Säkerhetspolicy

Hur du rapporterar säkerhetsproblem till sverige.email.

Omfattning

Denna policy gäller säkerhetsproblem som påverkar:

• Domänen sverige.email och dess underdomäner
• DNS-konfiguration (DNSSEC, SPF, DKIM, DMARC)
• TLS/SSL-konfiguration och certifikatsgiltighet
• Webbserverkonfiguration och HTTP-säkerhetshuvuden
• E-postserverinfrastruktur och protokoll
• Oavsiktlig exponering av känslig information

Utanför scope

Följande faller utanför denna policy:

• Överbelastningsattacker (DoS)
• Social manipulation eller nätfiske
• Fysisk säkerhet
• Spam och missbruk (rapportera till postmaster@sverige.email)
• Sårbarheter i tredjepartstjänster vi är beroende av
• Teoretiska sårbarheter utan praktisk påverkan
• Saknade säkerhetshuvuden utan reell säkerhetspåverkan

Hur du rapporterar

Skicka din rapport till postmaster@sverige.email. Beskriv problemet tydligt, inkludera steg för att reproducera det och din bedömning av den potentiella påverkan. Vi välkomnar samordnad publicering.

Vad du kan förvänta dig

• Bekräftelse på din rapport inom 3 arbetsdagar
• En bedömning av det rapporterade problemet inom 10 arbetsdagar
• Löpande uppdateringar under utredning och åtgärd
• Omnämnande i vår tackningslista om du önskar

Säker hamn

Vi kommer inte att vidta rättsliga åtgärder mot forskare som i god tro hittar och rapporterar säkerhetsproblem, förutsatt att de:

• Inte bereder sig åtkomst till, ändrar eller raderar data utöver vad som krävs för att påvisa sårbarheten
• Inte utför destruktiva tester eller försämrar tjänstens tillgänglighet
• Inte offentliggör sårbarheten innan vi haft rimlig möjlighet att åtgärda den
• Agerar i enlighet med tillämplig lagstiftning

Om webbplatsens arkitektur

sverige.email drivs för närvarande som en statisk webbplats utan serverbaserade skript, användarkonton eller JavaScript. Attackytan är avsiktligt liten. Vi uppskattar rapporter om infrastrukturrelaterade problem såsom TLS-konfiguration, DNS-säkerhet och e-postautentiseringsposter.