Säkerhetspolicy
Hur du rapporterar säkerhetsproblem till sverige.email.
Omfattning
Denna policy gäller säkerhetsproblem som påverkar:
- Domänen sverige.email och dess underdomäner
- DNS-konfiguration (DNSSEC, SPF, DKIM, DMARC)
- TLS/SSL-konfiguration och certifikatsgiltighet
- Webbserverkonfiguration och HTTP-säkerhetshuvuden
- E-postserverinfrastruktur och protokoll
- Oavsiktlig exponering av känslig information
Utanför scope
Följande faller utanför denna policy:
- Överbelastningsattacker (DoS)
- Social manipulation eller nätfiske
- Fysisk säkerhet
- Spam och missbruk (rapportera till postmaster@sverige.email)
- Sårbarheter i tredjepartstjänster vi är beroende av
- Teoretiska sårbarheter utan praktisk påverkan
- Saknade säkerhetshuvuden utan reell säkerhetspåverkan
Hur du rapporterar
Skicka din rapport till postmaster@sverige.email. Beskriv problemet tydligt, inkludera steg för att reproducera det och din bedömning av den potentiella påverkan. Vi välkomnar samordnad publicering.
Vad du kan förvänta dig
- Bekräftelse på din rapport inom 3 arbetsdagar
- En bedömning av det rapporterade problemet inom 10 arbetsdagar
- Löpande uppdateringar under utredning och åtgärd
- Omnämnande i vår tackningslista om du önskar
Säker hamn
Vi kommer inte att vidta rättsliga åtgärder mot forskare som i god tro hittar och rapporterar säkerhetsproblem, förutsatt att de:
- Inte bereder sig åtkomst till, ändrar eller raderar data utöver vad som krävs för att påvisa sårbarheten
- Inte utför destruktiva tester eller försämrar tjänstens tillgänglighet
- Inte offentliggör sårbarheten innan vi haft rimlig möjlighet att åtgärda den
- Agerar i enlighet med tillämplig lagstiftning
Om webbplatsens arkitektur
sverige.email drivs som en nästan helt statisk webbplats utan användarkonton och utan klientbaserad JavaScript. Anmälningsformuläret skickas till en liten serverbaserad slutpunkt som validerar en e-postadress och lagrar den. Attackytan är avsiktligt liten. Vi uppskattar rapporter om infrastrukturrelaterade problem såsom TLS-konfiguration, DNS-säkerhet och e-postautentiseringsposter.