Sicherheitspraktiken
Vorwort
Bei Forward Email hat Sicherheit oberste PrioritĂ€t. Wir haben umfassende SicherheitsmaĂnahmen zum Schutz Ihrer E-Mail-Kommunikation und Ihrer persönlichen Daten implementiert. Dieses Dokument beschreibt unsere Sicherheitspraktiken und die MaĂnahmen, die wir ergreifen, um die Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit Ihrer E-Mails zu gewĂ€hrleisten.
Infrastruktursicherheit
Sichere Rechenzentren
Unsere Infrastruktur wird in SOC 2-konformen Rechenzentren gehostet mit:
- Physische Sicherheit und Ăberwachung rund um die Uhr
- Biometrische Zugangskontrollen
- Redundante Stromversorgung
- Fortschrittliche Branderkennung und -bekÀmpfung
- UmgebungsĂŒberwachung
Netzwerksicherheit
Wir implementieren mehrere Ebenen der Netzwerksicherheit:
- Enterprise-Firewalls mit strengen Zugriffskontrolllisten
- DDoS-Schutz und -Minderung
- RegelmĂ€Ăige Netzwerk-Schwachstellen-Scans
- Systeme zur Erkennung und Abwehr von Angriffen
- VerschlĂŒsselung des Datenverkehrs zwischen allen Dienstendpunkten
- Port-Scan-Schutz mit automatischer Blockierung verdÀchtiger AktivitÀten
Important
Alle ĂŒbertragenen Daten werden mit TLS 1.2+ und modernen VerschlĂŒsselungspaketen verschlĂŒsselt.
E-Mail-Sicherheit
VerschlĂŒsselung
- Transport Layer Security (TLS): Der gesamte E-Mail-Verkehr wird wĂ€hrend der Ăbertragung mit TLS 1.2 oder höher verschlĂŒsselt.
- Ende-zu-Ende-VerschlĂŒsselung: UnterstĂŒtzung der Standards OpenPGP/MIME und S/MIME.
- SpeicherverschlĂŒsselung: Alle gespeicherten E-Mails werden im Ruhezustand mit ChaCha20-Poly1305-VerschlĂŒsselung in SQLite-Dateien verschlĂŒsselt.
- VollstĂ€ndige FestplattenverschlĂŒsselung: LUKS v2-VerschlĂŒsselung fĂŒr die gesamte Festplatte.
- Umfassender Schutz: Wir implementieren VerschlĂŒsselung im Ruhezustand, VerschlĂŒsselung im Speicher und VerschlĂŒsselung wĂ€hrend der Ăbertragung.
Note
Wir sind der weltweit erste und einzige E-Mail-Dienst, der quantenresistente und individuell verschlĂŒsselte SQLite-PostfĂ€cher verwendet.
Authentifizierung und Autorisierung
- DKIM-Signierung: Alle ausgehenden E-Mails werden mit DKIM signiert.
- SPF und DMARC: VollstĂ€ndige UnterstĂŒtzung von SPF und DMARC zur Verhinderung von E-Mail-Spoofing.
- MTA-STS: UnterstĂŒtzung von MTA-STS zur Durchsetzung der TLS-VerschlĂŒsselung.
- Multi-Faktor-Authentifizierung: VerfĂŒgbar fĂŒr alle Kontozugriffe.
MaĂnahmen gegen Missbrauch
- Spamfilterung: Mehrschichtige Spam-Erkennung mit maschinellem Lernen
- Virenscan: Echtzeit-Scan aller AnhÀnge
- Ratenbegrenzung: Schutz vor Brute-Force- und Enumeration-Angriffen
- IP-Reputation: Ăberwachung der IP-Reputation des Absenders
- Inhaltsfilterung: Erkennung schÀdlicher URLs und Phishing-Versuche
Datenschutz
Datenminimierung
Wir befolgen den Grundsatz der Datenminimierung:
- Wir erheben nur die fĂŒr die Bereitstellung unseres Dienstes erforderlichen Daten.
- E-Mail-Inhalte werden im Speicher verarbeitet und nicht dauerhaft gespeichert, es sei denn, sie werden fĂŒr die IMAP-/POP3-Zustellung benötigt.
- Protokolle werden anonymisiert und nur so lange wie nötig gespeichert.
Sicherung und Wiederherstellung
- Automatisierte tĂ€gliche Backups mit VerschlĂŒsselung
- Geografisch verteilter Backup-Speicher
- RegelmĂ€Ăige Tests zur Backup-Wiederherstellung
- Disaster-Recovery-Verfahren mit definierten RPOs und RTOs
Dienstanbieter
Wir wĂ€hlen unsere Dienstleister sorgfĂ€ltig aus, um sicherzustellen, dass sie unseren hohen Sicherheitsstandards entsprechen. Nachfolgend finden Sie die Anbieter, die wir fĂŒr den internationalen Datentransfer nutzen, und ihren DSGVO-KonformitĂ€tsstatus:
| Anbieter | Zweck | DPF-zertifiziert | DSGVO-KonformitÀtsseite |
|---|---|---|---|
| Cloudflare | CDN, DDoS-Schutz, DNS | â Ja | Cloudflare GDPR |
| DataPacket | Server-Infrastruktur | â Nein | DataPacket Privacy |
| Digital Ocean | Cloud-Infrastruktur | â Nein | DigitalOcean GDPR |
| Vultr | Cloud-Infrastruktur | â Nein | Vultr GDPR |
| Stripe | Zahlungsabwicklung | â Ja | Stripe Privacy Center |
| PayPal | Zahlungsabwicklung | â Nein | PayPal Privacy |
Wir nutzen diese Anbieter, um eine zuverlĂ€ssige und sichere Servicebereitstellung unter Einhaltung internationaler Datenschutzbestimmungen zu gewĂ€hrleisten. Alle DatenĂŒbertragungen erfolgen unter Einhaltung angemessener Sicherheitsvorkehrungen zum Schutz Ihrer personenbezogenen Daten.
Compliance und Auditing
RegelmĂ€Ăige Sicherheitsbewertungen
Unser Team ĂŒberwacht, ĂŒberprĂŒft und bewertet regelmĂ€Ăig Codebasis, Server, Infrastruktur und Praktiken. Wir implementieren ein umfassendes Sicherheitsprogramm, das Folgendes umfasst:
- RegelmĂ€Ăige Rotation der SSH-SchlĂŒssel
- Kontinuierliche Ăberwachung der Zugriffsprotokolle
- Automatisierte Sicherheitsscans
- Proaktives Schwachstellenmanagement
- RegelmĂ€Ăige Sicherheitsschulungen fĂŒr alle Teammitglieder
KonformitÀt
- GDPR-konforme Datenverarbeitungspraktiken
- Datenverarbeitungsvereinbarung (DPA) fĂŒr GeschĂ€ftskunden verfĂŒgbar
- CCPA-konforme Datenschutzkontrollen
- SOC 2 Typ II-geprĂŒfte Prozesse
Vorfallreaktion
Unser Reaktionsplan fĂŒr SicherheitsvorfĂ€lle umfasst:
- Erkennung: Automatisierte Ăberwachungs- und Warnsysteme
- EindÀmmung: Sofortige Isolierung betroffener Systeme
- Beseitigung: Beseitigung der Bedrohung und Ursachenanalyse
- Wiederherstellung: Sichere Wiederherstellung der Dienste
- Benachrichtigung: Zeitnahe Kommunikation mit betroffenen Nutzern
- Analyse nach dem Vorfall: Umfassende ĂberprĂŒfung und Verbesserung
Warning
Sollten Sie eine SicherheitslĂŒcke entdecken, melden Sie diese bitte umgehend an [email protected].
Sicherheitsentwicklungslebenszyklus
Der gesamte Code wird folgenden VorgÀngen unterzogen:
- Erfassung von Sicherheitsanforderungen
- Bedrohungsmodellierung wÀhrend der Entwicklung
- Sichere Programmierpraktiken
- Statische und dynamische Tests der Anwendungssicherheit
- CodeĂŒberprĂŒfung mit Sicherheitsfokus
- ĂberprĂŒfung von AbhĂ€ngigkeitsschwachstellen
ServerhÀrtung
Unser Ansible-Konfiguration implementiert zahlreiche MaĂnahmen zur ServerhĂ€rtung:
- USB-Zugriff deaktiviert: Physische Ports werden durch Blacklisting des Kernelmoduls âusb-storageâ deaktiviert.
- Firewall-Regeln: Strenge iptables-Regeln erlauben nur notwendige Verbindungen.
- SSH-HĂ€rtung: Nur schlĂŒsselbasierte Authentifizierung, keine Passwortanmeldung, Root-Anmeldung deaktiviert.
- Dienstisolierung: Jeder Dienst lÀuft mit den erforderlichen Mindestberechtigungen.
- Automatische Updates: Sicherheitspatches werden automatisch eingespielt.
- Sicherer Start: Verifizierter Startvorgang zum Schutz vor Manipulationen.
- Kernel-HĂ€rtung: Sichere Kernel-Parameter und Sysctl-Konfigurationen.
- DateisystembeschrĂ€nkungen: Mount-Optionen ânoexecâ, ânosuidâ und ânodevâ, sofern zutreffend.
- Core Dumps deaktiviert: Das System ist so konfiguriert, dass Core Dumps aus SicherheitsgrĂŒnden verhindert werden.
- Auslagerung deaktiviert: Auslagerungsspeicher deaktiviert, um Datenlecks zu vermeiden.
- Port-Scan-Schutz: Automatische Erkennung und Blockierung von Port-Scan-Versuchen.
- Transparent Huge Pages deaktiviert: THP deaktiviert fĂŒr verbesserte Leistung und Sicherheit.
- Systemdienst HĂ€rtung: Nicht unbedingt erforderliche Dienste wie Apport deaktiviert.
- Benutzerverwaltung: Prinzip der geringsten Rechte mit separaten Deployment- und DevOps-Benutzern.
- Dateideskriptor-Limits: Erhöhte Limits fĂŒr bessere Leistung und Sicherheit.
Service-Level-Vereinbarung
Wir gewĂ€hrleisten eine hohe ServiceverfĂŒgbarkeit und ZuverlĂ€ssigkeit. Unsere Infrastruktur ist auf Redundanz und Fehlertoleranz ausgelegt, um die Betriebsbereitschaft Ihres E-Mail-Dienstes sicherzustellen. Obwohl wir kein formelles SLA-Dokument veröffentlichen, verpflichten wir uns zu Folgendem:
- Ăber 99,9 % VerfĂŒgbarkeit fĂŒr alle Dienste
- Schnelle Reaktion auf Servicestörungen
- Transparente Kommunikation bei Störungen
- RegelmĂ€Ăige Wartung in Zeiten mit geringem Datenverkehr
Open Source-Sicherheit
Als Open-Source-Dienst profitiert unsere Sicherheit von:
- Transparenter Code, der von jedem geprĂŒft werden kann
- Community-getriebene Sicherheitsverbesserungen
- Schnelle Identifizierung und Behebung von Schwachstellen
- Keine Sicherheit durch Unklarheit
Mitarbeitersicherheit
- HintergrundĂŒberprĂŒfungen aller Mitarbeiter
- Schulungen zum Sicherheitsbewusstsein
- Least-Privilege-Prinzip
- RegelmĂ€Ăige Sicherheitsschulungen
Kontinuierliche Verbesserung
Wir verbessern unsere Sicherheitslage kontinuierlich durch:
- Ăberwachung von Sicherheitstrends und neuen Bedrohungen
- RegelmĂ€Ăige ĂberprĂŒfung und Aktualisierung der Sicherheitsrichtlinien
- Feedback von Sicherheitsforschern und -nutzern
- Teilnahme an der Sicherheits-Community
Wenn Sie weitere Informationen zu unseren Sicherheitspraktiken wĂŒnschen oder Sicherheitsbedenken melden möchten, wenden Sie sich bitte an [email protected].