Sicherheitspraktiken
Vorwort
Bei Forward Email hat Sicherheit oberste Priorität. Wir haben umfassende Sicherheitsmaßnahmen zum Schutz Ihrer E-Mail-Kommunikation und Ihrer persönlichen Daten implementiert. Dieses Dokument beschreibt unsere Sicherheitspraktiken und die Maßnahmen, die wir ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer E-Mails zu gewährleisten.
Infrastruktursicherheit
Sichere Rechenzentren
Unsere Infrastruktur wird in SOC 2-konformen Rechenzentren gehostet mit:
- Physische Sicherheit und Überwachung rund um die Uhr
- Biometrische Zugangskontrollen
- Redundante Stromversorgungssysteme
- Fortschrittliche Branderkennung und -bekämpfung
- Umweltüberwachung
Netzwerksicherheit
Wir implementieren mehrere Ebenen der Netzwerksicherheit:
- Firewalls der Enterprise-Klasse mit strengen Zugriffskontrolllisten
- DDoS-Schutz und -Minderung
- Regelmäßiges Scannen von Netzwerkschwachstellen
- Systeme zur Erkennung und Verhinderung von Eindringlingen
- Datenverkehrsverschlüsselung zwischen allen Service-Endpunkten
- Port-Scan-Schutz mit automatischer Blockierung verdächtiger Aktivitäten
[!WICHTIG] Alle übertragenen Daten werden mit TLS 1.2+ und modernen Verschlüsselungspaketen verschlüsselt.
E-Mail-Sicherheit
Verschlüsselung
- Transport Layer Security (TLS): Der gesamte E-Mail-Verkehr wird während der Übertragung mit TLS 1.2 oder höher verschlüsselt
- Ende-zu-Ende-Verschlüsselung: Unterstützung für OpenPGP/MIME- und S/MIME-Standards
- Speicherverschlüsselung: Alle gespeicherten E-Mails werden im Ruhezustand mit der ChaCha20-Poly1305-Verschlüsselung in SQLite-Dateien verschlüsselt
- Vollständige Festplattenverschlüsselung: LUKS v2-Verschlüsselung für die gesamte Festplatte
- Umfassender Schutz: Wir implementieren Verschlüsselung im Ruhezustand, Verschlüsselung im Speicher und Verschlüsselung während der Übertragung
[!HINWEIS] Wir sind der weltweit erste und einzige E-Mail-Dienst, der quantenresistente und individuell verschlüsselte SQLite-Postfächer verwendet.
Authentifizierung und Autorisierung
- DKIM-Signierung: Alle ausgehenden E-Mails werden mit DKIM signiert
- SPF und DMARC: Vollständige Unterstützung für SPF und DMARC, um E-Mail-Spoofing zu verhindern
- MTA-STS: Unterstützung für MTA-STS zur Durchsetzung der TLS-Verschlüsselung
- Multi-Faktor-Authentifizierung: Verfügbar für alle Kontozugriffe
Maßnahmen zur Missbrauchsbekämpfung
- Spamfilterung: Mehrschichtige Spam-Erkennung mit maschinellem Lernen
- Virenscan: Echtzeit-Scan aller Anhänge
- Ratenbegrenzung: Schutz vor Brute-Force- und Enumeration-Angriffen
- IP-Reputation: Überwachung der Reputation der sendenden IP
- Inhaltsfilterung: Erkennung bösartiger URLs und Phishing-Versuche
Datenschutz
Datenminimierung
Wir befolgen den Grundsatz der Datenminimierung:
- Wir erheben nur die Daten, die für die Erbringung unserer Dienstleistung erforderlich sind
- E-Mail-Inhalte werden im Speicher verarbeitet und nicht dauerhaft gespeichert, es sei denn, sie werden für die IMAP/POP3-Zustellung benötigt.
- Protokolle werden anonymisiert und nur so lange wie nötig aufbewahrt
Sicherung und Wiederherstellung
- Automatisierte tägliche Backups mit Verschlüsselung
- Geografisch verteilter Backup-Speicher
- Regelmäßige Tests zur Backup-Wiederherstellung
- Disaster-Recovery-Verfahren mit definiertem RPO und RTO
Dienstanbieter
Wir wählen unsere Dienstleister sorgfältig aus, um sicherzustellen, dass sie unseren hohen Sicherheitsstandards entsprechen. Nachfolgend finden Sie die Anbieter, die wir für den internationalen Datentransfer nutzen, und ihren DSGVO-Konformitätsstatus:
| Anbieter | Zweck | DPF-zertifiziert | Seite zur Einhaltung der DSGVO |
|---|---|---|---|
| Wolkenflare | CDN, DDoS-Schutz, DNS | ✅ Jawohl | Cloudflare DSGVO |
| Datenpaket | Server-Infrastruktur | ❌ Nein | DataPacket-Datenschutz |
| Digitaler Ozean | Cloud-Infrastruktur | ❌ Nein | DigitalOcean DSGVO |
| Vultr | Cloud-Infrastruktur | ❌ Nein | Vultr DSGVO |
| Streifen | Zahlungsabwicklung | ✅ Jawohl | Stripe Datenschutzzentrum |
| PayPal | Zahlungsabwicklung | ❌ Nein | PayPal-Datenschutz |
Wir nutzen diese Anbieter, um eine zuverlässige und sichere Servicebereitstellung unter Einhaltung internationaler Datenschutzbestimmungen zu gewährleisten. Alle Datenübertragungen erfolgen unter Einhaltung angemessener Sicherheitsvorkehrungen zum Schutz Ihrer personenbezogenen Daten.
Compliance und Auditing
Regelmäßige Sicherheitsbewertungen
Unser Team überwacht, überprüft und bewertet regelmäßig Codebasis, Server, Infrastruktur und Praktiken. Wir implementieren ein umfassendes Sicherheitsprogramm, das Folgendes umfasst:
- Regelmäßige Rotation von SSH-Schlüsseln
- Kontinuierliche Überwachung der Zugriffsprotokolle
- Automatisierte Sicherheitsüberprüfung
- Proaktives Schwachstellenmanagement
- Regelmäßige Sicherheitsschulungen für alle Teammitglieder
Einhaltung
- GDPR konforme Datenverarbeitungspraktiken
- Datenverarbeitungsvereinbarung (DPA) verfügbar für Geschäftskunden
- CCPA-konforme Datenschutzkontrollen
- Nach SOC 2 Typ II geprüfte Prozesse
Reaktion auf Vorfälle
Unser Reaktionsplan für Sicherheitsvorfälle umfasst:
- Erkennung: Automatisierte Überwachungs- und Warnsysteme
- Eindämmung: Sofortige Isolierung der betroffenen Systeme
- Ausrottung: Beseitigung der Bedrohung und Ursachenanalyse
- Erholung: Sichere Wiederherstellung der Dienste
- Benachrichtigung: Rechtzeitige Kommunikation mit betroffenen Benutzern
- Analyse nach dem Vorfall: Umfassende Überprüfung und Verbesserung
[!WARNUNG] Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte umgehend an security@forwardemail.net.
Sicherheitsentwicklungslebenszyklus
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
Der gesamte Code wird folgenden Vorgängen unterzogen:
- Erfassung von Sicherheitsanforderungen
- Bedrohungsmodellierung während des Designs
- Sichere Codierungspraktiken
- Statische und dynamische Anwendungssicherheitstests
- Codeüberprüfung mit Sicherheitsfokus
- Scannen von Abhängigkeitsschwachstellen
Serverhärtung
Unser Ansible-Konfiguration implementiert zahlreiche Maßnahmen zur Serverhärtung:
- USB-Zugriff deaktiviert: Physische Ports werden durch Blacklisting des USB-Speicherkernelmoduls deaktiviert
- Firewall-Regeln: Strenge iptables-Regeln, die nur notwendige Verbindungen zulassen
- SSH-Härtung: Nur schlüsselbasierte Authentifizierung, keine Passwortanmeldung, Root-Anmeldung deaktiviert
- Dienstisolierung: Jeder Dienst läuft mit den minimal erforderlichen Berechtigungen
- Automatische Updates: Sicherheitspatches werden automatisch angewendet
- Sicherer Start: Verifizierter Bootvorgang, um Manipulationen zu verhindern
- Kernel-Härtung: Sichere Kernelparameter und Sysctl-Konfigurationen
- Dateisystembeschränkungen: Mount-Optionen noexec, nosuid und nodev, wo zutreffend
- Core Dumps deaktiviert: System so konfiguriert, dass aus Sicherheitsgründen Core Dumps verhindert werden
- Swap deaktiviert: Swap-Speicher deaktiviert, um Datenverlust zu verhindern
- Port-Scanning-Schutz: Automatische Erkennung und Blockierung von Port-Scan-Versuchen
- Transparente riesige Seiten deaktiviert: THP für verbesserte Leistung und Sicherheit deaktiviert
- Härtung der Systemdienste: Nicht unbedingt erforderliche Dienste wie Apport deaktiviert
- Benutzerverwaltung: Prinzip der geringsten Privilegien mit separaten Deployment- und DevOps-Benutzern
- Dateideskriptor-Grenzen: Erhöhte Grenzwerte für bessere Leistung und Sicherheit
Service-Level-Agreement
Wir gewährleisten eine hohe Serviceverfügbarkeit und Zuverlässigkeit. Unsere Infrastruktur ist auf Redundanz und Fehlertoleranz ausgelegt, um die Betriebsbereitschaft Ihres E-Mail-Dienstes sicherzustellen. Obwohl wir kein formelles SLA-Dokument veröffentlichen, verpflichten wir uns zu Folgendem:
- Über 99,9 % Verfügbarkeit für alle Dienste
- Schnelle Reaktion auf Servicestörungen
- Transparente Kommunikation bei Vorfällen
- Regelmäßige Wartung in verkehrsarmen Zeiten
Open Source-Sicherheit
Als Open-Source-DienstUnsere Sicherheit profitiert von:
- Transparenter Code, der von jedem geprüft werden kann
- Von der Community vorangetriebene Sicherheitsverbesserungen
- Schnelle Identifizierung und Behebung von Schwachstellen
- Keine Sicherheit durch Unklarheit
Mitarbeitersicherheit
- Hintergrundüberprüfungen für alle Mitarbeiter
- Schulung zum Sicherheitsbewusstsein
- Prinzip des Zugriffs mit geringsten Privilegien
- Regelmäßige Sicherheitsschulungen
Kontinuierliche Verbesserung
Wir verbessern unsere Sicherheitslage kontinuierlich durch:
- Überwachung von Sicherheitstrends und neu auftretenden Bedrohungen
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien
- Feedback von Sicherheitsforschern und Benutzern
- Teilnahme an der Sicherheitsgemeinschaft
Für weitere Informationen zu unseren Sicherheitspraktiken oder um Sicherheitsbedenken zu melden, wenden Sie sich bitte an security@forwardemail.net.