Drei einfache Fragen für mehr Sicherheit im E-Mail Verkehr

12. Juni 201612. Juni 2016 mailserverblogde Schreib einen Kommentar

Auch ohne Spamfilter kann man die Sicherheit im E-Mail Verkehr einfach erhöhen.

Dabei helfen drei einfache Fragen:

Ist der Absender bekannt?
Ist der Betreff sinnvoll?
Wird ein Anhang von diesem Absender erwartet?

Quelle:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html

E-Mail Versand im Jahre 1984

20. Mai 201620. Mai 2016 mailserverblogde Schreib einen Kommentar

Wie schön, dass es heute AXIGEN gibt 🙂

Alpha Ransomware verschlüsselt Daten und erpresst iTunes Gutscheine

4. Mai 20164. Mai 2016 mailserverblogde Schreib einen Kommentar

Wenn Sie dieses Bild als Hintergrundbild Ihres Desktops sehen, haben Sie vermutlich ein Problem…

Wie bleepingcomputer berichtet, ist derzeit ein weiterer Verschlüsselungstrojaner unterwegs. Dieser verschlüsselt Ihre Daten mit einer AES-256 Verschlüsselung, entschuldigt sich artig und erpresst nebenbei noch 400 US-Dollar in Form von iTunes Guthaben.

Dieser Trojaner weist zwei Besonderheiten auf:

Einerseits sind iTunes Guthabenkarten gut nachzuverfolgen. Von daher können wir darauf hoffen, dass der Urheber schnell identiziert ist.
Darüberhnaus besitzt er aber gute Manieren und entschuldigt sich zunächst für sein tun direkt beim Benutzer. In einer Textdatei, die die Anleitung zur Freischaltung der Daten enthält, heißt es:

We’d like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps…

Wir empfehlen Ihnen, nicht zu bezahlen. Bleepingcomputer stellt ein kostenloses Tool zur Entschlüsselung bereit.

Damit es gar nicht so weit kommt, empfehlen wir einen zuverlässigen Spam- und Virenschutz – wie z.B. unser Produkt spambarrier.de

Jigsaw – Möchte ein Spiel spielen – Er verschlüsselt und löscht Dateien

13. April 201613. April 2016 mailserverblogde Schreib einen Kommentar

Freunde des Horrorfilms werden ihn kennen – Jigsaw. Nun macht eine namensgleiche Malware die Runde. Sie verschlüsselt Dateien und fordert ein Lösegeld – wird nicht bezahlt werden die Dateien gelöscht… Häppchenweise.

Weitere Informationen gibt es bei Golem.de .

SSL/TLS in der SMTP-Kommunikation erzwingen (Forced TLS / SSL)

21. März 201621. März 2016 mailserverblogde Schreib einen Kommentar

Obwohl der Begriff “Forced TLS” weitestgehend unspezifiziert ist, handelt es sich dabei grob gesagt um folgende Anforderung:

Jeder SMTP-Verkehr (eingehend und ausgehend) muss zwingend über SSL/TLS verschlüsselt werden – ansonsten ist er abzulehnen.

Da wir dies natürlich nicht von allen Kommunikationspartnern erzwingen können, soll es eine Domain-Beschränkung geben.

Zur Umsetzung müssen zwei Routing/Acceptance Regeln angelegt werden.

Regel 1: Alle eingehenden Verbindungen, die von der Domain domain.tld kommen, sollen abgelehnt werden, wenn keine sichere Verbindung hergestellt werden kann:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf “+Add Acceptance / Routing Rule”.
3. Geben Sie in das Feld “Rule name” ein Namen ein, wie z.B. mydomain_force_ssl_in
4. Setzen Sie den Haken bei “Enable this acceptance/ routing rule”.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Domain -> und fügen hinzu:
Sender domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld
– Wählen Sie Connections -> Is SSL -> fügen Sie diese Bedingung hinzu und haken die Checkbox nicht an.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below” im Bereich “For incoming messages that match”.
7. Im Bereich “Actions” wählen Sie SMTP -> Action -> und fügen eine neue Aktion hinzu und wählen Reject aus.
8. Speichern Sie die Regel mit dem Button “Save Configuration” im unteren Bereich.

Regel 2: Für ausgehende Verbindungen erzwingen wir, dass das Relaying nur über SSL erfolgen darf:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf “+Add Acceptance / Routing Rule”.
3. Geben Sie in das Feld “Rule name” ein Namen ein, wie z.B. mydomain_force_ssl_out
4. Setzen Sie den Haken bei “Enable this acceptance/ routing rule”.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Relaying mail -> Fügen Sie diese Bedingung hinzu
– Recipient -> domain -> Fügen Sie diese Bedingung hinzu und wählen Sie:
Recipient domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below” im Bereich “For incoming messages that match”.
7. Im Bereich der Aktionen (Actions) wählen Sie:
– Relay -> Host -> Und geben Sie dort den Ziel-Server (MX) der Domain an und wählen Sie als Port den SMTP-SSL Port 465.
– Wählen Sie Relay -> SSL Encryption und setzen Sie den Haken bei SSL.
8. Speichern Sie die Regel mit dem Button “Save Configuration” im unteren Bereich.

Wichtiger Hinweis:

Testen Sie diese Regel sorgfältig. Eine falsche Konfiguration oder Umsetzung kann den Mailverkehr erheblich beeinträchtigen.

Innovationspreis IT – BEST OF 2016: spambarrier.de ist dabei

10. März 201610. März 2016 mailserverblogde Schreib einen Kommentar

Unser Cloud Antispam-Dienst spambarrier.de gehört zu den “BEST OF 2016” des Innovationspreis IT. Dieser wird im Rahmen der Cebit 2016 in Hannover verliehen.

Besuchen Sie spambarrier.de auf der IT-Bestenliste oder melden Sie sich heute noch an.

Neuer Dienst: Cloud AntiVirus und AntiSpam – spambarrier.de

31. Dezember 201531. Dezember 2015 mailserverblogde Schreib einen Kommentar

Pünktlich zum Jahreswechsel 2015 / 2016 wurde unser neuer Dienst spambarrier.de fertiggestellt.

Über 10 Jahre Erfahrung im Bereich Mailserver flossen in dieses Projekt ein, um einen zuverlässigen und komfortablen Service gegen Viren und Spam für Sie bereitzustelllen.

Das kurze Einführungsvideo zeigt Ihnen mehr:

Wir freuen uns auf Ihre Anmeldung und Ihre Kommentare, Hinweise, Verbesserungsvorschläge und natürlich Lob.

Wir wünschen einen guten Rutsch und einen guten Start in ein neues, gesundes, glückliches und erfolgreiches Jahr 2016!

Kostenlose SSL-Zertifikate für Mailserver mit Let’s Encrypt

11. Dezember 201511. Dezember 2015 mailserverblogde Schreib einen Kommentar

Seit dem 03. Dezember 2015 läuft die offene Beta-Phase von “Let’s Encrypt”

Die neue Zertifizierungsstelle (CA) liefert kostenlose SSL-Zertifikate. Diese müssen jedoch alle 90 Tage erneuert werden (Über Sinn und Unsinn dieses Limits lässt sich streiten)

Sponsoren sind unter Anderem Cisco, Mozilla und Facebook.

Zur Erstellung der Zertifikate gibt es einen offiziellen Client, den ich heute vorstellen möchte.

Zunächst muss dieser Installiert werden:

cd /opt

git clone https://github.com/letsencrypt/letsencrypt

cd letsencrypt

Danach muss der Bootstrapper aufgerufen werden, der dann die Depencencies prüft und die Python-Umgebung einrichtet:

/opt/letsencrypt/letsencrypt-auto --help

Zur Verifizierung der Domain (z.B. mailserverblog.de) ruft Letsencrypt eine Verifikations-URL auf, die z.B. so aussieht:

http://mailserverblog.de.www148.your-server.de/.well-known/acme-challenge/xhde4WMKAXXTXKQXyftUqUIjy_02TPhfaRFCmGffqf4

Die Verifikation erfolgt entweder über Port 80 oder Port 443. Dieser Port ist in der Regel schon durch einen Webserver (oder das Webmail) belegt.
Der einfachste Weg ist daher, diese Dienste kurz zu beenden. Der Let’s Encrypt Client bringt einen eigenen Webserver mit.

Der Aufruf zum Ausstellen eines Zertifikats sieht daher wie folgt aus:

/opt/letsencrypt/letsencrypt-auto certonly --standalone --email postmaster@mailserverblog.de.www148.your-server.de -d mailserverblog.de

Nach diesem Aufruf finden sich die Zertifikate in folgendem Ordner:

/etc/letsencrypt/live/mailserverblog.de

Das Zertifikat: cert.pem
Das Zertifikat inkl. Intermediate-Zertifikaten: chain.pem
Alle Zertifikate kombiniert: fullchain.pem
Privater Schlüssel: privkey.pem

AXIGEN benötigt ein PEM-File, das auch den privaten Schlüssel beinhaltet.

cat /etc/letsencrypt/live/mailserverblog.de/privkey.pem /etc/letsencrypt/live/mailserverblog.de/cert.pem > /var/opt/axigen/encrypt.pem

Das encrypt.pem kann dann in AXIGEN im SSL-Listener hinterlegt werden. Wie man AXIGEN mit einer A+ Verschlüsselung versieht, steht hier .
Das Prozedere zur Erneuerung folgt in einem weiteren Artikel.

AXIGEN 9.0.2 veröffentlicht – Bugfixes + Outlook 2016 Support

23. November 201523. November 2015 mailserverblogde Schreib einen Kommentar

Heute wurde AXIGEN 9.0.2 veröffentlicht.

Neben kleineren Bugfixes wurde auch die Unterstützung für Microsoft Outlook 2016 über den Outlook Connector freigegeben.

Den Download finden Sie hier: http://www.axigen.com/mail-server/download/

Enhancements
============
[SERVER] Use a more lenient POP3 parser
[WEBMAIL] Added horizontal preview pane
[WEBMAIL] Added mini-calendar expand / collapse
[OUTLOOK CONNECTOR] Compatibility with Office 2016 in Axigen Outlook Connector installer and DLL

Bug Fixes
=========
[CLUSTER] Fixed a security issue in cluster WebProxy
[CLUSTER] Fixed issue with auto migration in cluster environments
[SERVER] Fixed problem with Sieve inline forwarding that created incorrect MIME headers
[SERVER] Fixed calendar related ActiveSync crash
[SERVER] Encode UTF8 mailing list headers properly
[SERVER] Skip Collected Addresses folder when synchronising over ActiveSync
[OUTLOOK CONNECTOR] Fixed compatibility with MS Exchange server related to calendar invites sent by Axigen Outlook Connector in time zones not observing DST
[OUTLOOK CONNECTOR] Fixed issue when replying to Q and B encoded recipients with UTF-8 addresses

Supported Platforms
===================
SERVER:
Windows
– 32 bit (x86)
–* Windows Server 2008
– 64 bit (x86_64)
–* Windows Server 2008
–* Windows Server 2012 and 2012 R2

RPM based distros
– 32 bit (x86)
–* RedHat Enterprise Linux 6
–* SUSE Linux Enterprise 10 and 11
–* CentOS 6
–* OpenSUSE 12.3 and 13.1
– 64 bit (x86_64)
–* RedHat Enterprise Linux 6 and 7
–* SUSE Linux Enterprise 11
–* CentOS 6 and 7
–* OpenSUSE 12.2, 12.3 and 13.1

DEB based distros
– 32 bit (x86)
–* Debian 7 and 8
–* Ubuntu Server 10.04 LTS and 12.04 LTS
– 64 bit (x86_64)
–* Debian 7 and 8
–* Ubuntu Server 12.04 LTS and 14.04 LTS

FreeBSD
– 32 bit (x86)
–* 8.x (pkg), 9.2 (pkgng)
– 64 bit (x86_64)
–* 8.x (pkg), 9.2 (pkgng)
Solaris
– 64 bit (x86_64)
–* Solaris 10

OUTLOOK CONNECTOR:
– 32 bit
–* Outlook 2010, 2013 (32 bit) on Win 7, Win 8 and Win 8.1 (32 or 64 bit)
–* Outlook 2013, 2016 (32 bit) on Win 10 (32 or 64 bit)
– 64 bit
–* Outlook 2010, 2013 (64 bit) on Win 7, Win 8 and Win 8.1 (64 bit)
–* Outlook 2013, 2016 (64 bit) on Win 10 (64 bit)

AJAX WEBMAIL:
– Mozilla Firefox 27+
– Google Chrome 30.0+
– Internet Explorer 11+.

Mailserver-Authentifizierung am ActiveDirectory (AXIGEN)

4. November 201515. März 2022 mailserverblogde Schreib einen Kommentar

Authentifizierung am Active Directory

Dieser Artikel zeigt Ihnen, wie Sie einfach Mailkonten gegen das ActiveDirectory oder LDAP authentifizieren können. Somit können Sie viele Vorteile nutzen, die das Active Directory bietet (z.B. Passwortrichtlinie, etc.).

Hierbei erfolgt lediglich eine Authentifizierung gegen LDAP / ActiveDirectory und keine Synchronisation. Die Synchronisation ist etwas komplexer. Die reine Authentifizierung erfordert keine Addons, Schemas oder Ähnliches.

Dieser Artikel beschreibt beispielhaft die einfachste Methode einer AD-Anbindung mit AXIGEN. Sie erfordert kaum zusätzlichen Aufwand und zeichnet sich durch gute Wartbarkeit hinsichtlich Updates (Windows und AXIGEN) aus.

Ausgangspunkt

Wir gehen davon aus, dass Sie:

einen fertig installierten AXIGEN-Serve besitzen (Die Screenshots zeigen Version 9, ob Sie Linux oder Windows als Plattform für AXIGEN nutzen ist hierbei egal). Es ist die Lizenzierzung des Clustering / Delegated Administration Plugin erforderlich.
bereits eine fertig eingerichtete Domäne mit ActiveDirectory besitzen. Die AD-Struktur muss im Netz erreichbar sein. Es muss keine Änderung am AD vorgenommen werden, kein Addon installiert, etc.
Im Beispiel heißt unsere interne Domäne huestel.local
Die Mail-Domain heißt ebenso huestel.local und ist bereits in AXIGEN angelegt. Konnten müssen nicht angelegt werden, können aber – siehe hierzu weiter unten.

Einrichtung:

Schritt 1 – Einrichtung des Active Directory Connectors

Wechseln Sie zunächst im Webadmin auf den Bereich “Clustering” und “Clustering Setup”:

Danach fügen Sie im Bereich “LDAP Connectors” einen neuen Connector hinzu:

Bei der Anlage werden Sie gebeten, einige Parameter bereitzustellen.

(Hinweis: Nicht-genannte Parameter können leer bzw. in der Standardeinstellung verbleiben)

Vergeben Sie zunächst eine Namen für den LDAP-Connector
Danach Hostname und Port (im Standard 389)
Als Server Typ wählen Sie Active Directory

Scrollen Sie weiter nach unten und füllen die weiteren Parameter aus:

Die Synchronisationsoptionen können Sie ignorieren, da diese keine Rolle spielen. Wichtig sind die “LDAP Search Parameters“. Geben Sie hierzu einen Benutzer an, der über Zugriffsrechte auf das Active Directory verfügt. In unserem Beispiel is das der Einfachheit halber der Administrator. Besser ist es, einen anderen Benutzer zu verwenden:

Admin DN: CN=Administator,CN=Users,DC=huestel,DC=local

Admin DN Password: <Passwort des Benutzers>

Scrollen Sie weiter nach unten:

Zuletzt müssen Sie noch den den DN angeben, über den die Accounts gefunden werden können:

Account Base DN: CN=Users,DC=huestel,DC=local

Speichern Sie den Connector ab.

Schritt 2: User Map

Hier darf keine User Map angelegt sein, da diese nicht benötigt wird.

Schritt 3 – Authentifizierung einrichten:

Wechseln Sie in den letzten Reiter und wählen dort aus:

LDAP Bind: Perform
authentication using: <Wählen Sie den zuvor angelegten Connector>

Schritt 4: Active Directory

Die Suche im AD und Authentifizierung von AXIGEN am ActiveDirectory erfolgt über folgende Parameter:

Benutzername: sAMAccountName (Hinweis: Wenn Sie in Schritt 1 als ServerTyp LDAP auswählen, wird das Feld UID ausgewertet)
Passwort
Gruppenzugehörigkeit zu InetOrgPerson

Mechanik:

Wenn man sich nun am AXIGEN anmeldet, laufen im Hintergrund folgende Schritte ab:

AXIGEN kontaktiert den LDAP/AD-Server über den administrativen DN, der in den “LDAP Search parameters” im LDAP-Connector angegeben wurde
Wenn der Benutzer nicht im LDAP gefunden wurde, wird die Authentifizierung fehlschlagen, selbst wenn das Konto in AXIGEN existiert
Wenn der Benutzer nicht im AXIGEN gefunden urde, wird die Authentifizierung ebenfalls fehlschlagen, außer Sie aktivieren die automatische Account-Anlage (siehe nächster Punkt)
Wenn der Benutzer sowhl im AXIGEN als auch im Active Directory gefunden wurde, dann werden die Zugangsdaten abgeglichen und bei Erfolg der Zugriff gewährt.

Automatische Account-Anlage in AXIGEN aktivieren:

Im Standard schlägt die Authentifizierung fehl, wenn das Konto in AXIGEN nicht exisitert. Sie können jedoch festlegen, dass im Falle einer positiven Authentifizierung am AD auch das Konto im AXIGEN angelegt wird. Die zugehörigen Standardeinstellungen können z.B. von der Domain geerbt werden. Um die automatische Account-Anlage zu aktivieren, gehen Sie wie folgt vor:

Wechseln Sie im Webadmin auf den Punkt “Automatic Migration”:

Wählen Sie die gewünschte Domain aus:

Haken Sie dort NICHT “Enable automatic migration for this domain an”, aber dafür “Enable account creation on LDAP-based authentication”:

Testlauf:

Wenn Sie sich nun beispielsweise am Webmail anmelden, können Sie im AXIGEN-Log die Authentifizierung nachvollziehen (bitte Log-Level für den Connector erhöhen):

2015-11-01 13:19:41 -0500 16 axisrv USERDB:00000026: >> LDAP search DN='CN=Users,DC=huestel,DC=local' filter='(&(objectClass=user)(|(sAMAccountName=john.doe)(axiAliases=john.doe)))'

2015-11-01 13:19:41 -0500 08 axisrv USERDB:00000026: LDAP search successful.