Güvenlik Uygulamaları

Önsöz

Forward Email'de güvenlik en önemli önceliğimizdir. E-posta iletişimlerinizi ve kişisel verilerinizi korumak için kapsamlı güvenlik önlemleri uyguladık. Bu belge, güvenlik uygulamalarımızı ve e-postalarınızın gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için attığımız adımları özetlemektedir.

Altyapı Güvenliği

Güvenli Veri Merkezleri

Altyapımız SOC 2 uyumlu veri merkezlerinde barındırılmaktadır:

  • 7/24 fiziksel güvenlik ve gözetim
  • Biyometrik erişim kontrolleri
  • Yedekli güç sistemleri
  • Gelişmiş yangın algılama ve söndürme
  • Çevresel izleme

Ağ Güvenliği

Ağ güvenliğinin birden fazla katmanını uyguluyoruz:

  • Sıkı erişim kontrol listelerine sahip kurumsal düzeyde güvenlik duvarları
  • DDoS koruması ve azaltma
  • Düzenli ağ güvenlik açığı taraması
  • Saldırı tespit ve önleme sistemleri
  • Tüm hizmet uç noktaları arasında trafik şifrelemesi
  • Şüpheli etkinliklerin otomatik olarak engellendiği port tarama koruması

Important

Aktarım sırasında tüm veriler, modern şifre paketleri kullanılarak TLS 1.2+ kullanılarak şifrelenir.

E-posta Güvenliği

Şifreleme

  • Taşıma Katmanı Güvenliği (TLS): Tüm e-posta trafiği, TLS 1.2 veya üzeri sürüm kullanılarak aktarım sırasında şifrelenir.
  • Uçtan Uca Şifreleme: OpenPGP/MIME ve S/MIME standartlarını destekler.
  • Depolama Şifrelemesi: Depolanan tüm e-postalar, SQLite dosyalarında ChaCha20-Poly1305 şifrelemesi kullanılarak bekleme sırasında şifrelenir.
  • Tam Disk Şifrelemesi: Tüm disk için LUKS v2 şifrelemesi.
  • Kapsamlı Koruma: Bekleme sırasında şifreleme, bellekte şifreleme ve aktarım sırasında şifreleme uyguluyoruz.

Note

kuantum dirençli ve ayrı ayrı şifrelenmiş SQLite posta kutuları'i kullanan dünyanın ilk ve tek e-posta hizmetiyiz.

Kimlik Doğrulama ve Yetkilendirme

  • DKIM İmzalama: Tüm giden e-postalar DKIM ile imzalanır.
  • SPF ve DMARC: E-posta sahteciliğini önlemek için SPF ve DMARC için tam destek
  • MTA-STS: TLS şifrelemesini zorunlu kılmak için MTA-STS desteği
  • Çok Faktörlü Kimlik Doğrulama: Tüm hesap erişimleri için kullanılabilir

İstismara Karşı Önlemler

  • Spam Filtreleme: Makine öğrenimi ile çok katmanlı spam tespiti
  • Virüs Tarama: Tüm eklerin gerçek zamanlı taranması
  • Hız Sınırlama: Kaba kuvvet ve numaralandırma saldırılarına karşı koruma
  • IP İtibarı: Gönderen IP itibarının izlenmesi
  • İçerik Filtreleme: Kötü amaçlı URL'lerin ve kimlik avı girişimlerinin tespiti

Veri Koruması

Veri Küçültme

Veri minimizasyonu ilkesini benimsiyoruz:

  • Yalnızca hizmetimizi sunmak için gerekli verileri topluyoruz.
  • E-posta içeriği bellekte işlenir ve IMAP/POP3 iletimi için gerekli olmadıkça kalıcı olarak saklanmaz.
  • Günlükler anonimleştirilir ve yalnızca gerekli olduğu sürece saklanır.

Yedekleme ve Kurtarma

  • Şifrelemeli otomatik günlük yedeklemeler
  • Coğrafi olarak dağıtılmış yedekleme depolaması
  • Düzenli yedekleme geri yükleme testleri
  • Tanımlı RPO ve RTO ile felaket kurtarma prosedürleri

Hizmet Sağlayıcıları

Yüksek güvenlik standartlarımızı karşıladıklarından emin olmak için hizmet sağlayıcılarımızı özenle seçiyoruz. Uluslararası veri aktarımı için kullandığımız sağlayıcılar ve GDPR uyumluluk durumları aşağıdadır:

Sağlayıcı Amaç DPF Sertifikalı GDPR Uyumluluk Sayfası
Cloudflare CDN, DDoS koruması, DNS ✅ Evet Cloudflare GDPR
DataPacket Sunucu altyapısı ❌ Hayır DataPacket Privacy
Digital Ocean Bulut altyapısı ❌ Hayır DigitalOcean GDPR
Vultr Bulut altyapısı ❌ Hayır Vultr GDPR
Stripe Ödeme işleme ✅ Evet Stripe Privacy Center
PayPal Ödeme işleme ❌ Hayır PayPal Privacy

Uluslararası veri koruma düzenlemelerine uyum sağlarken güvenilir ve emniyetli hizmet sunumu sağlamak için bu sağlayıcıları kullanıyoruz. Tüm veri aktarımları, kişisel bilgilerinizi korumak için uygun güvenlik önlemleri alınarak gerçekleştirilmektedir.

Uyumluluk ve Denetim

Düzenli Güvenlik Değerlendirmeleri

Ekibimiz kod tabanını, sunucuları, altyapıyı ve uygulamaları düzenli olarak izler, inceler ve değerlendirir. Kapsamlı bir güvenlik programı uyguluyoruz ve şunları sağlıyoruz:

  • SSH anahtarlarının düzenli rotasyonu
  • Erişim kayıtlarının sürekli izlenmesi
  • Otomatik güvenlik taraması
  • Proaktif güvenlik açığı yönetimi
  • Tüm ekip üyeleri için düzenli güvenlik eğitimi

Uyumluluk

  • GDPR uyumlu veri işleme uygulamaları
  • Veri İşleme Sözleşmesi (DPA) kurumsal müşteriler için mevcuttur
  • CCPA uyumlu gizlilik kontrolleri
  • SOC 2 Tip II denetlenmiş süreçler

Olay Yanıtı

Güvenlik olayı müdahale planımız şunları içerir:

  1. Tespit: Otomatik izleme ve uyarı sistemleri
  2. Kontrol: Etkilenen sistemlerin anında izole edilmesi
  3. Eradikasyon: Tehdidin ortadan kaldırılması ve temel neden analizi
  4. Kurtarma: Hizmetlerin güvenli bir şekilde geri yüklenmesi
  5. Bildirim: Etkilenen kullanıcılarla zamanında iletişim
  6. Olay Sonrası Analiz: Kapsamlı inceleme ve iyileştirme

Warning

Bir güvenlik açığı tespit ederseniz, lütfen derhal security@forwardemail.net adresine bildirin.

Güvenlik Geliştirme Yaşam Döngüsü

Tüm kodlar şu işlemlerden geçer:

  • Güvenlik gereksinimlerinin toplanması
  • Tasarım sırasında tehdit modellemesi
  • Güvenli kodlama uygulamaları
  • Statik ve dinamik uygulama güvenlik testleri
  • Güvenlik odaklı kod incelemesi
  • Bağımlılık güvenlik açığı taraması

Sunucu Güçlendirme

Ansible yapılandırması çok sayıda sunucu güçlendirme önlemi uygular:

  • USB Erişimi Devre Dışı: USB depolama çekirdek modülü kara listeye alınarak fiziksel bağlantı noktaları devre dışı bırakılır.
  • Güvenlik Duvarı Kuralları: Yalnızca gerekli bağlantılara izin veren katı iptables kuralları
  • SSH Güçlendirmesi: Yalnızca anahtar tabanlı kimlik doğrulama, parola girişi yok, root girişi devre dışı
  • Hizmet İzolasyonu: Her hizmet, gereken minimum ayrıcalıklarla çalışır.
  • Otomatik Güncellemeler: Güvenlik yamaları otomatik olarak uygulanır.
  • Güvenli Önyükleme: Kurcalamayı önlemek için doğrulanmış önyükleme işlemi
  • Çekirdek Güçlendirmesi: Güvenli çekirdek parametreleri ve sysctl yapılandırmaları
  • Dosya Sistemi Kısıtlamaları: Uygun olan yerlerde noexec, nosuid ve nodev bağlama seçenekleri
  • Çekirdek Dökümleri Devre Dışı: Sistem, güvenlik için çekirdek dökümlerini engelleyecek şekilde yapılandırıldı.
  • Değiştirme Devre Dışı: Veri sızıntısını önlemek için bellek takası devre dışı bırakıldı.
  • Bağlantı Noktası Tarama Koruması: Bağlantı noktası tarama girişimlerinin otomatik olarak algılanması ve engellenmesi
  • Şeffaf Büyük Sayfalar Devre Dışı Bırakıldı: Gelişmiş performans ve güvenlik için THP devre dışı bırakıldı
  • Sistem Hizmeti Güçlendirmesi: Apport gibi temel olmayan hizmetler devre dışı bırakıldı
  • Kullanıcı Yönetimi: Ayrı dağıtım ve devops kullanıcıları ile en az ayrıcalık ilkesi
  • Dosya Tanımlayıcı Sınırları: Daha iyi performans ve güvenlik için artırılmış sınırlar

Hizmet Düzeyi Sözleşmesi

Yüksek düzeyde hizmet kullanılabilirliği ve güvenilirliği sağlıyoruz. Altyapımız, e-posta hizmetinizin çalışır durumda kalmasını sağlamak için yedeklilik ve hata toleransı sağlayacak şekilde tasarlanmıştır. Resmi bir SLA belgesi yayınlamasak da, şunları taahhüt ediyoruz:

  • Tüm hizmetler için %99,9+ kesintisiz çalışma süresi
  • Hizmet kesintilerine hızlı yanıt
  • Olaylar sırasında şeffaf iletişim
  • Trafiğin düşük olduğu dönemlerde düzenli bakım

Açık Kaynak Güvenliği

açık kaynaklı hizmet olarak güvenliğimiz şunlardan faydalanır:

  • Herkes tarafından denetlenebilen şeffaf kod
  • Topluluk odaklı güvenlik iyileştirmeleri
  • Güvenlik açıklarının hızlı bir şekilde belirlenmesi ve yamalanması
  • Belirsizlik nedeniyle güvenlik yok

Çalışan Güvenliği

  • Tüm çalışanlar için geçmiş kontrolleri
  • Güvenlik farkındalık eğitimi
  • En az ayrıcalıklı erişim ilkesi
  • Düzenli güvenlik eğitimleri

Sürekli İyileştirme

Güvenlik duruşumuzu sürekli olarak şu şekilde iyileştiriyoruz:

  • Güvenlik eğilimlerinin ve ortaya çıkan tehditlerin izlenmesi
  • Güvenlik politikalarının düzenli olarak gözden geçirilmesi ve güncellenmesi
  • Güvenlik araştırmacıları ve kullanıcılarından geri bildirimler
  • Güvenlik topluluğuna katılım

Güvenlik uygulamalarımız hakkında daha fazla bilgi edinmek veya güvenlik endişelerinizi bildirmek için lütfen security@forwardemail.net adresine başvurun.

Ek Kaynaklar