Sicherheitspraktiken

Forward Email Sicherheitspraktiken

Vorwort

Bei Forward Email hat Sicherheit oberste PrioritĂ€t. Wir haben umfassende Sicherheitsmaßnahmen implementiert, um Ihre E-Mail-Kommunikation und persönlichen Daten zu schĂŒtzen. Dieses Dokument beschreibt unsere Sicherheitspraktiken und die Schritte, die wir unternehmen, um die Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit Ihrer E-Mails zu gewĂ€hrleisten.

Infrastruktursicherheit

Sichere Rechenzentren

Unsere Infrastruktur wird in SOC 2-konformen Rechenzentren gehostet mit:

  • 24/7 physischer Sicherheit und Überwachung
  • Biometrischen Zugangskontrollen
  • Redundanten Stromversorgungssystemen
  • Fortschrittlicher Branddetektion und -bekĂ€mpfung
  • UmweltĂŒberwachung

Netzwerksicherheit

Wir implementieren mehrere Schichten der Netzwerksicherheit:

  • Firewalls auf Unternehmensniveau mit strengen Zugriffskontrolllisten
  • DDoS-Schutz und -Abmilderung
  • RegelmĂ€ĂŸige Netzwerkschwachstellen-Scans
  • Systeme zur Erkennung und Verhinderung von Eindringversuchen
  • VerkehrsverschlĂŒsselung zwischen allen Service-Endpunkten
  • Schutz vor Port-Scans mit automatischer Sperrung verdĂ€chtiger AktivitĂ€ten

Important

Alle Daten wĂ€hrend der Übertragung werden mit TLS 1.2+ und modernen Chiffren verschlĂŒsselt.

E-Mail-Sicherheit

VerschlĂŒsselung

  • Transport Layer Security (TLS): Der gesamte E-Mail-Verkehr wird wĂ€hrend der Übertragung mit TLS 1.2 oder höher verschlĂŒsselt
  • Ende-zu-Ende-VerschlĂŒsselung: UnterstĂŒtzung der Standards OpenPGP/MIME und S/MIME
  • SpeicherverschlĂŒsselung: Alle gespeicherten E-Mails sind im Ruhezustand mit ChaCha20-Poly1305-VerschlĂŒsselung in SQLite-Dateien verschlĂŒsselt
  • VollstĂ€ndige FestplattenverschlĂŒsselung: LUKS v2-VerschlĂŒsselung fĂŒr die gesamte Festplatte
  • Umfassender Schutz: Wir implementieren VerschlĂŒsselung im Ruhezustand, im Speicher und wĂ€hrend der Übertragung

Note

Wir sind der weltweit erste und einzige E-Mail-Dienst, der quantensichere und individuell verschlĂŒsselte SQLite-Mailboxen verwendet.

Authentifizierung und Autorisierung

  • DKIM-Signierung: Alle ausgehenden E-Mails werden mit DKIM signiert
  • SPF und DMARC: VollstĂ€ndige UnterstĂŒtzung von SPF und DMARC zur Verhinderung von E-Mail-Spoofing
  • MTA-STS: UnterstĂŒtzung von MTA-STS zur Durchsetzung der TLS-VerschlĂŒsselung
  • Multi-Faktor-Authentifizierung: FĂŒr alle Konto-Zugriffe verfĂŒgbar

Missbrauchsschutzmaßnahmen

  • Spam-Filterung: Mehrschichtige Spam-Erkennung mit maschinellem Lernen
  • Virenscanning: Echtzeit-Scan aller AnhĂ€nge
  • Ratenbegrenzung: Schutz vor Brute-Force- und Enumerationsangriffen
  • IP-Reputation: Überwachung der Reputation der sendenden IP
  • Inhaltsfilterung: Erkennung von bösartigen URLs und Phishing-Versuchen

Datenschutz

Datenminimierung

Wir folgen dem Prinzip der Datenminimierung:

  • Wir erfassen nur die Daten, die zur Bereitstellung unseres Dienstes notwendig sind
  • E-Mail-Inhalte werden im Speicher verarbeitet und nur dann dauerhaft gespeichert, wenn es fĂŒr die IMAP/POP3-Zustellung erforderlich ist
  • Protokolle werden anonymisiert und nur so lange aufbewahrt, wie es notwendig ist

Backup und Wiederherstellung

  • Automatisierte tĂ€gliche Backups mit VerschlĂŒsselung
  • Geografisch verteilte Backup-Speicherung
  • RegelmĂ€ĂŸige Tests der Backup-Wiederherstellung
  • Notfallwiederherstellungsverfahren mit definiertem RPO und RTO

Dienstanbieter

Wir wĂ€hlen unsere Dienstanbieter sorgfĂ€ltig aus, um sicherzustellen, dass sie unsere hohen Sicherheitsstandards erfĂŒllen. Nachfolgend sind die Anbieter aufgefĂŒhrt, die wir fĂŒr den internationalen Datentransfer nutzen, sowie deren GDPR-KonformitĂ€tsstatus:

Anbieter Zweck DPF Zertifiziert GDPR-KonformitÀtsseite
Cloudflare CDN, DDoS-Schutz, DNS ✅ Ja Cloudflare GDPR
DataPacket Serverinfrastruktur ❌ Nein DataPacket Privacy
Digital Ocean Cloud-Infrastruktur ❌ Nein DigitalOcean GDPR
GitHub Quellcode-Hosting, CI/CD ✅ Ja GitHub GDPR
Vultr Cloud-Infrastruktur ❌ Nein Vultr GDPR
Stripe Zahlungsabwicklung ✅ Ja Stripe Privacy Center
PayPal Zahlungsabwicklung ❌ Nein PayPal Privacy

Wir nutzen diese Anbieter, um eine zuverlĂ€ssige, sichere Servicebereitstellung zu gewĂ€hrleisten und gleichzeitig die Einhaltung internationaler Datenschutzbestimmungen sicherzustellen. Alle DatenĂŒbertragungen erfolgen mit geeigneten Schutzmaßnahmen zum Schutz Ihrer persönlichen Daten.

Compliance und PrĂŒfung

RegelmĂ€ĂŸige Sicherheitsbewertungen

Unser Team ĂŒberwacht, ĂŒberprĂŒft und bewertet regelmĂ€ĂŸig den Codebestand, die Server, die Infrastruktur und die Praktiken. Wir implementieren ein umfassendes Sicherheitsprogramm, das Folgendes umfasst:

  • RegelmĂ€ĂŸiger Wechsel der SSH-SchlĂŒssel
  • Kontinuierliche Überwachung der Zugriffsprotokolle
  • Automatisierte SicherheitsĂŒberprĂŒfungen
  • Proaktives Schwachstellenmanagement
  • RegelmĂ€ĂŸige Sicherheitsschulungen fĂŒr alle Teammitglieder

Compliance

  • GDPR konforme Datenverarbeitungspraktiken
  • Datenverarbeitungsvertrag (DPA) verfĂŒgbar fĂŒr GeschĂ€ftskunden
  • CCPA-konforme Datenschutzkontrollen
  • SOC 2 Typ II geprĂŒfte Prozesse

Vorfallreaktion

Unser Sicherheitsvorfallreaktionsplan umfasst:

  1. Erkennung: Automatisierte Überwachungs- und Alarmsysteme
  2. EindÀmmung: Sofortige Isolierung betroffener Systeme
  3. Beseitigung: Entfernung der Bedrohung und Ursachenanalyse
  4. Wiederherstellung: Sichere Wiederherstellung der Dienste
  5. Benachrichtigung: Zeitnahe Kommunikation mit betroffenen Nutzern
  6. Nachanalyse: Umfassende ÜberprĂŒfung und Verbesserung

Warning

Wenn Sie eine SicherheitslĂŒcke entdecken, melden Sie diese bitte umgehend an security@forwardemail.net.

Sicherheitsentwicklungszyklus

Aller Code durchlÀuft:

  • Erfassung der Sicherheitsanforderungen
  • Bedrohungsmodellierung wĂ€hrend der Planung
  • Sichere Programmierpraktiken
  • Statische und dynamische Anwendungssicherheitstests
  • Code-Review mit Sicherheitsfokus
  • Scannen von AbhĂ€ngigkeits-Schwachstellen

Server-HĂ€rtung

Unsere Ansible-Konfiguration implementiert zahlreiche Maßnahmen zur Server-HĂ€rtung:

  • USB-Zugriff deaktiviert: Physische Ports sind durch Blacklisting des usb-storage Kernel-Moduls deaktiviert
  • Firewall-Regeln: Strenge iptables-Regeln, die nur notwendige Verbindungen erlauben
  • SSH-HĂ€rtung: Nur schlĂŒsselbasierte Authentifizierung, kein Passwort-Login, Root-Login deaktiviert
  • Dienst-Isolierung: Jeder Dienst lĂ€uft mit minimal erforderlichen Rechten
  • Automatische Updates: Sicherheitspatches werden automatisch angewendet
  • Secure Boot: Verifizierter Boot-Prozess zur Verhinderung von Manipulationen
  • Kernel-HĂ€rtung: Sichere Kernel-Parameter und sysctl-Konfigurationen
  • Dateisystem-BeschrĂ€nkungen: noexec, nosuid und nodev Mount-Optionen wo angebracht
  • Core Dumps deaktiviert: System so konfiguriert, dass Core Dumps aus SicherheitsgrĂŒnden verhindert werden
  • Swap deaktiviert: Swap-Speicher deaktiviert, um Datenlecks zu verhindern
  • Port-Scan-Schutz: Automatische Erkennung und Blockierung von Port-Scan-Versuchen
  • Transparent Huge Pages deaktiviert: THP deaktiviert fĂŒr bessere Leistung und Sicherheit
  • Systemdienst-HĂ€rtung: Nicht essentielle Dienste wie Apport deaktiviert
  • Benutzerverwaltung: Prinzip der geringsten Rechte mit separaten Deploy- und DevOps-Benutzern
  • Dateideskriptor-Limits: Erhöhte Limits fĂŒr bessere Leistung und Sicherheit

Service Level Agreement

Wir gewĂ€hrleisten ein hohes Maß an VerfĂŒgbarkeit und ZuverlĂ€ssigkeit der Dienste. Unsere Infrastruktur ist fĂŒr Redundanz und Fehlertoleranz ausgelegt, um sicherzustellen, dass Ihr E-Mail-Dienst betriebsbereit bleibt. Obwohl wir kein formelles SLA-Dokument veröffentlichen, verpflichten wir uns zu:

  • 99,9 %+ Betriebszeit fĂŒr alle Dienste
  • Schnelle Reaktion auf Dienstunterbrechungen
  • Transparente Kommunikation wĂ€hrend VorfĂ€llen
  • RegelmĂ€ĂŸige Wartung in verkehrsarmen Zeiten

Open Source Sicherheit

Als Open-Source-Dienst profitiert unsere Sicherheit von:

  • Transparentem Code, der von jedem geprĂŒft werden kann
  • Community-getriebenen Sicherheitsverbesserungen
  • Schneller Identifikation und Behebung von Schwachstellen
  • Kein Sicherheit durch Verschleierung

Mitarbeitersicherheit

  • HintergrundĂŒberprĂŒfungen fĂŒr alle Mitarbeiter
  • Schulungen zur Sicherheitsbewusstseinsbildung
  • Prinzip der geringsten Rechte beim Zugriff
  • RegelmĂ€ĂŸige Sicherheitsschulungen

Kontinuierliche Verbesserung

Wir verbessern kontinuierlich unsere Sicherheitslage durch:

  • Überwachung von Sicherheitstrends und neuen Bedrohungen
  • RegelmĂ€ĂŸige ÜberprĂŒfung und Aktualisierung der Sicherheitsrichtlinien
  • Feedback von Sicherheitsforschern und Nutzern
  • Teilnahme an der Sicherheits-Community

FĂŒr weitere Informationen zu unseren Sicherheitspraktiken oder um Sicherheitsbedenken zu melden, kontaktieren Sie bitte security@forwardemail.net.

ZusÀtzliche Ressourcen