Sicherheitspraktiken

Forward Email Sicherheitspraktiken

Vorwort

Bei Forward Email hat Sicherheit oberste Priorität. Wir haben umfassende Sicherheitsmaßnahmen implementiert, um Ihre E-Mail-Kommunikation und persönlichen Daten zu schützen. Dieses Dokument beschreibt unsere Sicherheitspraktiken und die Schritte, die wir unternehmen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer E-Mails zu gewährleisten.

Infrastruktursicherheit

Sichere Rechenzentren

Unsere Infrastruktur wird in SOC 2-konformen Rechenzentren gehostet mit:

  • 24/7 physischer Sicherheit und Überwachung
  • Biometrischen Zugangskontrollen
  • Redundanten Stromversorgungssystemen
  • Fortschrittlicher Branddetektion und -bekämpfung
  • Umweltüberwachung

Netzwerksicherheit

Wir implementieren mehrere Schichten der Netzwerksicherheit:

  • Firewalls auf Unternehmensniveau mit strengen Zugriffskontrolllisten
  • DDoS-Schutz und -Abmilderung
  • Regelmäßige Netzwerkschwachstellen-Scans
  • Systeme zur Erkennung und Verhinderung von Eindringversuchen
  • Verkehrsverschlüsselung zwischen allen Service-Endpunkten
  • Schutz vor Port-Scans mit automatischer Sperrung verdächtiger Aktivitäten

Important

Alle Daten während der Übertragung werden mit TLS 1.2+ und modernen Chiffren verschlüsselt.

E-Mail-Sicherheit

Verschlüsselung

  • Transport Layer Security (TLS): Der gesamte E-Mail-Verkehr wird während der Übertragung mit TLS 1.2 oder höher verschlüsselt
  • Ende-zu-Ende-Verschlüsselung: Unterstützung der Standards OpenPGP/MIME und S/MIME
  • Speicherverschlüsselung: Alle gespeicherten E-Mails sind im Ruhezustand mit ChaCha20-Poly1305-Verschlüsselung in SQLite-Dateien verschlüsselt
  • Vollständige Festplattenverschlüsselung: LUKS v2-Verschlüsselung für die gesamte Festplatte
  • Umfassender Schutz: Wir implementieren Verschlüsselung im Ruhezustand, im Speicher und während der Übertragung

Note

Wir sind der weltweit erste und einzige E-Mail-Dienst, der quantensichere und individuell verschlüsselte SQLite-Mailboxen verwendet.

Authentifizierung und Autorisierung

  • DKIM-Signierung: Alle ausgehenden E-Mails werden mit DKIM signiert
  • SPF und DMARC: Vollständige Unterstützung von SPF und DMARC zur Verhinderung von E-Mail-Spoofing
  • MTA-STS: Unterstützung von MTA-STS zur Durchsetzung der TLS-Verschlüsselung
  • Multi-Faktor-Authentifizierung: Für alle Konto-Zugriffe verfügbar

Missbrauchsschutzmaßnahmen

  • Spam-Filterung: Mehrschichtige Spam-Erkennung mit maschinellem Lernen
  • Virenscanning: Echtzeit-Scan aller Anhänge
  • Ratenbegrenzung: Schutz vor Brute-Force- und Enumerationsangriffen
  • IP-Reputation: Überwachung der Reputation der sendenden IP
  • Inhaltsfilterung: Erkennung von bösartigen URLs und Phishing-Versuchen

Datenschutz

Datenminimierung

Wir folgen dem Prinzip der Datenminimierung:

  • Wir erfassen nur die Daten, die zur Bereitstellung unseres Dienstes notwendig sind
  • E-Mail-Inhalte werden im Speicher verarbeitet und nur dann dauerhaft gespeichert, wenn es für die IMAP/POP3-Zustellung erforderlich ist
  • Protokolle werden anonymisiert und nur so lange aufbewahrt, wie es notwendig ist

Backup und Wiederherstellung

  • Automatisierte tägliche Backups mit Verschlüsselung
  • Geografisch verteilte Backup-Speicherung
  • Regelmäßige Tests der Backup-Wiederherstellung
  • Notfallwiederherstellungsverfahren mit definiertem RPO und RTO

Dienstanbieter

Wir wählen unsere Dienstanbieter sorgfältig aus, um sicherzustellen, dass sie unsere hohen Sicherheitsstandards erfüllen. Nachfolgend sind die Anbieter aufgeführt, die wir für den internationalen Datentransfer nutzen, sowie deren GDPR-Konformitätsstatus:

Anbieter Zweck DPF Zertifiziert GDPR-Konformitätsseite
Cloudflare CDN, DDoS-Schutz, DNS ✅ Ja Cloudflare GDPR
DataPacket Serverinfrastruktur ❌ Nein DataPacket Privacy
Digital Ocean Cloud-Infrastruktur ❌ Nein DigitalOcean GDPR
GitHub Quellcode-Hosting, CI/CD ✅ Ja GitHub GDPR
Vultr Cloud-Infrastruktur ❌ Nein Vultr GDPR
Stripe Zahlungsabwicklung ✅ Ja Stripe Privacy Center
PayPal Zahlungsabwicklung ❌ Nein PayPal Privacy

Wir nutzen diese Anbieter, um eine zuverlässige, sichere Servicebereitstellung zu gewährleisten und gleichzeitig die Einhaltung internationaler Datenschutzbestimmungen sicherzustellen. Alle Datenübertragungen erfolgen mit geeigneten Schutzmaßnahmen zum Schutz Ihrer persönlichen Daten.

Compliance und Prüfung

Regelmäßige Sicherheitsbewertungen

Unser Team überwacht, überprüft und bewertet regelmäßig den Codebestand, die Server, die Infrastruktur und die Praktiken. Wir implementieren ein umfassendes Sicherheitsprogramm, das Folgendes umfasst:

  • Regelmäßiger Wechsel der SSH-Schlüssel
  • Kontinuierliche Überwachung der Zugriffsprotokolle
  • Automatisierte Sicherheitsüberprüfungen
  • Proaktives Schwachstellenmanagement
  • Regelmäßige Sicherheitsschulungen für alle Teammitglieder

Compliance

  • GDPR konforme Datenverarbeitungspraktiken
  • Datenverarbeitungsvertrag (DPA) verfügbar für Geschäftskunden
  • CCPA-konforme Datenschutzkontrollen
  • SOC 2 Typ II geprüfte Prozesse

Vorfallreaktion

Unser Sicherheitsvorfallreaktionsplan umfasst:

  1. Erkennung: Automatisierte Überwachungs- und Alarmsysteme
  2. Eindämmung: Sofortige Isolierung betroffener Systeme
  3. Beseitigung: Entfernung der Bedrohung und Ursachenanalyse
  4. Wiederherstellung: Sichere Wiederherstellung der Dienste
  5. Benachrichtigung: Zeitnahe Kommunikation mit betroffenen Nutzern
  6. Nachanalyse: Umfassende Überprüfung und Verbesserung

Warning

Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte umgehend an security@forwardemail.net.

Sicherheitsentwicklungszyklus

Aller Code durchläuft:

  • Erfassung der Sicherheitsanforderungen
  • Bedrohungsmodellierung während der Planung
  • Sichere Programmierpraktiken
  • Statische und dynamische Anwendungssicherheitstests
  • Code-Review mit Sicherheitsfokus
  • Scannen von Abhängigkeits-Schwachstellen

Server-Härtung

Unsere Ansible-Konfiguration implementiert zahlreiche Maßnahmen zur Server-Härtung:

  • USB-Zugriff deaktiviert: Physische Ports sind durch Blacklisting des usb-storage Kernel-Moduls deaktiviert
  • Firewall-Regeln: Strenge iptables-Regeln, die nur notwendige Verbindungen erlauben
  • SSH-Härtung: Nur schlüsselbasierte Authentifizierung, kein Passwort-Login, Root-Login deaktiviert
  • Dienst-Isolierung: Jeder Dienst läuft mit minimal erforderlichen Rechten
  • Automatische Updates: Sicherheitspatches werden automatisch angewendet
  • Secure Boot: Verifizierter Boot-Prozess zur Verhinderung von Manipulationen
  • Kernel-Härtung: Sichere Kernel-Parameter und sysctl-Konfigurationen
  • Dateisystem-Beschränkungen: noexec, nosuid und nodev Mount-Optionen wo angebracht
  • Core Dumps deaktiviert: System so konfiguriert, dass Core Dumps aus Sicherheitsgründen verhindert werden
  • Swap deaktiviert: Swap-Speicher deaktiviert, um Datenlecks zu verhindern
  • Port-Scan-Schutz: Automatische Erkennung und Blockierung von Port-Scan-Versuchen
  • Transparent Huge Pages deaktiviert: THP deaktiviert für bessere Leistung und Sicherheit
  • Systemdienst-Härtung: Nicht essentielle Dienste wie Apport deaktiviert
  • Benutzerverwaltung: Prinzip der geringsten Rechte mit separaten Deploy- und DevOps-Benutzern
  • Dateideskriptor-Limits: Erhöhte Limits für bessere Leistung und Sicherheit

Service Level Agreement

Wir gewährleisten ein hohes Maß an Verfügbarkeit und Zuverlässigkeit der Dienste. Unsere Infrastruktur ist für Redundanz und Fehlertoleranz ausgelegt, um sicherzustellen, dass Ihr E-Mail-Dienst betriebsbereit bleibt. Obwohl wir kein formelles SLA-Dokument veröffentlichen, verpflichten wir uns zu:

  • 99,9 %+ Betriebszeit für alle Dienste
  • Schnelle Reaktion auf Dienstunterbrechungen
  • Transparente Kommunikation während Vorfällen
  • Regelmäßige Wartung in verkehrsarmen Zeiten

Open Source Sicherheit

Als Open-Source-Dienst profitiert unsere Sicherheit von:

  • Transparentem Code, der von jedem geprüft werden kann
  • Community-getriebenen Sicherheitsverbesserungen
  • Schneller Identifikation und Behebung von Schwachstellen
  • Kein Sicherheit durch Verschleierung

Mitarbeitersicherheit

  • Hintergrundüberprüfungen für alle Mitarbeiter
  • Schulungen zur Sicherheitsbewusstseinsbildung
  • Prinzip der geringsten Rechte beim Zugriff
  • Regelmäßige Sicherheitsschulungen

Kontinuierliche Verbesserung

Wir verbessern kontinuierlich unsere Sicherheitslage durch:

  • Überwachung von Sicherheitstrends und neuen Bedrohungen
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien
  • Feedback von Sicherheitsforschern und Nutzern
  • Teilnahme an der Sicherheits-Community

Für weitere Informationen zu unseren Sicherheitspraktiken oder um Sicherheitsbedenken zu melden, kontaktieren Sie bitte security@forwardemail.net.

Zusätzliche Ressourcen