Skip to main content

信任中心

安全与合规信任中心

面向 PE、VC、对冲基金与合规官的可审计架构说明 — 为尽调而写,而非口号。

自助档位 vs 企业版项目

专业版与团队版可在本网站全自助开通。企业版面向需要专用合规工作台与合同范围的受监管 rollout。

专业版与团队版(自助)

  • 专业版含隐私网关、安全外链与 Shield AI
  • 团队版含团队协作侧栏 — 指派给我 / 我指派的
  • 团队版含邮件指派、共享草稿与撰写器审批
  • 全档位含 2FA、会话门禁 API 与限流

企业版项目(邮件咨询)

  • 合规官工作台与 CSV 导出
  • Legal Hold 与不可篡改哈希链校验
  • BYO Key — Azure OpenAI / Gemini(不限平台 AI 上限)
  • 企业版合同专属尽调支持

若需 50+ 席位、Legal Hold 或受监管机构 rollout: 企业版咨询

物理安全与主体隔离

上海研发持有工程资产与源码仓库。香港离岸主体负责商业合同与客户支持。生产数据与物理服务器托管于美国弗吉尼亚合规数据中心。

  • 上海研发实体仅持有工程资产;研发环境不存放生产数据库凭证、HttpOnly 会话密钥或 IMAP 解密密钥。对美国托管生产基础设施的访问限于指定运维角色,遵循最小权限、MFA 与审计日志 — 日常研发无需生产邮箱访问。
  • 数据处理设计满足双重司法对齐:美国 CCPA 与香港《个人资料(私隐)条例》(PDPO)。
  • 邮件正文保留在 Dovecot IMAP;Finmail 数据库仅存储索引元数据与合规工件 — 正文不作为 SQL 层的系统记录落库。
研发 · 资产
上海
代码与 IP
运营
香港
市场与合同
数据面
美国(弗吉尼亚)
托管与 SoR

不可篡改合规审计链

企业版开通后,合规官工作台将重要邮件操作 — 打开、下载、转发、安全链接发送 — 写入仅追加审计日志。团队版与专业版记录关键事件(读信、安全外链)供运营复核;完整控制台与 Legal Hold 需企业版项目。

每条记录获得服务端分配的单调递增序列号、上一项哈希链接,以及对规范行数据计算的 SHA-256 条目哈希。并发写入在冲突时安全重试。

平台管理员无法在不破坏链校验的情况下改写历史。损坏链仅能通过受控、可审计的修复流程处理 — 禁止静默编辑。

技术示意图(文本)
compliance_audit_logs(仅追加)
┌─────────┬──────────────┬──────────────────────────────────────┐
│ seq (n) │ previousHash │ entryHash = SHA-256( canonical row ) │
├─────────┼──────────────┼──────────────────────────────────────┤
│    1    │   (genesis)  │  H₁                                  │
│    2    │     H₁       │  H₂ = f(row₂ ∥ H₁)                   │
│    3    │     H₂       │  H₃ = f(row₃ ∥ H₂)                   │
│   …     │     …        │  篡改 → verifyAuditLogChain 失败     │
└─────────┴──────────────┴──────────────────────────────────────┘
• sequence:BIGINT,严格单调(仅服务端赋值)
• 动作:read、download、forward、mail.send.secure_link 等
• 客户端可校验;无法伪造链头或改写历史

隐私网关与 Shield 影子别名

隐私增强网关降低出站与入站路径的元数据泄露:

  • 头净化在中继前剥离敏感 MIME 头(客户端 IP 痕迹、设备指纹、多余 Received 跳)。
  • 读信模式 HTML 净化在配置下阻断被动追踪像素,阻断事件计入统计供审查。
  • Shield 影子别名使出站经中继地址发送,对外隐藏分析师真实地址并保持可达性。

HttpOnly 会话与客户端 Vault

邮件正文不存入 SQL 数据库。登录时邮箱密码密封在 HttpOnly 会话 Cookie 中,仅在进程内为 IMAP/SMTP 解密 — 不向浏览器暴露,也不以明文写入用户资料供传输复用。

跨设备偏好与加密邮件缓存快照以 Vault 密文上传。密钥由本地主密码派生;Finmail 服务端仅存储加密块 — 平台无法解密。

HttpOnly CookieAES-GCM Vault正文保留在 IMAP

安全外链与出站控制

安全外链让收件人通过认证链接阅读敏感内容,避免在附件中暴露完整 MIME 载荷。

  • 阅后即焚时间窗与读信页可选水印。
  • 安全链接发送写入合规审计(mail.send.secure_link),审计失败不阻断投递。
  • 出站邮件经 mail_outbox → worker → Postfix SMTP,并按角色限流。
  • 撰写器加密模式与阅后即焚触发安全外链出站路径。

AI 处理与出站控制

启用 AI 功能时(摘要、Ask Finmail、发送前检查):

  • 处理范围限定于为已认证账户提供本服务。
  • 外部 AI 出站可按租户设置应用 PII 脱敏。
  • Finmail 不使用邮箱内容训练或改进通用大模型。
  • 用量通过 ai_usage_logs 计量,含月度额度与日安全阀。

客户须独立核验 AI 输出后再用于监管或税务申报。

传输认证与 Edge 边界

网关能力补充 — 而非替代 — MTA 级 TLS 与身份认证:

  • SPF、DKIM、DMARC 对齐保障机构级可达性 — 结果来自真实 RFC822 头,非占位徽章。
  • Dovecot IMAP 与 Postfix SMTP 在生产路径强制 TLS 传输。
  • Edge 代理(proxy.ts)仅做 JWT/Cookie 门禁 — Edge Runtime 内不连接数据库或 IMAP。
  • 企业域名入驻为租户生成 DKIM 密钥,并提供 MX/SPF/DMARC DNS 配置向导。
SPF / DKIM / DMARC 配置指南 →

附件安全

入站附件在预览前经生产扫描与沙箱控制:

  • ClamAV 恶意软件扫描,上传后调度扫描任务。
  • 沙箱预览与脱敏门禁,未信任内容 inline 展示前拦截。
  • Link Shield 与伪造检测对可疑 URL 与发件人身份不一致发出警告。
  • 出站 DLP 在发送前扫描敏感内容。

创新与知识产权

Finmail 在美国与日本均有已授权专利。营销与产品页引用美国授权;完整专利组合列于本页供尽调审查。

专利说明书描述邮件原生价值传输、汇款邮件集群等创新。并非每项权利要求均对应今日已上线的 Finmail Webmail 功能 — 例如 Pay-To 汇款能力未提供。本页其它章节中的收件箱索引、隐私网关与团队工作流反映现行产品,不代表专利全文范围。

专利号法域授权日摘要
US12542755B2美国2026 年 2 月 3 日基于电子邮件的价值传输与汇款邮件集群系统 — 经邮件服务器、SMTP/DNS 查询收款地址及跨域汇款操作。 在 Google Patents 查看
JP7308496B2日本2023 年 7 月 14 日邮件原生工作流中安全数字通信的较早族系申请(在美国授权中被引用为先前技术)。 在 Google Patents 查看
阅读美国专利公告 →

安全与传输控制

Finmail 暂未发布 SOC 2 Type II 鉴证报告。工程实践按 Trust Services Criteria 路线图演进,供未来企业版 rollout 使用。当前生产路径已实现:

  • 仅追加合规审计与归档策略
  • 强制 2FA(TOTP 与备用码)
  • 邮件与设置相关 API 的会话认证
  • 登录与敏感路由限流
  • SMTP 强制 TLS 与 Postfix 传输加密
  • 文档化的审计日志修复流程
  • 外部 AI 请求的 PII 脱敏
  • 安全外链阅后即焚与水印

运营透明度 · 实时系统状态

本页为架构与合规证据。公开系统状态页展示生产环境实时探活 — Dovecot IMAP、Postfix SMTP、AI 平台与隐私中继 — 并提供 90 天可用率历史与事故披露。

可在状态页订阅 P1 事故与维护通知。探活不调用邮件或合规读 API。

查看实时系统状态 →
安全白皮书

下载《Finmail 安全白皮书》

架构深度说明 — 数据托管、审计链、隐私网关中继与 AI 出站控制。

延伸阅读

本页架构证据与运营指南、产品动态互补: