• 08621 - 9 88 30 88

Autor-Archiv cubewerk

Voncubewerk

Exchange autodiscovery mit Apple IOS 13 Mailclient

Damit Mailclients die richtigen Exchange-Kontoeinstellungen finden, gibt es AutoDiscovery von Microsoft, was eine XML-Konfigdatei an die Clients ausliefert.

Ein typisches Outlook klappert hier ein paar Methoden ab und ist dann zufrieden.

Primär:

https://<SMTP-address-domain>/autodiscover/autodiscover.xml

https://autodiscover.<smtp-address-domain>/autodiscover/autodiscover.xml

Jetzt muss man hier aber aufpassen, dass jeweils die SSL-Zertifikate auf dem Webserver, welcher die XML-Datei liefert, auch zur Anfrage des Clients passen. Für einen Kunden mit ein oder zwei Domains, kein Problem.

Probleme gibt es bei Hostern mit mehreren Kunden und DNS-Einträgen in der Form:

autodiscover.kundendomain1.de CNAME > discover.hoster.de

In diesem Fall fliegt einem das um die Ohren, da der Client mit autodiscover.kundendomain1.de spricht, der Hoster wohl aber ein SSL-Zertifikat für discover.hoster.de liefert.

Abhilfe schafft hier, discover.hoster.de nur auf HTTP lauschen zu lassen und dann einen Redirect auf eine SSL-Seite mit passendem Zertifikat zu machen.

Damit ist Outlook glücklich, präsentiert eine kurze Info dazu beim Einrichten und das wars.

Seit IOS Version 11, geht die HTTP-Umleitungsmethode nicht mehr mit dem integrierten Mailclient von IOS. IOS erwartet zwingend eine verschlüsselte Verbindung. Nachvollziehbar irgendwo.

Wie sieht ein TCPDUMP aus, bei einem IOS 13-Gerät (Stand April 2020):

15:42:28.131292 IP 192.168.123.81.52101 > 1.1.1.1.53: 26588+ A? kundendomain.de. (35)
15:42:28.133398 IP 192.168.123.81.53263 > 1.1.1.1.53: 30045+ A? autodiscover.kundendomain.de. (48)

IOS frägt hier den A-Record für kundendomain.de und autodiscover.kundendomain ab und läuft dann nach obigem Schema parallel los zu:

https://kundendomain.de/autodiscover/autodiscover.xml

https://autodiscover.kundendomain.de/autodiscover/autodiscover.xml

Wie bekommt man das jetzt als Hoster hin mit vielen Domains? Eigentlich gar nicht, da man für alle Domains die SSL-Zertifikate besitzen müsste.

Randinfo: Die oft erwähnten SRV-Records, sind IOS völlig egal und es erfolgt keine DNS-Anfrage nach diesen.

Quelle: https://docs.microsoft.com/de-de/exchange/architecture/client-access/autodiscover?view=exchserver-2019

Voncubewerk

Neue Besucheranschrift

Ab sofort sind wir in der Schulstraße 14 in Trostberg für Sie erreichbar.

Bitte beachten Sie die neue Anschrift.

Voncubewerk

lessons learned – sudoers wildcard and include

Was haben wir heute gelernt?

Dass am Ende von Befehlen, wenn dann noch optionale Argumente folgen, ein Wildcard-Zeichen stehen muss „*“.

zabbix ALL=NOPASSWD: /usr/sbin/groupware –details *

Und, dass /etc/sudoers mit einem Rautezeichen weitere Dateien inkludiert.

Das Rautezeichen trifft mich schwer, da dies überlicherweise für einen nicht zu beachtenden Kommentar steht:

#includedir /etc/sudoers.d

^^ dies ist also kein Kommentar, sondern die Include-Anweisung

Voncubewerk

cubewerk deaktiviert unsichere TLSv1 und TLSv1.1 Ciphers für secureTransport

Ab sofort akzeptiert und nutzt secureTransport ausschließlich TLSv1.2 oder neuere Ciphers für die Übertragung. Wie alle großen Provider schließt sich cubewerk der Sicherheitsoffensive an und vermeidet abhöranfällige Verfahren bei der Nachrichtenübermittlung.

Voncubewerk

Erreichbarkeit und HomeOffice

Liebe Kunden und Partner,

wir sind weiterhin für Sie da, gesund und arbeiten zum Großteil aus dem HomeOffice. Außendiensttermine werden vorerst bis zur zweiten Aprilwoche, auf ein absolutes Minimum reduziert.

Da sich aktuell für nahezu alle unsere Kunden die Arbeitsplatzsituation ändert, kommt es zu Verzögerungen in der Bereitstellung von angefragten Telearbeitsplätzen, Videokonferenzlösungen und externen Zugängen. Dies bitten wir zu entschuldigen.

Um eine noch effektivere Bearbeitung Ihrer Anfragen zu ermöglichen, bitte wir vorerst um die primäre Kontaktaufnahme per E-Mail.

Vertriebliche Anfragen: vertrieb@cubewerk.de

Technische Anfragen: support@cubewerk.de

Wir sind fest davon überzeugt, dass wir gemeinsam gestärkt aus dieser Situation hervorgehen.

Ich danke Ihnen für Ihr Vertrauen.

Bleiben Sie gesund!

Stefan Bauer (CEO)

Voncubewerk

DNSSEC/TLSA/DANE – Mail aber bitte sicher!

Ab sofort sind alle cubewerk-Domains mit DNSSEC¹ gesichert.

Zusätzlich besitzen alle Mailsysteme TLSA²-Records, so dass es Ihnen möglich ist, die komplette Zertifikatskette zu prüfen.

¹ https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

² https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

Voncubewerk

secureTransport jetzt mit DKIM-Signierung Ihrer E-Mails

secureTransport bietet ab sofort optional die Signierung Ihrer ausgehenden E-Mails mit DKIM.

DKIM ist ein optionaler Standard für Empfänger zur Verifizierung, dass E-Mails wirklich von Ihnen stammen. Speziell durch die DKIM-Signierung Ihrer Mails, landen Ihre E-Mails nicht mehr im Spam/Junk-Ordner der großen Provider, da diese mittel- bis langfristig DKIM-signierte E-Mails fordern.

Sprechen sie uns an!

Voncubewerk

Auf der Lauer mit tcpdump

Typsicher Fall, Netzwerkausfälle bei der SIP-Telefonie, aber niemand weiß warum oder genau wann oder durch was verursacht.

Bestes Hilfsmittel? Natürlich tcpdump.

Jetzt fallen hier aber sehr große Log-Dateien an. Was tun? Automatisch rotieren lassen nach x-Megabyte. Wie sieht der Befehl aus?

tcpdump FILTERAUSDRUCK -C MAX-Größe-bis-zum-Rotieren -w ZIEL-OUTPUTDATEI.PCAP

Macht dann als echten Befehl:

tcpdump port 5060 -C 200M -w sip-debug.pcap

Voncubewerk

1blu ipv6 status 2020

Es ist das Jahr 2020. Weder die 1blu Vserver, noch die 1blu DNS-Server unterstützen IPv6. Traurig.

Voncubewerk

Wie gewinnt der eigene Mailserver Reputation?

Für den E-Mail-Versand ist die eigene Reputation entscheidend. Dies meint, dass die eigene und öffentliche IP-Adresse der eigenen E-Mail-Server, nicht negativ ggü. anderen E-Mail-Servern, in Erscheinung tritt.

Aufgrund unterschiedlichster AntiSpam-Abwehrmethoden und Softwarelösungen nutzt jeder Empfänger andere Methoden. Häufig werden hierzu jedoch u.A. öffentliche Black- und Reputationslisten (RBL) heran gezogen. Bekannte Betreiber sind Sorbs, Barracuda, spamcop und spamhaus.

Zusätzlich pflegen größere Anbieter eigene Listen (Microsoft, T-Online, Apple, Fortinet usw.).

Wird über den eigenen E-Mail-Server zu viel Spam bzw. ungewünschte Inhalte verschickt, kann die eigene IP auf einer Blackliste veröffentlicht werden.

Dies wird in der Regel durch ein pro-aktives Monitoring erkannt (z.B. zabbix mit passenden Templates).


Jetzt ist das richtige und schnelle Verhalten entscheidend. Folgender Ablauf hat sich als erfolgsversprechend in der Praxis erwiesen. Nachfolgende Schritte in der genannten Reihenfolge. Die Reihenfolge ist zwingend erforderlich um Folgeschäden zu vermeiden bzw. wieder einen schnellen Betrieb herzustellen.


Umgehende Deaktivierung des Mailversandes über geblockte IP-Adresse (bei mehreren ausgehenden Mailservern, wird auf dem betroffenen System, temporär der Mailserver angehalten.


Prüfen, in welchen Blacklisten bzw. Sperrlisten oder durch welche Provider, man aktuell gesperrt wurde und welchem Umstand, diese Entscheidung zu Grunde liegt. Als Beispiel sei erwähnt, dass viele Anbieter z.B. von Cyren den AntSpam-Clouddienst nutzen. Der Anbieter selbst, hier also keine Listen pflegt oder reagieren kann.

Jetzt muss heraus gefunden werden, warum es zur jeweiligen Sperrung gekommen ist. Häufig nennen die Empfangsmailserver schon im reject, die jeweilige Information.

Nun muss die Ursache unterbunden werden. Z.b. das virus-verschickende System wird neu-installiert. Oder der Benutzer, der ungeprüfte Newsletter an unbekannte Adressen im großen Stil verschickt, wird darauf angesprochen, dass E-Mails nur an gültige Empfänger zu senden sind.

Jetzt müssen die jeweiligen Wege je nach Anbieter beschritten werden um die eigene IP wieder zu entblocken. Häufig gibt es hier einen Kontakt per E-Mail, oder ein Web-Formular oder ein Kundencenter. In allen Fällen sollte in der Kommunikation darauf hingewiesen werden was das Problem war, dass das Problem erkannt und beseitigt wurde und man höftlich um eine Entsperrung bittet.

Nachfolgend einige URLS/Adressen für die Kontaktaufnahme zum Anbieter sowie Google Keywords, falls sich URLs ändern.


Cyren: https://www.cyren.com/security-center/cyren-ip-reputation-check cyren anti spam blacklist de-listing
Sorbs: http://www.sorbs.net/lookup.shtml sorbs database check
Microsoft https://sender.office.com/ microsoft delisting portal remove ip blacklist
Fortinet: https://fortiguard.com/faq/antispam/blocklist fortiguard anti spam blacklist