Finmail 安全白皮书(在线版)
Finmail 安全团队
本在线版汇总 Finmail 安全架构,面向 PE、VC、对冲基金与合规官尽调。版本 1.1 · 最后更新 2026-07-12。 可下载 PDF 请访问安全与合规信任中心。
执行摘要
Finmail 是面向受监管金融场景的 AI 原生企业 Webmail。生产设计优先保障:
- 邮件正文不落库 SQL — 正文保留在 Dovecot IMAP;
- MariaDB 为系统真相源 — 索引、队列、合规与设置;
- HttpOnly 传输凭证 — JWT 密封,仅进程内 IMAP/SMTP 使用;
- 仅追加合规哈希(CM6) — 客户端可校验的审计链;
- 隐私网关 — 头 scrub、追踪像素中和、Shield 中继别名;
- 客户端 Vault — 仅 AES-GCM 密文,平台无法解密;
- AI 出站控制 — 可选 PII 脱敏;邮箱内容不用于训练通用模型。
创新与知识产权
Finmail 已获得美国发明专利 US12542755B2(2026 年 2 月 3 日授权),涵盖基于电子邮件的价值传输与汇款邮件集群技术。完整专利组合(含 JP7308496B2)见信任中心。现行 Webmail 能力(索引、隐私网关、协作)见该页其它章节,不代表专利全文范围。
数据驻留与主体隔离
| 主体 | 地点 | 角色 |
|---|---|---|
| 研发 | 上海 | 源代码与工程 IP — 与生产数据面隔离 |
| 运营 | 香港 | Finmail Limited — 合同、计费、支持 |
| 数据面 | 美国(弗吉尼亚) | 生产托管 — MariaDB、应用层、合规日志 |
上海研发实体仅维护工程资产;**研发环境不持有生产邮箱凭证、HttpOnly 会话密钥或 IMAP 解密密钥。**对美国托管生产基础设施的访问限于指定运维角色(最小权限、MFA、审计日志),日常研发无需此类访问。处理设计对齐 美国 CCPA/CPRA 与香港 PDPO(在适用范围内)。
系统真相源架构
| 层级 | 技术 | 存储内容 |
|---|---|---|
| 邮件正文与附件 | Dovecot IMAP | RFC822 内容(客户控制保留) |
| 业务真相 | MariaDB 10.11 | mail_index、mail_outbox、compliance_audit_logs、设置、协作 |
| 浏览器缓存 | Dexie(加密) | 性能缓存与离线发件箱 — 非权威源 |
| 会话 | HttpOnly JWT + Cookie | 密封 mp 声明用于传输 — 非数据库明文 |
清空浏览器存储不得销毁业务真相;可恢复数据经 API 从 MariaDB 与 IMAP 还原。
合规审计链(CM6)
重要邮件操作 — 打开、下载、转发、安全链接发送 — 追加写入 compliance_audit_logs,含:
- 单调递增
sequence(仅服务端赋值); - 指向前项的
previousHash; entryHash= 对规范行数据的 SHA-256。
并发写入在序列冲突时重试。平台管理员无法在不破坏校验的情况下改写历史。损坏链仅经文档化、可审计的流程修复 — 禁止静默编辑。
企业档 合规官视图 提供链校验与导出,供监管审查。
隐私网关与 Shield 别名
隐私增强网关降低元数据泄露:
- 头 scrub 在中继前剥离敏感 MIME 头(客户端 IP 痕迹、设备指纹、多余 Received 跳)。
- HTML 净化 在配置下阻断被动追踪像素;阻断事件计入统计。
- Shield 影子别名(
shield-*@relay)在出站时隐藏分析师真实地址并保持可达性。
网关能力补充而非替代 MTA 级 TLS 与 SPF/DKIM/DMARC 传输认证。
会话模型与加密 Vault
登录时密码与 MariaDB 校验(支持 legacy Dovecot $6$ 与 Finmail 标准 hash,legacy 命中后静默升级)。密码密封于 HttpOnly JWT(mp 声明),仅用于 IMAP/SMTP 传输 — 不向客户端 JavaScript 暴露,不以明文写入资料供复用。
跨设备 Vault 同步上传基于用户本地主密码派生的 AES-GCM 密文;服务端仅存储加密块。
AI 处理与出站
启用 AI 功能(摘要、Ask Finmail、发信前检查)时:
- 处理限于为已认证账户提供服务;
- 外部 AI 出站可按租户设置应用 PII 脱敏;
- Finmail 不使用邮箱内容训练或改进通用 LLM;
- 用量经
ai_usage_logs计量,含月度配额与日安全阀(见定价页)。
客户须在用于监管或税务申报前独立核实 AI 输出。
安全分享与出站控制
安全分享链接支持阅后即焚、访问徽章与可选水印。安全链接发信追加合规审计(mail.send.secure_link);审计失败不阻断发信(尽力而为记录)。
出站邮件经 mail_outbox → worker → Postfix SMTP,并按 users.role 限流。
传输与基础设施控制
- Dovecot IMAP — 读写信边界;QUOTA 与 IDLE 同步;
- Postfix SMTP — TLS 出站投递;
- Edge 代理 — 仅 JWT/Cookie 门禁;Edge Runtime 禁止数据库或 IMAP;
- API 鉴权 — 邮件与设置路由使用
resolveRequestAuth(); - 限流 — 登录、发信、AI 与敏感端点;
- 2FA — 按需 TOTP 与备用码。
SOC 2 与认证进度
Finmail 将架构与运营映射至 SOC 2 Type II 控制矩阵,认证工作进行中(尚未取得 attestation)。已实现控制包括仅追加审计、强制 2FA、API 会话门禁、TLS 传输、AI 出站 PII 脱敏、安全分享控制与文档化审计修复流程。
运营透明度
公开系统状态页 /status 报告生产探活(IMAP TCP、SMTP TCP、MariaDB、AI 配置、隐私中继)及 90 天 uptime 历史。本页架构描述设计意图;实时状态反映运行健康。
联系
安全咨询: [email protected]
隐私 / DPA: [email protected]
滥用举报(垃圾邮件 / 钓鱼 / 伪造邮件): [email protected]
信任中心: /zh-CN/security
