Sikkerhedspraksis

Forord

Hos Forward Email er sikkerhed vores højeste prioritet. Vi har implementeret omfattende sikkerhedsforanstaltninger for at beskytte din e-mailkommunikation og dine personlige data. Dette dokument beskriver vores sikkerhedspraksis og de skridt, vi tager for at sikre fortroligheden, integriteten og tilgængeligheden af din e-mail.

Infrastruktursikkerhed

Sikre datacentre

Vores infrastruktur hostes i SOC 2-kompatible datacentre med:

  • Fysisk sikkerhed og overvågning døgnet rundt
  • Biometrisk adgangskontrol
  • Redundante strømforsyningssystemer
  • Avanceret branddetektering og brandslukning
  • Miljøovervågning

Netværkssikkerhed

Vi implementerer flere lag af netværkssikkerhed:

  • Firewalls i virksomhedsklassen med strenge adgangskontrollister
  • DDoS-beskyttelse og -afbødning
  • Regelmæssig scanning af netværkssårbarheder
  • Systemer til registrering og forebyggelse af indtrængen
  • Trafikkryptering mellem alle serviceslutpunkter
  • Portscanningsbeskyttelse med automatisk blokering af mistænkelig aktivitet

Important

Alle data under overførsel krypteres ved hjælp af TLS 1.2+ med moderne krypteringspakker.

E-mailsikkerhed

Kryptering

  • Transport Layer Security (TLS): Al e-mailtrafik krypteres under transport ved hjælp af TLS 1.2 eller højere
  • End-to-End-kryptering: Understøttelse af OpenPGP/MIME- og S/MIME-standarder
  • Lagringskryptering: Alle gemte e-mails krypteres i hviletilstand ved hjælp af ChaCha20-Poly1305-kryptering i SQLite-filer
  • Fuld diskkryptering: LUKS v2-kryptering for hele disken
  • Omfattende beskyttelse: Vi implementerer kryptering i hviletilstand, kryptering i hukommelsen og kryptering under transport

Note

Vi er verdens første og eneste e-mailtjeneste, der bruger kvanteresistente og individuelt krypterede SQLite-postkasser.

Godkendelse og autorisation

  • DKIM-signering: Alle udgående e-mails signeres med DKIM
  • SPF og DMARC: Fuld understøttelse af SPF og DMARC for at forhindre e-mail-forfalskning
  • MTA-STS: Understøttelse af MTA-STS for at håndhæve TLS-kryptering
  • Multifaktorgodkendelse: Tilgængelig for al kontoadgang

Foranstaltninger mod misbrug

  • Spamfiltrering: Flerlags spamdetektion med maskinlæring
  • Virusscanning: Realtidsscanning af alle vedhæftede filer
  • Hastighedsbegrænsning: Beskyttelse mod brute force- og optællingsangreb
  • IP-omdømme: Overvågning af afsenders IP-omdømme
  • Indholdsfiltrering: Detektion af ondsindede URL'er og phishing-forsøg

Databeskyttelse

Dataminimering

Vi følger princippet om dataminimering:

  • Vi indsamler kun de data, der er nødvendige for at levere vores service.
  • E-mailindhold behandles i hukommelsen og gemmes ikke permanent, medmindre det er nødvendigt for IMAP/POP3-levering.
  • Logfiler anonymiseres og opbevares kun så længe det er nødvendigt.

Sikkerhedskopiering og gendannelse

  • Automatiserede daglige sikkerhedskopier med kryptering
  • Geografisk distribueret sikkerhedskopieringslagring
  • Regelmæssig test af sikkerhedskopieringsgendannelse
  • Procedurer for katastrofegendannelse med defineret RPO og RTO

Tjenesteudbydere

Vi udvælger omhyggeligt vores tjenesteudbydere for at sikre, at de lever op til vores høje sikkerhedsstandarder. Nedenfor er de udbydere, vi bruger til international dataoverførsel, og deres status som GDPR-overholdelse:

Udbyder Formål DPF-certificeret GDPR-overholdelsesside
Cloudflare CDN, DDoS-beskyttelse, DNS ✅ Ja Cloudflare GDPR
DataPacket Serverinfrastruktur ❌ Nej DataPacket Privacy
Digital Ocean Cloud-infrastruktur ❌ Nej DigitalOcean GDPR
Vultr Cloud-infrastruktur ❌ Nej Vultr GDPR
Stripe Betalingsbehandling ✅ Ja Stripe Privacy Center
PayPal Betalingsbehandling ❌ Nej PayPal Privacy

Vi bruger disse udbydere til at sikre pålidelig og sikker servicelevering, samtidig med at vi overholder internationale databeskyttelsesregler. Alle dataoverførsler udføres med passende sikkerhedsforanstaltninger på plads for at beskytte dine personlige oplysninger.

Overholdelse og revision

Regelmæssige sikkerhedsvurderinger

Vores team overvåger, gennemgår og vurderer regelmæssigt kodebasen, serverne, infrastrukturen og praksisserne. Vi implementerer et omfattende sikkerhedsprogram, der omfatter:

  • Regelmæssig rotation af SSH-nøgler
  • Løbende overvågning af adgangslogfiler
  • Automatiseret sikkerhedsscanning
  • Proaktiv sårbarhedsstyring
  • Regelmæssig sikkerhedstræning for alle teammedlemmer

Overholdelse af regler

  • GDPR-kompatible datahåndteringspraksisser
  • Databehandleraftale (DPA) tilgængelig for erhvervskunder
  • CCPA-kompatible privatlivskontroller
  • SOC 2 Type II-reviderede processer

Hændelsesrespons

Vores plan for sikkerhedshændelser omfatter:

  1. Detektion: Automatiserede overvågnings- og alarmsystemer
  2. Inddæmpning: Øjeblikkelig isolering af berørte systemer
  3. Udryddelse: Fjernelse af truslen og analyse af rodårsagen
  4. Gendannelse: Sikker genoprettelse af tjenester
  5. Notifikation: Rettidig kommunikation med berørte brugere
  6. Analyse efter hændelsen: Omfattende gennemgang og forbedring

Warning

Hvis du opdager en sikkerhedssårbarhed, bedes du straks rapportere den til security@forwardemail.net.

Sikkerhedsudviklingslivscyklus

Al kode gennemgår:

  • Indsamling af sikkerhedskrav
  • Trusselsmodellering under design
  • Sikker kodningspraksis
  • Statisk og dynamisk test af applikationssikkerhed
  • Kodegennemgang med fokus på sikkerhed
  • Scanning af afhængighedssårbarheder

Serverhærdning

Vores Ansible-konfiguration implementerer adskillige serverhærdningsforanstaltninger:

  • USB-adgang deaktiveret: Fysiske porte deaktiveres ved at blackliste usb-storage-kernemodulet
  • Firewallregler: Strenge iptables-regler, der kun tillader nødvendige forbindelser
  • SSH-hærdning: Kun nøglebaseret godkendelse, ingen adgangskodelogin, root-login deaktiveret
  • Tjenesteisolering: Hver tjeneste kører med minimale nødvendige rettigheder
  • Automatiske opdateringer: Sikkerhedsrettelser anvendes automatisk
  • Sikker opstart: Bekræftet opstartsproces for at forhindre manipulation
  • Kernelhærdning: Sikre kerneparametre og sysctl-konfigurationer
  • Filsystembegrænsninger: noexec-, nosuid- og nodev-monteringsmuligheder, hvor det er relevant
  • Core Dumps deaktiveret: System konfigureret til at forhindre core dumps af sikkerhedsmæssige årsager
  • Swap deaktiveret: Swap-hukommelse deaktiveret for at forhindre datalækage
  • Portscanningsbeskyttelse: Automatisk detektion og blokering af portscanningsforsøg
  • Transparent Huge Pages deaktiveret: THP deaktiveret for forbedret ydeevne og sikkerhed
  • Systemtjenestehærdning: Ikke-essentielle tjenester som Apport deaktiveret
  • Bruger Administration: Princippet om færrest rettigheder med separate deploy- og devops-brugere
  • Filbeskrivelsesgrænser: Øgede grænser for bedre ydeevne og sikkerhed

Serviceniveauaftale

Vi opretholder et højt niveau af servicetilgængelighed og pålidelighed. Vores infrastruktur er designet til redundans og fejltolerance for at sikre, at din e-mailtjeneste forbliver operationel. Selvom vi ikke offentliggør et formelt SLA-dokument, er vi forpligtet til at:

  • 99,9%+ oppetid for alle tjenester
  • Hurtig reaktion på serviceafbrydelser
  • Transparent kommunikation under hændelser
  • Regelmæssig vedligeholdelse i perioder med lav trafik

Sikkerhed med åben kildekode

Som open source-tjeneste drager vores sikkerhed fordel af:

  • Transparent kode, der kan revideres af alle
  • Sikkerhedsforbedringer drevet af fællesskabet
  • Hurtig identifikation og rettelse af sårbarheder
  • Ingen sikkerhed på grund af uklarhed

Medarbejdersikkerhed

  • Baggrundstjek af alle medarbejdere
  • Træning i sikkerhedsbevidsthed
  • Princippet om mindst mulig adgangsret
  • Regelmæssig sikkerhedsuddannelse

Løbende forbedring

Vi forbedrer løbende vores sikkerhedstilstand gennem:

  • Overvågning af sikkerhedstendenser og nye trusler
  • Regelmæssig gennemgang og opdatering af sikkerhedspolitikker
  • Feedback fra sikkerhedsforskere og brugere
  • Deltagelse i sikkerhedsfællesskabet

For mere information om vores sikkerhedspraksis eller for at rapportere sikkerhedsproblemer, kontakt venligst security@forwardemail.net.

Yderligere ressourcer