Säkerhetsrutiner

Förord

På Forward Email är säkerhet vår högsta prioritet. Vi har implementerat omfattande säkerhetsåtgärder för att skydda din e-postkommunikation och dina personuppgifter. Detta dokument beskriver våra säkerhetsrutiner och de åtgärder vi vidtar för att säkerställa konfidentialitet, integritet och tillgänglighet för din e-post.

Infrastruktursäkerhet

Säkra datacenter

Vår infrastruktur är värd i SOC 2-kompatibla datacenter med:

  • Fysisk säkerhet och övervakning dygnet runt
  • Biometriska åtkomstkontroller
  • Redundanta strömförsörjningssystem
  • Avancerad branddetektering och brandsläckning
  • Miljöövervakning

Nätverkssäkerhet

Vi implementerar flera lager av nätverkssäkerhet:

  • Brandväggar i företagsklass med strikta åtkomstkontrolllistor
  • DDoS-skydd och -reducering
  • Regelbunden skanning av nätverkssårbarheter
  • System för att upptäcka och förebygga intrång
  • Trafikkryptering mellan alla tjänsteslutpunkter
  • Portskanningsskydd med automatisk blockering av misstänkt aktivitet

Important

All data som överförs krypteras med TLS 1.2+ med moderna krypteringssviter.

E-postsäkerhet

Kryptering

  • Transport Layer Security (TLS): All e-posttrafik krypteras under överföring med TLS 1.2 eller högre
  • End-to-End-kryptering: Stöd för OpenPGP/MIME- och S/MIME-standarder
  • Lagringskryptering: Alla lagrade e-postmeddelanden krypteras i vila med ChaCha20-Poly1305-kryptering i SQLite-filer
  • Fullständig diskkryptering: LUKS v2-kryptering för hela disken
  • Omfattande skydd: Vi implementerar kryptering i vila, kryptering i minnet och kryptering under överföring

Note

Vi är världens första och enda e-posttjänst som använder kvantresistenta och individuellt krypterade SQLite-postlådor.

Autentisering och auktorisering

  • DKIM-signering: Alla utgående e-postmeddelanden signeras med DKIM
  • SPF och DMARC: Fullt stöd för SPF och DMARC för att förhindra e-postförfalskning
  • MTA-STS: Stöd för MTA-STS för att framtvinga TLS-kryptering
  • Multifaktorautentisering: Tillgängligt för all kontoåtkomst

Åtgärder mot missbruk

  • Spamfiltrering: Flerskiktad spamdetektering med maskininlärning
  • Virusskanning: Realtidsskanning av alla bilagor
  • Hastighetsbegränsning: Skydd mot brute force- och uppräkningsattacker
  • IP-rykte: Övervakning av avsändarens IP-rykte
  • Innehållsfiltrering: Detektering av skadliga webbadresser och nätfiskeförsök

Dataskydd

Dataminimering

Vi följer principen om dataminimering:

  • Vi samlar endast in de uppgifter som är nödvändiga för att tillhandahålla vår tjänst.
  • E-postinnehåll bearbetas i minnet och lagras inte permanent om det inte krävs för IMAP/POP3-leverans.
  • Loggar anonymiseras och sparas endast så länge som det är nödvändigt.

Säkerhetskopiering och återställning

  • Automatiserade dagliga säkerhetskopior med kryptering
  • Geografiskt distribuerad lagring av säkerhetskopior
  • Regelbunden testning av återställning av säkerhetskopior
  • Katastrofåterställningsprocedurer med definierade RPO och RTO

Tjänsteleverantörer

Vi väljer noggrant våra tjänsteleverantörer för att säkerställa att de uppfyller våra höga säkerhetsstandarder. Nedan följer de leverantörer vi använder för internationell dataöverföring och deras status som GDPR-efterlevnad:

Leverantör Ändamål DPF-certifierad Sida om efterlevnad av GDPR
Cloudflare CDN, DDoS-skydd, DNS ✅ Ja Cloudflare GDPR
DataPacket Serverinfrastruktur ❌ Nej DataPacket Privacy
Digital Ocean Molninfrastruktur ❌ Nej DigitalOcean GDPR
Vultr Molninfrastruktur ❌ Nej Vultr GDPR
Stripe Betalningshantering ✅ Ja Stripe Privacy Center
PayPal Betalningshantering ❌ Nej PayPal Privacy

Vi använder dessa leverantörer för att säkerställa tillförlitlig och säker tjänsteleverans samtidigt som vi följer internationella dataskyddsregler. Alla dataöverföringar sker med lämpliga skyddsåtgärder för att skydda dina personuppgifter.

Regelefterlevnad och revision

Regelbundna säkerhetsbedömningar

Vårt team övervakar, granskar och utvärderar regelbundet kodbasen, servrarna, infrastrukturen och rutinerna. Vi implementerar ett omfattande säkerhetsprogram som inkluderar:

  • Regelbunden rotation av SSH-nycklar
  • Kontinuerlig övervakning av åtkomstloggar
  • Automatiserad säkerhetsskanning
  • Proaktiv sårbarhetshantering
  • Regelbunden säkerhetsutbildning för alla teammedlemmar

Efterlevnad

  • Datahanteringspraxis som uppfyller GDPR
  • Databehandlingsavtal (DPA) tillgänglig för företagskunder
  • CCPA-kompatibla integritetskontroller
  • Granskade processer enligt SOC 2 Typ II

Incidentrespons

Vår plan för säkerhetsincidenter inkluderar:

  1. Upptäckt: Automatiserade övervaknings- och varningssystem
  2. Inneslutning: Omedelbar isolering av berörda system
  3. Utrotning: Borttagning av hotet och analys av rotorsaksen
  4. Återställning: Säker återställning av tjänster
  5. Meddelande: Snabb kommunikation med berörda användare
  6. Analys efter incident: Omfattande granskning och förbättring

Warning

Om du upptäcker en säkerhetsbrist, vänligen rapportera den omedelbart till security@forwardemail.net.

Säkerhetsutvecklingslivscykel

All kod genomgår:

  • Insamling av säkerhetskrav
  • Hotmodellering under design
  • Säkra kodningsrutiner
  • Statisk och dynamisk säkerhetstestning av applikationer
  • Kodgranskning med säkerhetsfokus
  • Skanning av beroendens sårbarheter

Serverhärdning

Vår Ansible-konfiguration implementerar ett flertal serverhärdningsåtgärder:

  • USB-åtkomst inaktiverad: Fysiska portar inaktiveras genom att svartlista usb-storage-kärnmodulen
  • Brandväggsregler: Strikta iptables-regler som endast tillåter nödvändiga anslutningar
  • SSH-härdning: Endast nyckelbaserad autentisering, ingen lösenordsinloggning, root-inloggning inaktiverad
  • Tjänstisolering: Varje tjänst körs med minimala nödvändiga behörigheter
  • Automatiska uppdateringar: Säkerhetspatchar tillämpas automatiskt
  • Säker start: Verifierad startprocess för att förhindra manipulering
  • Kärnhärdning: Säkra kärnparametrar och sysctl-konfigurationer
  • Filsystembegränsningar: noexec-, nosuid- och nodev-monteringsalternativ där det är lämpligt
  • Core Dumps inaktiverade: Systemet är konfigurerat för att förhindra core dumps för säkerhet
  • Swap inaktiverad: Swap-minne inaktiverat för att förhindra dataläckage
  • Portskanningsskydd: Automatisk detektering och blockering av portskanningsförsök
  • Transparent Huge Pages inaktiverade: THP inaktiverat för förbättrad prestanda och säkerhet
  • Systemtjänsthärdning: Icke-nödvändiga tjänster som Apport inaktiverade
  • Användare Hantering: Principen om minsta behörighet med separata deploy- och devops-användare
  • Gränser för filbeskrivningar: Ökade gränser för bättre prestanda och säkerhet

Servicenivåavtal

Vi upprätthåller en hög nivå av tillgänglighet och tillförlitlighet för tjänster. Vår infrastruktur är utformad för redundans och feltolerans för att säkerställa att din e-posttjänst förblir i drift. Även om vi inte publicerar ett formellt SLA-dokument, är vi fast beslutna att:

  • 99,9 %+ drifttid för alla tjänster
  • Snabb respons vid avbrott i tjänsten
  • Transparent kommunikation vid incidenter
  • Regelbundet underhåll under perioder med låg trafik

Öppen källkodssäkerhet

Som öppen källkodstjänst drar vår säkerhet nytta av:

  • Transparent kod som kan granskas av vem som helst
  • Gemenskapsdrivna säkerhetsförbättringar
  • Snabb identifiering och patchning av sårbarheter
  • Ingen säkerhet genom oklarhet

Medarbetarsäkerhet

  • Bakgrundskontroller för alla anställda
  • Säkerhetsmedvetenhetsutbildning
  • Principen om minsta möjliga åtkomsträtt
  • Regelbunden säkerhetsutbildning

Kontinuerlig förbättring

Vi förbättrar kontinuerligt vår säkerhetsställning genom:

  • Övervakning av säkerhetstrender och framväxande hot
  • Regelbunden granskning och uppdateringar av säkerhetspolicyer
  • Feedback från säkerhetsforskare och användare
  • Deltagande i säkerhetsgemenskapen

För mer information om våra säkerhetsrutiner eller för att rapportera säkerhetsproblem, vänligen kontakta security@forwardemail.net.

Ytterligare resurser