• 08621 - 9 88 30 88

Autor-Archiv cubewerk

Voncubewerk

Spam- und Virenfilterung 2018 mit Postfix, postscreen und amavis-milter – eine Übersicht

Heutiger Anspruch: MX-Server mit zuverlässigem und rechtssichierem Spam- und Virenfilter

Es gibt zu diesem Thema etliche Bücher, gefühlte 100.000 Howtos und annähernd eine Million Fragen bei Google dazu.

Was ich jedoch im Kern vermisse ist eine aktuelle Bestandsaufnahme, was denn sinnvoll ist um Ressourcen zu schonen, es den Spammern so schwer wie möglich zu machen und alle rechtlichen Anforderungen zu erfüllen.

Herausgekommen ist ein interner 2-Tage Workshop bei uns (cubewerk) um das Thema zu durchleuchten. Hier die Fakten:

Wer Mails einmal annimmt, muss sie zustellen
Der Benutzer möchte im Idealfall ein spam- und virenfreies Postfach
Der Admin möchte seine Serverlast schonen und ein Setup so einfach wie möglich
Teure Checks (CPU-Leistung) sind Inhaltsfilterkontrollen wie Spam- oder Virenprüfungen – diese sollen vermieden werden oder nur als letzte Option zum Einsatz kommen.

Als Basis dient uns Postfix mit postscreen. Postscreen ist eine Postfix-Erweiterung um es den Spammern besonders schwer zu machen. Konkret werden Missachtungen des SMTP-Protokolls bestraft und einlieferende Absender können sich eine positive Reputation aufbauen. Zusätzlich kommen Tricks zum Einsatz, welche z.B. spontan die Verbindung trennen, Einlieferer ausbremsen oder falsche Infos streuen, damit der Sender kurzzeitig verwirrt ist. Ein echter Absender versucht es einfach erneut. Der Spammer verliert hier längst die Geduld. Hierdurch lässt sich die Masse der Spam-Mails aus Botnetzen ausbremsen.

Da es viele Methoden gibt um eine E-Mail auf Ham oder Spam abzuklopfen, ist die richtige Reihenfolge entscheidend. Auch hier um eigene Rechenleistung zu schonen. Hier unser empfohlenes Setup: (Reihenfolge von oben nach unten). Jeder Check der scheitert, führt zur Terminierung der SMTP-Verbindung.

Postscreen mit genannten Checks / Tests

Prüfen der Absender-IPs gegen gängige Blacklists (spamhaus, zen usw.)
Prüfung ob Absender im MAIL FROM FQDN verwendet – kein <a> erlaubt sondern nur <a@b.de>
Prüfen ob Empfänger im RCPT TO gültigen FQDN darstellt – kein <stefan> erlaubt sondern nur <stefan@machine.tld>
Prüfen ob Absender im MAIL FROM eine Domain verwendet, die gültige DNS-Einträge besetzt (A,MX)
Prüfen ob Empfänger im RCPT TO gültige Domain verwendet, die gültige DNS-Einträge besitzt (A,MX)

Bis zu diesem Zeitpunkt hat der Absender noch keine Gelegenheit, überhaupt den Body also Mailinhalt zu übermitteln – konnte aber bereits aus vielerlei Gründen abgelehnt worden sein.

Jetzt erfolgt eine Prüfung, ob der Empfänger selbst, überhaupt lokal bzw. auf nachgelagerten Systemen existiert.

Hat es der Absender bis hier geschafft, kann darf er jetzt mit DATA den Body/Inhalt der E-Mail übermitteln. Keine Annahme – nur Übermittlung!

ACHTUNG: Auch bis hier hin, wurde die E-Mail nicht angenommen. Die Verbindung zwischen Sender->Empfänger besteht, die Mail wurde aber noch nicht angenommen.

Jetzt erfolgt eine interne Übergabe der Mail über das Milter-Protokoll an Amavis (amavis-milter).

Hier wird geprüft, ob die E-Mail selbst, nach üblichen Kriterien nach Spam aussieht oder ob ein Anhang virenversucht ist. Zur Erinnerung – der Absender wartet immer noch.

Kommt es hierbei zu Auffälligkeiten, wird die Verbindung erneut einfach terminiert und die E-Mail abgelehnt.

Final – wenn alle Schritte erfolgreich sind, wird dem Absender die Annahme mit einem 250-Statuscode quittiert und die E-Mail zugestellt.

Nachtrag: Milter / Proxies

Es wurde bewusst darauf verzichtet, in Postfix smtpd_proxy_filter zu verwenden. Dies vereinfacht das Setup nicht.

Postfix selbst kann über den amavis-milter einfach ein nachgelagertes Programm aufrufen, bekommt eine Info über den erfolgreichen Check und wertet diesen aus. SPAM/VIREN oder OK.

In setups mit smtpd_proxy_filter muss der nachgelagerte Proxy, die geprüften E-Mails weiterleiten oder zustellen. Dies ist nicht gewollt.

Quellen:

http://www.postfix.org/postconf.5.html#smtpd_milters
https://blog.sys4.de/amavisd-milter-howto-de.html
http://www.postfix.org/POSTSCREEN_README.html
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Antispam/Antispam-Strategien.pdf

Voncubewerk

pfsense OpenVPN-Benutzer feste IP-Adresse zuweisen

Man definiere einen VPN-Server und denke sich ein IPv4 Tunnel-Netzwerk aus. Hier 10.8.0.0/24

Man definiere Netzstruktur -> net30

Man lege fest pro Kunde (Match auf CN des Zertifikats) eine clientspezifische Überschreibung

und setze nur bei Erweiterte Einstellungen -> ifconfig-push 10.8.0.6 10.8.0.5

Jeweils eine /30-Netz.

10.8.0.6 10.8.0.5 (0.6 jeweils Client)

Das nächste also dann 10.8.0.10 10.8.0.9 usw.

Voncubewerk

Otrs Benachrichtigung trägt keinen Absender from: <>

Core::Sendmail

x

muss gesetzt sein. Dann klappt es auch mit dem Agenten.

Update 25.09.18:

Laut Mail RFC kann man das dann schon so machen. Gedacht für auto-reply Mails und bounces um Loops zu vermeiden. Laut Standard muss das auch jeder Mailserver können.

Aus meiner Sicht sollte aber OTRS per Default, nicht mit null-Adresse verschicken.

Voncubewerk

secureTransport E-Mail-Verschlüsselung mit Kopano für Bauträger im Chiemgau

Wir freuen uns sehr, dass wir die German Wohnbau GmbH & Co. KG als regionaler Bauträger im Chiemgau für unsere E-Mail-Verschlüsselung secureTransport in Kombination mit der Kopano Groupware begeistern konnten.

Zum Referenzbericht geht es hier:

https://www.cubewerk.de/wp-content/uploads/2018/09/cubewerk_IT_trostberg_DSGVO_E-Mail_Verschlüsselung_German_Wohnbau_Kopano.pdf

Danke für das spannende Projekt!

Voncubewerk

postfix ignoriert Einträge in alias Datei

Heute hatten wir einen „lustigen“ Fehler. Neue Einträge in die Postfix-Alias Datei wurden nach einem postalias bzw. newaliases umgehend erkannt, aber ein spezieller Eintrag wurde ignoriert.

Postfix-Neustart und Ähnliches brachte keine Änderung.

Beim Restart fiel auf, dass Postfix ein Problem mit der verify_cache DB hatte.

Sep 13 16:42:34 mail01 postfix/verify[22858]: close database /var/lib/postfix/verify_cache.db: No such file or directory (possible Berkeley DB bug)

Ein setzen von address_verify_map = btree:$data_directory/verify_cache_new

in main.cf und neustart von Postfix, hat scheinbar die DB „bereinigt“. Ab dann war der neue alias auch greifbar.

Zum debugging ganz hilfreich:

postmap -vs btree:/var/lib/postfix/verify_cache

Zeigte in unserem Fall auch, dass hier ein völlig veralteter und fauler Eintrag war.

Voncubewerk

Reparatur Digitales Röntgen und Befundarbeitsplatz für Zahnarzt

Wir freuen uns, dass die Zahnarztpraxis Swetla Schlegel in Trostberg eine sehr teure Investition vermeiden konnte, da wir das digitale Röntgengerät und den Befund-PC wieder in Betrieb nehmen konnten.

Lesen Sie dazu den Referenzbericht

Voncubewerk

secureTransport E-Mail-Verschlüsselung bis zum Empfänger

Ab sofort bietet die cubewerk GmbH mit Ihrem Produkt secureTransport eine einfache E-Mail Verschlüsselungslösung für KMUs.

Details dazu finden Sie auf der jeweiligen Produktseite:

DSGVO konforme E-Mail Verschlüsselung

Voncubewerk

Wie sieht ein Hackerangriff per E-Mail als Bewerbung getarnt aus?

Wir suchen aktuell Unterstützung im Büro und haben dies via Facebook angekündigt. Prompt – zwei Tage später – erhielten wir eine E-Mail in folgender Aufmachung:

Ein aussagekräftiges Foto wurde mitgeschickt.  Das Anschreiben ist ebenso fehlerfrei. Via Google Bilder-Rückwärtssuche zeigt sich, dass es sich hier um ein zufällig ausgewähltes Bild handelt – in diesem Fall von einer Studentin aus München, die Ihr Bild bei Linkedin hinterlegt hat. Also richtiges Bild für falsche Person missbraucht.

Der Anhang der Datei heißt

Nadine Bachert – Bewerbungsunterlagen – 29.08.2018.zip

Eine Zip-Datei mit folgendem Inhalt:

Nadine Bachert – Bewerbung – 29.08.2018 – Copy.exe
Nadine Bachert – Bewerbung – 29.08.2018.exe

Hier hat der Hacker entweder irrtümlich oder bewusst, die Datei doppelt abgelegt (Copy).

Durch den englischen Zusatz „Copy‘ lässt sich ableiten, dass der Absender ein nicht deutsches Betriebssystem verwendet oder absichtlich verschleiert hier.

Aktuell erkennen lediglich sehr wenige Virenscanner diese Art trojanisches Pferd. (Stand 28.08.2018 – 11/50).

Analysieren wir die eigentliche e-Mail weiter, können wir noch folgendes erkennen:

Ursprünglich an uns verschickt, wurde sie von der IP-Adresse 212.86.108.85

Received: from [212.86.108.85] (helo=arbeitsmail.com)

diese ist laut Ripe einer Firma ON-LINE DATA LTD auf den Seychellen zugeordnet – vermutlich hier aber auch nur ein Zwischenpunkt, zur Verschleierung.

Vermutlich verwendet wurde als Absendesystem ein Apple-Gerät:

Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2104\))
X-Mailer: Apple Mail (2.2104)

Auch dies kann jedoch eine Nebelkerze sein.

Die E-Mail Domain (arbeitsmail.com) selbst (die vermutlich aber auch nur gefälscht ist) kann einem russischen Anbieter in Novosibirsk zugeordnet werden.

 

Was lernen wir daraus?

Augen auf beim Umgang mit Bewerbungen.

Keine ausführbaren Dateien in Bewerbungen öffnen / anklicken.

Im Zweifel – eigenen IT-Dienstleister um Vorab-Prüfung bitten.

Voncubewerk

Proxmox Mail Gateway 5 Überblick mit DKIM, TLS, pre smtp filtering

Proxmox Mail Gateway (PMG) ist als OpenSource Appliance verfügbar und deshalb kostenlos. Kostenpflichtiger Support ist verfügbar.

Es lassen sich mehrere Knoten zu einem Cluster verbinden. Durch den Einsatz gängiger OpenSource Tools, kann über die Konsole das System ergänzt / erweitert werden.

Die Grundfunktionen von e-Mail Empfang und Zustellung funktionieren damit einwandfrei. Aus meiner Sicht hat PMG jedoch eine konzeptionelle Fehlentscheidungen beim Design gemacht. Zusätzlich fehlen wichtige Funktionen in der grafischen Oberfläche. Hier die Details:

  • keine Viren- oder Spam-Checks im SMTP-Dialog möglich. Mails werden angenommen, geprüft und dann verworfen oder markiert / zugestellt

Dies sorgt für unnötigen Ressourcenverbrauch, man ist – speziell als Provider – haftbar für Mails, die man einmal angenommen hat und dann bei Spam/Viren nicht zustellt und der Absender wiegt sich in Sicherheit, dass seine E-Mail akzeptiert und somit zugestellt wurde. PMG bietet die Möglichkeit, den Absender per E-Mail zu informieren. Hierdurch wird PMG selbst zum Spammer, wenn gefälschte Absenderadressen zum Einsatz kommen und man an diese antwortet.

Gängige Praxis ist hier, Mails noch im SMTP-Dialog zu prüfen und bei Spam/Viren gar nicht erst anzunehmen. Eine erneute Benachrichtigung an den Absender ist nicht nötig – seine E-Mail wird abgelehnt und er erhält von seinem Mailserver die Unzustellbarkeitsmeldung.

  • Keine Erzwingung von TLS möglich – ausgehend wird nur TLS gesprochen, wenn es die Gegenseite unterstützt.

Viele kommerzielle Lösungen bieten hier eine Option, zu bestimmten Empfängern TLS zu erzwingen. Speziell bei der DSGVO ist die in manchen Branchen bzw. bei Kommunikationsbeziehungen zwingend nötig.

  • Keine ausgehenden DKIM-Signaturen möglich

Zum Schutz ausgehender E-Mails vor Manipulation existiert DKIM. Leider aktuell nicht über die GUI nutzbar / aktivierbar.

 

Die dazu von uns gemeldeten bzw. bereits existierenden Bugreports beim Hersteller:

https://bugzilla.proxmox.com/show_bug.cgi?id=1886

Update: 17.09.2018 – Der Entwickler zeigt sich bezüglich Vorab-Prüfung uneinsichtig und markiert den Bug als WONTFIX. Somit scheidet PMG gänzlich für unsere Kunden aus.

https://bugzilla.proxmox.com/show_bug.cgi?id=1887

https://bugzilla.proxmox.com/show_bug.cgi?id=1654

 

Voncubewerk

cubewerk auf IT-Energiemesse im Postsaal am 21.09.18 von 15:00 – 19:00 Uhr

Die Aktionswoche der Nationalen Klimaschutz Initiative (NKI)  des BMU macht am 21.09.18 Station im Postsaal Trostberg.

Die cubewerk GmbH zeigt am Aktionstag stromsparende Clients, Server, Telefonanlagen und Terminal-Server Lösungen sowie Virtualisierungsumgebungen.

Wir freuen uns auf Ihren Besuch am Stand!

Adresse:

Markt Mülleranger 1, 83308 Trostberg

Weitere Details der Stadt Trostberg: https://www.stadt-trostberg.de/000000000001trostberg-file_proxy.l12007.html?f=1&r=71777