Biztonsági Gyakorlatok

Forward Email biztonsági gyakorlatok

Előszó

A Forward Email-nél a biztonság a legfontosabb számunkra. Átfogó biztonsági intézkedéseket vezettünk be, hogy megvédjük e-mail kommunikációdat és személyes adataidat. Ez a dokumentum ismerteti biztonsági gyakorlatainkat és azokat a lépéseket, amelyeket a leveleid titkosságának, sértetlenségének és rendelkezésre állásának biztosítása érdekében teszünk.

Infrastruktúra Biztonság

Biztonságos Adatközpontok

Infrastruktúránk SOC 2 megfelelőséggel rendelkező adatközpontokban van elhelyezve, ahol:

  • 0-24 fizikai biztonság és megfigyelés
  • Biometrikus beléptető rendszerek
  • Redundáns áramellátó rendszerek
  • Fejlett tűzérzékelés és oltórendszerek
  • Környezeti monitorozás

Hálózatbiztonság

Többrétegű hálózatbiztonsági megoldásokat alkalmazunk:

  • Vállalati szintű tűzfalak szigorú hozzáférés-vezérlési listákkal
  • DDoS védelem és enyhítés
  • Rendszeres hálózati sérülékenység-ellenőrzés
  • Betörésészlelő és megelőző rendszerek
  • Forgalom titkosítása az összes szolgáltatási végpont között
  • Portszkennelés elleni védelem automatikus gyanús tevékenység blokkolással

Important

Az összes átvitt adat TLS 1.2+ protokollal, modern titkosítási csomagokkal van titkosítva.

E-mail Biztonság

Titkosítás

  • Transport Layer Security (TLS): Minden e-mail forgalom titkosított az átvitel során TLS 1.2 vagy újabb verzióval
  • End-to-End Titkosítás: Támogatás OpenPGP/MIME és S/MIME szabványokhoz
  • Tárolási Titkosítás: Minden tárolt e-mail titkosítva van ChaCha20-Poly1305 titkosítással SQLite fájlokban
  • Teljes Lemez Titkosítás: LUKS v2 titkosítás az egész lemezre
  • Átfogó Védelem: Alkalmazunk titkosítást tároláskor, memóriában és átvitel közben is

Note

Mi vagyunk a világ első és egyetlen e-mail szolgáltatója, amely kvantumbiztos és egyénileg titkosított SQLite postaládákat használ.

Hitelesítés és Jogosultságkezelés

  • DKIM aláírás: Minden kimenő e-mail DKIM-mel aláírt
  • SPF és DMARC: Teljes támogatás az SPF és DMARC szabványokhoz az e-mail hamisítás megelőzésére
  • MTA-STS: Támogatás az MTA-STS-hez a TLS titkosítás érvényesítéséhez
  • Többfaktoros Hitelesítés: Elérhető minden fiókhoz

Visszaélés Elleni Intézkedések

  • Spam Szűrés: Többrétegű spam felismerés gépi tanulással
  • Vírusellenőrzés: Minden csatolmány valós idejű vizsgálata
  • Korlátozások: Védelem brute force és feltérképező támadások ellen
  • IP Hírnév: Küldő IP címek hírnevének figyelése
  • Tartalomszűrés: Rosszindulatú URL-ek és adathalász kísérletek felismerése

Adatvédelem

Adatminimalizálás

Az adatminimalizálás elvét követjük:

  • Csak azokat az adatokat gyűjtjük, amelyek a szolgáltatásunk nyújtásához szükségesek
  • Az e-mail tartalmakat memóriában dolgozzuk fel, és csak akkor tároljuk tartósan, ha az IMAP/POP3 kézbesítéshez szükséges
  • A naplókat anonimizáljuk, és csak a szükséges ideig őrizzük meg

Biztonsági mentés és helyreállítás

  • Automatikus napi biztonsági mentések titkosítással
  • Földrajzilag elosztott biztonsági mentési tárolás
  • Rendszeres biztonsági mentés helyreállítási tesztek
  • Katasztrófa utáni helyreállítási eljárások meghatározott RPO és RTO értékekkel

Szolgáltatók

Gondosan választjuk ki szolgáltatóinkat, hogy megfeleljenek magas biztonsági követelményeinknek. Az alábbiakban a nemzetközi adatátvitelhez használt szolgáltatóink és GDPR megfelelőségi státuszuk található:

Szolgáltató Cél DPF Tanúsított GDPR Megfelelőségi oldal
Cloudflare CDN, DDoS védelem, DNS ✅ Igen Cloudflare GDPR
DataPacket Szerver infrastruktúra ❌ Nem DataPacket Adatvédelem
Digital Ocean Felhő infrastruktúra ❌ Nem DigitalOcean GDPR
GitHub Forráskód tárolás, CI/CD ✅ Igen GitHub GDPR
Vultr Felhő infrastruktúra ❌ Nem Vultr GDPR
Stripe Fizetésfeldolgozás ✅ Igen Stripe Adatvédelmi Központ
PayPal Fizetésfeldolgozás ❌ Nem PayPal Adatvédelem

Ezeket a szolgáltatókat használjuk a megbízható, biztonságos szolgáltatásnyújtás biztosítására, miközben megfelelünk a nemzetközi adatvédelmi előírásoknak. Minden adatátvitel megfelelő védelmi intézkedésekkel történik személyes adatai védelme érdekében.

Megfelelőség és auditálás

Rendszeres biztonsági értékelések

Csapatunk rendszeresen figyelemmel kíséri, felülvizsgálja és értékeli a kódbázist, szervereket, infrastruktúrát és gyakorlatokat. Átfogó biztonsági programot valósítunk meg, amely magában foglalja:

  • SSH kulcsok rendszeres cseréje
  • Hozzáférési naplók folyamatos figyelése
  • Automatikus biztonsági szkennelés
  • Proaktív sebezhetőség-kezelés
  • Rendszeres biztonsági képzés minden csapattag számára

Megfelelőség

Eseménykezelés

Biztonsági eseménykezelési tervünk tartalmazza:

  1. Észlelés: Automatikus megfigyelő és riasztó rendszerek
  2. Elzárás: Az érintett rendszerek azonnali izolálása
  3. Eltávolítás: A fenyegetés megszüntetése és okok elemzése
  4. Helyreállítás: Szolgáltatások biztonságos visszaállítása
  5. Értesítés: Időben történő kommunikáció az érintett felhasználókkal
  6. Esemény utáni elemzés: Átfogó felülvizsgálat és fejlesztés

Warning

Ha biztonsági sebezhetőséget fedez fel, kérjük, azonnal jelentse a security@forwardemail.net címre.

Biztonsági fejlesztési életciklus

Minden kód átesik a következő folyamatokon:

  • Biztonsági követelmények összegyűjtése
  • Fenyegetésmodellezés a tervezés során
  • Biztonságos kódolási gyakorlatok
  • Statikus és dinamikus alkalmazásbiztonsági tesztelés
  • Biztonságra fókuszáló kódáttekintés
  • Függőség sebezhetőség vizsgálat

Szerver megerősítése

A mi Ansible konfigurációnk számos szerver megerősítési intézkedést valósít meg:

  • USB hozzáférés letiltva: A fizikai portok le vannak tiltva az usb-storage kernel modul feketelistára tételével
  • Tűzfal szabályok: Szigorú iptables szabályok, amelyek csak a szükséges kapcsolatok engedélyeznek
  • SSH megerősítés: Csak kulcs alapú hitelesítés, jelszavas bejelentkezés tiltva, root bejelentkezés letiltva
  • Szolgáltatás izoláció: Minden szolgáltatás minimálisan szükséges jogosultságokkal fut
  • Automatikus frissítések: Biztonsági javítások automatikusan alkalmazva
  • Biztonságos indítás: Ellenőrzött indítási folyamat a manipuláció megakadályozására
  • Kernel megerősítés: Biztonságos kernel paraméterek és sysctl konfigurációk
  • Fájlrendszer korlátozások: noexec, nosuid és nodev csatolási opciók ahol szükséges
  • Core dumpok letiltva: A rendszer úgy van konfigurálva, hogy megakadályozza a core dumpokat biztonsági okokból
  • Swap letiltva: Swap memória letiltva az adat szivárgás megakadályozására
  • Port szkennelés elleni védelem: Automatikus port szkennelési kísérletek felismerése és blokkolása
  • Átlátszó nagy oldalak letiltva: THP letiltva a jobb teljesítmény és biztonság érdekében
  • Rendszerszolgáltatások megerősítése: Nem alapvető szolgáltatások, mint az Apport letiltva
  • Felhasználókezelés: A legkisebb jogosultság elve, külön deploy és devops felhasználókkal
  • Fájlleíró korlátok: Megnövelt korlátok a jobb teljesítmény és biztonság érdekében

Szolgáltatási szint megállapodás

Magas szintű szolgáltatás elérhetőséget és megbízhatóságot tartunk fenn. Infrastruktúránk redundanciára és hibabiztosságra van tervezve, hogy az e-mail szolgáltatásod folyamatosan működjön. Bár nem teszünk közzé hivatalos SLA dokumentumot, elkötelezettek vagyunk a következők iránt:

  • 99,9%+ rendelkezésre állás minden szolgáltatás esetén
  • Gyors reagálás szolgáltatáskimaradások esetén
  • Átlátható kommunikáció incidensek alatt
  • Rendszeres karbantartás alacsony forgalmú időszakokban

Nyílt forráskódú biztonság

Mint egy nyílt forráskódú szolgáltatás, biztonságunk előnyei:

  • Átlátható kód, amelyet bárki auditálhat
  • Közösség által vezérelt biztonsági fejlesztések
  • Sebezhetőségek gyors azonosítása és javítása
  • Nincs biztonság a homályban

Munkavállalói biztonság

  • Háttérellenőrzések minden munkavállalónál
  • Biztonságtudatossági képzés
  • A legkisebb jogosultság elve
  • Rendszeres biztonsági oktatás

Folyamatos fejlesztés

Folyamatosan javítjuk biztonsági helyzetünket a következők révén:

  • Biztonsági trendek és új fenyegetések figyelése
  • Biztonsági irányelvek rendszeres felülvizsgálata és frissítése
  • Visszajelzések biztonsági kutatóktól és felhasználóktól
  • Részvétel a biztonsági közösségben

További információkért biztonsági gyakorlatainkról vagy biztonsági aggályok jelentéséhez kérjük, lépj kapcsolatba a security@forwardemail.net címen.

További források