보안 관행

Forward Email에서 보안은 최우선 순위입니다. 당사는 귀하의 이메일 커뮤니케이션과 개인 데이터를 보호하기 위해 포괄적인 보안 조치를 구현했습니다. 이 문서는 당사의 보안 관행과 귀하의 이메일의 기밀성, 무결성 및 가용성을 보장하기 위해 취하는 단계를 설명합니다.

보안 데이터 센터

당사 인프라는 다음과 같은 SOC 2 호환 데이터 센터에 호스팅됩니다.

• 24시간 연중무휴 물리적 보안 및 감시
• 생체 인식 접근 제어
• 중복 전원 시스템
• 첨단 화재 감지 및 진압
• 환경 모니터링

네트워크 보안

우리는 여러 계층의 네트워크 보안을 구현합니다:

• 엄격한 액세스 제어 목록을 갖춘 엔터프라이즈급 방화벽
• DDoS 보호 및 완화
• 정기적인 네트워크 취약성 스캐닝
• 침입 탐지 및 방지 시스템
• 모든 서비스 엔드포인트 간 트래픽 암호화
• 의심스러운 활동을 자동으로 차단하는 포트 스캐닝 보호

[!중요] 전송 중인 모든 데이터는 최신 암호화 제품군을 사용하여 TLS 1.2+를 사용하여 암호화됩니다.

암호화

• 전송 계층 보안(TLS): 모든 이메일 트래픽은 TLS 1.2 이상을 사용하여 전송 중 암호화됩니다.
• 종단간 암호화: OpenPGP/MIME 및 S/MIME 표준 지원
• 스토리지 암호화: 저장된 모든 이메일은 SQLite 파일에 있는 ChaCha20-Poly1305 암호화를 사용하여 암호화됩니다.
• 전체 디스크 암호화: 전체 디스크에 대한 LUKS v2 암호화
• 종합 보호: 저장 중 암호화, 메모리 내 암호화, 전송 중 암호화를 구현합니다.

[!NOTE] 저희는 양자 저항 및 개별적으로 암호화된 SQLite 사서함을 사용하는 세계 최초이자 유일한 이메일 서비스입니다.

인증 및 권한 부여

• DKIM 서명: 모든 발신 이메일은 DKIM으로 서명됩니다.
• SPF 및 DMARC: 이메일 스푸핑을 방지하기 위한 SPF 및 DMARC에 대한 완벽한 지원
• MTA-STS: TLS 암호화를 적용하기 위한 MTA-STS 지원
• 다중 요소 인증: 모든 계정 접근 가능

학대 방지 조치

• 스팸 필터링: 머신러닝을 통한 다층 스팸 감지
• 바이러스 검사: 모든 첨부 파일의 실시간 검사
• 속도 제한: 무차별 대입 공격 및 열거형 공격으로부터 보호
• IP 평판: IP 평판 전송 모니터링
• 콘텐츠 필터링: 악성 URL 및 피싱 시도 감지

데이터 최소화

우리는 데이터 최소화 원칙을 따릅니다.

• 우리는 서비스를 제공하는 데 필요한 데이터만 수집합니다.
• 이메일 콘텐츠는 메모리에서 처리되며 IMAP/POP3 배달에 필요하지 않는 한 지속적으로 저장되지 않습니다.
• 로그는 익명화되며 필요한 기간 동안만 보관됩니다.

백업 및 복구

• 암호화를 통한 자동 일일 백업
• 지리적으로 분산된 백업 스토리지
• 정기적인 백업 복원 테스트
• 정의된 RPO 및 RTO를 갖춘 재해 복구 절차

우리는 서비스 제공자를 신중하게 선택하여 높은 보안 기준을 충족하도록 합니다. 아래는 국제 데이터 전송에 사용하는 제공자와 GDPR 준수 상태입니다.

우리는 이러한 공급업체를 사용하여 국제 데이터 보호 규정을 준수하는 동시에 안정적이고 안전한 서비스 제공을 보장합니다. 모든 데이터 전송은 귀하의 개인 정보를 보호하기 위해 적절한 보호 조치를 취하여 수행됩니다.

정기적인 보안 평가

저희 팀은 정기적으로 코드베이스, 서버, 인프라 및 관행을 모니터링, 검토 및 평가합니다. 저희는 다음을 포함하는 포괄적인 보안 프로그램을 구현합니다.

• SSH 키의 정기적 순환
• 접속 로그의 지속적인 모니터링
• 자동화된 보안 스캐닝
• 선제적 취약성 관리
• 모든 팀원을 대상으로 정기적인 보안 교육을 실시합니다.

규정 준수

• GDPR 규정을 준수하는 데이터 처리 관행
• 데이터 처리 계약(DPA) 비즈니스 고객 이용 가능
• CCPA 규정을 준수하는 개인 정보 보호 제어
• SOC 2 유형 II 감사 프로세스

당사의 보안 사고 대응 계획에는 다음이 포함됩니다.

1. 발각: 자동 모니터링 및 경고 시스템
2. 방지: 영향을 받은 시스템의 즉각적인 격리
3. 근절: 위협 제거 및 근본 원인 분석
4. 회복: 서비스의 안전한 복구
5. 공고: 영향을 받는 사용자와의 시기적절한 커뮤니케이션
6. 사고 후 분석: 종합적인 검토 및 개선

[!경고] 보안 취약점을 발견한 경우 즉시 보고해 주십시오. security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

모든 코드는 다음을 거칩니다.

• 보안 요구 사항 수집
• 설계 중 위협 모델링
• 보안 코딩 관행
• 정적 및 동적 애플리케이션 보안 테스트
• 보안에 초점을 맞춘 코드 검토
• 종속성 취약성 스캐닝

우리의 Ansible 구성 다양한 서버 강화 조치를 구현합니다.

• USB 액세스 비활성화됨: usb-storage 커널 모듈을 블랙리스트에 등록하여 물리적 포트를 비활성화합니다.
• 방화벽 규칙: 필요한 연결만 허용하는 엄격한 iptables 규칙
• SSH 강화: 키 기반 인증만 가능, 비밀번호 로그인 불가, root 로그인 비활성화
• 서비스 격리: 각 서비스는 최소한의 필수 권한으로 실행됩니다.
• 자동 업데이트: 보안 패치가 자동으로 적용됩니다.
• 보안 부팅: 변조 방지를 위한 검증된 부팅 프로세스
• 커널 강화: 보안 커널 매개변수 및 sysctl 구성
• 파일 시스템 제한 사항: 적절한 경우 noexec, nosuid 및 nodev 마운트 옵션
• 코어 덤프 비활성화됨: 보안을 위해 코어 덤프를 방지하도록 구성된 시스템
• 스왑 비활성화됨: 데이터 유출을 방지하기 위해 스왑 메모리를 비활성화했습니다.
• 포트 스캐닝 보호: 포트 스캐닝 시도의 자동 감지 및 차단
• 투명한 거대한 페이지 비활성화됨: 성능 및 보안 향상을 위해 THP 비활성화
• 시스템 서비스 강화: Apport와 같은 필수적이지 않은 서비스가 비활성화됨
• 사용자 관리: 별도의 배포 및 DevOps 사용자를 통한 최소 권한 원칙
• 파일 설명자 제한: 더 나은 성능과 보안을 위한 제한 증가

저희는 높은 수준의 서비스 가용성과 안정성을 유지합니다. 저희 인프라는 중복성과 내결함성을 위해 설계되어 이메일 서비스가 계속 작동할 수 있도록 합니다. 저희는 공식적인 SLA 문서를 게시하지 않지만, 다음을 위해 최선을 다하고 있습니다.

• 모든 서비스에 대한 가동 시간 99.9%+
• 서비스 중단에 대한 신속한 대응
• 사고 발생 시 투명한 커뮤니케이션
• 교통량이 적은 기간 동안 정기적인 유지관리

로서 오픈소스 서비스, 당사의 보안 혜택은 다음과 같습니다:

• 누구나 감사할 수 있는 투명한 코드
• 커뮤니티 중심 보안 개선
• 취약점의 신속한 식별 및 패치
• 모호함으로 인한 보안 없음

• 모든 직원에 대한 배경 조사
• 보안 인식 교육
• 최소 권한 액세스 원칙
• 정기적인 보안 교육

당사는 다음을 통해 지속적으로 보안 태세를 개선하고 있습니다.

• 보안 동향 및 새로운 위협 모니터링
• 보안 정책에 대한 정기적인 검토 및 업데이트
• 보안 연구원 및 사용자의 피드백
• 보안 커뮤니티 참여

당사의 보안 관행에 대한 자세한 내용을 알아보거나 보안 문제를 보고하려면 다음 주소로 연락해 주십시오. security@forwardemail.net.

• 개인 정보 정책
• 서비스 약관
• GDPR 준수
• 데이터 처리 계약(DPA)
• 남용 신고
• 보안 정책
• Security.txt
• GitHub 저장소
• FAQ