Sicherheitspraktiken
Vorwort
Bei Forward Email hat Sicherheit oberste Priorität. Wir haben umfassende Sicherheitsmaßnahmen zum Schutz Ihrer E-Mail-Kommunikation und Ihrer persönlichen Daten implementiert. Dieses Dokument beschreibt unsere Sicherheitspraktiken und die Maßnahmen, die wir ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer E-Mails zu gewährleisten.
Infrastruktursicherheit
Sichere Rechenzentren
Unsere Infrastruktur wird in SOC 2-konformen Rechenzentren gehostet mit:
- Physische Sicherheit und Überwachung rund um die Uhr
- Biometrische Zugangskontrollen
- Redundante Stromversorgung
- Fortschrittliche Branderkennung und -bekämpfung
- Umgebungsüberwachung
Netzwerksicherheit
Wir implementieren mehrere Ebenen der Netzwerksicherheit:
- Enterprise-Firewalls mit strengen Zugriffskontrolllisten
- DDoS-Schutz und -Minderung
- Regelmäßige Netzwerk-Schwachstellen-Scans
- Systeme zur Erkennung und Abwehr von Angriffen
- Verschlüsselung des Datenverkehrs zwischen allen Dienstendpunkten
- Port-Scan-Schutz mit automatischer Blockierung verdächtiger Aktivitäten
Important
Alle übertragenen Daten werden mit TLS 1.2+ und modernen Verschlüsselungspaketen verschlüsselt.
E-Mail-Sicherheit
Verschlüsselung
- Transport Layer Security (TLS): Der gesamte E-Mail-Verkehr wird während der Übertragung mit TLS 1.2 oder höher verschlüsselt.
- Ende-zu-Ende-Verschlüsselung: Unterstützung der Standards OpenPGP/MIME und S/MIME.
- Speicherverschlüsselung: Alle gespeicherten E-Mails werden im Ruhezustand mit ChaCha20-Poly1305-Verschlüsselung in SQLite-Dateien verschlüsselt.
- Vollständige Festplattenverschlüsselung: LUKS v2-Verschlüsselung für die gesamte Festplatte.
- Umfassender Schutz: Wir implementieren Verschlüsselung im Ruhezustand, Verschlüsselung im Speicher und Verschlüsselung während der Übertragung.
Note
Wir sind der weltweit erste und einzige E-Mail-Dienst, der quantenresistente und individuell verschlüsselte SQLite-Postfächer verwendet.
Authentifizierung und Autorisierung
- DKIM-Signierung: Alle ausgehenden E-Mails werden mit DKIM signiert.
- SPF und DMARC: Vollständige Unterstützung von SPF und DMARC zur Verhinderung von E-Mail-Spoofing.
- MTA-STS: Unterstützung von MTA-STS zur Durchsetzung der TLS-Verschlüsselung.
- Multi-Faktor-Authentifizierung: Verfügbar für alle Kontozugriffe.
Maßnahmen gegen Missbrauch
- Spamfilterung: Mehrschichtige Spam-Erkennung mit maschinellem Lernen
- Virenscan: Echtzeit-Scan aller Anhänge
- Ratenbegrenzung: Schutz vor Brute-Force- und Enumeration-Angriffen
- IP-Reputation: Überwachung der IP-Reputation des Absenders
- Inhaltsfilterung: Erkennung schädlicher URLs und Phishing-Versuche
Datenschutz
Datenminimierung
Wir befolgen den Grundsatz der Datenminimierung:
- Wir erheben nur die für die Bereitstellung unseres Dienstes erforderlichen Daten.
- E-Mail-Inhalte werden im Speicher verarbeitet und nicht dauerhaft gespeichert, es sei denn, sie werden für die IMAP-/POP3-Zustellung benötigt.
- Protokolle werden anonymisiert und nur so lange wie nötig gespeichert.
Sicherung und Wiederherstellung
- Automatisierte tägliche Backups mit Verschlüsselung
- Geografisch verteilter Backup-Speicher
- Regelmäßige Tests zur Backup-Wiederherstellung
- Disaster-Recovery-Verfahren mit definierten RPOs und RTOs
Dienstanbieter
Wir wählen unsere Dienstleister sorgfältig aus, um sicherzustellen, dass sie unseren hohen Sicherheitsstandards entsprechen. Nachfolgend finden Sie die Anbieter, die wir für den internationalen Datentransfer nutzen, und ihren DSGVO-Konformitätsstatus:
| Anbieter | Zweck | DPF-zertifiziert | DSGVO-Konformitätsseite |
|---|---|---|---|
| Cloudflare | CDN, DDoS-Schutz, DNS | ✅ Ja | Cloudflare GDPR |
| DataPacket | Server-Infrastruktur | ❌ Nein | DataPacket Privacy |
| Digital Ocean | Cloud-Infrastruktur | ❌ Nein | DigitalOcean GDPR |
| Vultr | Cloud-Infrastruktur | ❌ Nein | Vultr GDPR |
| Stripe | Zahlungsabwicklung | ✅ Ja | Stripe Privacy Center |
| PayPal | Zahlungsabwicklung | ❌ Nein | PayPal Privacy |
Wir nutzen diese Anbieter, um eine zuverlässige und sichere Servicebereitstellung unter Einhaltung internationaler Datenschutzbestimmungen zu gewährleisten. Alle Datenübertragungen erfolgen unter Einhaltung angemessener Sicherheitsvorkehrungen zum Schutz Ihrer personenbezogenen Daten.
Compliance und Auditing
Regelmäßige Sicherheitsbewertungen
Unser Team überwacht, überprüft und bewertet regelmäßig Codebasis, Server, Infrastruktur und Praktiken. Wir implementieren ein umfassendes Sicherheitsprogramm, das Folgendes umfasst:
- Regelmäßige Rotation der SSH-Schlüssel
- Kontinuierliche Überwachung der Zugriffsprotokolle
- Automatisierte Sicherheitsscans
- Proaktives Schwachstellenmanagement
- Regelmäßige Sicherheitsschulungen für alle Teammitglieder
Konformität
- GDPR-konforme Datenverarbeitungspraktiken
- Datenverarbeitungsvereinbarung (DPA) für Geschäftskunden verfügbar
- CCPA-konforme Datenschutzkontrollen
- SOC 2 Typ II-geprüfte Prozesse
Vorfallreaktion
Unser Reaktionsplan für Sicherheitsvorfälle umfasst:
- Erkennung: Automatisierte Überwachungs- und Warnsysteme
- Eindämmung: Sofortige Isolierung betroffener Systeme
- Beseitigung: Beseitigung der Bedrohung und Ursachenanalyse
- Wiederherstellung: Sichere Wiederherstellung der Dienste
- Benachrichtigung: Zeitnahe Kommunikation mit betroffenen Nutzern
- Analyse nach dem Vorfall: Umfassende Überprüfung und Verbesserung
Warning
Sollten Sie eine Sicherheitslücke entdecken, melden Sie diese bitte umgehend an security@forwardemail.net.
Sicherheitsentwicklungslebenszyklus
Der gesamte Code wird folgenden Vorgängen unterzogen:
- Erfassung von Sicherheitsanforderungen
- Bedrohungsmodellierung während der Entwicklung
- Sichere Programmierpraktiken
- Statische und dynamische Tests der Anwendungssicherheit
- Codeüberprüfung mit Sicherheitsfokus
- Überprüfung von Abhängigkeitsschwachstellen
Serverhärtung
Unser Ansible-Konfiguration implementiert zahlreiche Maßnahmen zur Serverhärtung:
- USB-Zugriff deaktiviert: Physische Ports werden durch Blacklisting des Kernelmoduls „usb-storage“ deaktiviert.
- Firewall-Regeln: Strenge iptables-Regeln erlauben nur notwendige Verbindungen.
- SSH-Härtung: Nur schlüsselbasierte Authentifizierung, keine Passwortanmeldung, Root-Anmeldung deaktiviert.
- Dienstisolierung: Jeder Dienst läuft mit den erforderlichen Mindestberechtigungen.
- Automatische Updates: Sicherheitspatches werden automatisch eingespielt.
- Sicherer Start: Verifizierter Startvorgang zum Schutz vor Manipulationen.
- Kernel-Härtung: Sichere Kernel-Parameter und Sysctl-Konfigurationen.
- Dateisystembeschränkungen: Mount-Optionen „noexec“, „nosuid“ und „nodev“, sofern zutreffend.
- Core Dumps deaktiviert: Das System ist so konfiguriert, dass Core Dumps aus Sicherheitsgründen verhindert werden.
- Auslagerung deaktiviert: Auslagerungsspeicher deaktiviert, um Datenlecks zu vermeiden.
- Port-Scan-Schutz: Automatische Erkennung und Blockierung von Port-Scan-Versuchen.
- Transparent Huge Pages deaktiviert: THP deaktiviert für verbesserte Leistung und Sicherheit.
- Systemdienst Härtung: Nicht unbedingt erforderliche Dienste wie Apport deaktiviert.
- Benutzerverwaltung: Prinzip der geringsten Rechte mit separaten Deployment- und DevOps-Benutzern.
- Dateideskriptor-Limits: Erhöhte Limits für bessere Leistung und Sicherheit.
Service-Level-Vereinbarung
Wir gewährleisten eine hohe Serviceverfügbarkeit und Zuverlässigkeit. Unsere Infrastruktur ist auf Redundanz und Fehlertoleranz ausgelegt, um die Betriebsbereitschaft Ihres E-Mail-Dienstes sicherzustellen. Obwohl wir kein formelles SLA-Dokument veröffentlichen, verpflichten wir uns zu Folgendem:
- Über 99,9 % Verfügbarkeit für alle Dienste
- Schnelle Reaktion auf Servicestörungen
- Transparente Kommunikation bei Störungen
- Regelmäßige Wartung in Zeiten mit geringem Datenverkehr
Open Source-Sicherheit
Als Open-Source-Dienst profitiert unsere Sicherheit von:
- Transparenter Code, der von jedem geprüft werden kann
- Community-getriebene Sicherheitsverbesserungen
- Schnelle Identifizierung und Behebung von Schwachstellen
- Keine Sicherheit durch Unklarheit
Mitarbeitersicherheit
- Hintergrundüberprüfungen aller Mitarbeiter
- Schulungen zum Sicherheitsbewusstsein
- Least-Privilege-Prinzip
- Regelmäßige Sicherheitsschulungen
Kontinuierliche Verbesserung
Wir verbessern unsere Sicherheitslage kontinuierlich durch:
- Überwachung von Sicherheitstrends und neuen Bedrohungen
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien
- Feedback von Sicherheitsforschern und -nutzern
- Teilnahme an der Sicherheits-Community
Wenn Sie weitere Informationen zu unseren Sicherheitspraktiken wünschen oder Sicherheitsbedenken melden möchten, wenden Sie sich bitte an security@forwardemail.net.