Sikkerhedspraksis
Forord
Hos Forward Email er sikkerhed vores højeste prioritet. Vi har implementeret omfattende sikkerhedsforanstaltninger for at beskytte dine emailkommunikationer og personlige data. Dette dokument skitserer vores sikkerhedspraksis og de skridt, vi tager for at sikre fortrolighed, integritet og tilgængelighed af dine emails.
Infrastruktursikkerhed
Sikre datacentre
Vores infrastruktur er hostet i SOC 2-kompatible datacentre med:
- 24/7 fysisk sikkerhed og overvågning
- Biometriske adgangskontroller
- Redundante strømsystemer
- Avanceret branddetektion og -slukning
- Miljøovervågning
Netværkssikkerhed
Vi implementerer flere lag af netværkssikkerhed:
- Enterprise-grade firewalls med strenge adgangskontrolister
- DDoS-beskyttelse og afbødning
- Regelmæssig scanning for netværkssårbarheder
- Intrusion detection og prevention systemer
- Trafikkryptering mellem alle serviceendepunkter
- Portscanningsbeskyttelse med automatisk blokering af mistænkelig aktivitet
Important
Al data under overførsel er krypteret ved brug af TLS 1.2+ med moderne cipher suites.
Emailsikkerhed
Kryptering
- Transport Layer Security (TLS): Al emailtrafik krypteres under overførsel ved brug af TLS 1.2 eller højere
- End-to-End Kryptering: Understøttelse af OpenPGP/MIME og S/MIME standarder
- Lagringskryptering: Alle lagrede emails er krypteret i hvile ved brug af ChaCha20-Poly1305 kryptering i SQLite-filer
- Fuld diskkryptering: LUKS v2 kryptering for hele disken
- Omfattende beskyttelse: Vi implementerer kryptering i hvile, kryptering i hukommelsen og kryptering under overførsel
Note
Vi er verdens første og eneste emailtjeneste, der bruger kvante-resistente og individuelt krypterede SQLite-mailbokse.
Autentificering og autorisation
- DKIM-signering: Alle udgående emails signeres med DKIM
- SPF og DMARC: Fuld understøttelse af SPF og DMARC for at forhindre emailforfalskning
- MTA-STS: Understøttelse af MTA-STS for at håndhæve TLS-kryptering
- Multi-faktor autentificering: Tilgængelig for al kontoadgang
Anti-misbrugsforanstaltninger
- Spamfiltrering: Flerlaget spamdetektion med maskinlæring
- Virus-scanning: Realtidsscanning af alle vedhæftede filer
- Ratebegrænsning: Beskyttelse mod brute force- og opregningsangreb
- IP-rygteovervågning: Overvågning af afsendende IP's omdømme
- Indholdsfiltrering: Detektion af ondsindede URL'er og phishingforsøg
Databeskyttelse
Dataminimering
Vi følger princippet om dataminimering:
- Vi indsamler kun de data, der er nødvendige for at levere vores service
- Emailindhold behandles i hukommelsen og gemmes ikke permanent, medmindre det er nødvendigt for IMAP/POP3-levering
- Logs anonymiseres og opbevares kun så længe det er nødvendigt
Backup og Gendannelse
- Automatiserede daglige backups med kryptering
- Geografisk distribueret backup-lagring
- Regelmæssig test af backup-gendannelse
- Katastrofeberedskabsprocedurer med definerede RPO og RTO
Tjenesteudbydere
Vi vælger omhyggeligt vores tjenesteudbydere for at sikre, at de opfylder vores høje sikkerhedsstandarder. Nedenfor er de udbydere, vi bruger til international dataoverførsel, samt deres GDPR-overholdelsesstatus:
| Udbyder | Formål | DPF Certificeret | GDPR Overholdelsesside |
|---|---|---|---|
| Cloudflare | CDN, DDoS-beskyttelse, DNS | ✅ Ja | Cloudflare GDPR |
| DataPacket | Serverinfrastruktur | ❌ Nej | DataPacket Privacy |
| Digital Ocean | Cloud-infrastruktur | ❌ Nej | DigitalOcean GDPR |
| GitHub | Hosting af kildekode, CI/CD | ✅ Ja | GitHub GDPR |
| Vultr | Cloud-infrastruktur | ❌ Nej | Vultr GDPR |
| Stripe | Betalingsbehandling | ✅ Ja | Stripe Privacy Center |
| PayPal | Betalingsbehandling | ❌ Nej | PayPal Privacy |
Vi bruger disse udbydere for at sikre pålidelig og sikker servicelevering samtidig med, at vi overholder internationale databeskyttelsesregler. Alle dataoverførsler udføres med passende sikkerhedsforanstaltninger for at beskytte dine personlige oplysninger.
Overholdelse og Revision
Regelmæssige Sikkerhedsvurderinger
Vores team overvåger, gennemgår og vurderer regelmæssigt kodebasen, servere, infrastruktur og praksis. Vi implementerer et omfattende sikkerhedsprogram, der inkluderer:
- Regelmæssig rotation af SSH-nøgler
- Kontinuerlig overvågning af adgangslogfiler
- Automatiseret sikkerhedsscanning
- Proaktiv sårbarhedshåndtering
- Regelmæssig sikkerhedstræning for alle teammedlemmer
Overholdelse
- GDPR overholdende datahåndteringspraksis
- Databehandleraftale (DPA) tilgængelig for erhvervskunder
- CCPA-kompatible privatlivskontroller
- SOC 2 Type II reviderede processer
Hændelsesrespons
Vores sikkerhedshændelsesresponsplan inkluderer:
- Opdagelse: Automatiserede overvågnings- og alarmsystemer
- Inddæmning: Øjeblikkelig isolering af berørte systemer
- Udryddelse: Fjernelse af truslen og analyse af rodårsag
- Gendannelse: Sikker genoprettelse af tjenester
- Underretning: Rettidig kommunikation med berørte brugere
- Analyse efter hændelse: Omfattende gennemgang og forbedring
Warning
Hvis du opdager en sikkerhedssårbarhed, bedes du straks rapportere det til security@forwardemail.net.
Sikkerhedsudviklingslivscyklus
Al kode gennemgår:
- Indsamling af sikkerhedskrav
- Trusselsmodellering under design
- Sikker kodningspraksis
- Statisk og dynamisk applikationssikkerhedstest
- Kodegennemgang med fokus på sikkerhed
- Scanning for sårbarheder i afhængigheder
Serverhærde
Vores Ansible-konfiguration implementerer adskillige serverhærdeforanstaltninger:
- USB-adgang deaktiveret: Fysiske porte er deaktiveret ved at blacklist'e usb-storage kernel-modulet
- Firewall-regler: Strenge iptables-regler, der kun tillader nødvendige forbindelser
- SSH-hærde: Kun nøglebaseret autentificering, ingen adgang med password, root-login deaktiveret
- Service-isolering: Hver service kører med minimale nødvendige privilegier
- Automatiske opdateringer: Sikkerhedsrettelser anvendes automatisk
- Sikker opstart: Verificeret opstartsproces for at forhindre manipulation
- Kernel-hærde: Sikre kernel-parametre og sysctl-konfigurationer
- Filsystembegrænsninger: noexec, nosuid og nodev mount-muligheder hvor passende
- Core dumps deaktiveret: System konfigureret til at forhindre core dumps af sikkerhedshensyn
- Swap deaktiveret: Swap-hukommelse deaktiveret for at forhindre datalækage
- Beskyttelse mod portscanning: Automatisk detektion og blokering af portscanningsforsøg
- Transparent Huge Pages deaktiveret: THP deaktiveret for forbedret ydeevne og sikkerhed
- Systemservice-hærde: Ikke-essentielle services som Apport deaktiveret
- Brugeradministration: Mindste privilegium-princippet med separate deploy- og devops-brugere
- Filbeskrivergrænser: Forøgede grænser for bedre ydeevne og sikkerhed
Service Level Agreement
Vi opretholder et højt niveau af service tilgængelighed og pålidelighed. Vores infrastruktur er designet til redundans og fejltolerance for at sikre, at din e-mailservice forbliver operationel. Selvom vi ikke offentliggør et formelt SLA-dokument, er vi forpligtede til:
- 99,9%+ oppetid for alle services
- Hurtig respons på serviceafbrydelser
- Transparent kommunikation under hændelser
- Regelmæssig vedligeholdelse i perioder med lav trafik
Open Source Sikkerhed
Som en open-source service drager vores sikkerhed fordel af:
- Transparent kode, der kan revideres af alle
- Fællesskabsdrevne sikkerhedsforbedringer
- Hurtig identifikation og patching af sårbarheder
- Ingen sikkerhed gennem uklarhed
Medarbejdersikkerhed
- Baggrundstjek for alle medarbejdere
- Sikkerhedsbevidsthedstræning
- Mindste privilegium-adgang
- Regelmæssig sikkerhedsuddannelse
Kontinuerlig Forbedring
Vi forbedrer løbende vores sikkerhedsholdning gennem:
- Overvågning af sikkerhedstendenser og nye trusler
- Regelmæssig gennemgang og opdatering af sikkerhedspolitikker
- Feedback fra sikkerhedsforskere og brugere
- Deltagelse i sikkerhedsfællesskabet
For mere information om vores sikkerhedspraksis eller for at rapportere sikkerhedsproblemer, kontakt venligst security@forwardemail.net.