• 08621 - 9 88 30 88

Autor-Archiv cubewerk

Voncubewerk

BATV und Probleme der Spamabwehr mit Exchange und MDN / Lesebestätigungen

Heutiger Fall, dass Mails unserer Kunden bei Reddox Mail-Gateways abgewiesen werden mit:

dsn=5.0.0, status=bounced (host ….] said: 550 Recipient not accepted. (BATV: no tag) (in reply to RCPT TO command))

Was ist passiert?

Der ursprüngliche Absender nutzt mit seinem Reddox-Spam-Gateway, BATV zur Bounceabwehr. Hier erhält jede ausgehende Mail folgenden Header:

Return-Path: <prvs=1901156906=absender@senderdomain.de>

Die Zahl ist ein individueller Code. Erhält das Reddox-Mailgateway eine Bounce-Mail eines fremden Servers, wird bei BATV erwartet, dass jede Mail an eine mit prvs=…. und Code hinterlegte Adresse zurück geschickt wird.

Trägt eine Mail keinen Code, geht Reddox/BATV davon aus, dass diese Mail nicht ursprünglich von diesem System verschickt wurde.

Dies hat jedoch zwei Desigsn-Schwächen:

Fordert der Absender beim Versand eine Lesebestätigung an vom Empfänger, ergänzt dieser dazu den Mailheader um:

Disposition-Notification-To: Ursprünglicher Absender <absender@senderdomain.de>

Jetzt sieht man hier schon das Problem. Bei Bounces muss der Absender immer <> – also leer sein um ein Ping-Pong von Bounces zu vermeiden. Der Empfänger der die Lesebestätigung beantwortet, schickt also folgende Nachricht los:

from=<>

to=

absender@senderdomain.de

Jetzt prüft der Empfänger ob die Mail einen prvs Code enthält, findet ihn nicht und lehnt die Mail ab.

Aus meiner Sicht gibt es bessere Methoden zur Bounce-Abwehr. Speziell weil in o.g. Fall, der Sender seine eigene angeforderte Lesebestätigung, durch den Design-Fehler von BATV, selbst ablehnt, wenn er eintrifft.

Voncubewerk

Netzwerkanmeldung – pre-logon an Domäne geht nicht mit User- oder Maschinenzertifikaten

Wie auch, am Anmeldeschirm weiß der PC noch nicht, welcher User überhaupt greifen soll.

Beim Maschinenzertifikat wird das Logon-Icon ebenso nicht angezeigt.

Voncubewerk

Fehler 798: Es konnte kein Zertifikat gefunden werden

Evtl. spuckt der TPM-Chip oder Virtualisierung im Bios des PCs dazwischen. So gesehen heute. Im Bios TPM, VTD,VTX und Virtualisierung deaktivieren. Dann gings bei uns.

Siehe:

https://social.technet.microsoft.com/Forums/de-DE/870fa799-1b1c-49c1-80de-08a019c36c57/fehler-798-es-konnte-kein-zertifikat-gefunden-werden-eap-nach-dem-sperren-des-pcs?forum=win10itprogeneralDE

Voncubewerk

pfsense dyndns ip update not working

The dyndns-module in pfsense has to ways to detect an public ip-change. Either the WAN-interface goes down/up OR a cron-job runs.

By default if your wan-interface is behind a router ans has a private ip address, the interface is never put down.

So you can only rely on the daily cronjob.

11***root/usr/bin/nice -n20 /etc/rc.dyndns.update

So it is running everyday at 1:01 at night.

If your public ip changes – lets say at 3 o clock, the cronjob is not quite helpful.

Please keep in mind, that running the cronjob too often will most likely get you blocked by your dyndns-provider.

Either make sure that the cron-job runs AFTER your daily ISP-disconnect (that can usuall be scheduled e.g. in fritzbox) or only run in every hour.

Cronjobs in pfsense can be edited by installing the cron-package via package-manager. Then you will find all cronjobs via Service -> cron.

Voncubewerk

shadow_copy2, Windows-Schattenkopien mit Univention/UCS/Linux abbilden

Wir liefern ab Version 5 von UCS alle Kundeninstallationen mit der Schattenkopienoption aus. Wenn dies auch für Ihr Unternehmen interessant ist, freuen wir uns über Ihren Anruf.

Voncubewerk

Lets-Encrypt Zertifikatsablauf ab 29.09.21 – DST Root CA X3 und ISRG Root CA – Howto – Was ist zu tun?

Lets-Encrypt unterschreibt alle ausgestellten SSL-Zertifikate seit Jahren gleichzeitig durch 2 unterschiedliche Zertifizierungsstellen. Einmal mit ihrer eigenen ISRG Root CA und einmal mit der jetzt auslaufenden DST Root CA X3.

Beiden Zertifizierungsstellen trauen die Browser gleichermaßen (bis auf wenige alte Endgeräte). Man findet beide CAs z.B. im Firefox:


Was passiert nach dem 29. September 2021 und wie lässt sich dies vorab testen?

Markier dazu die DST Root CA im Browser (Einstellungen -> Zertifikate) und entferne die Vertrauenswürdigkeit.

Ab dann siehst du im Browser, dass dieser automatisch auf ISRG Root X1 umspringt.

Voncubewerk

Upgrade 3CX Version 16 zu 18 – Wissenswertes, Hinweise, Probleme

Sehr geehrte Damen und Herren,

der Hersteller Ihrer 3CX-Telefonanlage hat vor wenigen Tagen eine völlig neue Produktversion (v.18) veröffentlicht. Durch Ihre bestehende Anlagenlizenz wird Ihnen die neue Version kostenlos in Ihrer 3CX-Telefonalage zur Umstellung angeboten – jedoch nicht automatisch installiert.

Da jedes Major-Upgrade mit größeren Veränderungen verbunden ist, haben wir Ihnen hierzu die wichtigsten Fragen & Antworten zusammengestellt.

Muss ich auf Version 18 umsteigen?

Eine Umstellung ist nicht verpflichtend. Für Ihre derzeitige Version 16 stellt der Hersteller jedoch ab sofort keine Sicherheitsupdates mehr zur Verfügung. Nutzen Sie Ihre Telefonanlage mit externen Nebenstellen oder mobilen Endgeräten außerhalb der Firma, ist Ihre Anlage u.U. gefährdet, sollten neue Sicherheitslücken entdeckt werden. Zusätzlich ist es möglich, dass Ihr Telefonanbieter langfristig nur jeweils die letzte/neueste Produktversion unterstützt. Hierzu liegen uns jedoch noch keine Informationen der großen Anbieter vor.

Welche Vorteile haben die Umstellung auf Version 18?

Aufgrund der extrem großen Anzahl von Änderungen, finden Sie die wesentlichen Änderungen unter folgender Adresse:
https://www.3cx.de/blog/v18-final/

Was ändert sich durch die Umstellung für mich?

Auf Ihrer Telefonanlage wird die alte Software deinstalliert und durch die Version 18 ersetzt. Anschließend werden die vorhandenen Einstellungen übertragen.
An Ihren Endgeräten (mobile Endgeräte/Tablets) steht eine neue Version der App zur Verfügung.
Der Windows/Mac-Client wird aktualisiert bzw. steht in neuerer Version zur Verfügung.

Sind meine Telefone & Endgeräte mit Version 18 kompatibel?

Wir haben die letzten Wochen sehr umfangreiche Tests mit den Telefonen von Yealink, Snom und Fanvil vorgenommen sowie die üblichen Telefon- und Konferenzfunktionen getestet und konnten keine nennenswerten Einschränkungen feststellen.

Dies schließt jedoch nicht aus, dass bei einer Umstellung bei Ihnen, kostenpflichtige Nacharbeiten nötig sind. Dies könnte die erneute Tastenprogrammierung von Telefonen, die erneute Einbindung von Endgeräten oder das Besprechen von Ansagen sein. Jede Telefonanlage besitzt eine individuelle Programmierung und Anruferführung und jede Nebenstelle bzw. jeder Mitarbeiter hat individuelle Einstellungen hinterlegt. Trotz intensiver Tests kann es hierbei zu Nacharbeiten kommen.
Auch ist nicht ausgeschlossen, dass es zu dauerhaften Einschränkungen beim Einsatz von analogen Endgeräten kommt (z. B. Türsprechanlagen, Papierfaxgeräte).

Eine Liste von unterstützten Endgeräten finden Sie hier: https://www.3cx.de/sip-phones/

Funktioniert Telefon XYZ oder die Funktion ABC nach der Umstellung noch?

Bitte verstehen Sie, dass wir zu individuellen Konfigurationen vorab keine pauschalen Aussage treffen können. Aufgrund der einfachen Möglichkeit, die Telefonanlage bei gravierenden Problemen mit Version 18, wieder auf die Vorgängerversion zurück zu setzen, wären größere Vorab-Tests unwirtschaftlich.

Was kostet die Umstellung auf 3CX Version 18?

Die letzten Wochen haben gezeigt, dass eine Umstellung inkl. vorheriger Datensicherung, Anpassung & Konfiguration sowie Datenübernahme und Kontrolle, in wenigen Stunden erledigt ist. Sollte es zu nötigen Nacharbeiten kommen, erhöht dies den Aufwand.

Kann ich die Umstellung selbst durchführen?

Die Umstellung kann auch selbst durchgeführt werden. Die Umstellung erfolgt über die 3CX-Verwaltungskonsole. Bitte beachten Sie, dass wir jedoch im Falle einer Umstellung durch Sie, nicht sofort reagieren können, falls es zu Problemen mit der Anlage kommt, weshalb von der selbstständigen Aktualisierung abzuraten ist.

Wie bestelle ich die Umstellung auf die neue Produktversion?

Nehmen Sie hierzu bitte Kontakt zu uns auf.

Voncubewerk

Windows 11 kommt – Wissenswertes & Updatemöglichkeiten – wichtige Kundeninformation

Sehr geehrte Damen und Herren,
Liebe Kunden und Partner,


laut inoffizieller Information von Microsoft, steht das neue Betriebssystem Ende Oktober 2021 zur Verfügung. Damit Sie die Umstellung besser planen können, haben wir Ihnen die wichtigsten Fragen & Antworten zusammengestellt.


Kann ich kostenlos von Windows 10 auf 11 aktualisieren?

Ja. Laut vorläufiger Erklärung von Microsoft wird ab Ende 2021, das Update stückweise für alle Kunden zur Verfügung gestellt.


Ist mein PC noch geeignet für Windows 11?

Generell erhöhen sich mit jeder neuen Version die offiziellen Systemanforderungen. So erfordert Windows 11 zusätzliche Sicherheitsfunktionen des darunterliegenden Computers (UEFI/TPM) und aktuellere Grafikkarten. Als Faustformel gilt, dass Windows 11 für flüssiges Arbeiten mindestens einen Dual-Core Prozessor mit 8GB (8192MB) Arbeitsspeicher und DirectX12 Grafikkarte benötigt.

Wie prüfe ich die Leistung meines PCs?

Drücken Sie auf Ihrer Tastatur die Windows-Taste in Kombination mit der R-Taste
Geben Sie in das Feld den Befehl ‚dxdiag‘ ein

Verneinen Sie eine eventuelle Rückfrage und vergleichen im anschließenden Fenster, die Parameter Prozessor, Speicher und DirectX-Version mit obigen Anforderungen.


Muss ich auf Windows 11 aktualisieren?

Microsoft zwingt Sie nicht zur Aktualisierung. Bis voraussichtlich Oktober 2025 wird Microsoft das bestehende Windows 10 mit Updates versorgen.
Dennoch werden Neugeräte mittelfristig ausschließlich mit Windows 11 lieferbar sein und Softwarelieferanten voraussichtlich vor dem offiziellen Supportende von Microsoft, die Unterstützung von Windows 10 einstellen.


Welche Vorteile bringen mir Windows 11?

Windows 11 legt noch größeren Wert auf IT-Sicherheit. Hierzu werden Sicherheitsmodule des Computers noch intensiver eingebunden und alte Komponenten entfernt. Hierzu gehört z.B. der angestaubte Internet-Explorer. Optisch hat sich die Windows-Bedienoberfläche vereinfacht und wirkt aufgeräumter. Microsoft hat ebenso einen Weg gefunden, die Größe der regelmäßigen Updates um bis zu 40% zu reduzieren. Dies heißt, dass der PC weniger lange durch Updates blockiert ist, finden diese z.B. zu ungünstigen Zeiten statt.


Benötige ich einen neuen Windows Server für Windows 11?

Die Mindestanforderungen sind Windows Server 2012 oder neuer. Hier hat sich zu Windows 10 nichts geändert. Dennoch empfiehlt sich jeweils der neueste Windows-Server, um Gruppenrichtlinien und Sicherheitseinstellungen auf aktuellem Stand zu halten bzw. zu verwalten.


Ich benötige noch in diesem Jahr neue PCs. Sollte ich besser auf die Veröffentlichung von Windows 11 warten?

Durch die baldige Veröffentlichung von Windows 11, sind die Preise für Windows 10 PCs derzeit reduziert. Da nahezu jedes Windows 10 mit überschaubarem Aufwand auf ein Windows 11 aktualisiert werden kann, spricht wenig für das Abwarten auf Windows 11. Da die erste Windows 11 Version in der Regel mehrere Wochen benötigt, bis diese mit dem ersten großen Update (voraussichtlich Q1/22) versorgt wird – welches die üblichen Fehler ausbessert – sollte ein voreiliger Umstieg auf Windows 11 vermieden werden.

Voncubewerk

OTRS ist EOL (end of life) Migration zu Znuny Support Dienstleistung

OTRS hat zum Jahreswechsel verlauten lassen, dass das O im Namen nicht mehr gilt. Das O stand für Open(source).

Wer jetzt noch eine alte OTRS 5 oder OTRS 6 Installation besitzt muss umgehend handelt – es gibt eine ungesicherte Remote-Code-Lücke in Form einer manipulierten E-Mail.

Wenn Sie nach einem Dienstleister suchen, der Sie bei der Migration unterstützt, freuen wir uns über Ihren Anruf oder Mail.

Mit Znuny erhalten Sie bis Ende 2022 Sicherheitsupdates und vermutlich auch zeitnah neue Features.

Znuny ist OpenSource und kann als Fork/Nachfolger von OTRS betrachtet werden.

Voncubewerk

UCS Kerberos {K5KEY} Authentifizierung – keine Kennwörter bzw. fehlende Synchronisation

Benutzerkennwörter werden generell im LDAP-Attribut userPassword gespeichert.

Jetzt gibt es aber – je nachdem welcher Client das Kennwort ändert einen Marker im LDAP, der den LDAP-Client anweist, dass dieser doch bitte sich ein Kerberos-Ticket organisieren soll.

root@ucs0:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e0s1S0VZfQ==

root@ucs0:~# echo „e0s1S0VZfQ==“ | base64 -d
{K5KEY}

Dies ist besagter Marker.

Setzt man das Kennwort über die UCS-Gui, wird dann zwar der Marker entfernt

root@adm-ucs0:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e2NyeXB0fSQ2JEpobE……….

Über den AD-Connector bzw. die Synchronisation zu Mitgliedsservern jedoch, landet in deren LDAP, doch nur wieder der Marker.

root@kopano01:~# univention-ldapsearch uid=mmustermann | grep userPassword
userPassword:: e0s1S0VZfQ==