Säkerhetspraxis
Förord
Hos Forward Email är säkerhet vår högsta prioritet. Vi har implementerat omfattande säkerhetsåtgärder för att skydda din e-postkommunikation och personliga data. Det här dokumentet beskriver våra säkerhetsrutiner och de steg vi vidtar för att säkerställa konfidentialitet, integritet och tillgänglighet för din e-post.
Infrastruktursäkerhet
Säkra datacenter
Vår infrastruktur är värd i SOC 2-kompatibla datacenter med:
- Fysisk säkerhet och övervakning dygnet runt
- Biometriska åtkomstkontroller
- Redundanta kraftsystem
- Avancerad branddetektering och brandsläckning
- Miljöövervakning
Nätverkssäkerhet
Vi implementerar flera lager av nätverkssäkerhet:
- Företagsklassiga brandväggar med strikta åtkomstkontrollistor
- DDoS-skydd och begränsning
- Regelbunden genomsökning av nätverkssårbarheter
- Intrångsdetektering och förebyggande system
- Trafikkryptering mellan alla tjänstslutpunkter
- Portskanningsskydd med automatisk blockering av misstänkt aktivitet
[!VIKTIG] All data som överförs krypteras med TLS 1.2+ med moderna chiffersviter.
E-postsäkerhet
Kryptering
- Transport Layer Security (TLS): All e-posttrafik krypteras under överföring med TLS 1.2 eller högre
- End-to-end-kryptering: Stöd för OpenPGP/MIME och S/MIME-standarder
- Lagringskryptering: Alla lagrade e-postmeddelanden krypteras i vila med ChaCha20-Poly1305-kryptering i SQLite-filer
- Full diskkryptering: LUKS v2-kryptering för hela disken
- Omfattande skydd: Vi implementerar kryptering-i-vila, kryptering-i-minne och kryptering-i-transit
[!NOTERA] Vi är världens första och enda e-posttjänst som använder kvantresistenta och individuellt krypterade SQLite-postlådor.
Autentisering och auktorisering
- DKIM Signering: Alla utgående e-postmeddelanden är signerade med DKIM
- SPF och DMARC: Fullständigt stöd för SPF och DMARC för att förhindra e-postspoofing
- MTA-STS: Stöd för MTA-STS för att upprätthålla TLS-kryptering
- Multifaktorautentisering: Tillgänglig för alla kontoåtkomster
Åtgärder mot missbruk
- Skräppostfiltrering: Spamdetektering i flera lager med maskininlärning
- Virusskanning: Realtidsskanning av alla bilagor
- Prisbegränsande: Skydd mot brute force och uppräkningsattacker
- IP rykte: Övervakning av sändande IP-rykte
- Innehållsfiltrering: Upptäckt av skadliga webbadresser och nätfiskeförsök
Dataskydd
Dataminimering
Vi följer principen om dataminimering:
- Vi samlar endast in de uppgifter som behövs för att tillhandahålla vår tjänst
- E-postinnehåll bearbetas i minnet och lagras inte permanent om det inte krävs för IMAP/POP3-leverans
- Loggar anonymiseras och sparas bara så länge det behövs
Säkerhetskopiering och återställning
- Automatiserade dagliga säkerhetskopior med kryptering
- Geografiskt fördelad backuplagring
- Regelbundna testning av backupåterställning
- Återställningsprocedurer med definierade RPO och RTO
Tjänsteleverantörer
Vi väljer noggrant ut våra tjänsteleverantörer för att säkerställa att de uppfyller våra höga säkerhetsstandarder. Nedan är de leverantörer vi använder för internationell dataöverföring och deras GDPR-efterlevnadsstatus:
| Leverantör | Syfte | DPF-certifierad | GDPR-efterlevnadssida |
|---|---|---|---|
| CloudFlare | CDN, DDoS-skydd, DNS | ✅ Ja | Cloudflare GDPR |
| DataPacket | Serverinfrastruktur | ❌ Nej | DataPacket Sekretess |
| Digital Ocean | Molninfrastruktur | ❌ Nej | DigitalOcean GDPR |
| Vultr | Molninfrastruktur | ❌ Nej | Vultr GDPR |
| Rand | Betalningshantering | ✅ Ja | Stripe Privacy Center |
| PayPal | Betalningshantering | ❌ Nej | PayPals sekretess |
Vi använder dessa leverantörer för att säkerställa tillförlitlig, säker tjänsteleverans samtidigt som vi upprätthåller efterlevnad av internationella dataskyddsbestämmelser. Alla dataöverföringar utförs med lämpliga skyddsåtgärder för att skydda din personliga information.
Efterlevnad och revision
Regelbundna säkerhetsbedömningar
Vårt team övervakar, granskar och utvärderar regelbundet kodbasen, servrarna, infrastrukturen och metoderna. Vi implementerar ett omfattande säkerhetsprogram som inkluderar:
- Regelbunden rotation av SSH-nycklar
- Kontinuerlig övervakning av åtkomstloggar
- Automatiserad säkerhetsskanning
- Proaktiv sårbarhetshantering
- Regelbunden säkerhetsutbildning för alla teammedlemmar
Efterlevnad
- GDPR kompatibla datahanteringsmetoder
- Databearbetningsavtal (DPA) tillgängligt för företagskunder
- CCPA-kompatibla integritetskontroller
- SOC 2 Typ II granskade processer
Incident Response
Vår åtgärdsplan för säkerhetsincidenter inkluderar:
- Upptäckt: Automatiserade övervaknings- och larmsystem
- Inneslutning: Omedelbar isolering av påverkade system
- Utrotning: Borttagning av hotet och analys av grundorsak
- Återhämtning: Säker återställning av tjänster
- Underrättelse: Snabb kommunikation med berörda användare
- Analys efter incidenten: Omfattande granskning och förbättring
[!VARNING] Om du upptäcker en säkerhetsbrist, vänligen rapportera den omedelbart till security@forwardemail.net.
Säkerhetsutveckling livscykel
flowchart LR
A[Requirements] --> B[Design]
B --> C[Implementation]
C --> D[Verification]
D --> E[Release]
E --> F[Maintenance]
F --> A
B -.-> G[Threat Modeling]
C -.-> H[Static Analysis]
D -.-> I[Security Testing]
E -.-> J[Final Security Review]
F -.-> K[Vulnerability Management]
All kod genomgår:
- Insamling av säkerhetskrav
- Hotmodellering under design
- Säkra kodningsmetoder
- Statisk och dynamisk applikationssäkerhetstestning
- Kodgranskning med säkerhetsfokus
- Genomsökning av beroendesårbarheter
Serverhärdning
Vår Ansible konfiguration implementerar många serverhärdningsåtgärder:
- USB-åtkomst inaktiverad: Fysiska portar inaktiveras genom att svartlista usb-lagringskärnmodulen
- Brandväggsregler: Strikta iptables-regler som endast tillåter nödvändiga anslutningar
- SSH härdning: Endast nyckelbaserad autentisering, ingen lösenordsinloggning, rotinloggning inaktiverad
- Serviceisolering: Varje tjänst körs med minimala nödvändiga behörigheter
- Automatiska uppdateringar: Säkerhetskorrigeringar appliceras automatiskt
- Säker start: Verifierad startprocess för att förhindra manipulering
- Kärnhärdning: Säkra kärnparametrar och sysctl-konfigurationer
- Filsystembegränsningar: noexec, nosuid och nodev monteringsalternativ där så är lämpligt
- Core Dumps inaktiverad: System konfigurerat för att förhindra kärndumpar för säkerhets skull
- Byte inaktiverad: Byt minne avaktiverat för att förhindra dataläckage
- Skydd för portskanning: Automatisk upptäckt och blockering av portskanningsförsök
- Transparent enorma sidor inaktiverad: THP inaktiverad för förbättrad prestanda och säkerhet
- System Service Härdning: Icke-nödvändiga tjänster som Apport inaktiverad
- Användarhantering: Principen om minsta privilegie med separata distribuera och devops användare
- Filbeskrivningsgränser: Ökade gränser för bättre prestanda och säkerhet
Servicenivåavtal
Vi upprätthåller en hög nivå av servicetillgänglighet och tillförlitlighet. Vår infrastruktur är designad för redundans och feltolerans för att säkerställa att din e-posttjänst förblir i drift. Även om vi inte publicerar ett formellt SLA-dokument, har vi åtagit oss att:
- 99,9 %+ drifttid för alla tjänster
- Snabb respons på serviceavbrott
- Transparent kommunikation vid incidenter
- Regelbundet underhåll under perioder med låg trafik
Säkerhet med öppen källkod
Som en öppen källkodstjänst, vår säkerhet drar nytta av:
- Transparent kod som kan granskas av vem som helst
- Samhällsdrivna säkerhetsförbättringar
- Snabb identifiering och lappning av sårbarheter
- Ingen säkerhet genom dunkel
Personalsäkerhet
- Bakgrundskontroller för alla anställda
- Utbildning för säkerhetsmedvetenhet
- Principen för minst privilegierad åtkomst
- Regelbunden säkerhetsutbildning
Kontinuerlig förbättring
Vi förbättrar kontinuerligt vår säkerhetsställning genom:
- Övervakning av säkerhetstrender och nya hot
- Regelbunden granskning och uppdateringar av säkerhetspolicyer
- Feedback från säkerhetsforskare och användare
- Deltagande i säkerhetsgemenskapen
För mer information om våra säkerhetsrutiner eller för att rapportera säkerhetsproblem, vänligen kontakta security@forwardemail.net.