Sicherheitspraktiken

Vorwort

Bei Forward Email hat Sicherheit oberste Priorität. Wir haben umfassende Sicherheitsmaßnahmen zum Schutz Ihrer E-Mail-Kommunikation und Ihrer persönlichen Daten implementiert. Dieses Dokument beschreibt unsere Sicherheitspraktiken und die Maßnahmen, die wir ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer E-Mails zu gewährleisten.

Infrastruktursicherheit

Sichere Rechenzentren

Unsere Infrastruktur wird in SOC 2-konformen Rechenzentren gehostet mit:

  • Physische Sicherheit und Überwachung rund um die Uhr
  • Biometrische Zugangskontrollen
  • Redundante Stromversorgung
  • Fortschrittliche Branderkennung und -bekämpfung
  • Umgebungsüberwachung

Netzwerksicherheit

Wir implementieren mehrere Ebenen der Netzwerksicherheit:

  • Enterprise-Firewalls mit strengen Zugriffskontrolllisten
  • DDoS-Schutz und -Minderung
  • Regelmäßige Netzwerk-Schwachstellen-Scans
  • Systeme zur Erkennung und Abwehr von Angriffen
  • Verschlüsselung des Datenverkehrs zwischen allen Dienstendpunkten
  • Port-Scan-Schutz mit automatischer Blockierung verdächtiger Aktivitäten

Important

Alle übertragenen Daten werden mit TLS 1.2+ und modernen Verschlüsselungspaketen verschlüsselt.

E-Mail-Sicherheit

Verschlüsselung

  • Transport Layer Security (TLS): Der gesamte E-Mail-Verkehr wird während der Übertragung mit TLS 1.2 oder höher verschlüsselt.
  • Ende-zu-Ende-Verschlüsselung: Unterstützung der Standards OpenPGP/MIME und S/MIME.
  • Speicherverschlüsselung: Alle gespeicherten E-Mails werden im Ruhezustand mit ChaCha20-Poly1305-Verschlüsselung in SQLite-Dateien verschlüsselt.
  • Vollständige Festplattenverschlüsselung: LUKS v2-Verschlüsselung für die gesamte Festplatte.
  • Umfassender Schutz: Wir implementieren Verschlüsselung im Ruhezustand, Verschlüsselung im Speicher und Verschlüsselung während der Übertragung.

Note

Wir sind der weltweit erste und einzige E-Mail-Dienst, der quantenresistente und individuell verschlüsselte SQLite-Postfächer verwendet.

Authentifizierung und Autorisierung

  • DKIM-Signierung: Alle ausgehenden E-Mails werden mit DKIM signiert.
  • SPF und DMARC: Vollständige Unterstützung von SPF und DMARC zur Verhinderung von E-Mail-Spoofing.
  • MTA-STS: Unterstützung von MTA-STS zur Durchsetzung der TLS-Verschlüsselung.
  • Multi-Faktor-Authentifizierung: Verfügbar für alle Kontozugriffe.

Maßnahmen gegen Missbrauch

  • Spamfilterung: Mehrschichtige Spam-Erkennung mit maschinellem Lernen
  • Virenscan: Echtzeit-Scan aller Anhänge
  • Ratenbegrenzung: Schutz vor Brute-Force- und Enumeration-Angriffen
  • IP-Reputation: Überwachung der IP-Reputation des Absenders
  • Inhaltsfilterung: Erkennung schädlicher URLs und Phishing-Versuche

Datenschutz

Datenminimierung

Wir befolgen den Grundsatz der Datenminimierung:

  • Wir erheben nur die für die Bereitstellung unseres Dienstes erforderlichen Daten.
  • E-Mail-Inhalte werden im Speicher verarbeitet und nicht dauerhaft gespeichert, es sei denn, sie werden für die IMAP-/POP3-Zustellung benötigt.
  • Protokolle werden anonymisiert und nur so lange wie nötig gespeichert.

Sicherung und Wiederherstellung

  • Automatisierte tägliche Backups mit Verschlüsselung
  • Geografisch verteilter Backup-Speicher
  • Regelmäßige Tests zur Backup-Wiederherstellung
  • Disaster-Recovery-Verfahren mit definierten RPOs und RTOs

Dienstanbieter

Wir wählen unsere Dienstleister sorgfältig aus, um sicherzustellen, dass sie unseren hohen Sicherheitsstandards entsprechen. Nachfolgend finden Sie die Anbieter, die wir für den internationalen Datentransfer nutzen, und ihren DSGVO-Konformitätsstatus:

Anbieter Zweck DPF-zertifiziert DSGVO-Konformitätsseite
Cloudflare CDN, DDoS-Schutz, DNS ✅ Ja Cloudflare GDPR
DataPacket Server-Infrastruktur ❌ Nein DataPacket Privacy
Digital Ocean Cloud-Infrastruktur ❌ Nein DigitalOcean GDPR
Vultr Cloud-Infrastruktur ❌ Nein Vultr GDPR
Stripe Zahlungsabwicklung ✅ Ja Stripe Privacy Center
PayPal Zahlungsabwicklung ❌ Nein PayPal Privacy

Wir nutzen diese Anbieter, um eine zuverlässige und sichere Servicebereitstellung unter Einhaltung internationaler Datenschutzbestimmungen zu gewährleisten. Alle Datenübertragungen erfolgen unter Einhaltung angemessener Sicherheitsvorkehrungen zum Schutz Ihrer personenbezogenen Daten.

Compliance und Auditing

Regelmäßige Sicherheitsbewertungen

Unser Team überwacht, überprüft und bewertet regelmäßig Codebasis, Server, Infrastruktur und Praktiken. Wir implementieren ein umfassendes Sicherheitsprogramm, das Folgendes umfasst:

  • Regelmäßige Rotation der SSH-Schlüssel
  • Kontinuierliche Überwachung der Zugriffsprotokolle
  • Automatisierte Sicherheitsscans
  • Proaktives Schwachstellenmanagement
  • Regelmäßige Sicherheitsschulungen für alle Teammitglieder

Konformität

Vorfallreaktion

Unser Reaktionsplan für Sicherheitsvorfälle umfasst:

  1. Erkennung: Automatisierte Überwachungs- und Warnsysteme
  2. Eindämmung: Sofortige Isolierung betroffener Systeme
  3. Beseitigung: Beseitigung der Bedrohung und Ursachenanalyse
  4. Wiederherstellung: Sichere Wiederherstellung der Dienste
  5. Benachrichtigung: Zeitnahe Kommunikation mit betroffenen Nutzern
  6. Analyse nach dem Vorfall: Umfassende Überprüfung und Verbesserung

Warning

Sollten Sie eine Sicherheitslücke entdecken, melden Sie diese bitte umgehend an security@forwardemail.net.

Sicherheitsentwicklungslebenszyklus

Der gesamte Code wird folgenden Vorgängen unterzogen:

  • Erfassung von Sicherheitsanforderungen
  • Bedrohungsmodellierung während der Entwicklung
  • Sichere Programmierpraktiken
  • Statische und dynamische Tests der Anwendungssicherheit
  • Codeüberprüfung mit Sicherheitsfokus
  • Überprüfung von Abhängigkeitsschwachstellen

Serverhärtung

Unser Ansible-Konfiguration implementiert zahlreiche Maßnahmen zur Serverhärtung:

  • USB-Zugriff deaktiviert: Physische Ports werden durch Blacklisting des Kernelmoduls „usb-storage“ deaktiviert.
  • Firewall-Regeln: Strenge iptables-Regeln erlauben nur notwendige Verbindungen.
  • SSH-Härtung: Nur schlüsselbasierte Authentifizierung, keine Passwortanmeldung, Root-Anmeldung deaktiviert.
  • Dienstisolierung: Jeder Dienst läuft mit den erforderlichen Mindestberechtigungen.
  • Automatische Updates: Sicherheitspatches werden automatisch eingespielt.
  • Sicherer Start: Verifizierter Startvorgang zum Schutz vor Manipulationen.
  • Kernel-Härtung: Sichere Kernel-Parameter und Sysctl-Konfigurationen.
  • Dateisystembeschränkungen: Mount-Optionen „noexec“, „nosuid“ und „nodev“, sofern zutreffend.
  • Core Dumps deaktiviert: Das System ist so konfiguriert, dass Core Dumps aus Sicherheitsgründen verhindert werden.
  • Auslagerung deaktiviert: Auslagerungsspeicher deaktiviert, um Datenlecks zu vermeiden.
  • Port-Scan-Schutz: Automatische Erkennung und Blockierung von Port-Scan-Versuchen.
  • Transparent Huge Pages deaktiviert: THP deaktiviert für verbesserte Leistung und Sicherheit.
  • Systemdienst Härtung: Nicht unbedingt erforderliche Dienste wie Apport deaktiviert.
  • Benutzerverwaltung: Prinzip der geringsten Rechte mit separaten Deployment- und DevOps-Benutzern.
  • Dateideskriptor-Limits: Erhöhte Limits für bessere Leistung und Sicherheit.

Service-Level-Vereinbarung

Wir gewährleisten eine hohe Serviceverfügbarkeit und Zuverlässigkeit. Unsere Infrastruktur ist auf Redundanz und Fehlertoleranz ausgelegt, um die Betriebsbereitschaft Ihres E-Mail-Dienstes sicherzustellen. Obwohl wir kein formelles SLA-Dokument veröffentlichen, verpflichten wir uns zu Folgendem:

  • Über 99,9 % Verfügbarkeit für alle Dienste
  • Schnelle Reaktion auf Servicestörungen
  • Transparente Kommunikation bei Störungen
  • Regelmäßige Wartung in Zeiten mit geringem Datenverkehr

Open Source-Sicherheit

Als Open-Source-Dienst profitiert unsere Sicherheit von:

  • Transparenter Code, der von jedem geprüft werden kann
  • Community-getriebene Sicherheitsverbesserungen
  • Schnelle Identifizierung und Behebung von Schwachstellen
  • Keine Sicherheit durch Unklarheit

Mitarbeitersicherheit

  • Hintergrundüberprüfungen aller Mitarbeiter
  • Schulungen zum Sicherheitsbewusstsein
  • Least-Privilege-Prinzip
  • Regelmäßige Sicherheitsschulungen

Kontinuierliche Verbesserung

Wir verbessern unsere Sicherheitslage kontinuierlich durch:

  • Überwachung von Sicherheitstrends und neuen Bedrohungen
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien
  • Feedback von Sicherheitsforschern und -nutzern
  • Teilnahme an der Sicherheits-Community

Wenn Sie weitere Informationen zu unseren Sicherheitspraktiken wünschen oder Sicherheitsbedenken melden möchten, wenden Sie sich bitte an security@forwardemail.net.

Zusätzliche Ressourcen