自助档位 vs 企业版项目
专业版与团队版可在本网站全自助开通。企业版面向需要专用合规工作台与合同范围的受监管 rollout。
专业版与团队版(自助)
- 专业版含隐私网关、安全外链与 Shield AI
- 团队版含团队协作侧栏 — 指派给我 / 我指派的
- 团队版含邮件指派、共享草稿与撰写器审批
- 全档位含 2FA、会话门禁 API 与限流
企业版项目(邮件咨询)
- 合规官工作台与 CSV 导出
- Legal Hold 与不可篡改哈希链校验
- BYO Key — Azure OpenAI / Gemini(不限平台 AI 上限)
- 企业版合同专属尽调支持
若需 50+ 席位、Legal Hold 或受监管机构 rollout: 企业版咨询
物理安全与主体隔离
上海研发持有工程资产与源码仓库。香港离岸主体负责商业合同与客户支持。生产数据与物理服务器托管于美国弗吉尼亚合规数据中心。
- 上海研发实体仅持有工程资产;研发环境不存放生产数据库凭证、HttpOnly 会话密钥或 IMAP 解密密钥。对美国托管生产基础设施的访问限于指定运维角色,遵循最小权限、MFA 与审计日志 — 日常研发无需生产邮箱访问。
- 数据处理设计满足双重司法对齐:美国 CCPA 与香港《个人资料(私隐)条例》(PDPO)。
- 邮件正文保留在 Dovecot IMAP;Finmail 数据库仅存储索引元数据与合规工件 — 正文不作为 SQL 层的系统记录落库。
不可篡改合规审计链
企业版开通后,合规官工作台将重要邮件操作 — 打开、下载、转发、安全链接发送 — 写入仅追加审计日志。团队版与专业版记录关键事件(读信、安全外链)供运营复核;完整控制台与 Legal Hold 需企业版项目。
每条记录获得服务端分配的单调递增序列号、上一项哈希链接,以及对规范行数据计算的 SHA-256 条目哈希。并发写入在冲突时安全重试。
平台管理员无法在不破坏链校验的情况下改写历史。损坏链仅能通过受控、可审计的修复流程处理 — 禁止静默编辑。
技术示意图(文本)
compliance_audit_logs(仅追加) ┌─────────┬──────────────┬──────────────────────────────────────┐ │ seq (n) │ previousHash │ entryHash = SHA-256( canonical row ) │ ├─────────┼──────────────┼──────────────────────────────────────┤ │ 1 │ (genesis) │ H₁ │ │ 2 │ H₁ │ H₂ = f(row₂ ∥ H₁) │ │ 3 │ H₂ │ H₃ = f(row₃ ∥ H₂) │ │ … │ … │ 篡改 → verifyAuditLogChain 失败 │ └─────────┴──────────────┴──────────────────────────────────────┘ • sequence:BIGINT,严格单调(仅服务端赋值) • 动作:read、download、forward、mail.send.secure_link 等 • 客户端可校验;无法伪造链头或改写历史
隐私网关与 Shield 影子别名
隐私增强网关降低出站与入站路径的元数据泄露:
- 头净化在中继前剥离敏感 MIME 头(客户端 IP 痕迹、设备指纹、多余 Received 跳)。
- 读信模式 HTML 净化在配置下阻断被动追踪像素,阻断事件计入统计供审查。
- Shield 影子别名使出站经中继地址发送,对外隐藏分析师真实地址并保持可达性。
HttpOnly 会话与客户端 Vault
邮件正文不存入 SQL 数据库。登录时邮箱密码密封在 HttpOnly 会话 Cookie 中,仅在进程内为 IMAP/SMTP 解密 — 不向浏览器暴露,也不以明文写入用户资料供传输复用。
跨设备偏好与加密邮件缓存快照以 Vault 密文上传。密钥由本地主密码派生;Finmail 服务端仅存储加密块 — 平台无法解密。
AI 处理与出站控制
启用 AI 功能时(摘要、Ask Finmail、发送前检查):
- 处理范围限定于为已认证账户提供本服务。
- 外部 AI 出站可按租户设置应用 PII 脱敏。
- Finmail 不使用邮箱内容训练或改进通用大模型。
- 用量通过 ai_usage_logs 计量,含月度额度与日安全阀。
客户须独立核验 AI 输出后再用于监管或税务申报。
传输认证与 Edge 边界
网关能力补充 — 而非替代 — MTA 级 TLS 与身份认证:
- SPF、DKIM、DMARC 对齐保障机构级可达性 — 结果来自真实 RFC822 头,非占位徽章。
- Dovecot IMAP 与 Postfix SMTP 在生产路径强制 TLS 传输。
- Edge 代理(proxy.ts)仅做 JWT/Cookie 门禁 — Edge Runtime 内不连接数据库或 IMAP。
- 企业域名入驻为租户生成 DKIM 密钥,并提供 MX/SPF/DMARC DNS 配置向导。
附件安全
入站附件在预览前经生产扫描与沙箱控制:
- ClamAV 恶意软件扫描,上传后调度扫描任务。
- 沙箱预览与脱敏门禁,未信任内容 inline 展示前拦截。
- Link Shield 与伪造检测对可疑 URL 与发件人身份不一致发出警告。
- 出站 DLP 在发送前扫描敏感内容。
创新与知识产权
Finmail 在美国与日本均有已授权专利。营销与产品页引用美国授权;完整专利组合列于本页供尽调审查。
专利说明书描述邮件原生价值传输、汇款邮件集群等创新。并非每项权利要求均对应今日已上线的 Finmail Webmail 功能 — 例如 Pay-To 汇款能力未提供。本页其它章节中的收件箱索引、隐私网关与团队工作流反映现行产品,不代表专利全文范围。
| 专利号 | 法域 | 授权日 | 摘要 |
|---|---|---|---|
| US12542755B2 | 美国 | 2026 年 2 月 3 日 | 基于电子邮件的价值传输与汇款邮件集群系统 — 经邮件服务器、SMTP/DNS 查询收款地址及跨域汇款操作。 在 Google Patents 查看 |
| JP7308496B2 | 日本 | 2023 年 7 月 14 日 | 邮件原生工作流中安全数字通信的较早族系申请(在美国授权中被引用为先前技术)。 在 Google Patents 查看 |
安全与传输控制
Finmail 暂未发布 SOC 2 Type II 鉴证报告。工程实践按 Trust Services Criteria 路线图演进,供未来企业版 rollout 使用。当前生产路径已实现:
- 仅追加合规审计与归档策略
- 强制 2FA(TOTP 与备用码)
- 邮件与设置相关 API 的会话认证
- 登录与敏感路由限流
- SMTP 强制 TLS 与 Postfix 传输加密
- 文档化的审计日志修复流程
- 外部 AI 请求的 PII 脱敏
- 安全外链阅后即焚与水印
运营透明度 · 实时系统状态
本页为架构与合规证据。公开系统状态页展示生产环境实时探活 — Dovecot IMAP、Postfix SMTP、AI 平台与隐私中继 — 并提供 90 天可用率历史与事故披露。
可在状态页订阅 P1 事故与维护通知。探活不调用邮件或合规读 API。
查看实时系统状态 →下载《Finmail 安全白皮书》
架构深度说明 — 数据托管、审计链、隐私网关中继与 AI 出站控制。
延伸阅读
本页架构证据与运营指南、产品动态互补:
