Mailserver Blog

AXIGEN – Überwachung der Queue mit Push-Benachrichtigung

17. Juli 201617. Juli 2016 mailserverblogde Schreib einen Kommentar

Eine der wichtigsten Aufgaben für Mailserver Administratoren ist die Überwachung der Mail-Queue. Läuft die Queue voll, liegt ein Problem vor und Mails können nicht zugestellt werden. Dieser Artikel zeigt, wie Sie die Queue überwachen können und im Störungsfall benachrichtigt werden.

Die Benachrichtigung soll in unserem Fall über eine Push-Nachricht erfolgen. Hierzu muss man sich beim Dienst pushover anmelden. Der Dienst selbst ist kostenlos, die Apps für die verschiedenen Smartphones kosten etwas, können aber kostenfrei getestet werden. Mit der Anmeldung erhalten Sie ein User-Token. Nach der Anmeldung legen Sie bitte auch eine Applikation an (z.B. AXIGEN). Für diese Applikation erhalten Sie ebenfalls ein Token – das App-Token. Diese beiden Zeichenketten benötigen wir später wieder. Zum aktuellen Zeitpunkt kann man bis zu 7500 Nachrichten pro Monat kostenlos versenden. Das sollte reichen 🙂

Danach benötigen wir einen Aufruf zur Überwachung der Queue. Das ist durch folgenden Befehl möglich:

find /var/opt/axigen/queue/ -name 'S*' | wc -l

Dieser gibt die Anzahl der Mails aus, die sich aktuell in der Queue befinden – z.B. 14.

Als nächstes benötigen wir noch den Aufruf zum Versand der Push-Benachrichtigung. Das können wir mit curl bewerkstelligen (ggf. vorher installieren). Hier bitte USERTOKEN und APPTOKEN durch Ihre Werte ersetzen.

curl -s --form-string "token=APPTOKEN" --form-string "user=USERTOKEN" --form-string "message=AXIGEN Queue Alarm: $counter Mails in der Queue" https://api.pushover.net/1/messages.json

Zusammengefasst können wir das in Shell-Script verpacken. Wenn der Schwellwert von 100 Mails in der Queue überschritten wird, erfolgt die Benachrichtigung. Diesen Wert kann man natürlich entsprechend anpassen (-gt 100):

#!/bin/bash counter=`find /var/opt/axigen/queue/ -name 'S*' | wc -l`; if [ $counter -gt 100 ]; then curl -s --form-string "token=APPTOKEN" --form-string "user=USERTOKEN" --form-string "message=AXIGEN Queue Alarm: $counter Mails in der Queue" https://api.pushover.net/1/messages.json fi

Dieses Script legt man am System ab und macht es ausführbar. Im letzten Schritt müssen wir das Script nur noch im System ablegen und z.B. alle fünf Minuten über einen Cronjob ausführen:

*/5 * * * * /bin/bash /usr/local/queuewatch/queuewatch >/dev/null 2>&1

Die Meldung sieht dann so aus:

Neue Erpressungssoftware “Bart” fordert drei Bitcoin Lösegeld

30. Juni 201630. Juni 2016 mailserverblogde Schreib einen Kommentar

Wie zdnet.de berichtet, ist wieder ein neuer Verschlüsselungstrojaner aufgetaucht.
Im Gegensatz zu anderer Schadsoftware werden die Dateien auf der lokalen Festplatte schrittweise in passwortgeschützte ZIP-Archive umgewandelt.
Darüber hinaus benötigt er auch nicht unmittelbar Zugriff auf einen Steuerungsserver, um Befehle zu empfangen – sondern kann autark arbeiten. Damit bieten Firewall-Sperrungen keinen Schutz.

Die Verbreitung findet aktuell hauptsächlich in den USA statt, da aber auch mehrsprachige Texte hinterlegt wurden, ist es nur eine Frage der Zeit, bis Bart auch nach Deutschland kommt.

Drei einfache Fragen für mehr Sicherheit im E-Mail Verkehr

12. Juni 201612. Juni 2016 mailserverblogde Schreib einen Kommentar

Auch ohne Spamfilter kann man die Sicherheit im E-Mail Verkehr einfach erhöhen.

Dabei helfen drei einfache Fragen:

Ist der Absender bekannt?
Ist der Betreff sinnvoll?
Wird ein Anhang von diesem Absender erwartet?

Quelle:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html

E-Mail Versand im Jahre 1984

20. Mai 201620. Mai 2016 mailserverblogde Schreib einen Kommentar

Wie schön, dass es heute AXIGEN gibt 🙂

Alpha Ransomware verschlüsselt Daten und erpresst iTunes Gutscheine

4. Mai 20164. Mai 2016 mailserverblogde Schreib einen Kommentar

Wenn Sie dieses Bild als Hintergrundbild Ihres Desktops sehen, haben Sie vermutlich ein Problem…

Wie bleepingcomputer berichtet, ist derzeit ein weiterer Verschlüsselungstrojaner unterwegs. Dieser verschlüsselt Ihre Daten mit einer AES-256 Verschlüsselung, entschuldigt sich artig und erpresst nebenbei noch 400 US-Dollar in Form von iTunes Guthaben.

Dieser Trojaner weist zwei Besonderheiten auf:

Einerseits sind iTunes Guthabenkarten gut nachzuverfolgen. Von daher können wir darauf hoffen, dass der Urheber schnell identiziert ist.
Darüberhnaus besitzt er aber gute Manieren und entschuldigt sich zunächst für sein tun direkt beim Benutzer. In einer Textdatei, die die Anleitung zur Freischaltung der Daten enthält, heißt es:

We’d like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps…

Wir empfehlen Ihnen, nicht zu bezahlen. Bleepingcomputer stellt ein kostenloses Tool zur Entschlüsselung bereit.

Damit es gar nicht so weit kommt, empfehlen wir einen zuverlässigen Spam- und Virenschutz – wie z.B. unser Produkt spambarrier.de

Jigsaw – Möchte ein Spiel spielen – Er verschlüsselt und löscht Dateien

13. April 201613. April 2016 mailserverblogde Schreib einen Kommentar

Freunde des Horrorfilms werden ihn kennen – Jigsaw. Nun macht eine namensgleiche Malware die Runde. Sie verschlüsselt Dateien und fordert ein Lösegeld – wird nicht bezahlt werden die Dateien gelöscht… Häppchenweise.

Weitere Informationen gibt es bei Golem.de .

SSL/TLS in der SMTP-Kommunikation erzwingen (Forced TLS / SSL)

21. März 201621. März 2016 mailserverblogde Schreib einen Kommentar

Obwohl der Begriff “Forced TLS” weitestgehend unspezifiziert ist, handelt es sich dabei grob gesagt um folgende Anforderung:

Jeder SMTP-Verkehr (eingehend und ausgehend) muss zwingend über SSL/TLS verschlüsselt werden – ansonsten ist er abzulehnen.

Da wir dies natürlich nicht von allen Kommunikationspartnern erzwingen können, soll es eine Domain-Beschränkung geben.

Zur Umsetzung müssen zwei Routing/Acceptance Regeln angelegt werden.

Regel 1: Alle eingehenden Verbindungen, die von der Domain domain.tld kommen, sollen abgelehnt werden, wenn keine sichere Verbindung hergestellt werden kann:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf “+Add Acceptance / Routing Rule”.
3. Geben Sie in das Feld “Rule name” ein Namen ein, wie z.B. mydomain_force_ssl_in
4. Setzen Sie den Haken bei “Enable this acceptance/ routing rule”.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Domain -> und fügen hinzu:
Sender domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld
– Wählen Sie Connections -> Is SSL -> fügen Sie diese Bedingung hinzu und haken die Checkbox nicht an.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below” im Bereich “For incoming messages that match”.
7. Im Bereich “Actions” wählen Sie SMTP -> Action -> und fügen eine neue Aktion hinzu und wählen Reject aus.
8. Speichern Sie die Regel mit dem Button “Save Configuration” im unteren Bereich.

Regel 2: Für ausgehende Verbindungen erzwingen wir, dass das Relaying nur über SSL erfolgen darf:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf “+Add Acceptance / Routing Rule”.
3. Geben Sie in das Feld “Rule name” ein Namen ein, wie z.B. mydomain_force_ssl_out
4. Setzen Sie den Haken bei “Enable this acceptance/ routing rule”.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Relaying mail -> Fügen Sie diese Bedingung hinzu
– Recipient -> domain -> Fügen Sie diese Bedingung hinzu und wählen Sie:
Recipient domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below” im Bereich “For incoming messages that match”.
7. Im Bereich der Aktionen (Actions) wählen Sie:
– Relay -> Host -> Und geben Sie dort den Ziel-Server (MX) der Domain an und wählen Sie als Port den SMTP-SSL Port 465.
– Wählen Sie Relay -> SSL Encryption und setzen Sie den Haken bei SSL.
8. Speichern Sie die Regel mit dem Button “Save Configuration” im unteren Bereich.

Wichtiger Hinweis:

Testen Sie diese Regel sorgfältig. Eine falsche Konfiguration oder Umsetzung kann den Mailverkehr erheblich beeinträchtigen.

Innovationspreis IT – BEST OF 2016: spambarrier.de ist dabei

10. März 201610. März 2016 mailserverblogde Schreib einen Kommentar

Unser Cloud Antispam-Dienst spambarrier.de gehört zu den “BEST OF 2016” des Innovationspreis IT. Dieser wird im Rahmen der Cebit 2016 in Hannover verliehen.

Besuchen Sie spambarrier.de auf der IT-Bestenliste oder melden Sie sich heute noch an.

SSLv2 – Down Lücke bedroht (Mail-) Server – jetzt deaktivieren

4. März 20164. März 2016 mailserverblogde Schreib einen Kommentar

Die Sicherheitsprobleme mit SSL und TLS scheinen endlos zu sein… Nach Poodle, Ghost und wie sie alle heißen, steht nun “Drown” vor der Türe.

Hierbei werden bekannte Schwächen in SSLv2 verwendet, um die Verschlüsselung moderner Verfahren wie TLS 1.2 zu knacken. Damit kann auch auch aufgezeichneter Datenverkehr nachträglich entschlüsselt werden.

Weitere technische Hintergründe gibt es z.B. bei heise .

Aktuelle Auswertungen zeigen, dass erschreckend viele Server noch SSLv2 aktiviert haben. Über folgende Website kann getestet werden, ob der eigene Server betroffen ist:

https://test.drownattack.com/

Als Lösungsweg bleibt nur, SSLv2 komplett zu deaktivieren. Das Entfernen von Ciphers alleine hilft nicht. Das SSLv2 sehr alt ist, sollte das kein Problem sein.

Wenn man gerade dabei ist, könnte man sich auch gleich die weiteren SSL-Einstellungen und das Rating prüfen – um auf ein A-Level zu kommen.

In AXIGEN muss hierzu einfach der entsprechende Haken entfernt werden:

Erpressungs-Malware: Locky – Wie gut sind Sie (und Ihr Mailserver) geschützt?

22. Februar 201622. Februar 2016 mailserverblogde Schreib einen Kommentar

Bei Locky handelt es sich um einen sehr gemeinen Schädling, der gerade vor allem per E-Mail verbreitet wird.

Er verbreitet sich zunächst auf dem System, ohne aktiv zu werden – also relativ unauffällig. Zu einem Zeitpunkt wird er auf einmal aktiv und verschlüsselt alles, worauf der Zugriff hat. Also auch USB-Festplatten, Netzlaufwerke und Cloud-Speicher.

Hierbei werden so ziemlich alle Dateitypen verschlüsselt – die Verschlüsselung gilt aktuell als unknackbar.

Wer seine Dateien wiederhaben will, muss zahlen. Hierzu erscheint ein Erpresserschreiben auf dem Bildschirm (inzwischen auch in Deutsch) mit den entsprechenden Hinweisen zur “Geldübergabe”.

Locky wird in Form von Word-Dateien verbreitet, die per E-Mail versendet werden. Es handelt sich hierbei oft um Fake-Rechungen, die sich angeblich im Anhang befinden. Aber auch Script-Dateien werden aktuell versendet.

Die Virenscanner hinken aktuell immer einen kleinen Schritt hinterher. Genau genommen handelt es sich dabei um Makro-Viren, wie sie in ähnlicher Form schon seit Jahren verbreitet werden.

Wir empfehlen Ihnen folgende Schritte zur eigenen Absicherung:

Erstellen Sie ein Backup auf einen Datenträger, der nicht dauerhaft am System angeschlossen ist. Wie z.B. eine USB-Festplatte, die direkt nach dem Backup wieder vom System entfernt wird.
Setzen Sie einen aktuellen Virenscanner ein.
Öffnen Sie niemals E-Mails mit verdächtigen Anhängen oder von Absendern, die sie nicht kennen. Halten Sie ggf. Rücksprache mit dem angeblichen Absender, ob die Mail von ihm stammt.
Konfigurieren Sie ihr Office so, dass keine unsicheren Makros ausgeführt werden.
Halten Sie Ihr System über Sicherheitsupdates aktuell.
Konfigurieren Sie Ihren Mailserver so, dass Mails direkt beim Empfang geprüft werden und virenverseuchte Mails direkt abgelehnt werden (reject).

Um auf Nummer sicher zu gehen, gehen einige Unternehmen aktuell dazu über, z.B. doc Anhänge vollständig zu blocken (z.B. über MimeDefang). Eine drastische, aber effektive Maßnahme.