Podpora

VoxRox Mail je v aktivním vývoji (alpha). Děkujeme za trpělivost i za každou zpětnou vazbu.

Potřebuji pomoc nebo chci nahlásit chybu

Nejrychlejší cesta je e-mail na info@voxrox.org nebo nové issue na GitHubu:

github.com/TheVoxRox/mail/issues — chyby, návrhy funkcí, dotazy.

Ať vám můžeme pomoct co nejrychleji, přiložte prosím:

Verzi aplikace (Nápověda → O aplikaci, případně pole appVersion v souboru session.json).
Verzi systému Windows.
Poskytovatele e-mailu (Gmail, Outlook, Seznam, vlastní server) a způsob přihlášení (heslo / OAuth).
Popis kroků, kterými se chyba projeví.

Diagnostický balíček

Pokud vás o to požádáme, můžete ručně exportovat diagnostický balíček (GET /api/internal/diagnostic-dump). Obsahuje pouze maskované e-mailové adresy, konfiguraci účtů (host, port, SSL), stav synchronizace a runtime metriky. Neobsahuje přihlašovací údaje, OAuth tokeny, obsah zpráv ani předměty. Detaily viz Zásady ochrany soukromí.

Podporované verze

Bezpečnostní opravy dostává pouze nejnovější vydaný instalátor (distribuovaný přes stránku GitHub Releases). Předběžné tagy a nevydané commity podporované nejsou.

Verze	Podpora
`latest`	Ano — aktuální vydání
Starší	Ne — aktualizujte prosím

Nahlášení bezpečnostního problému

Bezpečnostní problémy prosím nehlaste ve veřejném issue trackeru. Napište na info@voxrox.org. Každé hlášení považujeme za neveřejné, dokud nebude k dispozici oprava a vydání.

Do hlášení uveďte:

Popis problému a jak ho reprodukovat.
Dotčenou verzi (Nápověda → O aplikaci nebo pole appVersion v session.json).
Operační systém, poskytovatele e-mailu a zda problém vyžaduje síťový přístup ke konkrétnímu serveru.
Proof-of-concept, pokud nějaký máte (v libovolném formátu).

Potvrzení přijetí byste měli dostat do 7 kalendářních dnů. Výchozí lhůta pro zveřejnění je 90 dní od prvního hlášení, po vzájemné dohodě ji lze prodloužit (např. pokud oprava vyžaduje delší nasazení).

Co považujeme za zranitelnost

Cross-site scripting (XSS) v zobrazeném obsahu pošty navzdory HTML sanitizéru.
Obejití SSRF ochrany v loopback handshake mezi Tauri a Spring backendem.
Obejití kontroly API klíče v hlavičce.
Přihlašovací údaje uložené kdekoli na disku v otevřené podobě (hesla i OAuth refresh tokeny musí být šifrované).
Únik tokenů do log souborů.
Útoky na downgrade IMAP/SMTP (vynucené odebrání STARTTLS).
Eskalace oprávnění vůči sidecar procesu.

Co za zranitelnost nepovažujeme

Teoretické problémy bez funkční ukázky.
Hlášení cílící na služby třetích stran, na kterých závisíme (Gmail, Microsoft 365, Seznam) — ty hlaste přímo poskytovateli.
DoS fyzickým zničením zařízení, na kterém aplikace běží.

Po vydání opravy uvedeme nálezce v poznámkách k vydání, pokud si nepřeje zůstat v anonymitě.