Verzió: 1.0 · Dátum: 2026 · Üzemeltető: Zsidi László (Magyarország) ·
Kapcsolat: laszlo@zsidi.hu
1. Bevezetés
A session.email egy privacy‑first, zero‑log, zero‑persistence elven működő ideiglenes e‑mail szolgáltatás,
amely kizárólag bejövő levelek fogadására alkalmas. A rendszer célja, hogy a felhasználók kommunikációja soha ne kerüljön
tartós tárolásra, minden adat kizárólag RAM‑ban, szigorú TTL értékekkel kerüljön feldolgozásra.
A szolgáltatás három fő pillére:
- Adatvédelem: nincs log, nincs disk I/O, nincs metaadat‑gyűjtés.
- Technikai architektúra: Redis‑alapú RAM‑kezelés, SSE streaming, izolált kliensoldali sandbox.
- Biztonság: KVM izoláció, OpenSMTPD hardening, Fail2ban, ECC PGP kulcsok.
Ez a dokumentum részletesen bemutatja a session.email működését, biztonsági modelljét és adatvédelmi garanciáit.
2. Infrastruktúra és környezet
2.1. Fizikai és virtuális környezet
- VPS szolgáltató: RackNerd
- Lokáció: USA
- Virtualizáció: KVM (hardveres izoláció)
- Memória: 1 GB RAM + 1 GB swap
- Operációs rendszer: Debian 12
- Tűzfal: UFW – minden nem használt port zárva, a 22-es SSH port is
- SSH: nem standard porton, brute‑force védelemmel
A KVM virtualizáció biztosítja, hogy a memória‑bound működés valóban izolált, más VPS‑ektől elhatárolt környezetben történjen.
3. Szoftverarchitektúra
3.1. Fő komponensek
- Caddy: HTTP/2 és HTTP/3 (QUIC) reverse proxy.
- OpenSMTPD: kizárólag bejövő (inbound) SMTP forgalom fogadása.
- Go backend: üzenetfeldolgozás, Redis integráció, SSE streaming.
- Redis: in‑memory adatkezelés, TTL alapú törlés, persistence nélkül.
-
GoatCounter: saját VPS-en futó, cookie‑mentes, privacy‑barát analitika (
analytics.session.email
).
- Fail2ban: OpenSMTPD és Caddy 404 eseményekre hangolt védelem.
4. Adatáramlás (Data Flow)
[OpenSMTPD] → [Go Backend] → [Redis (RAM)] → [SSE Stream] → [Isolated Iframe] → [Purify.js + Sanitizer]
4.1. SMTP fogadás
- Az OpenSMTPD fogadja a bejövő leveleket.
- Maximális üzenetméret: 25 MB – e felett a levelek elutasításra kerülnek.
- IP rate limiting aktív a túlterhelés és visszaélés ellen.
- Outbound SMTP teljesen tiltva – a szolgáltatás nem küld ki e‑maileket.
4.2. Backend feldolgozás
A Go backend felel a levelek feldolgozásáért:
- Header és body parsing, a levél „csupaszítása”.
- Az üzenet RAM‑ban, Redisben kerül tárolásra, szigorú TTL‑lel.
- Az üzenet SSE (Server‑Sent Events) csatornán keresztül kerül továbbításra a kliens böngészőjébe.
4.3. Redis működés
- AOF (Append Only File): kikapcsolva (
appendonly no).
- RDB snapshot: engedélyezve, de a rendszer nem tárol leveleket tartósan, a Redis kizárólag RAM‑ban dolgozik.
- Elérés: csak
127.0.0.1:6379 címen, jelszóval védve.
- IP rate ban: Redis szinten is alkalmazva.
4.4. TTL értékek
- Ingyenes cím: 15 perc TTL (újracsatlakozás elleni védelem kliens oldalon).
- Prémium cím: 1 óra TTL.
- Session cookie: 1 óra.
Minden adat automatikusan törlődik a TTL lejártakor; nincs manuális törlésre váró, tartósan tárolt adat.
5. Zero‑Persistence garanciák
A session.email működése során a rendszer:
- nem ír levelet lemezre,
- nem készít mail spoolt vagy maildir struktúrát,
- nem tárol naplófájlokat a beérkező üzenetekről,
- nem gyűjt IP‑címet, user agentet vagy időbélyeget tartósan,
- nem végez profilalkotást, nem épít felhasználói adatbázist.
A rendszer kizárólag RAM‑ban működik, a Redis TTL mechanizmusára támaszkodva. A TTL lejárta után az adatok automatikusan és visszafordíthatatlanul törlődnek.
6. Kliensoldali biztonság
6.1. Izolált iframe
A levelek megjelenítése izolált, sandboxolt iframe-ben történik, amely elválasztja az üzenet tartalmát a fő dokumentumtól.
6.2. Sanitization és tracking védelem
- purify.js használata a HTML tartalom tisztítására.
- Saját sanitize logika a tracking pixelek és gyanús elemek kiszűrésére.
- Lehetőség HTML → plain text nézetre, a maximális biztonság érdekében.
Ez a megközelítés csökkenti az XSS, CSRF, remote resource load és egyéb kliensoldali támadások kockázatát.
7. Prémium PGP funkció
A prémium felhasználók számára a session.email session‑bound, memory‑only PGP titkosítást biztosít.
- Algoritmus: ECC, Curve25519.
- Könyvtár:
openpgp.min.js.
- Kulcsgenerálás: minden session egyedi kulcspárt kap.
const { privateKey, publicKey } = await openpgp.generateKey({
type: 'ecc',
curve: 'curve25519',
userIDs: [{ name: 'Session User' }],
});
A privát kulcs kizárólag RAM‑ban él, soha nem kerül lemezre, és a session végén automatikusan rotálásra és törlésre kerül.
A felhasználó publikus kulcsot kap, amellyel a számára küldött üzenetek titkosíthatók.
8. Analitika (GoatCounter)
A session.email kizárólag minimális, privacy‑barát analitikát használ:
- Eszköz: GoatCounter.
-
Lokáció: saját VPS,
analytics.session.email
domain alatt.
- Gyűjtött adat: csak pageview statisztika.
- Nincs: tracking cookie, fingerprinting, harmadik fél adatmegosztás.
9. Fizetési rendszer (Paddle)
A prémium funkciók fizetése a Paddle rendszeren keresztül történik.
- Paddle webhookokat használsz a tranzakciók státuszának visszaigazolására.
- A session.email szerver nem tárol fizetési adatot tartósan.
- A Paddle saját, biztonsági és tranzakciókezelési célú sütiket használhat.
- A szerver csak a tranzakcióhoz szükséges e‑mail címet látja, és azt sem tárolja hosszú távon.
10. Biztonsági modell
10.1. Fenyegetési modell
- Brute force / SSH támadások: nem standard SSH port, UFW, Fail2ban.
- SMTP flood: OpenSMTPD IP rate limit, max. 25 MB üzenetméret.
- Redis támadás: csak localhost elérés, jelszóval védett, tűzfal mögött.
- XSS / HTML támadások: izolált iframe, purify.js, sanitize logika.
- Tracking / metaadat szivárgás: tracking pixelek szűrése, HTML → plain text opció.
- Disk forensics: nincs disk write, nincs mail spool, nincs log.
10.2. Támadási felület minimalizálása
- Nincs outbound SMTP.
- Nincsenek felhasználói fiókok, jelszavak, persistent adatbázisok.
- Nincs API, amelyen keresztül tömeges adatlekérés történhetne.
- Minden adat RAM‑ban él, TTL‑lel, automatikus törléssel.
11. Összefoglaló táblázat
| Terület |
Megoldás |
Állapot |
| Adattárolás |
RAM‑only (Redis, TTL‑lel) |
✔ Zero‑persistence |
| Logolás |
Teljesen tiltva, nincs disk I/O |
✔ Zero‑log |
| SMTP |
OpenSMTPD inbound only, 25 MB limit |
✔ Outbound tiltva |
| Web |
Caddy, HTTP/2 + HTTP/3 (QUIC) |
✔ Modern protokollok |
| Analitika |
GoatCounter, saját VPS, cookie‑mentes |
✔ Privacy‑barát |
| PGP |
ECC Curve25519, session‑bound, memory‑only |
✔ Prémium titkosítás |
| Virtualizáció |
KVM, izolált VPS |
✔ Hardveres izoláció |
| Biztonság |
Fail2ban, rate limiting, UFW |
✔ Aktív védelem |
12. Következtetés
A session.email egy olyan disposable e‑mail szolgáltatás, amely:
- nem tárol adatot tartósan,
- nem naplóz,
- nem ír lemezre,
- nem gyűjt metaadatot,
- nem enged outbound e‑mailt,
- kizárólag RAM‑ban működik, szigorú TTL‑ekkel,
- PGP titkosítást biztosít prémium felhasználóknak,
- modern, biztonságos architektúrán fut (KVM, Caddy, OpenSMTPD, Redis),
- szigorú kliensoldali sandboxingot és sanitizationt alkalmaz.
A rendszer megfelel a privacy‑by‑design és data‑minimization elveknek, és technikailag egyedülállóan erős
garanciákat nyújt a felhasználók anonimitására és adatbiztonságára.