Säkerhetspraxis

Forward Email security practices

Förord

På Forward Email är säkerhet vår högsta prioritet. Vi har implementerat omfattande säkerhetsåtgärder för att skydda dina e-postkommunikationer och personuppgifter. Detta dokument beskriver våra säkerhetspraxis och de steg vi tar för att säkerställa konfidentialitet, integritet och tillgänglighet för din e-post.

Infrastruktursäkerhet

Säkra datacenter

Vår infrastruktur är värd i SOC 2-kompatibla datacenter med:

  • 24/7 fysisk säkerhet och övervakning
  • Biometriska åtkomstkontroller
  • Redundanta strömsystem
  • Avancerad branddetektion och släckning
  • Miljöövervakning

Nätverkssäkerhet

Vi implementerar flera lager av nätverkssäkerhet:

  • Brandväggar av företagsklass med strikta åtkomstkontrollistor
  • DDoS-skydd och mildring
  • Regelbunden sårbarhetsskanning av nätverket
  • Intrångsdetektering och förebyggande system
  • Trafikkryptering mellan alla tjänstepunkter
  • Portskanningsskydd med automatiskt blockering av misstänkt aktivitet

Important

All data under överföring är krypterad med TLS 1.2+ med moderna chifferpaket.

E-postsäkerhet

Kryptering

  • Transport Layer Security (TLS): All e-posttrafik krypteras under överföring med TLS 1.2 eller högre
  • End-to-End-kryptering: Stöd för OpenPGP/MIME och S/MIME-standarder
  • Lagringskryptering: Alla lagrade e-postmeddelanden är krypterade i vila med ChaCha20-Poly1305-kryptering i SQLite-filer
  • Full disk-kryptering: LUKS v2-kryptering för hela disken
  • Omfattande skydd: Vi implementerar kryptering i vila, kryptering i minnet och kryptering under överföring

Note

Vi är världens första och enda e-posttjänst som använder kvantresistenta och individuellt krypterade SQLite-postlådor.

Autentisering och auktorisering

  • DKIM-signering: Alla utgående e-postmeddelanden signeras med DKIM
  • SPF och DMARC: Fullt stöd för SPF och DMARC för att förhindra e-postförfalskning
  • MTA-STS: Stöd för MTA-STS för att upprätthålla TLS-kryptering
  • Multifaktorautentisering: Tillgängligt för all kontotillgång

Åtgärder mot missbruk

  • Spamfiltrering: Flerlagrad spamdetektion med maskininlärning
  • Virusskanning: Realtidsskanning av alla bilagor
  • Hastighetsbegränsning: Skydd mot brute force- och uppräkningsattacker
  • IP-rykte: Övervakning av avsändarens IP-rykte
  • Innehållsfiltrering: Upptäckt av skadliga URL:er och nätfiskeattacker

Dataskydd

Dataminimering

Vi följer principen om dataminimering:

  • Vi samlar endast in den data som är nödvändig för att tillhandahålla vår tjänst
  • E-postinnehåll behandlas i minnet och lagras inte permanent om det inte krävs för IMAP/POP3-leverans
  • Loggar anonymiseras och behålls endast så länge det är nödvändigt

Backup och Återställning

  • Automatiserade dagliga säkerhetskopior med kryptering
  • Geografiskt distribuerad lagring av säkerhetskopior
  • Regelbunden testning av återställning från säkerhetskopior
  • Katastrofåterställningsprocedurer med definierade RPO och RTO

Tjänsteleverantörer

Vi väljer noggrant våra tjänsteleverantörer för att säkerställa att de uppfyller våra höga säkerhetsstandarder. Nedan är de leverantörer vi använder för internationell dataöverföring och deras GDPR-efterlevnadsstatus:

Leverantör Syfte DPF Certifierad GDPR-efterlevnadssida
Cloudflare CDN, DDoS-skydd, DNS ✅ Ja Cloudflare GDPR
DataPacket Serverinfrastruktur ❌ Nej DataPacket Privacy
Digital Ocean Molninfrastruktur ❌ Nej DigitalOcean GDPR
GitHub Källkodshantering, CI/CD ✅ Ja GitHub GDPR
Vultr Molninfrastruktur ❌ Nej Vultr GDPR
Stripe Betalningshantering ✅ Ja Stripe Privacy Center
PayPal Betalningshantering ❌ Nej PayPal Privacy

Vi använder dessa leverantörer för att säkerställa pålitlig och säker tjänsteleverans samtidigt som vi upprätthåller efterlevnad av internationella dataskyddsregler. Alla dataöverföringar genomförs med lämpliga skyddsåtgärder för att skydda din personliga information.

Efterlevnad och Revision

Regelbundna Säkerhetsbedömningar

Vårt team övervakar, granskar och bedömer regelbundet kodbasen, servrar, infrastruktur och rutiner. Vi implementerar ett omfattande säkerhetsprogram som inkluderar:

  • Regelbunden rotation av SSH-nycklar
  • Kontinuerlig övervakning av åtkomstloggar
  • Automatiserad säkerhetsskanning
  • Proaktiv hantering av sårbarheter
  • Regelbunden säkerhetsutbildning för alla teammedlemmar

Efterlevnad

  • GDPR kompatibla databehandlingsrutiner
  • Databehandlingsavtal (DPA) tillgängligt för företagskunder
  • CCPA-kompatibla integritetskontroller
  • SOC 2 Typ II reviderade processer

Incidenthantering

Vår plan för hantering av säkerhetsincidenter inkluderar:

  1. Upptäckt: Automatiserade övervaknings- och larmssystem
  2. Inneslutning: Omedelbar isolering av påverkade system
  3. Utrotning: Borttagning av hotet och rotorsaksanalys
  4. Återställning: Säker återställning av tjänster
  5. Meddelande: Snabb kommunikation med berörda användare
  6. Efterincidentanalys: Omfattande granskning och förbättring

Warning

Om du upptäcker en säkerhetssårbarhet, vänligen rapportera den omedelbart till security@forwardemail.net.

Säkerhetsutvecklingslivscykel

All kod genomgår:

  • Insamling av säkerhetskrav
  • Hotmodellering under designfasen
  • Säker kodningspraxis
  • Statisk och dynamisk applikationssäkerhetstestning
  • Kodgranskning med säkerhetsfokus
  • Skanning av beroende sårbarheter

Serverförstärkning

Vår Ansible-konfiguration implementerar många serverförstärkningsåtgärder:

  • USB-åtkomst inaktiverad: Fysiska portar är inaktiverade genom att svartlista usb-storage-kernelmodulen
  • Brandväggsregler: Strikta iptables-regler som endast tillåter nödvändiga anslutningar
  • SSH-förstärkning: Endast nyckelbaserad autentisering, inget lösenordsinloggning, root-inloggning inaktiverad
  • Tjänsteisolering: Varje tjänst körs med minimala nödvändiga privilegier
  • Automatiska uppdateringar: Säkerhetspatchar appliceras automatiskt
  • Säker uppstart: Verifierad uppstartsprocess för att förhindra manipulation
  • Kernel-förstärkning: Säker kernelparametrar och sysctl-konfigurationer
  • Filsystembegränsningar: noexec, nosuid och nodev monteringsalternativ där det är lämpligt
  • Core dumps inaktiverade: Systemet är konfigurerat för att förhindra core dumps av säkerhetsskäl
  • Swap inaktiverat: Swapminne inaktiverat för att förhindra dataläckage
  • Skydd mot portskanning: Automatisk upptäckt och blockering av portskanningsförsök
  • Transparent Huge Pages inaktiverat: THP inaktiverat för förbättrad prestanda och säkerhet
  • Systemtjänstförstärkning: Icke nödvändiga tjänster som Apport inaktiverade
  • Användarhantering: Principen om minsta privilegium med separata deploy- och devops-användare
  • Begränsningar för filbeskrivare: Ökade gränser för bättre prestanda och säkerhet

Servicenivåavtal

Vi upprätthåller en hög nivå av tjänstetillgänglighet och tillförlitlighet. Vår infrastruktur är designad för redundans och feltolerans för att säkerställa att din e-posttjänst förblir operativ. Även om vi inte publicerar ett formellt SLA-dokument är vi engagerade i:

  • 99,9 %+ drifttid för alla tjänster
  • Snabb respons vid tjänsteavbrott
  • Transparent kommunikation under incidenter
  • Regelbundet underhåll under perioder med låg trafik

Öppen källkodssäkerhet

Som en öppen källkodstjänst drar vår säkerhet nytta av:

  • Transparent kod som kan granskas av vem som helst
  • Gemenskapsdrivna säkerhetsförbättringar
  • Snabb identifiering och patchning av sårbarheter
  • Ingen säkerhet genom dunkelhet

Anställdas säkerhet

  • Bakgrundskontroller för alla anställda
  • Säkerhetsmedvetenhetsträning
  • Principen om minsta privilegium för åtkomst
  • Regelbunden säkerhetsutbildning

Kontinuerlig förbättring

Vi förbättrar kontinuerligt vår säkerhetsställning genom:

  • Övervakning av säkerhetstrender och nya hot
  • Regelbunden granskning och uppdatering av säkerhetspolicys
  • Feedback från säkerhetsforskare och användare
  • Deltagande i säkerhetsgemenskapen

För mer information om våra säkerhetspraxis eller för att rapportera säkerhetsproblem, vänligen kontakta security@forwardemail.net.

Ytterligare resurser