Säkerhetsrutiner

Förord
På Forward Email är säkerhet vår högsta prioritet. Vi har implementerat omfattande säkerhetsåtgärder för att skydda din e-postkommunikation och dina personuppgifter. Detta dokument beskriver våra säkerhetsrutiner och de åtgärder vi vidtar för att säkerställa konfidentialitet, integritet och tillgänglighet för din e-post.
Infrastruktursäkerhet
Säkra datacenter
Vår infrastruktur är värd i SOC 2-kompatibla datacenter med:
- Fysisk säkerhet och övervakning dygnet runt
- Biometriska åtkomstkontroller
- Redundanta strömförsörjningssystem
- Avancerad branddetektering och brandsläckning
- Miljöövervakning
Nätverkssäkerhet
Vi implementerar flera lager av nätverkssäkerhet:
- Brandväggar i företagsklass med strikta åtkomstkontrolllistor
- DDoS-skydd och -reducering
- Regelbunden skanning av nätverkssårbarheter
- System för att upptäcka och förebygga intrång
- Trafikkryptering mellan alla tjänsteslutpunkter
- Portskanningsskydd med automatisk blockering av misstänkt aktivitet
Important
All data som överförs krypteras med TLS 1.2+ med moderna krypteringssviter.
E-postsäkerhet
Kryptering
- Transport Layer Security (TLS): All e-posttrafik krypteras under överföring med TLS 1.2 eller högre
- End-to-End-kryptering: Stöd för OpenPGP/MIME- och S/MIME-standarder
- Lagringskryptering: Alla lagrade e-postmeddelanden krypteras i vila med ChaCha20-Poly1305-kryptering i SQLite-filer
- Fullständig diskkryptering: LUKS v2-kryptering för hela disken
- Omfattande skydd: Vi implementerar kryptering i vila, kryptering i minnet och kryptering under överföring
Note
Vi är världens första och enda e-posttjänst som använder kvantresistenta och individuellt krypterade SQLite-postlådor.
Autentisering och auktorisering
- DKIM-signering: Alla utgående e-postmeddelanden signeras med DKIM
- SPF och DMARC: Fullt stöd för SPF och DMARC för att förhindra e-postförfalskning
- MTA-STS: Stöd för MTA-STS för att framtvinga TLS-kryptering
- Multifaktorautentisering: Tillgängligt för all kontoåtkomst
Åtgärder mot missbruk
- Spamfiltrering: Flerskiktad spamdetektering med maskininlärning
- Virusskanning: Realtidsskanning av alla bilagor
- Hastighetsbegränsning: Skydd mot brute force- och uppräkningsattacker
- IP-rykte: Övervakning av avsändarens IP-rykte
- Innehållsfiltrering: Detektering av skadliga webbadresser och nätfiskeförsök
Dataskydd
Dataminimering
Vi följer principen om dataminimering:
- Vi samlar endast in de uppgifter som är nödvändiga för att tillhandahålla vår tjänst.
- E-postinnehåll bearbetas i minnet och lagras inte permanent om det inte krävs för IMAP/POP3-leverans.
- Loggar anonymiseras och sparas endast så länge som det är nödvändigt.
Säkerhetskopiering och återställning
- Automatiserade dagliga säkerhetskopior med kryptering
- Geografiskt distribuerad lagring av säkerhetskopior
- Regelbunden testning av återställning av säkerhetskopior
- Katastrofåterställningsprocedurer med definierade RPO och RTO
Tjänsteleverantörer
Vi väljer noggrant våra tjänsteleverantörer för att säkerställa att de uppfyller våra höga säkerhetsstandarder. Nedan följer de leverantörer vi använder för internationell dataöverföring och deras status som GDPR-efterlevnad:
Leverantör | Ändamål | DPF-certifierad | Sida om efterlevnad av GDPR |
---|---|---|---|
Cloudflare | CDN, DDoS-skydd, DNS | ✅ Ja | Cloudflare GDPR |
DataPacket | Serverinfrastruktur | ❌ Nej | DataPacket Privacy |
Digital Ocean | Molninfrastruktur | ❌ Nej | DigitalOcean GDPR |
Vultr | Molninfrastruktur | ❌ Nej | Vultr GDPR |
Stripe | Betalningshantering | ✅ Ja | Stripe Privacy Center |
PayPal | Betalningshantering | ❌ Nej | PayPal Privacy |
Vi använder dessa leverantörer för att säkerställa tillförlitlig och säker tjänsteleverans samtidigt som vi följer internationella dataskyddsregler. Alla dataöverföringar sker med lämpliga skyddsåtgärder för att skydda dina personuppgifter.
Regelefterlevnad och revision
Regelbundna säkerhetsbedömningar
Vårt team övervakar, granskar och utvärderar regelbundet kodbasen, servrarna, infrastrukturen och rutinerna. Vi implementerar ett omfattande säkerhetsprogram som inkluderar:
- Regelbunden rotation av SSH-nycklar
- Kontinuerlig övervakning av åtkomstloggar
- Automatiserad säkerhetsskanning
- Proaktiv sårbarhetshantering
- Regelbunden säkerhetsutbildning för alla teammedlemmar
Efterlevnad
- Datahanteringspraxis som uppfyller GDPR
- Databehandlingsavtal (DPA) tillgänglig för företagskunder
- CCPA-kompatibla integritetskontroller
- Granskade processer enligt SOC 2 Typ II
Incidentrespons
Vår plan för säkerhetsincidenter inkluderar:
- Upptäckt: Automatiserade övervaknings- och varningssystem
- Inneslutning: Omedelbar isolering av berörda system
- Utrotning: Borttagning av hotet och analys av rotorsaksen
- Återställning: Säker återställning av tjänster
- Meddelande: Snabb kommunikation med berörda användare
- Analys efter incident: Omfattande granskning och förbättring
Warning
Om du upptäcker en säkerhetsbrist, vänligen rapportera den omedelbart till security@forwardemail.net.
Säkerhetsutvecklingslivscykel
All kod genomgår:
- Insamling av säkerhetskrav
- Hotmodellering under design
- Säkra kodningsrutiner
- Statisk och dynamisk säkerhetstestning av applikationer
- Kodgranskning med säkerhetsfokus
- Skanning av beroendens sårbarheter
Serverhärdning
Vår Ansible-konfiguration implementerar ett flertal serverhärdningsåtgärder:
- USB-åtkomst inaktiverad: Fysiska portar inaktiveras genom att svartlista usb-storage-kärnmodulen
- Brandväggsregler: Strikta iptables-regler som endast tillåter nödvändiga anslutningar
- SSH-härdning: Endast nyckelbaserad autentisering, ingen lösenordsinloggning, root-inloggning inaktiverad
- Tjänstisolering: Varje tjänst körs med minimala nödvändiga behörigheter
- Automatiska uppdateringar: Säkerhetspatchar tillämpas automatiskt
- Säker start: Verifierad startprocess för att förhindra manipulering
- Kärnhärdning: Säkra kärnparametrar och sysctl-konfigurationer
- Filsystembegränsningar: noexec-, nosuid- och nodev-monteringsalternativ där det är lämpligt
- Core Dumps inaktiverade: Systemet är konfigurerat för att förhindra core dumps för säkerhet
- Swap inaktiverad: Swap-minne inaktiverat för att förhindra dataläckage
- Portskanningsskydd: Automatisk detektering och blockering av portskanningsförsök
- Transparent Huge Pages inaktiverade: THP inaktiverat för förbättrad prestanda och säkerhet
- Systemtjänsthärdning: Icke-nödvändiga tjänster som Apport inaktiverade
- Användare Hantering: Principen om minsta behörighet med separata deploy- och devops-användare
- Gränser för filbeskrivningar: Ökade gränser för bättre prestanda och säkerhet
Servicenivåavtal
Vi upprätthåller en hög nivå av tillgänglighet och tillförlitlighet för tjänster. Vår infrastruktur är utformad för redundans och feltolerans för att säkerställa att din e-posttjänst förblir i drift. Även om vi inte publicerar ett formellt SLA-dokument, är vi fast beslutna att:
- 99,9 %+ drifttid för alla tjänster
- Snabb respons vid avbrott i tjänsten
- Transparent kommunikation vid incidenter
- Regelbundet underhåll under perioder med låg trafik
Öppen källkodssäkerhet
Som öppen källkodstjänst drar vår säkerhet nytta av:
- Transparent kod som kan granskas av vem som helst
- Gemenskapsdrivna säkerhetsförbättringar
- Snabb identifiering och patchning av sårbarheter
- Ingen säkerhet genom oklarhet
Medarbetarsäkerhet
- Bakgrundskontroller för alla anställda
- Säkerhetsmedvetenhetsutbildning
- Principen om minsta möjliga åtkomsträtt
- Regelbunden säkerhetsutbildning
Kontinuerlig förbättring
Vi förbättrar kontinuerligt vår säkerhetsställning genom:
- Övervakning av säkerhetstrender och framväxande hot
- Regelbunden granskning och uppdateringar av säkerhetspolicyer
- Feedback från säkerhetsforskare och användare
- Deltagande i säkerhetsgemenskapen
För mer information om våra säkerhetsrutiner eller för att rapportera säkerhetsproblem, vänligen kontakta security@forwardemail.net.