Güvenlik Uygulamaları

Forward Email'de güvenlik en büyük önceliğimizdir. E-posta iletişimlerinizi ve kişisel verilerinizi korumak için kapsamlı güvenlik önlemleri uyguladık. Bu belge, güvenlik uygulamalarımızı ve e-postanızın gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için attığımız adımları ana hatlarıyla açıklamaktadır.

Güvenli Veri Merkezleri

Altyapımız SOC 2 uyumlu veri merkezlerinde barındırılmaktadır:

• 7/24 fiziksel güvenlik ve gözetim
• Biyometrik erişim kontrolleri
• Yedek güç sistemleri
• Gelişmiş yangın algılama ve söndürme
• Çevresel izleme

Ağ Güvenliği

Ağ güvenliğinin birden fazla katmanını uyguluyoruz:

• Sıkı erişim kontrol listelerine sahip kurumsal düzeyde güvenlik duvarları
• DDoS koruması ve azaltma
• Düzenli ağ güvenlik açığı taraması
• Saldırı tespit ve önleme sistemleri
• Tüm hizmet uç noktaları arasındaki trafiğin şifrelenmesi
• Şüpheli faaliyetlerin otomatik olarak engellenmesiyle port tarama koruması

[!ÖNEMLİ] Transfer halindeki tüm veriler, modern şifre paketleri ile TLS 1.2+ kullanılarak şifrelenir.

Şifreleme

• Taşıma Katmanı Güvenliği (TLS): Tüm e-posta trafiği, TLS 1.2 veya üzeri kullanılarak aktarım sırasında şifrelenir
• Uçtan Uca Şifreleme: OpenPGP/MIME ve S/MIME standartları için destek
• Depolama Şifrelemesi: Tüm depolanan e-postalar, SQLite dosyalarında ChaCha20-Poly1305 şifrelemesi kullanılarak hareketsizken şifrelenir
• Tam Disk Şifrelemesi: Tüm disk için LUKS v2 şifrelemesi
• Kapsamlı Koruma: Beklemede şifreleme, bellekte şifreleme ve aktarım sırasında şifreleme uygularız

[!NOTE] Kuantum dirençli ve ayrı ayrı şifrelenmiş SQLite posta kutuları kullanan dünyanın ilk ve tek e-posta hizmetiyiz.

Kimlik Doğrulama ve Yetkilendirme

• DKIM İmzalama: Tüm giden e-postalar DKIM ile imzalanmıştır
• SPF ve DMARC: E-posta sahteciliğini önlemek için SPF ve DMARC'a tam destek
• MTA-STS: TLS şifrelemesini zorunlu kılmak için MTA-STS desteği
• Çok Faktörlü Kimlik Doğrulama: Tüm hesap erişimleri için kullanılabilir

İstismara Karşı Önlemler

• Spam Filtreleme: Makine öğrenimiyle çok katmanlı spam tespiti
• Virüs Taraması: Tüm eklerin gerçek zamanlı taranması
• Hız Sınırlama: Kaba kuvvet ve numaralandırma saldırılarına karşı koruma
• IP itibarı: Gönderen IP itibarının izlenmesi
• İçerik Filtreleme: Kötü amaçlı URL'lerin ve kimlik avı girişimlerinin tespiti

Veri Minimizasyonu

Veri minimizasyonu ilkesini benimsiyoruz:

• Yalnızca hizmetimizi sunmak için gerekli verileri topluyoruz
• E-posta içeriği bellekte işlenir ve IMAP/POP3 teslimatı için gerekli olmadıkça kalıcı olarak depolanmaz
• Günlükler anonimleştirilir ve yalnızca gerekli olduğu sürece saklanır

Yedekleme ve Kurtarma

• Şifreleme ile otomatik günlük yedeklemeler
• Coğrafi olarak dağıtılmış yedekleme depolaması
• Düzenli yedekleme geri yükleme testi
• Tanımlı RPO ve RTO ile felaket kurtarma prosedürleri

Yüksek güvenlik standartlarımızı karşıladıklarından emin olmak için hizmet sağlayıcılarımızı dikkatlice seçiyoruz. Aşağıda uluslararası veri transferi için kullandığımız sağlayıcılar ve GDPR uyumluluk durumları yer almaktadır:

Uluslararası veri koruma düzenlemelerine uyumu korurken güvenilir, güvenli hizmet sunumunu sağlamak için bu sağlayıcıları kullanırız. Tüm veri transferleri, kişisel bilgilerinizi korumak için uygun güvenlik önlemleri alınarak gerçekleştirilir.

Düzenli Güvenlik Değerlendirmeleri

Ekibimiz kod tabanını, sunucuları, altyapıyı ve uygulamaları düzenli olarak izler, inceler ve değerlendirir. Şunları içeren kapsamlı bir güvenlik programı uygularız:

• SSH anahtarlarının düzenli rotasyonu
• Erişim kayıtlarının sürekli izlenmesi
• Otomatik güvenlik taraması
• Proaktif güvenlik açığı yönetimi
• Tüm ekip üyeleri için düzenli güvenlik eğitimi

Uyumluluk

• GDPR uyumlu veri işleme uygulamaları
• Veri İşleme Sözleşmesi (DPA) ticari müşteriler için mevcuttur
• CCPA uyumlu gizlilik kontrolleri
• SOC 2 Tip II denetlenen süreçler

Güvenlik olayına müdahale planımız şunları içerir:

1. Tespit: Otomatik izleme ve uyarı sistemleri
2. Sınırlama: Etkilenen sistemlerin derhal izole edilmesi
3. Yok etme: Tehditlerin ortadan kaldırılması ve kök neden analizi
4. İyileşmek: Hizmetlerin güvenli bir şekilde geri yüklenmesi
5. Bildiri: Etkilenen kullanıcılarla zamanında iletişim
6. Olay Sonrası Analiz: Kapsamlı inceleme ve iyileştirme

[!UYARI] Bir güvenlik açığı keşfederseniz lütfen bunu derhal şuraya bildirin: security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

Tüm kodlar şunlardan geçer:

• Güvenlik gereksinimlerinin toplanması
• Tasarım sırasında tehdit modellemesi
• Güvenli kodlama uygulamaları
• Statik ve dinamik uygulama güvenlik testi
• Güvenlik odaklı kod incelemesi
• Bağımlılık güvenlik açığı taraması

Bizim Ansible yapılandırması çok sayıda sunucu güçlendirme önlemi uygular:

• USB Erişimi Devre Dışı: USB depolama çekirdek modülünün kara listeye alınmasıyla fiziksel bağlantı noktaları devre dışı bırakıldı
• Güvenlik Duvarı Kuralları: Yalnızca gerekli bağlantılara izin veren sıkı iptables kuralları
• SSH Güçlendirme: Yalnızca anahtar tabanlı kimlik doğrulama, parola girişi yok, kök girişi devre dışı
• Hizmet izolasyonu: Her hizmet, gereken en az ayrıcalıklarla çalışır
• Otomatik Güncellemeler: Güvenlik yamaları otomatik olarak uygulanır
• Güvenli Önyükleme: Kurcalamayı önlemek için doğrulanmış önyükleme süreci
• Çekirdek Sertleştirme: Güvenli çekirdek parametreleri ve sysctl yapılandırmaları
• Dosya Sistemi Kısıtlamaları: noexec, nosuid ve nodev bağlama seçenekleri uygun olduğunda
• Çekirdek Dökümleri Devre Dışı Bırakıldı: Sistem güvenlik için çekirdek dökümlerini engelleyecek şekilde yapılandırıldı
• Takas Devre Dışı: Veri sızıntısını önlemek için takas belleği devre dışı bırakıldı
• Port Tarama Koruması: Port tarama girişimlerinin otomatik olarak algılanması ve engellenmesi
• Şeffaf Büyük Sayfalar Devre Dışı: Geliştirilmiş performans ve güvenlik için THP devre dışı bırakıldı
• Sistem Servis Güçlendirme: Apport gibi temel olmayan hizmetler devre dışı bırakıldı
• Kullanıcı Yönetimi: Ayrı dağıtım ve devops kullanıcıları ile en az ayrıcalık ilkesi
• Dosya Tanımlayıcı Sınırları: Daha iyi performans ve güvenlik için artırılmış sınırlar

Yüksek düzeyde hizmet kullanılabilirliği ve güvenilirliğini sürdürüyoruz. Altyapımız, e-posta hizmetinizin çalışır durumda kalmasını sağlamak için yedeklilik ve hata toleransı için tasarlanmıştır. Resmi bir SLA belgesi yayınlamasak da, şunları taahhüt ediyoruz:

• Tüm hizmetler için %99,9+ çalışma süresi
• Hizmet kesintilerine hızlı yanıt
• Olaylar sırasında şeffaf iletişim
• Trafiğin düşük olduğu dönemlerde düzenli bakım

Bir olarak açık kaynaklı hizmetgüvenliğimiz şunlardan faydalanır:

• Herkes tarafından denetlenebilen şeffaf kod
• Topluluk odaklı güvenlik iyileştirmeleri
• Güvenlik açıklarının hızlı bir şekilde belirlenmesi ve yamalanması
• Belirsizlik nedeniyle güvenlik yok

• Tüm çalışanlar için geçmiş kontrolleri
• Güvenlik farkındalık eğitimi
• En az ayrıcalıklı erişim ilkesi
• Düzenli güvenlik eğitimi

Güvenlik duruşumuzu şu şekilde sürekli olarak iyileştiriyoruz:

• Güvenlik eğilimlerinin ve ortaya çıkan tehditlerin izlenmesi
• Güvenlik politikalarının düzenli olarak gözden geçirilmesi ve güncellenmesi
• Güvenlik araştırmacıları ve kullanıcılarından gelen geri bildirimler
• Güvenlik topluluğuna katılım

Güvenlik uygulamalarımız hakkında daha fazla bilgi edinmek veya güvenlik endişelerinizi bildirmek için lütfen bizimle iletişime geçin. security@forwardemail.net.

• Gizlilik Politikası
• Kullanım Şartları
• GDPR Uyumluluğu
• Veri İşleme Sözleşmesi (DPA)
• Kötüye Kullanımı Bildir
• Güvenlik Politikası
• Security.txt
• GitHub Deposu
• FAQ