Mailserver Blog

GHOST Sicherheitslücke (CVE-2015-0235) – Linux Systeme (und natürlich Mailserver) schnellstmöglich patchen

29. Januar 201529. Januar 2015 mailserverblogde Schreib einen Kommentar

Am 27.01.2015 wurde eine neue Sicherheitslücke der GLIBC mit dem Namen “GHOST” bekannt:

– https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
– https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

Die Sicherheitslücke selbst ist ziemlich alt. Betroffen sind zahlreiche Linux Systeme. Nach Informationen von heise.de sind der Mailserver Exim, und auch der Mailserver procmail betroffen. Der Fehler liegt in der Funktion gethostbyname().

Unser Mailserver-Produkt AXIGEN ist nicht betroffen, wie wir analysiert haben.

Nachdem jedoch auch weitere Programme und Dienste auf dem Server betroffen sein können, empfehlen wir dennoch die Systeme schnelstmöglich über die Paketverwaltung zu aktualisieren.

Benimmregeln für E-Mails am Beispiel von Coca Cola

20. Januar 201520. Januar 2015 mailserverblogde Schreib einen Kommentar

Im Geschäftsalltag sind E-Mails mit Sicherheit das Kommunikationsmittel Nr.1 – doch auch wie im restlichen Leben, sollte es Benimmregeln für E-Mails geben. Eine Art Knigge für E-Mails.

Ein interessanter Beitrag zeigt, wie es Coca Cola handhabt: http://qz.com/320112/heres-the-genius-way-coca-cola-employees-manage-their-email/

Ein Tipp von Coca Cola besagt z.B.:

Versende keine E-Mails am Wochenende. Vor allem nicht als Führungskraft. Lass Deine Mitarbeiter in Ruhe. Wenn man am Wochenende arbeitet, OK. Aber alle anderen, die nicht am Wochenende arbeiten möchten auch keine Mails erhalten (dank Smartphone und Co. nicht so einfach). Daher lieber am Wochenende vorbereiten und Montag direkt am Morgen versenden. Dringliche Sachen und wenn man den anderen mit Sicherheit erreicht, sind davon natürlich ausgenommen. Das sorgt für Erholung der Anderen.

Ein Tipp, den wir bei uns im Unternehmen umsetzen werden!

Abschaltung der DNS-Blacklist AHBL und die Folgen

8. Januar 20158. Januar 2015 mailserverblogde Schreib einen Kommentar

Die DNS-Blacklist AHBL (Abusive Hosts Blocking List) stellte bereits zum Jahreswechsel ihre Dienste ein. Das wurde bereits im März 2014 angekündigt. Das hatten entweder einige nicht mitbekommen oder vergessen.

Die Blacklist existiert zwar weiter, markiert jedoch ALLE E-Mails seit Jahreswechsel als Treffer, also als Spammer und damit geblockt.

Gestern, am 07.01.2015 kam es zu zahlreichen Problemen, da viele Dienste noch diese Blacklist eingebunden hatten. Dies führte zu zahlreichen abgelehnten Mails, die nicht zugestellt werden konnten.

Leider gab es auch einige versteckte Nutzungen der Liste (als Sammel oder Fallback-Score), sodass es nicht immer einfach ist, herauszufinden, ob die Liste verwendet wird oder nicht.

Das Verhalten der AHBL ist schwer nachzuvollziehen, denn letztlich wurde eine Massenwelle ausgelöst. Eine einfache Abschaltung wäre besser gewesen.

So wurden nämlich genau die Falschen bestraft: Mails gehen an einen Server, der noch die Blacklist (ggf. auch unbewusst) verwendet. Der Absender erhält eine Warung zurück, dass sich sein Mailserver auf der Liste befindet und informiert seine eigene IT. Diese sucht dann ggf. verzweifelt, warum man auf der Blacklist sei und ob die eigene Infrastruktur betroffen ist. Ist sie natürlich nicht.

Stattdessen wird großer Aufwand (und ggf. weitere Probleme) produziert, der nicht hätte sein müssen.

Daher muss jeder Admin nun prüfen, ob er (oder eine Sub-Dienst) diese Liste noch einsetzt und unbedingt aus der Verwendung entfernen. Diese Liste kann ggf. auch im Spamassassin eingebunden sein.

Prüfung des Mailserver-Virenschutzes / Virenscanner

5. Januar 201519. März 2024 mailserverblogde 2 Kommentare

Um den Virenscanner / Virenfilter auf Ihrem System gefahrlos zu testen, bietet sich der EICAR-Testvirus an.

Es handelt sich dabei um eine ganz harmlose Zeichenfolge:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Diese Zeichenfolge wird von allen Virenscanner-Herstellern als Virus identifiziert. Sie können sich diesen Text selbst als Mail senden, um Ihren Mailserver zu testen. Es kann jedoch sein, dass diese Mail dann bereits beim Versand gefiltert wird und nie ankommt.

~~Alternativ können Sie auch den heise Emailcheck verwenden.~~

Alternative: https://dont.panic.at/index.php?content=Send_EICAR

Mails zukunftssicher verschlüsseln mit PFS (Perfect Forward Secrecy)

2. Januar 20152. Januar 2015 mailserverblogde Schreib einen Kommentar

Zahlreiche SSL-Sicherheitslücken und nicht zuletzt der NSA-Skandal machen den Einsatz von PFS unumgänglich. Wie PFS funktioniert, können Sie z.B. hier nachlesen.

Um Ihren Mailserver mit PFS abzusichern, ist es notwendig, dass ihr Mailserver PFS überhaupt unterstützt (das tun noch nicht alle Produkte) und Sie die richtigen Cipher-Suites verwenden.

Bei unserem Mailserver AXIGEN (ab Version 8.2.) funktioniert das in den SSL-Listener-Einstellungen:

Der zu verwendende Cipher lautet:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Sobald der Cipher entsprechend eingetragen wurde, z.B. beim Webmail-Listener, kann die Unterstützung für PFS mit folgendem Kommando geprüft werden:

openssl s_client -connect SERVER:PORT -showcerts -crlf -cipher ECDHE-RSA-RC4-SHA

SERVER und PORT sollten natürlich durch die gewünschten Werte ausgetauscht werden.

Die Ausgabe sieht dann wie folgt aus, dort finden Sie die Bestätigung, dass die korrekten Cipher verwendet werden:

mailserverblog.de startet

29. Dezember 201429. Dezember 2014 mailserverblogde Schreib einen Kommentar

Noch im alten Jahr geht der Mailserver Blog online. Hier finden Sie regelmäßig Infos zum Thema Mailserver unter Linux und Windows allgemein und um unseren AXIGEN Mailserver im Speziellen.