Beveiligingspraktijken

Voorwoord

Bij Forward Email is beveiliging onze hoogste prioriteit. We hebben uitgebreide beveiligingsmaatregelen geïmplementeerd om uw e-mailcommunicatie en persoonlijke gegevens te beschermen. Dit document beschrijft onze beveiligingspraktijken en de stappen die we nemen om de vertrouwelijkheid, integriteit en beschikbaarheid van uw e-mail te waarborgen.

Infrastructuurbeveiliging

Veilige Datacenters

Onze infrastructuur wordt gehost in SOC 2-conforme datacenters met:

24/7 fysieke beveiliging en bewaking
Biometrische toegangscontroles
Redundante stroomvoorzieningen
Geavanceerde branddetectie en -blussing
Milieubewaking

Netwerkbeveiliging

We implementeren meerdere lagen netwerkbeveiliging:

Enterprise-grade firewalls met strikte toegangscontrollijsten
DDoS-bescherming en mitigatie
Regelmatige netwerk kwetsbaarheidsscans
Inbraakdetectie- en preventiesystemen
Verkeer encryptie tussen alle service-eindpunten
Poortscanningbescherming met automatische blokkering van verdachte activiteiten

Important

Alle data in transit is versleuteld met TLS 1.2+ met moderne cipher suites.

E-mailbeveiliging

Encryptie

Transport Layer Security (TLS): Alle e-mailverkeer is versleuteld tijdens verzending met TLS 1.2 of hoger
End-to-End Encryptie: Ondersteuning voor OpenPGP/MIME en S/MIME standaarden
Opslagencryptie: Alle opgeslagen e-mails zijn versleuteld in rust met ChaCha20-Poly1305 encryptie in SQLite-bestanden
Volledige Schijf Encryptie: LUKS v2 encryptie voor de gehele schijf
Uitgebreide Bescherming: We implementeren encryptie in rust, encryptie in geheugen en encryptie tijdens transport

Note

We zijn 's werelds eerste en enige e-maildienst die kwantumresistente en individueel versleutelde SQLite-mailboxen gebruikt.

Authenticatie en Autorisatie

DKIM Ondertekening: Alle uitgaande e-mails worden ondertekend met DKIM
SPF en DMARC: Volledige ondersteuning voor SPF en DMARC om e-mailspoofing te voorkomen
MTA-STS: Ondersteuning voor MTA-STS om TLS-encryptie af te dwingen
Multi-Factor Authenticatie: Beschikbaar voor alle accounttoegang

Anti-misbruikmaatregelen

Spamfiltering: Meerdere lagen spamdetectie met machine learning
Virus Scanning: Real-time scanning van alle bijlagen
Rate Limiting: Bescherming tegen brute force en enumeratie-aanvallen
IP Reputatie: Monitoring van verzendende IP-reputatie
Content Filtering: Detectie van kwaadaardige URL's en phishingpogingen

Gegevensbescherming

Dataminimalisatie

We volgen het principe van dataminimalisatie:

We verzamelen alleen de gegevens die nodig zijn om onze dienst te leveren
E-mailinhoud wordt in het geheugen verwerkt en niet persistent opgeslagen tenzij vereist voor IMAP/POP3 levering
Logs worden geanonimiseerd en alleen bewaard zolang noodzakelijk

Backup en Herstel

Geautomatiseerde dagelijkse back-ups met encryptie
Geografisch verspreide back-up opslag
Regelmatige tests van back-up herstel
Procedures voor rampenherstel met gedefinieerde RPO en RTO

Dienstverleners

We selecteren onze dienstverleners zorgvuldig om te garanderen dat zij voldoen aan onze hoge beveiligingsnormen. Hieronder staan de providers die we gebruiken voor internationale gegevensoverdracht en hun GDPR-nalevingsstatus:

Provider	Doel	DPF Gecertificeerd	GDPR Nalevingspagina
Cloudflare	CDN, DDoS-bescherming, DNS	✅ Ja	Cloudflare GDPR
DataPacket	Serverinfrastructuur	❌ Nee	DataPacket Privacy
Digital Ocean	Cloudinfrastructuur	❌ Nee	DigitalOcean GDPR
GitHub	Broncode hosting, CI/CD	✅ Ja	GitHub GDPR
Vultr	Cloudinfrastructuur	❌ Nee	Vultr GDPR
Stripe	Betalingsverwerking	✅ Ja	Stripe Privacy Center
PayPal	Betalingsverwerking	❌ Nee	PayPal Privacy

We gebruiken deze providers om betrouwbare, veilige dienstverlening te garanderen en tegelijkertijd te voldoen aan internationale regelgeving voor gegevensbescherming. Alle gegevensoverdrachten worden uitgevoerd met passende waarborgen om uw persoonlijke informatie te beschermen.

Naleving en Auditing

Regelmatige Beveiligingsbeoordelingen

Ons team monitort, beoordeelt en evalueert regelmatig de codebase, servers, infrastructuur en werkwijzen. We implementeren een uitgebreid beveiligingsprogramma dat omvat:

Regelmatige rotatie van SSH-sleutels
Continue monitoring van toegangslogboeken
Geautomatiseerde beveiligingsscans
Proactief beheer van kwetsbaarheden
Regelmatige beveiligingstraining voor alle teamleden

Naleving

GDPR conforme omgang met gegevens
Data Processing Agreement (DPA) beschikbaar voor zakelijke klanten
CCPA conforme privacycontroles
SOC 2 Type II geaudit processen

Incidentrespons

Ons plan voor beveiligingsincidentrespons omvat:

Detectie: Geautomatiseerde monitoring- en waarschuwingssystemen
Beperking: Onmiddellijke isolatie van getroffen systemen
Uitroeiing: Verwijdering van de dreiging en analyse van de oorzaak
Herstel: Veilige herstel van diensten
Melding: Tijdige communicatie met getroffen gebruikers
Analyse na incident: Uitgebreide evaluatie en verbetering

Warning

Als u een beveiligingslek ontdekt, meld dit dan onmiddellijk aan security@forwardemail.net.

Security Development Lifecycle

Alle code ondergaat:

Beveiligingseisen verzamelen
Dreigingsmodellering tijdens het ontwerp
Veilige codeerpraktijken
Statische en dynamische applicatiebeveiligingstests
Code review met focus op beveiliging
Scannen op kwetsbaarheden in afhankelijkheden

Serververharding

Onze Ansible-configuratie implementeert talrijke serververhardingsmaatregelen:

USB-toegang uitgeschakeld: Fysieke poorten zijn uitgeschakeld door het usb-storage kernelmodule te blacklisten
Firewallregels: Strikte iptables-regels die alleen noodzakelijke verbindingen toestaan
SSH-verharding: Alleen authenticatie op basis van sleutels, geen wachtwoordlogin, root-login uitgeschakeld
Service-isolatie: Elke service draait met minimale vereiste privileges
Automatische updates: Beveiligingspatches worden automatisch toegepast
Secure Boot: Gecontroleerd opstartproces om manipulatie te voorkomen
Kernelverharding: Veilige kernelparameters en sysctl-configuraties
Bestandssysteembeperkingen: noexec, nosuid en nodev mount-opties waar passend
Core dumps uitgeschakeld: Systeem geconfigureerd om core dumps te voorkomen voor beveiliging
Swap uitgeschakeld: Swapgeheugen uitgeschakeld om datalekken te voorkomen
Bescherming tegen poortscans: Geautomatiseerde detectie en blokkering van poortscanpogingen
Transparent Huge Pages uitgeschakeld: THP uitgeschakeld voor betere prestaties en beveiliging
Verharding van systeemdiensten: Niet-essentiële diensten zoals Apport uitgeschakeld
Gebruikersbeheer: Principe van minste privilege met aparte deploy- en devops-gebruikers
Limieten voor bestandsdescriptors: Verhoogde limieten voor betere prestaties en beveiliging

Service Level Agreement

We handhaven een hoog niveau van servicebeschikbaarheid en betrouwbaarheid. Onze infrastructuur is ontworpen voor redundantie en fouttolerantie om ervoor te zorgen dat uw e-mailservice operationeel blijft. Hoewel we geen formeel SLA-document publiceren, zijn we toegewijd aan:

99,9%+ uptime voor alle diensten
Snelle reactie op serviceonderbrekingen
Transparante communicatie tijdens incidenten
Regelmatig onderhoud tijdens periodes met weinig verkeer

Open Source Beveiliging

Als een open-source dienst profiteert onze beveiliging van:

Transparante code die door iedereen kan worden gecontroleerd
Door de gemeenschap gedreven beveiligingsverbeteringen
Snelle identificatie en patching van kwetsbaarheden
Geen beveiliging door obscuriteit

Beveiliging van medewerkers

Achtergrondcontroles voor alle medewerkers
Training in beveiligingsbewustzijn
Toegang volgens het principe van minste privilege
Regelmatige beveiligingseducatie

Continue Verbetering

We verbeteren continu onze beveiligingshouding door:

Monitoring van beveiligingstrends en opkomende bedreigingen
Regelmatige herziening en updates van beveiligingsbeleid
Feedback van beveiligingsonderzoekers en gebruikers
Deelname aan de beveiligingsgemeenschap

Voor meer informatie over onze beveiligingspraktijken of om beveiligingsproblemen te melden, neem contact op met security@forwardemail.net.