Sicherheit & Datenschutz

Zugangsdaten

IMAP/SMTP-Passwörter und Microsoft-OAuth-Refresh-Tokens werden vor dem Schreiben in die Datenbank mit RSA-Envelope-Verschlüsselung geschützt. API- und MCP-Prozesse besitzen nur den Public Key — sie können neue Zugangsdaten verschlüsseln, aber keine gespeicherten lesen. Den entschlüsselnden Private Key besitzt ausschließlich der Worker-Prozess, der die eigentlichen IMAP/SMTP- und Graph-Anfragen ausführt.

Mail-Inhalte

Mail-Inhalte werden nicht dauerhaft gespeichert. Sie werden bei Tool-Aufrufen vom Worker live aus dem Quell-Postfach (IMAP / Microsoft Graph) geholt, an den Aufrufer zurückgegeben und nicht zwischengespeichert. Anhangs-URLs sind kurzlebige, HMAC-signierte Tokens (max. 15 Minuten gültig).

Audit-Log

Jeder MCP-Tool-Aufruf wird mit Zeitstempel, Tool, Postfach, Client und Erfolg/Fehler geloggt. Business-Konten können das Audit-Log über das Portal exportieren.

Hosting

inboxmcp.io läuft auf eigenem Kubernetes in Deutschland (Frankfurt). Es werden weder externe Tracker noch CDN-gehostete Fonts geladen.

Datenschutzerklärung & AVV

Datenschutzerklärung
Impressum
AVV / DPA für Business-Konten auf Anfrage: support@inboxmcp.io

Zugangsdaten​

Mail-Inhalte​

Audit-Log​

Hosting​

Datenschutzerklärung & AVV​

Zugangsdaten

Mail-Inhalte

Audit-Log

Hosting

Datenschutzerklärung & AVV