军用级
邮件安全
Your email infrastructure is hardened against the same standards used to protect government and defense systems. Not as a marketing claim — as an engineering practice. We don't cut corners. We don't compromise. We build it right.
加固的 SSH 访问
公钥 + TOTP 多重身份验证。严格的加密套件、禁用 root 登录、详尽的日志记录和空闲超时。每个会话都会经过审计。
内核级保护
ASLR、限制 ptrace、禁用核心转储、SYN cookies、火星包日志记录和源路由拒绝。内核本身就是您的第一道防线。
持续审计
Auditd 不可变规则、AIDE 文件系统完整性监控(每日邮件警报)和集中式 sudo 日志记录。每项更改都被跟踪。
默认拒绝防火墙
采用默认拒绝策略的 UFW、SSH 速率限制,以及针对 SSH、Postfix、Dovecot 和 Apache 设有活动监狱的 Fail2ban。暴力破解将无功而返。
严格的访问控制
AppArmor 强制执行、限制性 UMASK、禁用 USB 存储、密码质量强制和自动安全更新。攻击面极小。
全面普及 TLS 1.3
每项服务 — Web、邮件、IMAP — 都强制使用 TLS 1.2+ 和现代密码套件。OCSP 装订和 HSTS 预加载确保连接永不降级。
DANE / TLSA 证书固定
我们的 TLS 证书通过 DANE/TLSA 记录直接钉选到 DNS,并由 DNSSEC 保护。即使证书颁发机构 (CA) 遭到破坏,攻击者也无法冒充我们的邮件服务器。全球只有不足 0.1% 的域名部署了此项技术。
ED25519 DKIM 签名
每封出站邮件都使用 Edwards 曲线加密 (ED25519) 签名 — 比 RSA 更快、更小、数学上更强。我们保留 RSA 回退以兼容旧服务器。
MTA-STS 强制执行
邮件传输代理严格传输安全 (MTA-STS) 可防止入站邮件遭受 TLS 降级攻击。我们的策略设置为“强制模式”——而非测试或可选。邮件必须加密,否则将被拒收。
SPF -all + DMARC 对齐
采用带硬失败 (-all) 的严格 SPF 以及在 SPF 和 DKIM 上均严格对齐的 DMARC。仿冒邮件会被拒收而不仅仅是标记。发件人身份绝无歧义。
DNSSEC
每个 DNS 响应都经过加密签名。针对我们 DNS 记录的缓存投毒和中间人攻击是不可能的。
CAA 记录
证书颁发机构授权记录限制哪些 CA 可以为我们的域名颁发证书。未经授权的证书颁发在 DNS 层面被阻止。
反向 DNS (PTR)
正确配置的反向 DNS 可确保我们的邮件服务器身份支持双向验证。正向和反向查询匹配——这是可信邮件投递的要求。
DMARC 聚合报告
根据 RFC 7489 摄取和分析 DMARC 聚合报告。查看哪些 IP 以您的域名发送邮件、是否通过 SPF/DKIM 以及未授权使用的来源。
SPF/DKIM/DMARC 合规趋势
跟踪您的认证通过率随时间的变化。在 SPF 对齐、DKIM 签名或 DMARC 合规性下降影响可送达性之前发现问题。
综合可送达性评分
将退信率、垃圾邮件投诉、拒绝率和黑名单状态合并为单一的 A-F 评级。一目了然地了解您的发件人信誉。
黑名单监控
持续检查主要 DNS 黑名单。当您的 IP 被列入时收到警报,并自动跟踪移除进度。
策略顾问
从 p=none 到 p=quarantine 到 p=reject 的引导式 DMARC 策略升级。顾问分析您的报告数据,并建议何时可以安全地加强执行。
90 天信誉趋势
在 90 天滚动窗口中跟踪您的安全态势评分、认证率和可送达性评级。查看趋势轨迹,而不仅仅是快照。
这些不是我们买来的勋章。它们是我们持续对照衡量的标准框架。我们的服务器加固遵循 DISA STIG 和 CIS Level 2 配置文件。我们的控制措施映射至 NIST 800-53、ISO 27001 附录 A、PCI DSS v4 以及澳大利亚 Essential Eight 成熟度模型。