Política de Privacidade

Política de privacidade do Forward Email

Aviso Legal

Por favor, consulte nossos Termos conforme aplicável em todo o site.

Informações Não Coletadas

Com exceção dos logs de erro, emails SMTP de saída, e/ou quando atividade de spam ou maliciosa é detectada (ex.: para limitação de taxa):

  • Não armazenamos nenhum email encaminhado em armazenamento de disco nem em bancos de dados.
  • Não armazenamos nenhum metadado sobre emails encaminhados em armazenamento de disco nem em bancos de dados.
  • Não armazenamos nenhum log ou endereço IP em armazenamento de disco nem em bancos de dados.
  • Não usamos nenhum serviço de análise ou telemetria de terceiros.

Informações Coletadas

Para transparência, a qualquer momento você pode ver nosso código-fonte para entender como as informações abaixo são coletadas e usadas.

Estritamente para funcionalidade e para melhorar nosso serviço, coletamos e armazenamos com segurança as seguintes informações:

Informações da Conta

  • Armazenamos seu endereço de email que você nos fornece.
  • Armazenamos seus nomes de domínio, aliases e configurações que você nos fornece.
  • Qualquer informação adicional que você nos forneça voluntariamente, como comentários ou perguntas enviadas por email ou em nossa página de ajuda.

Atribuição de cadastro (armazenada permanentemente em sua conta):

Quando você cria uma conta, armazenamos as seguintes informações para entender como os usuários encontram nosso serviço:

  • O domínio do site de referência (não a URL completa)
  • A primeira página que você visitou em nosso site
  • Parâmetros de campanha UTM se presentes na URL

Armazenamento de Email

  • Armazenamos emails e informações de calendário em seu banco de dados SQLite criptografado estritamente para seu acesso IMAP/POP3/CalDAV/CardDAV e funcionalidade da caixa de correio.
    • Note que se você estiver usando apenas nossos serviços de encaminhamento de email, então nenhum email é armazenado em disco ou banco de dados conforme descrito em Informações Não Coletadas.
    • Nossos serviços de encaminhamento de email operam apenas em memória (sem gravação em armazenamento de disco nem bancos de dados).
    • O armazenamento IMAP/POP3/CalDAV/CardDAV é criptografado em repouso, criptografado em trânsito, e armazenado em disco criptografado com LUKS.
    • Backups do seu armazenamento IMAP/POP3/CalDAV/CardDAV são criptografados em repouso, criptografados em trânsito, e armazenados no Cloudflare R2.

Logs de Erro

  • Armazenamos logs de erro com códigos de resposta SMTP 4xx e 5xx por 7 dias.
  • Logs de erro contêm o erro SMTP, envelope e cabeçalhos do email (nós não armazenamos o corpo do email nem anexos).
  • Logs de erro podem conter endereços IP e nomes de host dos servidores remetentes para fins de depuração.
  • Logs de erro para limitação de taxa e greylisting não são acessíveis pois a conexão termina cedo (ex.: antes dos comandos RCPT TO e MAIL FROM serem transmitidos).

Emails SMTP de Saída

  • Armazenamos emails SMTP de saída por aproximadamente 30 dias.
    • Esse período varia com base no cabeçalho "Date"; já que permitimos que emails sejam enviados no futuro se existir um cabeçalho "Date" futuro.
    • Note que, uma vez que um email é entregue com sucesso ou apresenta erro permanente, nós redigimos e apagamos o corpo da mensagem.
    • Se você deseja configurar o corpo da mensagem do seu email SMTP de saída para ser retido por mais tempo que o padrão de 0 dias (após entrega bem-sucedida ou erro permanente), vá para Configurações Avançadas do seu domínio e insira um valor entre 0 e 30.
    • Alguns usuários gostam de usar o recurso de visualização em Minha Conta > Emails para ver como seus emails são renderizados, portanto suportamos um período de retenção configurável.
    • Note que também suportamos OpenPGP/E2EE.

Processamento Temporário de Dados

Os seguintes dados são processados temporariamente na memória ou Redis e não são armazenados permanentemente:

Limitação de Taxa

  • Endereços IP são usados temporariamente no Redis para fins de limitação de taxa.
  • Dados de limitação de taxa expiram automaticamente (normalmente dentro de 24 horas).
  • Isso previne abusos e garante uso justo dos nossos serviços.

Rastreamento de Conexão

  • Contagens de conexões simultâneas são rastreadas por endereço IP no Redis.
  • Esses dados expiram automaticamente quando as conexões são fechadas ou após um curto tempo limite.
  • Usado para prevenir abuso de conexão e garantir disponibilidade do serviço.

Tentativas de Autenticação

  • Tentativas de autenticação falhadas são rastreadas por endereço IP no Redis.
  • Esses dados expiram automaticamente (normalmente dentro de 24 horas).
  • Usado para prevenir ataques de força bruta em contas de usuário.

Logs de Auditoria

Para ajudar você a monitorar e proteger sua conta e domínios, mantemos logs de auditoria para certas alterações. Esses logs são usados para enviar emails de notificação aos titulares da conta e administradores de domínio.

Alterações na Conta

  • Rastreiamo alterações em configurações importantes da conta (ex.: autenticação de dois fatores, nome de exibição, fuso horário).
  • Quando alterações são detectadas, enviamos um email de notificação para seu endereço de email registrado.
  • Campos sensíveis (ex.: senha, tokens de API, chaves de recuperação) são rastreados, mas seus valores são redigidos nas notificações.
  • Entradas do log de auditoria são apagadas após o envio do email de notificação.

Alterações nas Configurações do Domínio

Para domínios com múltiplos administradores, fornecemos registro detalhado de auditoria para ajudar equipes a rastrear mudanças de configuração:

O que rastreamos:

  • Alterações nas configurações do domínio (ex.: webhooks de bounce, filtragem de spam, configuração DKIM)
  • Quem fez a alteração (endereço de email do usuário)
  • Quando a alteração foi feita (timestamp)
  • O endereço IP de onde a alteração foi feita
  • A string do user-agent do navegador/cliente

Como funciona:

  • Todos os administradores do domínio recebem um único email consolidado de notificação quando as configurações mudam.
  • A notificação inclui uma tabela mostrando cada alteração com o usuário que a fez, seu endereço IP e timestamp.
  • Campos sensíveis (ex.: chaves de webhook, tokens de API, chaves privadas DKIM) são rastreados, mas seus valores são redigidos.
  • Informações do user-agent são incluídas em uma seção recolhível "Detalhes Técnicos".
  • Entradas do log de auditoria são apagadas após o envio do email de notificação.

Por que coletamos isso:

  • Para ajudar administradores de domínio a manter supervisão de segurança
  • Para permitir que equipes auditem quem fez alterações de configuração
  • Para auxiliar na resolução de problemas caso ocorram mudanças inesperadas
  • Para fornecer responsabilidade na gestão compartilhada do domínio

Cookies e Sessões

  • Armazenamos um cookie em uma sessão para o tráfego do seu site.
  • Cookies são HTTP-only, assinados e usam proteção SameSite.
  • Cookies de sessão expiram após 30 dias de inatividade.
  • Não criamos sessões para bots ou rastreadores.
  • Usamos cookies para:
    • Autenticação e estado de login
    • Funcionalidade "lembrar de mim" da autenticação de dois fatores
    • Mensagens flash e notificações

Analytics

Usamos nosso próprio sistema de análise focado em privacidade para entender como nossos serviços são utilizados. Este sistema foi projetado com a privacidade como princípio central:

O que NÃO coletamos:

  • Não armazenamos endereços IP
  • Não usamos cookies ou identificadores persistentes para análise
  • Não utilizamos serviços de análise de terceiros
  • Não rastreamos usuários ao longo dos dias ou sessões

O que COLETAMOS (anonimizado):

  • Visualizações agregadas de páginas e uso do serviço (SMTP, IMAP, POP3, API, etc.)
  • Tipo de navegador e sistema operacional (analisado a partir do user agent, dados brutos descartados)
  • Tipo de dispositivo (desktop, móvel, tablet)
  • Domínio de referência (não a URL completa)
  • Tipo de cliente de email para protocolos de correio (ex.: Thunderbird, Outlook)

Retenção de dados:

  • Dados de análise são automaticamente excluídos após 30 dias
  • Identificadores de sessão rotacionam diariamente e não podem ser usados para rastrear usuários ao longo dos dias

Informação Compartilhada

Não compartilhamos suas informações com terceiros.

Podemos ser obrigados a cumprir solicitações legais ordenadas por tribunal (mas tenha em mente que não coletamos as informações mencionadas acima em "Informações Não Coletadas", portanto não poderemos fornecê-las desde o início).

Remoção de Informações

Se em algum momento desejar remover informações que você nos forneceu, vá para Minha Conta > Segurança e clique em "Excluir Conta".

Devido à prevenção e mitigação de abusos, sua conta pode exigir uma revisão manual de exclusão por nossos administradores se você a excluir dentro de 5 dias após seu primeiro pagamento.

Esse processo geralmente leva menos de 24 horas e foi implementado porque usuários estavam fazendo spam com nosso serviço e depois excluíam rapidamente suas contas – o que nos impedia de bloquear a(s) impressão(ões) do método de pagamento deles no Stripe.

Divulgações Adicionais

Este site é protegido pela Cloudflare e sua Política de Privacidade e Termos de Serviço se aplicam.