Skip to main content
返回新闻列表
安全

Finmail 安全白皮书(在线版)

Finmail 安全团队

Finmail 安全白皮书(在线版)

本在线版汇总 Finmail 安全架构,面向 PE、VC、对冲基金与合规官尽调。版本 1.1 · 最后更新 2026-07-12。 可下载 PDF 请访问安全与合规信任中心

执行摘要

Finmail 是面向受监管金融场景的 AI 原生企业 Webmail。生产设计优先保障:

  • 邮件正文不落库 SQL — 正文保留在 Dovecot IMAP;
  • MariaDB 为系统真相源 — 索引、队列、合规与设置;
  • HttpOnly 传输凭证 — JWT 密封,仅进程内 IMAP/SMTP 使用;
  • 仅追加合规哈希(CM6) — 客户端可校验的审计链;
  • 隐私网关 — 头 scrub、追踪像素中和、Shield 中继别名;
  • 客户端 Vault — 仅 AES-GCM 密文,平台无法解密;
  • AI 出站控制 — 可选 PII 脱敏;邮箱内容不用于训练通用模型。

创新与知识产权

Finmail 已获得美国发明专利 US12542755B2(2026 年 2 月 3 日授权),涵盖基于电子邮件的价值传输与汇款邮件集群技术。完整专利组合(含 JP7308496B2)见信任中心。现行 Webmail 能力(索引、隐私网关、协作)见该页其它章节,不代表专利全文范围。

数据驻留与主体隔离

主体 地点 角色
研发 上海 源代码与工程 IP — 与生产数据面隔离
运营 香港 Finmail Limited — 合同、计费、支持
数据面 美国(弗吉尼亚) 生产托管 — MariaDB、应用层、合规日志

上海研发实体仅维护工程资产;**研发环境不持有生产邮箱凭证、HttpOnly 会话密钥或 IMAP 解密密钥。**对美国托管生产基础设施的访问限于指定运维角色(最小权限、MFA、审计日志),日常研发无需此类访问。处理设计对齐 美国 CCPA/CPRA 与香港 PDPO(在适用范围内)。

系统真相源架构

层级 技术 存储内容
邮件正文与附件 Dovecot IMAP RFC822 内容(客户控制保留)
业务真相 MariaDB 10.11 mail_indexmail_outboxcompliance_audit_logs、设置、协作
浏览器缓存 Dexie(加密) 性能缓存与离线发件箱 — 权威源
会话 HttpOnly JWT + Cookie 密封 mp 声明用于传输 — 数据库明文

清空浏览器存储不得销毁业务真相;可恢复数据经 API 从 MariaDB 与 IMAP 还原。

合规审计链(CM6)

重要邮件操作 — 打开、下载、转发、安全链接发送 — 追加写入 compliance_audit_logs,含:

  • 单调递增 sequence(仅服务端赋值);
  • 指向前项的 previousHash
  • entryHash = 对规范行数据的 SHA-256。

并发写入在序列冲突时重试。平台管理员无法在不破坏校验的情况下改写历史。损坏链仅经文档化、可审计的流程修复 — 禁止静默编辑。

企业档 合规官视图 提供链校验与导出,供监管审查。

隐私网关与 Shield 别名

隐私增强网关降低元数据泄露:

  • 头 scrub 在中继前剥离敏感 MIME 头(客户端 IP 痕迹、设备指纹、多余 Received 跳)。
  • HTML 净化 在配置下阻断被动追踪像素;阻断事件计入统计。
  • Shield 影子别名shield-*@relay)在出站时隐藏分析师真实地址并保持可达性。

网关能力补充而非替代 MTA 级 TLS 与 SPF/DKIM/DMARC 传输认证。

会话模型与加密 Vault

登录时密码与 MariaDB 校验(支持 legacy Dovecot $6$ 与 Finmail 标准 hash,legacy 命中后静默升级)。密码密封于 HttpOnly JWTmp 声明),用于 IMAP/SMTP 传输 — 不向客户端 JavaScript 暴露,不以明文写入资料供复用。

跨设备 Vault 同步上传基于用户本地主密码派生的 AES-GCM 密文;服务端仅存储加密块。

AI 处理与出站

启用 AI 功能(摘要、Ask Finmail、发信前检查)时:

  • 处理限于为已认证账户提供服务;
  • 外部 AI 出站可按租户设置应用 PII 脱敏
  • Finmail 不使用邮箱内容训练或改进通用 LLM
  • 用量经 ai_usage_logs 计量,含月度配额与日安全阀(见定价页)。

客户须在用于监管或税务申报前独立核实 AI 输出。

安全分享与出站控制

安全分享链接支持阅后即焚、访问徽章与可选水印。安全链接发信追加合规审计(mail.send.secure_link);审计失败不阻断发信(尽力而为记录)。

出站邮件经 mail_outbox → worker → Postfix SMTP,并按 users.role 限流。

传输与基础设施控制

  • Dovecot IMAP — 读写信边界;QUOTA 与 IDLE 同步;
  • Postfix SMTP — TLS 出站投递;
  • Edge 代理 — 仅 JWT/Cookie 门禁;Edge Runtime 禁止数据库或 IMAP;
  • API 鉴权 — 邮件与设置路由使用 resolveRequestAuth()
  • 限流 — 登录、发信、AI 与敏感端点;
  • 2FA — 按需 TOTP 与备用码。

SOC 2 与认证进度

Finmail 将架构与运营映射至 SOC 2 Type II 控制矩阵,认证工作进行中(尚未取得 attestation)。已实现控制包括仅追加审计、强制 2FA、API 会话门禁、TLS 传输、AI 出站 PII 脱敏、安全分享控制与文档化审计修复流程。

运营透明度

公开系统状态/status 报告生产探活(IMAP TCP、SMTP TCP、MariaDB、AI 配置、隐私中继)及 90 天 uptime 历史。本页架构描述设计意图;实时状态反映运行健康。

联系

安全咨询: [email protected]
隐私 / DPA: [email protected]
滥用举报(垃圾邮件 / 钓鱼 / 伪造邮件): [email protected]
信任中心: /zh-CN/security