• 08621 - 9 88 30 88

Monatsarchiv Dezember 2017

Voncubewerk

maximal_queue_lifetime on already queue emails

Vor verdammt langer Zeit, wurde Mail als sehr robustes und stabiles Kommunikationsmittel entwickelt. Damals konnte es noch passieren, dass auf dem Übertragungsweg mehrere Stunden/Tage eine Verbindung nicht zustande kam, weil der Empfangsserver offline war oder die Verbindung dahin nicht verfügbar. Deshalb versucht ein aktueller Postfix standardmäßig 5 Tage, eine E-Mail zuzustellen, wenn diese beim ersten Versuch in einen Fehler wie den folgenden läuft:

root@mailserver:/home/cwadmin# mailq
-Queue ID- –Size– —-Arrival Time—- -Sender/Recipient——-
AD60B57EE66 22278541 Thu Dec 21 17:04:43 ds@kunde.com
(host smtp.kunde.com[1.2.3.4] said: 450 4.1.2 <al@ungueltiger-empfaenger.bla>: Recipient address rejected: Domain not found (in reply to RCPT TO command))
al@ungueltiger-empfaenger.bla

Löblich auf der einen Seite. Hinderlich jedoch im Jahr 2017, wenn der Absender fast 5 Tage auf eine Antwort auf seine Mail wartet, bis er die Rückmeldung bekommt, dass er sich vertippt hat.

Anpassen lässt sich der Wert über die Option maximal_queue_lifetime = 1h

um dies auf eine Stunde zu setzen.

Was aber wenn sich die Mails schon in der Queue befinden und für diese soll dieser Wert auch greifen? Einfach ein re-queue der Mails und dann die Zeilt von maximal_queue_lifetime abwarten:

postqueue -f

Postfix quittiert dies dann nach Ablauf der Zeit mit:

Dec 21 21:31:28 mailserver postfix/qmgr[30431]: 6ACFC57EE6F: from=<ds@kunde.com>, status=expired, returned to sender
Dec 21 21:31:28 mailserver postfix/cleanup[30658]: A458E57EE82: message-id=<20171221203128.A458E57EE82@mailserver.kunde.com>
Dec 21 21:31:29 mailserver postfix/bounce[30717]: C675557EE66: sender non-delivery notification: A458E57EE82
Dec 21 21:31:29 mailserver postfix/qmgr[30431]: C675557EE66: removed
Dec 21 21:31:31 mailserver postfix/lmtp[30787]: A458E57EE82: to=<ds@kunde.com>, relay=127.0.0.1[127.0.0.1]:2003, delay=3.1, delays=0.68/0.02/0.21/2.2, dsn=2.1.5, status=sent (250 2.1.5 ds@kunde.com Ok)
Dec 21 21:31:31 mailserver postfix/qmgr[30431]: A458E57EE82: removed

Voncubewerk

cubewerk als Beratungsunternehmen im Förderprogramm ‚go digital‘ vom Bundeswirtschaftsministerium autorisiert

Sehr geehrte Damen und Herren,

wir können mit Stolz verkünden, dass die cubewerk GmbH zum heutigen Tag vom Bundesministerium für Wirtschaft und Energie als Beratungsunternehmen im Förderprogramm ‚go digital‘ autorisiert wurde. Als eines von ~ 100 Unternehmen in ganz Deutschland, unterstreicht dies unsere Kompetenz im Bereich IT-Sicherheit und der Digitalisierung von Geschäftsprozessen.

Welche Vorteile ergeben sich dadurch für Sie?

Wir nehmen Sie an die Hand, wenn in den Bereichen IT-Sicherheit und Digitalisierung von Geschäftsprozessen ein Projekt in Ihrem Haus ansteht. Über uns haben Sie die Möglichkeit bis zu 50% der Beratungskosten im Förderprogramm ‚go digital‘ als Förderbetrag in Anspruch zu nehmen. Es handelt sich hierbei nicht um einen Kredit – das heißt es ist keine Rückzahlung der Förderzuschüsse nötig.

Das neue Förderprogramm ‚go digital‘ kann mit dem nur in Bayern verfügbaren Digitalbonus verglichen werden. Das ‚go digital‘ Forderprogramm ist jedoch anders wie der bayerische Digitalbonus, nur mit einem autorisierten Beratungsunternehmen abrufbar und nicht auf bayerische Unternehmen beschränkt.

Wie geht es weiter?

Steht bei Ihnen ein Projekt an oder besteht der Wunsch zur Optimierung der IT-Sicherheit bzw. Ihrer Betriebsabläufe, freuen wir uns auf ein unverbindliches Gespräch mit Ihnen.

Übrigens – die cubewerk GmbH ist seit 2017 auch mit einer Außenstelle in Augsburg für Sie verfügbar.

Voncubewerk

Was Sie und Ihre IT im Jahr 2018 erwartet – ein kritischer Ausblick

Sehr geehrte Damen und Herren,
liebe Kunden und Partner,

ein Sprichwort sagt frei übersetzt:

Heute ist jedes Unternehmen eine IT-Firma – nur mit anderem Fachgebiet.

Dieser Satz belegt eindrucksvoll, dass die IT in naher Zukunft jeden Prozess im Unternehmen unterstützt und immer weniger Abläufe auf herkömmliche Weise erledigt werden. Damit einher geht – leider nicht im selben Tempo – die Spezialisierung der Mitarbeiter für die neue Technologie. Die verfügbare Technik entwickelt sich schneller, als sich der Einzelne diese für seine Arbeit zunutze machen könnte. Es mangelt häufig an einem „Übersetzer“ bzw. einem unabhängigen Dritten, der konkrete Empfehlungen zum Umgang ausspricht und beratend zur Seite steht.

2018 wird ein spannendes Jahr mit vielen Herausforderungen. Für die EU-Datenschutz-Grundverordnung endet am 25. Mai 2018 die Übergangszeit. Ab dann gelten strengere Anforderungen an den Datenschutz beim Umgang mit personenbezogenen Daten, die in der Regel immer anfallen. Danach müssen alle Ärzte, Anwälte und Unternehmen, die personenbezogene Daten über das Netz übertragen den Stand der Technik einhalten. Das heißt z. B. E-Mails müssen verschlüsselt werden. Die persönliche Haftung des Datenschutzbeauftragten bis 300.000 € sieht hier empfindliche Strafen bei Missachtung vor. Auch besteht die Pflicht, ab einer gewissen Betriebsgröße bzw. Schutzbedürftigkeit bei der Verarbeitung von Daten, einen Datenschutzbeauftragten zu ernennen. Dies kann auch eine externe Firma übernehmen.

Die zunehmende Häufigkeit von Hackerangriffen und Spionage wird sich auch 2018 weiter steigern. Kaufabsichten für ein neues Firmengrundstück, Markenanmeldungen oder die Besprechung von Geschäftsideen mit Partnern, erfolgen zu häufig und leichtsinnig im Klartext per E-Mail. Oft ist den Unternehmen nicht bewusst, welche Informationen hier wertvoll bzw. schützenswert sind. Hier kann mit einfachen Mitteln gegengesteuert werden. Ein SSL-Zertifikat für die E-Mail Verschlüsselung ist bereits für weniger als 50,- € pro Jahr erhältlich.

Die GreenIT wird im neuen Jahr ein nachhaltiges Thema. Dies meint den bewussten und effektiven Umgang mit Ressourcen in der IT. Hier kann durch Konsolidierung (mehrere Server/Geräte die einzeln nur 10 % ausgelastet sind, werden auf ein Gerät migriert) oder den Austausch von Geräten mit fehlenden Stromsparfunktionen ganz erheblich Strom eingespart werden.

Der Breitbandausbau ist mit Abstand das Thema mit der größten Wirkung. Durch immer neue Einsatzzwecke steigt der Bandbreitenbedarf für Firmen erheblich. Sei es der Heimarbeitsplatz der Dokumente in der Firma anfordert, die regelmäßige Auslagerung von Datensicherungen in die Cloud oder die zunehmende Videokonferenz mit Kunden und Partnern. Hier ist noch einiges zu tun. Viele Erfindungen und Produkte wurden in den letzten Jahren nur durch mangelnde Breitbandversorgung verzögert, da es noch keinen Weg gab, die große Datenmenge zum Kunden zu transportieren.

Ich bedanke mich für die gute Zusammenarbeit und wünsche Ihnen ein erfolgreiches Jahr 2018, die richtigen Entscheidungen und möge Murphys Law nicht zu oft zuschlagen!

Beste Grüße
Stefan Bauer

https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Datenschutzbeauftragter/
https://de.wikipedia.org/wiki/Murphys_Gesetz

Voncubewerk

Kopano und DKIM – dkim=neutral (body hash did not verify)

Einfache ausgehende E-Mails werden von den Empfängern korrekt verifiziert bzw. als unverändert erkannt.

Senden wir mit Kopano WebApp oder Outlook aktuell jedoch E-Mails an Empfänger, die Zitate von anderen Mails enthalten, wird die DKIM-Signatur als ungültig erkannt.

Ob jetzt hier Kopano oder Postfix der Schuldige ist, wird aktuell vom Support geprüft. Mein Bauchgefühl sagt hier eher Kopano, da es Postfix doch schon etwas länger am Markt gibt.

DKIM somit erstmal wieder deaktiviert.

Voncubewerk

SPF und DKIM mit Univention UCS Server

SPF ist eine Methode um festzulegen, welche Server berechtigt sind, E-Mails für eine bestimmte Domain wie z.B. cubewerk.de zu versenden.

Der Empfänger kann hiermit prüfen, ob die Mail von einem gültigen Absenderserver kommt oder evtl. von einem Spammer verschickt wurde.

Alles was hierzu nötig ist, ist ein passender DNS-Eintrag im DNS-Server – des in der Regel – Providers, über den man mit dem UCS-Server seine ausgehenden Mails relayed. Am Beispiel von Domainfactory sieht unser Eintrag wie folgt aus:

cubewerk.de text = „v=spf1 mx a include:ispgateway.de -all“

Zusätzlich sei auch DKIM erwähnt:

Dies ist eine Methode, um aus dem e-Mail Body sowie Teilen des Headers und einem nur dem Absender bekannten privaten Schlüssel, eine Hashsumme zu bilden und diese an die E-Mail anzuhängen. Empfänger können dann verifizieren, ob die E-Mail wirklich vom Absender stammt und ob diese unter Umständen auf dem Transportweg verändert wurde. Es handelt sich hier nicht um Verschlüsselung. Lediglich eine Verifizierungsmöglichkeit für den Empfänger.

Zur Einrichtung kommt auf Linux-Systemen opendkim-tools zum Einsatz. Bei Univention muss man ein passendes Debian-Repo hinterlegen und kann sich bei der Einrichtung in großen Teilen an die Anleitung von Herr Kofler (siehe Quellen)

Folgendes war jedoch abweichend zu beachten:

Univention arbeitet bei allen Konfigurationen mit Templates. Somit folgende Einstellungen zusätzlich in ‚/etc/univention/templates/files/etc/postfix/main.cf.d/10_general‘ hinterlegen:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

und mit … einlesen:

univention-config-registry commit /etc/postfix/main.cf

Zusätzlich war es abweichend nötig, in der /etc/opendkim.conf die Zeile mit Socket … einzukommentieren.

Die Schlüssel können mit verschiedenen Tools erstellt werden. Das Tool von opendkim hat bei uns nicht funktioniert – stattdessen:

openssl genrsa -out private.key 2048

openssl rsa -in private.key -pubout -out public.key

Der Pubkey muss dann ab in den DNS – jedoch in einer bestimmten Form – ohne Anführungszeichen oder Zeilenumbrüche:

v=DKIM1; k=rsa; p=
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwmsSi6YbyPESxG20F8zA7NeTx40/PaaH6N6N6lI+5IageFUkxFskLBlGeKsbKrb1UN1o1l85kdTnWC1pn3SB+dnaMbhlTqpsY1mZGoxotJxGSnpYmMwfJ3DpJocAxoG55Wu+58rOdbUFkoAUG2RLrzaPp0xzvkTIWPrXHOB/koOeStdHos7QUiliaBdAoupG4fwfHoi2IPJPLzHfynefBykiVGmPUGjJxowJ/bWTbxwkVKGwjIWPfzqvb4R1WrUbLAh4HL//Y+uiadD07u+hOFxAf0DLHJW8E1RrDtb6Sb6hsQTvdU+3Quk6xdm1hRhKqllbP8oTpwGXW91WIZc+awIDAQAB

Verifiziert werden kann dann mit:

http://dkimcore.org/c/keycheck

 

Ausgehende E-Mails „stempelt“ jetzt Postfix brav in der Form:

Dec 4 08:24:02 ucs postfix/smtpd[8023]: connect from unknown[192.168.0.13]
Dec 4 08:24:02 ucs postfix/smtpd[8023]: 4A96A21F2: client=unknown[192.168.0.13]
Dec 4 08:24:02 ucs postfix/cleanup[8026]: 4A96A21F2: message-id=<1kn6gvvepd02.8zha7uf6nao7@intern.cubewerk.local>
Dec 4 08:24:02 ucs opendkim[7284]: 4A96A21F2: DKIM-Signature field added (s=03122017, d=cubewerk.de)
Dec 4 08:24:02 ucs postfix/qmgr[7669]: 4A96A21F2: from=<test@cubewerk.de>, size=148440, nrcpt=2 (queue active)

Und der Empfäger wie hier ein Google-Postfach ist happy:

DKIM: ‚PASS‘ mit Domain cubewerk.de

Quelle:

https://de.wikipedia.org/wiki/Sender_Policy_Framework

https://de.wikipedia.org/wiki/DomainKeys

‚https://kofler.info/dkim-konfiguration-fuer-postfix/‘

Voncubewerk

Kopano WebApp mit S/MIME tuning und Wissenswertes

Was geht was geht nicht?

Durch div. Bugs in der aktuellen stable-Version von kopano-webapp-plugin-smime muss aktuell mindestens pre-final in Version 2.2.0.162+21.1 installiert sein. Vorherige Versionen konnten weder korrekt signieren noch verschlüsseln und zeigten Probleme mit Outlook. Zwingend sollte zusätzlich in ‚/etc/kopano/webapp/config-smime.php‘ eine starke Verschlüsselung hinterlegt werden. Per default ist hier 3DES mit 168bit aktiv.

Mit korrekter Version kann dann sauber mit WebApp signiert und verschlüsselt werden und Outlook meckert auch nicht:

Ein öffentliches SSL-Zertifikat von einer anerkannten Zertifizierungsstelle (CA) versteht sich von selbst.

Zu den „ehemaligen“ und bestehenden Bugs findet sich einiges im Tracker – z.B:

https://jira.kopano.io/browse/KSP-128

Quelle: https://documentation.kopano.io/kopano_changelog/ksp.html