدابير تقوية الخادم:
- تم تعطيل الوصول إلى USB:يتم تعطيل المنافذ المادية عن طريق إدراج وحدة تخزين USB في القائمة السوداء
- قواعد جدار الحماية:قواعد iptables الصارمة التي تسمح بالاتصالات الضرورية فقط
- تقوية SSH:المصادقة القائمة على المفتاح فقط، لا يوجد تسجيل دخول بكلمة مرور، تم تعطيل تسجيل الدخول الجذري
- عزل الخدمة:تعمل كل خدمة بالحد الأدنى من الامتيازات المطلوبة
- التحديثات التلقائية:يتم تطبيق تصحيحات الأمان تلقائيًا
- التمهيد الآمن:تم التحقق من عملية التمهيد لمنع العبث بها
- تصلب النواة:تأمين معلمات kernel وتكوينات sysctl
- قيود نظام الملفات:خيارات التثبيت noexec وnosuid وnodev عند الاقتضاء
- تم تعطيل تفريغات النواة:تم تكوين النظام لمنع تفريغ البيانات الأساسية لأسباب أمنية
- تم تعطيل التبديل:تم تعطيل تبديل الذاكرة لمنع تسرب البيانات
- حماية مسح المنافذ:الكشف التلقائي عن محاولات مسح المنافذ وحظرها
- تم تعطيل الصفحات الضخمة الشفافة:تم تعطيل THP لتحسين الأداء والأمان
- تقوية خدمة النظام:الخدمات غير الأساسية مثل Apport للمعاقين
- إدارة المستخدمين:مبدأ الحد الأدنى من الامتيازات مع وجود مستخدمين منفصلين للنشر و DevOps
- حدود وصف الملف:زيادة الحدود لتحسين الأداء والأمان
اتفاقية مستوى الخدمة
نحافظ على مستوى عالٍ من توافر الخدمة وموثوقيتها. بنيتنا التحتية مصممة لتوفير التكرار وتحمل الأخطاء لضمان استمرارية خدمة البريد الإلكتروني لديكم. مع أننا لا ننشر وثيقة رسمية لاتفاقية مستوى الخدمة (SLA)، إلا أننا ملتزمون بما يلي:
- 99.9%+ وقت تشغيل لجميع الخدمات
- الاستجابة السريعة لانقطاعات الخدمة
- التواصل الشفاف أثناء الحوادث
- الصيانة الدورية خلال فترات انخفاض حركة المرور
أمن المصدر المفتوح
كـ خدمة مفتوحة المصدر، فوائدنا الأمنية تتمثل في:
- كود شفاف يمكن لأي شخص تدقيقه
- تحسينات أمنية مدفوعة بالمجتمع
- التعرف السريع على الثغرات الأمنية وتصحيحها
- لا أمان من خلال الغموض
أمن الموظفين
- التحقق من الخلفية لجميع الموظفين
- تدريب التوعية الأمنية
- مبدأ الوصول إلى أقل قدر من الامتيازات
- التعليم الأمني المنتظم
التحسين المستمر
نعمل باستمرار على تحسين وضعنا الأمني من خلال:
- مراقبة اتجاهات الأمن والتهديدات الناشئة
- المراجعة والتحديثات الدورية لسياسات الأمن
- تعليقات من الباحثين الأمنيين والمستخدمين
- المشاركة في مجتمع الأمن
لمزيد من المعلومات حول ممارساتنا الأمنية أو للإبلاغ عن المخاوف الأمنية، يرجى الاتصال بنا security@forwardemail.net.