GHOST Sicherheitslücke (CVE-2015-0235) – Linux Systeme (und natürlich Mailserver) schnellstmöglich patchen

Am 27.01.2015 wurde eine neue Sicherheitslücke der GLIBC mit dem Namen “GHOST” bekannt:

– https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
– https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

Die Sicherheitslücke selbst ist ziemlich alt. Betroffen sind zahlreiche Linux Systeme. Nach Informationen von heise.de sind der Mailserver Exim, und auch der Mailserver procmail betroffen. Der Fehler liegt in der Funktion gethostbyname().

Unser Mailserver-Produkt AXIGEN ist nicht betroffen, wie wir analysiert haben.

Nachdem jedoch auch weitere Programme und Dienste auf dem Server betroffen sein können, empfehlen wir dennoch die Systeme schnelstmöglich über die Paketverwaltung zu aktualisieren.

Benimmregeln für E-Mails am Beispiel von Coca Cola

Im Geschäftsalltag sind E-Mails mit Sicherheit das Kommunikationsmittel Nr.1 – doch auch wie im restlichen Leben, sollte es Benimmregeln für E-Mails geben. Eine Art Knigge für E-Mails.

Ein interessanter Beitrag zeigt, wie es Coca Cola handhabt: http://qz.com/320112/heres-the-genius-way-coca-cola-employees-manage-their-email/

Ein Tipp von Coca Cola besagt z.B.:

Versende keine E-Mails am Wochenende. Vor allem nicht als Führungskraft. Lass Deine Mitarbeiter in Ruhe. Wenn man am Wochenende arbeitet, OK. Aber alle anderen, die nicht am Wochenende arbeiten möchten auch keine Mails erhalten (dank Smartphone und Co. nicht so einfach). Daher lieber am Wochenende vorbereiten und Montag direkt am Morgen versenden. Dringliche Sachen und wenn man den anderen mit Sicherheit erreicht, sind davon natürlich ausgenommen. Das sorgt für Erholung der Anderen.

Ein Tipp, den wir bei uns im Unternehmen umsetzen werden!

Abschaltung der DNS-Blacklist AHBL und die Folgen

Die DNS-Blacklist AHBL (Abusive Hosts Blocking List) stellte bereits zum Jahreswechsel ihre Dienste ein. Das wurde bereits im März 2014 angekündigt. Das hatten entweder einige nicht mitbekommen oder vergessen.

Die Blacklist existiert zwar weiter, markiert jedoch ALLE E-Mails seit Jahreswechsel als Treffer, also als Spammer und damit geblockt.

Gestern, am 07.01.2015 kam es zu zahlreichen Problemen, da viele Dienste noch diese Blacklist eingebunden hatten. Dies führte zu zahlreichen abgelehnten Mails, die nicht zugestellt werden konnten.

Leider gab es auch einige versteckte Nutzungen der Liste (als Sammel oder Fallback-Score), sodass es nicht immer einfach ist, herauszufinden, ob die Liste verwendet wird oder nicht.

Das Verhalten der AHBL ist schwer nachzuvollziehen, denn letztlich wurde eine Massenwelle ausgelöst. Eine einfache Abschaltung wäre besser gewesen.

So wurden nämlich genau die Falschen bestraft: Mails gehen an einen Server, der noch die Blacklist (ggf. auch unbewusst) verwendet. Der Absender erhält eine Warung zurück, dass sich sein Mailserver auf der Liste befindet und informiert seine eigene IT. Diese sucht dann ggf. verzweifelt, warum man auf der Blacklist sei und ob die eigene Infrastruktur betroffen ist. Ist sie natürlich nicht.

Stattdessen wird großer Aufwand (und ggf. weitere Probleme) produziert, der nicht hätte sein müssen.

Daher muss jeder Admin nun prüfen, ob er (oder eine Sub-Dienst) diese Liste noch einsetzt und unbedingt aus der Verwendung entfernen. Diese Liste kann ggf. auch im Spamassassin eingebunden sein.