AXIGEN und die DSGVO (EU Datenschutzgrundverordnung)

Am 25.05.2018 tritt die DSGVO in Kraft – viele Fragen drehen sich darum, wie der eigene Mailserver DSGVO-konform zu konfigurieren ist.

HINWEIS:

Die nachfolgenden Informationen werden allgemeingültig bereitgestellt. Bitte prüfen Sie selbst, ob alle für Ihr Unternehmen bzw. Ihren Einsatzzweck relevanten Angaben ausreichend berücksichtigt oder angegeben werden. Eine rechtliche Beratung kann nicht gewährt werden. Bei Fragen konsultieren Sie bitte einen Fachmann und/oder Ihren Datenschutzbeauftragten.

 

 

Welche personenbezogenen Daten gibt es beim Betrieb eines Mailservers?

  • Postfächer (Mails, Kalender, etc.)
  • Nutzungsdaten (insbesondere Logs)

Wie kann AXIGEN bei der Umsetzung der DSGVO unterstützen?

1. Kein Zugriff auf Postfach-Inhalte

AXIGEN-Administratoren haben keinen globalen Zugriff auf einzelne Postfächer und können deren Inhalt nicht ohne Aufwand einsehen. Darüber hinaus ist es selbstverständlich nicht möglich, fremde Postfächer einzusehen, etc. Zur Sicherstellung des Betriebs gibt es jedoch gezielte Schnittstellen, um beispielsweise Daten zu sichern oder wiederherzustellen.

Die Benutzerkennwörter sind ebenfalls verschlüsselt und können nicht ausgelesen werden. Es ist nur möglich, ein neues Kennwort zu setzen.

2. Benutzerberechtigungen

AXIGEN unterstützt ein umfangreiches Rechte-Management, mit dem Sie individuelle Rechte für die Administratoren vergeben können, bspw. Zugriff auf spezielle Domains oder Aktionen.admin

 

3. Individuelle Log-Level

AXIGEN unterstützt pro Dienst individuelle Logging-Einstellungen: Von Minimal-Log bis zum Debug Log und unterstützt individuelle Vorhaltezeiten. Es ist ebenfalls möglich, die Logs an einen Syslog-Server zu senden, um dort bspw. individuelle Zugriffe zu konfigurieren. Ebenfalls wird durch das Logging nicht der Inhalt von E-Mails protokolliert.

Logging

Rotation

 

4. Verschlüsseltes Dateisystem möglich

AXIGEN nutzt die Infrastruktur des Betriebssystems zur Ablage der Daten und keine eigene Datenbank. Von daher kann AXIGEN bspw. problemlos auf einem verschlüsselten Dateisystem betrieben werden.

5. Transportsicherheit

AXIGEN unterstützt SSL auf allen Diensten. Es ist ebenfalls möglich, SSL zu erwingen (Forced SSL)

6. E-Mail Verschlüsselung

AXIGEN kann mit gängigen Lösungen hinsichtlich SMIME und PGP angebunden werden (z.B. über MILTER). Sollten Sie keine eigene Lösung betreieben wollen, können Sie bspw. auf unseren Dienst spambarrier zurückgreifen.

AXIGEN – Überwachung der Queue mit Push-Benachrichtigung

Eine der wichtigsten Aufgaben für Mailserver Administratoren ist die Überwachung der Mail-Queue. Läuft die Queue voll, liegt ein Problem vor und Mails können nicht zugestellt werden. Dieser Artikel zeigt, wie Sie die Queue überwachen können und im Störungsfall benachrichtigt werden.

Die Benachrichtigung soll in unserem Fall über eine Push-Nachricht erfolgen. Hierzu muss man sich beim Dienst pushover anmelden. Der Dienst selbst ist kostenlos, die Apps für die verschiedenen Smartphones kosten etwas, können aber kostenfrei getestet werden. Mit der Anmeldung erhalten Sie ein User-Token. Nach der Anmeldung legen Sie bitte auch eine Applikation an (z.B. AXIGEN). Für diese Applikation erhalten Sie ebenfalls ein Token – das App-Token. Diese beiden Zeichenketten benötigen wir später wieder. Zum aktuellen Zeitpunkt kann man bis zu 7500 Nachrichten pro Monat kostenlos versenden. Das sollte reichen 🙂

Danach benötigen wir einen Aufruf zur Überwachung der Queue. Das ist durch folgenden Befehl möglich:

find /var/opt/axigen/queue/ -name 'S*' | wc -l

Dieser gibt die Anzahl der Mails aus, die sich aktuell in der Queue befinden – z.B. 14.

Als nächstes benötigen wir noch den Aufruf zum Versand der Push-Benachrichtigung. Das können wir mit curl bewerkstelligen (ggf. vorher installieren). Hier bitte USERTOKEN und APPTOKEN durch Ihre Werte ersetzen.

curl -s --form-string "token=APPTOKEN" --form-string "user=USERTOKEN" --form-string "message=AXIGEN Queue Alarm: $counter Mails in der Queue" https://api.pushover.net/1/messages.json

Zusammengefasst können wir das in Shell-Script verpacken. Wenn der Schwellwert von 100 Mails in der Queue überschritten wird, erfolgt die Benachrichtigung. Diesen Wert kann man natürlich entsprechend anpassen (-gt 100):


#!/bin/bash
counter=`find /var/opt/axigen/queue/ -name 'S*' | wc -l`;
if [ $counter -gt 100 ]; then
curl -s --form-string "token=APPTOKEN" --form-string "user=USERTOKEN" --form-string "message=AXIGEN Queue Alarm: $counter Mails in der Queue" https://api.pushover.net/1/messages.json
fi

Dieses Script legt man am System ab und macht es ausführbar. Im letzten Schritt müssen wir das Script nur noch im System ablegen und z.B. alle fünf Minuten über einen Cronjob ausführen:

*/5 * * * * /bin/bash /usr/local/queuewatch/queuewatch >/dev/null 2>&1

Die Meldung sieht dann so aus:

IMG_9056

SSL/TLS in der SMTP-Kommunikation erzwingen (Forced TLS / SSL)

Obwohl der Begriff “Forced TLS” weitestgehend unspezifiziert ist, handelt es sich dabei grob gesagt um folgende Anforderung:

Jeder SMTP-Verkehr (eingehend und ausgehend) muss zwingend über SSL/TLS verschlüsselt werden – ansonsten ist er abzulehnen.

Da wir dies natürlich nicht von allen Kommunikationspartnern erzwingen können, soll es eine Domain-Beschränkung geben.

Zur Umsetzung müssen zwei Routing/Acceptance Regeln angelegt werden.

Regel 1: Alle eingehenden Verbindungen, die von der Domain domain.tld kommen, sollen abgelehnt werden, wenn keine sichere Verbindung hergestellt werden kann:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf “+Add Acceptance / Routing Rule”.
3. Geben Sie in das Feld “Rule name” ein Namen ein, wie z.B. mydomain_force_ssl_in
4. Setzen Sie den Haken bei “Enable this acceptance/ routing rule”.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Domain -> und fügen  hinzu:
Sender domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld
– Wählen Sie Connections -> Is SSL -> fügen Sie diese Bedingung hinzu und haken die Checkbox nicht an.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below” im Bereich “For incoming messages that match”.
7. Im Bereich “Actions” wählen Sie SMTP -> Action -> und fügen eine neue Aktion hinzu und wählen Reject aus.
8. Speichern Sie die Regel mit dem Button “Save Configuration” im unteren Bereich.

In

Regel 2: Für ausgehende Verbindungen erzwingen wir, dass das Relaying nur über SSL erfolgen darf:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf “+Add Acceptance / Routing Rule”.
3. Geben Sie in das Feld “Rule name” ein Namen ein, wie z.B. mydomain_force_ssl_out
4. Setzen Sie den Haken bei “Enable this acceptance/ routing rule”.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Relaying mail -> Fügen Sie diese Bedingung hinzu
– Recipient -> domain -> Fügen Sie diese Bedingung hinzu und wählen Sie:
Recipient domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below” im Bereich “For incoming messages that match”.
7. Im Bereich der Aktionen (Actions) wählen Sie:
– Relay -> Host -> Und geben Sie dort den Ziel-Server (MX) der Domain an und wählen Sie als Port den SMTP-SSL Port 465.
– Wählen Sie Relay -> SSL Encryption und setzen Sie den Haken bei SSL.
8. Speichern Sie die Regel mit dem Button “Save Configuration” im unteren Bereich.

Out

Wichtiger Hinweis:

Testen Sie diese Regel sorgfältig. Eine falsche Konfiguration oder Umsetzung kann den Mailverkehr erheblich beeinträchtigen.

 

 

Erpressungs-Malware: Locky – Wie gut sind Sie (und Ihr Mailserver) geschützt?

Bei Locky handelt es sich um einen sehr gemeinen Schädling, der gerade vor allem per E-Mail verbreitet wird.

Er verbreitet sich zunächst auf dem System, ohne aktiv zu werden – also relativ unauffällig. Zu einem Zeitpunkt wird er auf einmal aktiv und verschlüsselt alles, worauf der Zugriff hat. Also auch USB-Festplatten, Netzlaufwerke und Cloud-Speicher.

Hierbei werden so ziemlich alle Dateitypen verschlüsselt – die Verschlüsselung gilt aktuell als unknackbar.

Wer seine Dateien wiederhaben will, muss zahlen. Hierzu erscheint ein Erpresserschreiben auf dem Bildschirm (inzwischen auch in Deutsch) mit den entsprechenden Hinweisen zur “Geldübergabe”.

Locky wird in Form von Word-Dateien verbreitet, die per E-Mail versendet werden. Es handelt sich hierbei oft um Fake-Rechungen, die sich angeblich im Anhang befinden. Aber auch Script-Dateien werden aktuell versendet.

Die Virenscanner hinken aktuell immer einen kleinen Schritt hinterher. Genau genommen handelt es sich dabei um Makro-Viren, wie sie in ähnlicher Form schon seit Jahren verbreitet werden.

Wir empfehlen Ihnen folgende Schritte zur eigenen Absicherung:

  • Erstellen Sie ein Backup auf einen Datenträger, der nicht dauerhaft am System angeschlossen ist. Wie z.B. eine USB-Festplatte, die direkt nach dem Backup wieder vom System entfernt wird.
  • Setzen Sie einen aktuellen Virenscanner ein.
  • Öffnen Sie niemals E-Mails mit verdächtigen Anhängen oder von Absendern, die sie nicht kennen. Halten Sie ggf. Rücksprache mit dem angeblichen Absender, ob die Mail von ihm stammt.
  • Konfigurieren Sie ihr Office so, dass keine unsicheren Makros ausgeführt werden.
  • Halten Sie Ihr System über Sicherheitsupdates aktuell.
  • Konfigurieren Sie Ihren Mailserver so, dass Mails direkt beim Empfang geprüft werden und virenverseuchte Mails direkt abgelehnt werden (reject).

Um auf Nummer sicher zu gehen, gehen einige Unternehmen aktuell dazu über, z.B. doc Anhänge vollständig  zu blocken (z.B. über MimeDefang). Eine drastische, aber effektive Maßnahme.

Neuer Dienst: Cloud AntiVirus und AntiSpam – spambarrier.de

Pünktlich zum Jahreswechsel 2015 / 2016 wurde unser neuer Dienst spambarrier.de fertiggestellt.

Über 10 Jahre Erfahrung im Bereich Mailserver flossen in dieses Projekt ein, um einen zuverlässigen und komfortablen Service gegen Viren und Spam für Sie bereitzustelllen.

Das kurze Einführungsvideo zeigt Ihnen mehr:

Wir freuen uns auf Ihre Anmeldung und Ihre Kommentare, Hinweise, Verbesserungsvorschläge und natürlich Lob.

Wir wünschen einen guten Rutsch und einen guten Start in ein neues, gesundes, glückliches und erfolgreiches Jahr 2016!