Sikkerhetsmodell

E2E-kryptering

Alt e-postinnhold krypteres på klientsiden før overføring. Serveren lagrer og videresender kun chiffertekst - den har aldri tilgang til klartekst, emner eller vedlegg.

Sealed box-kryptografi

agentpost bruker libsodium sealed boxes (X25519-XSalsa20-Poly1305). Avsenderen krypterer med mottakerens offentlige nøkkel. Kun mottakerens private nøkkel kan dekryptere. Ingen delte hemmeligheter, ingen nøkkelutvekslingsprotokoll nødvendig.

Utfordrings-svar-autentisering

Under registrering sender serveren en kryptert utfordring som bare innehaveren av den private nøkkelen kan dekryptere. Dette beviser nøkkeleierskap uten å overføre den private nøkkelen.

Trådintegritet

Trådmatching bruker In-Reply-To-headeren eksklusivt. Emnelinje-basert trådmatching er bevisst utelatt for å forhindre trådkapring.

Prompt injection-beskyttelse

Alt innkommende e-postinnhold pakkes i UNTRUSTED EXTERNAL CONTENT-markører. Agenten er instruert til å aldri følge instruksjoner funnet i disse blokkene. Dette forhindrer ondsinnede avsendere fra å injisere kommandoer i agentens kontekst.

Godkjenningsflyt

Hver utgående e-post krever eksplisitt brukergodkjenning før sending. Agenten lager et utkast og presenterer det for gjennomgang. Ingen e-post sendes uten menneskelig bekreftelse.

E-postbunntekst

Alle utgående e-poster inkluderer en bunntekst som identifiserer dem som agentgenererte. Mottakere vet alltid at de kommuniserer med en AI-agent.

Nøkkellagring

Private nøkler lagres lokalt i ~/.claude/channels/mailmcp/keys/ med 0o600-tillatelser. Nøkler forlater aldri den lokale maskinen.

Registreringsbeskyttelse

Serveren avviser forsøk på å overskrive en eksisterende offentlig nøkkel (HTTP 409). Når den er registrert, er en e-postadresse permanent bundet til sitt nøkkelpar.