Sikkerhedspraksis

Hos Forward Email er sikkerhed vores topprioritet. Vi har implementeret omfattende sikkerhedsforanstaltninger for at beskytte din e-mail-kommunikation og personlige data. Dette dokument beskriver vores sikkerhedspraksis og de skridt, vi tager for at sikre fortroligheden, integriteten og tilgængeligheden af din e-mail.

Sikre datacentre

Vores infrastruktur er hostet i SOC 2-kompatible datacentre med:

• 24/7 fysisk sikkerhed og overvågning
• Biometrisk adgangskontrol
• Redundante strømsystemer
• Avanceret branddetektion og slukning
• Miljøovervågning

Netværkssikkerhed

Vi implementerer flere lag af netværkssikkerhed:

• Enterprise-grade firewalls med strenge adgangskontrollister
• DDoS-beskyttelse og afbødning
• Regelmæssig netværkssårbarhedsscanning
• Systemer til registrering og forebyggelse af indtrængen
• Trafikkryptering mellem alle serviceendepunkter
• Portscanningsbeskyttelse med automatiseret blokering af mistænkelig aktivitet

[!VIGTIG] Alle data i transit er krypteret ved hjælp af TLS 1.2+ med moderne krypteringssuiter.

Kryptering

• Transport Layer Security (TLS): Al e-mail-trafik er krypteret under transit ved hjælp af TLS 1.2 eller højere
• End-to-End-kryptering: Understøttelse af OpenPGP/MIME og S/MIME standarder
• Lagerkryptering: Alle gemte e-mails krypteres i hvile ved hjælp af ChaCha20-Poly1305-kryptering i SQLite-filer
• Fuld diskkryptering: LUKS v2-kryptering for hele disken
• Omfattende beskyttelse: Vi implementerer encryption-at-rest, encryption-in-memory og encryption-in-transit

[!NOTE] Vi er verdens første og eneste e-mail-tjeneste, der bruger kvantebestandige og individuelt krypterede SQLite-postkasser.

Autentificering og autorisation

• DKIM Signering: Alle udgående e-mails er underskrevet med DKIM
• SPF og DMARC: Fuld understøttelse af SPF og DMARC for at forhindre e-mail-spoofing
• MTA-STS: Understøttelse af MTA-STS til at håndhæve TLS-kryptering
• Multi-Factor Authentication: Tilgængelig for alle kontoadgange

Foranstaltninger mod misbrug

• Spamfiltrering: Spamdetektering i flere lag med maskinlæring
• Virus scanning: Realtidsscanning af alle vedhæftede filer
• Satsbegrænsende: Beskyttelse mod brute force og optællingsangreb
• IP omdømme: Overvågning af afsendende IP-omdømme
• Indholdsfiltrering: Registrering af ondsindede URL'er og phishing-forsøg

Dataminimering

Vi følger princippet om dataminimering:

• Vi indsamler kun de data, der er nødvendige for at levere vores service
• E-mail-indhold behandles i hukommelsen og gemmes ikke vedvarende, medmindre det er nødvendigt for IMAP/POP3-levering
• Logs anonymiseres og opbevares kun så længe det er nødvendigt

Sikkerhedskopiering og gendannelse

• Automatiserede daglige backups med kryptering
• Geografisk distribueret backuplager
• Regelmæssig test af backupgendannelse
• Disaster recovery procedurer med defineret RPO og RTO

Vi udvælger omhyggeligt vores tjenesteudbydere for at sikre, at de opfylder vores høje sikkerhedsstandarder. Nedenfor er de udbydere, vi bruger til international dataoverførsel, og deres GDPR-overholdelsesstatus:

Vi bruger disse udbydere til at sikre pålidelig, sikker servicelevering, samtidig med at vi opretholder overholdelse af internationale databeskyttelsesforskrifter. Alle dataoverførsler udføres med passende sikkerhedsforanstaltninger på plads for at beskytte dine personlige oplysninger.

Regelmæssige sikkerhedsvurderinger

Vores team overvåger, gennemgår og vurderer regelmæssigt kodebasen, serverne, infrastrukturen og praksis. Vi implementerer et omfattende sikkerhedsprogram, der inkluderer:

• Regelmæssig drejning af SSH-nøgler
• Løbende overvågning af adgangslogs
• Automatiseret sikkerhedsscanning
• Proaktiv sårbarhedshåndtering
• Regelmæssig sikkerhedstræning for alle teammedlemmer

Overholdelse

• GDPR kompatibel datahåndteringspraksis
• Databehandleraftale (DPA) tilgængelig for erhvervskunder
• CCPA-kompatibel privatlivskontrol
• SOC 2 Type II reviderede processer

Vores indsatsplan for sikkerhedshændelser inkluderer:

1. Opdagelse: Automatiserede overvågnings- og alarmsystemer
2. Indeslutning: Øjeblikkelig isolation af berørte systemer
3. Udryddelse: Fjernelse af truslen og årsagsanalyse
4. Genopretning: Sikker gendannelse af tjenester
5. Notifikation: Rettidig kommunikation med berørte brugere
6. Analyse efter hændelsen: Omfattende gennemgang og forbedring

[!ADVARSEL] Hvis du opdager en sikkerhedsbrist, skal du straks rapportere det til security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Al kode gennemgår:

• Indsamling af sikkerhedskrav
• Trusselsmodellering under design
• Sikker kodningspraksis
• Statisk og dynamisk applikationssikkerhedstest
• Kodegennemgang med sikkerhedsfokus
• Afhængighedssårbarhedsscanning

Vores Mulig konfiguration implementerer adskillige serverhærdningsforanstaltninger:

• USB-adgang deaktiveret: Fysiske porte deaktiveres ved at sortliste usb-storage-kernemodulet
• Firewall regler: Strenge iptables-regler, der kun tillader nødvendige forbindelser
• SSH hærdning: Kun nøglebaseret godkendelse, intet password login, root login deaktiveret
• Service isolation: Hver tjeneste kører med minimale nødvendige privilegier
• Automatiske opdateringer: Sikkerhedsrettelser anvendes automatisk
• Sikker opstart: Verificeret opstartsproces for at forhindre manipulation
• Kernelhærdning: Sikre kerneparametre og sysctl-konfigurationer
• Filsystembegrænsninger: noexec, nosuid og nodev mount muligheder, hvor det er relevant
• Core Dumps deaktiveret: System konfigureret til at forhindre core-dumps for sikkerhed
• Swap deaktiveret: Skift hukommelse deaktiveret for at forhindre datalækage
• Port scanningsbeskyttelse: Automatisk detektering og blokering af portscanningsforsøg
• Gennemsigtige enorme sider deaktiveret: THP deaktiveret for forbedret ydeevne og sikkerhed
• System Service hærdning: Ikke-essentielle tjenester som Apport deaktiveret
• Brugerstyring: Princippet om mindste privilegier med separat deploy og devops brugere
• Filbeskrivelsesgrænser: Øgede grænser for bedre ydeevne og sikkerhed

Vi opretholder et højt niveau af servicetilgængelighed og pålidelighed. Vores infrastruktur er designet til redundans og fejltolerance for at sikre, at din e-mail-tjeneste forbliver operationel. Selvom vi ikke udgiver et formelt SLA-dokument, er vi forpligtet til at:

• 99,9 %+ oppetid for alle tjenester
• Hurtig reaktion på serviceforstyrrelser
• Gennemsigtig kommunikation under hændelser
• Regelmæssig vedligeholdelse i perioder med lav trafik

Som en open source-tjeneste, vores sikkerhed drager fordel af:

• Gennemsigtig kode, der kan revideres af alle
• Fællesskabsdrevne sikkerhedsforbedringer
• Hurtig identifikation og patching af sårbarheder
• Ingen sikkerhed gennem uklarhed

• Baggrundstjek for alle medarbejdere
• Sikkerhedsbevidsthedstræning
• Princippet om mindst privilegeret adgang
• Regelmæssig sikkerhedsuddannelse

Vi forbedrer løbende vores sikkerhedsstilling gennem:

• Overvågning af sikkerhedstendenser og nye trusler
• Regelmæssig gennemgang og opdateringer af sikkerhedspolitikker
• Feedback fra sikkerhedsforskere og brugere
• Deltagelse i sikkerhedsfællesskabet

For mere information om vores sikkerhedspraksis eller for at rapportere sikkerhedsproblemer, kontakt venligst security@forwardemail.net.

• Fortrolighedspolitik
• Servicevilkår
• Overholdelse af GDPR
• Databehandleraftale (DPA)
• Anmeld misbrug
• Sikkerhedspolitik
• Security.txt
• GitHub Repository
• FAQ