• 08621 - 9 88 30 88

Kategorien-Archiv Blog

Voncubewerk

Was Sie und Ihre IT im Jahr 2018 erwartet – ein kritischer Ausblick

Sehr geehrte Damen und Herren,
liebe Kunden und Partner,

ein Sprichwort sagt frei übersetzt:

Heute ist jedes Unternehmen eine IT-Firma – nur mit anderem Fachgebiet.

Dieser Satz belegt eindrucksvoll, dass die IT in naher Zukunft jeden Prozess im Unternehmen unterstützt und immer weniger Abläufe auf herkömmliche Weise erledigt werden. Damit einher geht – leider nicht im selben Tempo – die Spezialisierung der Mitarbeiter für die neue Technologie. Die verfügbare Technik entwickelt sich schneller, als sich der Einzelne diese für seine Arbeit zunutze machen könnte. Es mangelt häufig an einem „Übersetzer“ bzw. einem unabhängigen Dritten, der konkrete Empfehlungen zum Umgang ausspricht und beratend zur Seite steht.

2018 wird ein spannendes Jahr mit vielen Herausforderungen. Für die EU-Datenschutz-Grundverordnung endet am 25. Mai 2018 die Übergangszeit. Ab dann gelten strengere Anforderungen an den Datenschutz beim Umgang mit personenbezogenen Daten, die in der Regel immer anfallen. Danach müssen alle Ärzte, Anwälte und Unternehmen, die personenbezogene Daten über das Netz übertragen den Stand der Technik einhalten. Das heißt z. B. E-Mails müssen verschlüsselt werden. Die persönliche Haftung des Datenschutzbeauftragten bis 300.000 € sieht hier empfindliche Strafen bei Missachtung vor. Auch besteht die Pflicht, ab einer gewissen Betriebsgröße bzw. Schutzbedürftigkeit bei der Verarbeitung von Daten, einen Datenschutzbeauftragten zu ernennen. Dies kann auch eine externe Firma übernehmen.

Die zunehmende Häufigkeit von Hackerangriffen und Spionage wird sich auch 2018 weiter steigern. Kaufabsichten für ein neues Firmengrundstück, Markenanmeldungen oder die Besprechung von Geschäftsideen mit Partnern, erfolgen zu häufig und leichtsinnig im Klartext per E-Mail. Oft ist den Unternehmen nicht bewusst, welche Informationen hier wertvoll bzw. schützenswert sind. Hier kann mit einfachen Mitteln gegengesteuert werden. Ein SSL-Zertifikat für die E-Mail Verschlüsselung ist bereits für weniger als 50,- € pro Jahr erhältlich.

Die GreenIT wird im neuen Jahr ein nachhaltiges Thema. Dies meint den bewussten und effektiven Umgang mit Ressourcen in der IT. Hier kann durch Konsolidierung (mehrere Server/Geräte die einzeln nur 10 % ausgelastet sind, werden auf ein Gerät migriert) oder den Austausch von Geräten mit fehlenden Stromsparfunktionen ganz erheblich Strom eingespart werden.

Der Breitbandausbau ist mit Abstand das Thema mit der größten Wirkung. Durch immer neue Einsatzzwecke steigt der Bandbreitenbedarf für Firmen erheblich. Sei es der Heimarbeitsplatz der Dokumente in der Firma anfordert, die regelmäßige Auslagerung von Datensicherungen in die Cloud oder die zunehmende Videokonferenz mit Kunden und Partnern. Hier ist noch einiges zu tun. Viele Erfindungen und Produkte wurden in den letzten Jahren nur durch mangelnde Breitbandversorgung verzögert, da es noch keinen Weg gab, die große Datenmenge zum Kunden zu transportieren.

Ich bedanke mich für die gute Zusammenarbeit und wünsche Ihnen ein erfolgreiches Jahr 2018, die richtigen Entscheidungen und möge Murphys Law nicht zu oft zuschlagen!

Beste Grüße
Stefan Bauer

https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Datenschutzbeauftragter/
https://de.wikipedia.org/wiki/Murphys_Gesetz

Voncubewerk

Kopano und DKIM – dkim=neutral (body hash did not verify)

Einfache ausgehende E-Mails werden von den Empfängern korrekt verifiziert bzw. als unverändert erkannt.

Senden wir mit Kopano WebApp oder Outlook aktuell jedoch E-Mails an Empfänger, die Zitate von anderen Mails enthalten, wird die DKIM-Signatur als ungültig erkannt.

Ob jetzt hier Kopano oder Postfix der Schuldige ist, wird aktuell vom Support geprüft. Mein Bauchgefühl sagt hier eher Kopano, da es Postfix doch schon etwas länger am Markt gibt.

DKIM somit erstmal wieder deaktiviert.

Voncubewerk

SPF und DKIM mit Univention UCS Server

SPF ist eine Methode um festzulegen, welche Server berechtigt sind, E-Mails für eine bestimmte Domain wie z.B. cubewerk.de zu versenden.

Der Empfänger kann hiermit prüfen, ob die Mail von einem gültigen Absenderserver kommt oder evtl. von einem Spammer verschickt wurde.

Alles was hierzu nötig ist, ist ein passender DNS-Eintrag im DNS-Server – des in der Regel – Providers, über den man mit dem UCS-Server seine ausgehenden Mails relayed. Am Beispiel von Domainfactory sieht unser Eintrag wie folgt aus:

cubewerk.de text = „v=spf1 mx a include:ispgateway.de -all“

Zusätzlich sei auch DKIM erwähnt:

Dies ist eine Methode, um aus dem e-Mail Body sowie Teilen des Headers und einem nur dem Absender bekannten privaten Schlüssel, eine Hashsumme zu bilden und diese an die E-Mail anzuhängen. Empfänger können dann verifizieren, ob die E-Mail wirklich vom Absender stammt und ob diese unter Umständen auf dem Transportweg verändert wurde. Es handelt sich hier nicht um Verschlüsselung. Lediglich eine Verifizierungsmöglichkeit für den Empfänger.

Zur Einrichtung kommt auf Linux-Systemen opendkim-tools zum Einsatz. Bei Univention muss man ein passendes Debian-Repo hinterlegen und kann sich bei der Einrichtung in großen Teilen an die Anleitung von Herr Kofler (siehe Quellen)

Folgendes war jedoch abweichend zu beachten:

Univention arbeitet bei allen Konfigurationen mit Templates. Somit folgende Einstellungen zusätzlich in ‚/etc/univention/templates/files/etc/postfix/main.cf.d/10_general‘ hinterlegen:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

und mit … einlesen:

univention-config-registry commit /etc/postfix/main.cf

Zusätzlich war es abweichend nötig, in der /etc/opendkim.conf die Zeile mit Socket … einzukommentieren.

Die Schlüssel können mit verschiedenen Tools erstellt werden. Das Tool von opendkim hat bei uns nicht funktioniert – stattdessen:

openssl genrsa -out private.key 2048

openssl rsa -in private.key -pubout -out public.key

Der Pubkey muss dann ab in den DNS – jedoch in einer bestimmten Form – ohne Anführungszeichen oder Zeilenumbrüche:

v=DKIM1; k=rsa; p=
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwmsSi6YbyPESxG20F8zA7NeTx40/PaaH6N6N6lI+5IageFUkxFskLBlGeKsbKrb1UN1o1l85kdTnWC1pn3SB+dnaMbhlTqpsY1mZGoxotJxGSnpYmMwfJ3DpJocAxoG55Wu+58rOdbUFkoAUG2RLrzaPp0xzvkTIWPrXHOB/koOeStdHos7QUiliaBdAoupG4fwfHoi2IPJPLzHfynefBykiVGmPUGjJxowJ/bWTbxwkVKGwjIWPfzqvb4R1WrUbLAh4HL//Y+uiadD07u+hOFxAf0DLHJW8E1RrDtb6Sb6hsQTvdU+3Quk6xdm1hRhKqllbP8oTpwGXW91WIZc+awIDAQAB

Verifiziert werden kann dann mit:

http://dkimcore.org/c/keycheck

 

Ausgehende E-Mails „stempelt“ jetzt Postfix brav in der Form:

Dec 4 08:24:02 ucs postfix/smtpd[8023]: connect from unknown[192.168.0.13]
Dec 4 08:24:02 ucs postfix/smtpd[8023]: 4A96A21F2: client=unknown[192.168.0.13]
Dec 4 08:24:02 ucs postfix/cleanup[8026]: 4A96A21F2: message-id=<1kn6gvvepd02.8zha7uf6nao7@intern.cubewerk.local>
Dec 4 08:24:02 ucs opendkim[7284]: 4A96A21F2: DKIM-Signature field added (s=03122017, d=cubewerk.de)
Dec 4 08:24:02 ucs postfix/qmgr[7669]: 4A96A21F2: from=<test@cubewerk.de>, size=148440, nrcpt=2 (queue active)

Und der Empfäger wie hier ein Google-Postfach ist happy:

DKIM: ‚PASS‘ mit Domain cubewerk.de

Quelle:

https://de.wikipedia.org/wiki/Sender_Policy_Framework

https://de.wikipedia.org/wiki/DomainKeys

‚https://kofler.info/dkim-konfiguration-fuer-postfix/‘

Voncubewerk

Kopano WebApp mit S/MIME tuning und Wissenswertes

Was geht was geht nicht?

Durch div. Bugs in der aktuellen stable-Version von kopano-webapp-plugin-smime muss aktuell mindestens pre-final in Version 2.2.0.162+21.1 installiert sein. Vorherige Versionen konnten weder korrekt signieren noch verschlüsseln und zeigten Probleme mit Outlook. Zwingend sollte zusätzlich in ‚/etc/kopano/webapp/config-smime.php‘ eine starke Verschlüsselung hinterlegt werden. Per default ist hier 3DES mit 168bit aktiv.

Mit korrekter Version kann dann sauber mit WebApp signiert und verschlüsselt werden und Outlook meckert auch nicht:

Ein öffentliches SSL-Zertifikat von einer anerkannten Zertifizierungsstelle (CA) versteht sich von selbst.

Zu den „ehemaligen“ und bestehenden Bugs findet sich einiges im Tracker – z.B:

https://jira.kopano.io/browse/KSP-128

Quelle: https://documentation.kopano.io/kopano_changelog/ksp.html

Voncubewerk

3CX Telefonanlage für Ritter Optik GmbH Traunreut

Wir freuen uns über ein weiteres abgeschlossenes Projekt für die Ritter Optik GmbH in Traunreut. Lesen Sie den Projektbericht dazu jetzt hier:

https://www.cubewerk.de/wp-content/uploads/2017/11/cubewerk_trostberg_IT_3CX_Upgrade_Ritter_Optik_Traunreut.pdf

Voncubewerk

ipfire transparenter Proxy Unterschied / Erklärung

IPFire und viele andere Firewall-Appliance nutzen als Proxy Squid. Dieser wird standardmäßig entweder im Client/Browser manuell konfiguriert oder holt sich per DHCP/DNS WPAD seine Einstellungen.

In IPFire lässt sich zusätzlich ein transparenter Proxy aktivieren. Dies meint, dass völlig ohne Konfiguration am Client, der Verkehr über den Proxy geleitet wird. Da der Proxy bzw. die Firewall ohne MITM jedoch nicht in verschlüsselten Verkehr schauen kann (HTTPS), wurde dies lange Zeit über die Connect-Methode ungesehen nur „durchgeschleift“. Da dies ein Sicherheitsrisiko darstellt, wurde dies ab Core Version 90 in IPFire unterbunden. Das heißt, der transparente Proxy-Modus funktioniert nur mit Klartext-Verkehr.

Sinnvoll ist somit die Kombination von Google Safe-Search um bereits auf DNS-Ebene eine Filterung vorzunehmen sowie die Konfiguration der Clients per DNS WPAD.

Voncubewerk

Firefox ignoriert WPAD per DHCP – Option 252

Heute bei einem Kunden festgestellt ,dass Firefox in sämtlichen Versionen zwar einen HTTP GET-Request auf die WPAD-Datei macht, die per DHCP Option 252 wpad zugeteilt wird, jedoch diese nicht verarbeitet.

Trägt man die Datei manuell im Firefox ein, wird sie sofort verarbeitet.

Es scheint, dass Firefox nur WPAD per DNS unterstützt. Für IPFire wäre dies wie folgt umzusetzen:

mkdir /srv/web/ipfire/wpad
/etc/httpd/conf/vhosts.d/wpad.conf erstellen mit folgendem Inhalt:

Listen 80
<VirtualHost *:80>
DocumentRoot „/srv/web/ipfire/wpad“
ServerName wpad.[hier-domainname-ersetzen-intern]
Alias /wpad.dat /srv/web/ipfire/html/proxy.pac
Alias /proxy.pac /srv/web/ipfire/html/proxy.pac
</VirtualHost>

ln -s /srv/web/ipfire/html/proxy.pac /srv/web/ipfire/wpad/proxy.pac

ln -s /srv/web/ipfire/html/proxy.pac /srv/web/ipfire/wpad/wpad.dat

/etc/init.d/apache restart

Abschließend in der IPFire-Gui unter Netzwerk -> HOSTs bearbeiten folgendes hinterlegen:

Host IP-Adresse IP-von-IPFire-selbst
Hostname: wpad

Quelle:

https://wiki.ipfire.org/configuration/network/proxy/extend/add_distri

https://www.gfi.com/support/products/KBID003669

Common WPAD Issues

Voncubewerk

Outlook 2016 KOE Kopano – Buttons ausgegraut – Shared Folder

Sind die Buttons in Outlook 2013/2016 ausgegraut, muss in der eigenen Ordnerleiste erst ein Ordner ausgewählt werden, der diese Funktion unterstützt.

Z.B. die Kontakte oder der Posteingang. Ab dann erscheinen auch die Knöpfe anklickbar.

Voncubewerk

systemd unit file für java anwendung mit umgebungsvariablen

Systemd-Unit welche in einem speziellen Verzeichnis eine Java-Anwendung ausführt und dazu Umgebungsvariablen nutzt:

[Unit]
Description=Demoanwendung

[Service]
Type=simple
WorkingDirectory=/home/produkte/test
ExecStart=/usr/bin/java ${ZERT} -classpath ${LIB_JARS}:${TEST_JAR}:${RESOURCES} de.cwtp.test.testScheduler
User=held
Environment=JAVA_HOME=/usr/bin/
Environment=LIB_JARS=lib/*
Environment=TEST_JAR=target/test-3.0.jar
Environment=RESOURCES=/home/produkte/test/conf
Environment=’ZERT=-Djavax.net.ssl.keyStore=/home/produkte/test/zertifikat/test1.p12 -Djavax.net.ssl.keyStorePassword=jawoll -Djavax.net.ssl.keyStoreType=pkcs12′

[Install]
WantedBy=multi-user.target

Voncubewerk

HP Plotter T610 / 500Plus – Windows Server 2016

Obige Drucker lassen sich mit den nötigen Einstellungen reibungslos in Betrieb nehmen. Jedoch gibt es bei manchen Anwendungen wie z.B. Adobe Acrobat Druckprobleme in der Form:

Funktionsadresse 0x5e7286cc hat eine Schutzverletzung verursacht. Die Eigenschaften werden möglicherweise nicht angezeigt.

Dies lässt sich mit den nötigen Spooling-Einstellungen sowie der richtigen Kombination mit HP-Treibern lösen. Sprechen Sie uns an.