WindfluechterNet

Windflüchterder, m – Windflüchter sind in Richtung des vorherrschenden Windes wachsende Bäume, vorwiegend an der Küste zu finden.

Soweit zumindest eine Begriffserklärung aus einem Wörterbuch. Allgemein bekannter sind Windflüchter als schiefgewachsene Bäume an einer Küste bekannt. Sie sind fest verwurzelt und lassen sich nicht so leicht umhauen. Windfluechter|Net ist ein kleines privates Projekt, um Bekannten und natürlich mir selber kostengünstig Internetdienste zur Verfügung zu stellen.

Server-Wartung – Alles neu macht der Mai!

Wie in der Mail vom 9. Mai 2018 angekündigt, habe ich das verlängerte Wochenende genutzt, um ein paar Wartungsarbeiten am Server durchzuführen. Im Wesentlichen drehten sich die Arbeiten um den Mailserver und den eigentlichen Server, auf dem die verschiedenen virtuellen Server laufen.

Mailserver:
Beim Mailserver wurden einige Änderungen beim IMAP-Server vorgenommen. So sollten nun zum Beispiel die Spam-Ordner bei (neuen) Nutzern automatisch dem passenden Dateiordner zugewiesen werden. Eine weitere Änderung betrifft die sogenannte Mailquota, die nun neu ist. Damit seid ihr immer über die Größe eures Mailverzeichnisses informiert. So zeigt das Webmail Interface die Quota sowohl in der Ansicht der Mails als auch bei den Einstellungen an.

Webmail-Ansicht unten rechts: 

Webmail-Einstellungen: 

Auch in anderen Programmen wie Thunderbird oder unter macOS Mail.app kann man die Quota sehen. Zum Beispiel bei macOS muss man einfach einfach beim Postfach mit einem Rechtsklick auf Accontinformationen klicken. Die Quota wird dann unter “Kontingente” angezeigt:

Für andere Clients finden sich die Informationen sicherlich auf ähnliche Art und Weise.

Derzeit passiert bei einem Überschreiten der Quota noch nichts, aber zukünftig werden neue Mails dann abgelehnt werden, wenn die Quota überschritten wird. Das ist in erster Linie für verwaiste Konten gedacht, die immer mehr Mails ansammeln, ohne daß diese noch gelesen werden. Solltet ihr dauerhaft an eure Quota stoßen, läßt sich diese erweitern. Trotzdem ist es immer ein guter Rat, auch mal seine Mailbox aufzuräumen und unbenötigte Mails zu löschen. In vielen Programmen läßt sich zum Beispiel auch einstellen, daß die Postfach-Mülleimer automatisch geleert wird. Auch das Einsortieren von unerwünschter Werbung in den Spam-Ordner hilft nicht nur dabei, weniger Werbung zu bekommen, sondern auch weniger Platz zu verschwenden, denn die Mails im Spam-Ordner werden nach 14 Tagen automatisch gelöscht. So kann man mit einfachen Mitteln den Speicherplatzverbrauch reduzieren.

Virtuelle Server:
Im Bereich der virtuellen Server gab es das Problem, daß die Dienste bzw. die virtuellen Server an sich, nach einem Reboot nicht in der richtigen Reihenfolge gestartet wurden. Dadurch wurden dann z.B. die falschen bzw. gar keine SSL-Zertifikate geladen wurden. Oder die Datenbank, auf die die meisten Webseiten und auch der Mailserver zugreifen, kann nicht gestartet werden, weil das Netzwerk und damit die notwendige IP-Adresse noch nicht vorhanden war.

Somit war das immer recht viel Arbeit, nach einem Reboot des Servers wieder alles ans Laufen zu bekommen.

Die Lösung zu finden hat zwar recht lange gedauert, aber letztendlich bestand sie nur aus einer einzelnen Zeile in einer Konfigurationsdatei. Die ersten Tests waren vielversprechend. Bleibt abzuwarten, ob die Wochen und Monate diese Tests bestätigen können.

Alternativen zu Facebook & Co.:
Ebenfalls in den letzten Wochen gab es in den Medien einige Aufregung hinsichtlich des Datenskandals von Cambridge Analytica und Facebook, bei dem Cambridge Analytica die Daten von Millionen Facebook Nutzern nicht so verwendet hatte, wie die Nutzer es dachten. Daraufhin gab es mit #deleteFacebook ein entsprechendes Internet Meme, bei dem viele Nutzer ihren Facebook oder Google Account gelöscht und nach Alternativen zu Facebook oder Google+ gesucht haben, die datenschutzfreundlicher sind. Ich hab darüber auch in meinem privaten Blog geschrieben (Englisch). Seit vielen Jahren betreibe ich schon mit einer Friendica-Instanz auf Nerdica.net eine Facebook-Alternative, seit kurzem mit einer Hubzilla-Instanze auch auf Silverhaze.eu eine weitere Alternative.

Weiterhin bieten sich auch andere Alternativen zu zentralisierten Diensten an, etwa Jabber/XMPP als mögliche Alternative zu WhatsApp oder die private Cloud auf Basis von Nextcloud statt DropBox oder iCloud. Wer Interesse an XMPP oder einem Nextcloud Zugang hat, kann sich gerne an mich wenden.

Neue Webmail Funktionen

Auch wenn es vornehmlich um neue Funktionen im Webmail-Interface geht, so nützlich können diese Funktionen auch für Nutzer sein, die per IMAP auf ihr Postfach zugreifen: 

  1. Der SPAM Button im Webinterface

    Mit Hilfe dieses Buttons kann man bequem Spammails markieren und in den passenden Spam-Ordner einsortieren. Dort schaut das System dann nach unerwünschten Mails und trainiert damit den systemweiten Spamfilter. Bisher musste man etwaige unerwünschte Mails per Hand in den Spam-Ordner schieben. Das selbe Ergebnis kann man natürlich auch im eigenen Mailprogramm wie Thunderbird oder Apple Mail erreichen, indem man die Programme so konfiguriert, daß unerwünschte Mails in den Ordner “Spam” sortiert wird.
    Sollte einmal dort eine erwünschte Mail fälschlicherweise einsortiert werden, kann und sollte man diese Mail vom Spam- in den NoSpam-Ordner verschieben. Auch dort schaut der Spamfilter nach und nutzt diese Mails dort, um die Erkennung zu verbessern.
     
  2.  Mails per serverseitigem Filter sortieren

    Mit Hilfe der serverseitigen Filter können Mails bereits beim Empfang auf dem Server in verschiedenen Ordnern einsortiert werden – und das ist auch für diejenigen interessant, die das Webmail-Interface nicht zum Lesen der Mails nutzen, sondern dafür andere Mailprogramme nehmen oder ihre Mails auf dem Smartphone lesen. Denn die Filterregeln sind auch ohne Webmail aktiv und das Webmail-Interface dient nur zur Konfiguration dieser Filterregeln.
    So kann man dann bequem Wichtiges von Unwichtigem trennen, Newsletter oder Mailing Listen automatisch wegsortieren, Mails von dem/der Liebste/n als wichtig markieren, Mails mit einem bestimmten Betreff an eine weitere Mail weiterleiten lassen oder auch für den Urlaub eine Abwesenheitsnotiz verschicken.
    Wie gesagt: die Filterregeln greifen bereits beim Empfang der Mails auf dem Server, weswegen diese Funktion auch für Nutzer interessant ist, die kein Webmail nutzen.

P.S.: Wer Thunderbird nutzt, kann das Sieve Plugin nutzen, wobei die Version 0.2.2 nicht funktioniert, sondern man auf Version 0.2.3 ausweichen muss, die auf GitHub erhältlich ist. Allerdings kann man mit diesem Addon die Filter nur in Textform editieren, was wohl nur engagierte Nutzer machen werden wollen. Hingegen lassen sich mit Hilfe einer Webseite bestehende Filterregeln von Thunderbird konvertieren.

Mehr Sicherheit durch DNSSEC und DANE

Nicht erst nach den Enthüllung von Edward Snowden über die umfassende Überwachung der Geheimdienste wird geraten, im Internet sichere Verbindungen zu nutzen und E-Mails zu verschlüsseln. Doch Verschlüsselung ist manchmal umständlich oder teuer. So kann man als Webseiten-Betreiber zum Beispiel SSL-Zertifikate kaufen, die der Browser dann als vertrauenswürdig einstuft. Oder man erstellt als Betreiber seine eigenen Zertifikate, die dann aber nicht vom Browser erkannt werden und vom Nutzer erst als nach einer manuellen Prüfung als vertrauenswürdig eingestuft werden.

Zukünftig kann es mit den Protokollen DNSSEC und DANE einfacher werden. Mit DNSSEC wird die Namensauflösung von Domainnamen in IP-Adressen abgesichert. DANE hingegen erlaubt es, die Überprüfung von SSL -Zertifikaten, wie sie zum Beispiel bei Webseiten mit HTTPS verwendet werden, über die Namensauflösung zu ermöglichen. Zusammen genommen besteht damit die Möglichkeit, Webseiten, Mailserver oder ähnliche Dienste so abzusichern, daß die Echtheit der Gegenseite nachgewiesen werden kann.

Leider ist die Unterstützung noch nicht in allen Browsern und Mailprogrammen von Haus aus so umgesetzt, daß die Nutzer davon direkt profitieren, aber es gibt zum Beispiel für die gängigsten Browser auf https://www.dnssec-validator.cz/ oder für Mozilla Firefox zum Beispiel auch auf Extensions Webseite. Ob eine Webseite dann DNSSEC und/oder DANE unterstützt, sieht man dann in der Adresszeile: 

Das grüne Schlüsselsymbol zeigt an, ob die Domain per DNSSEC abgesichert ist. Das grüne Schloßsymbol zeigt an, daß das SSL-Zertifikat für die Verschlüsselung bei HTTPS erfolgreich verifiziert werden konnte. Das graue Schloßsymbol auf der linken Seite ist das normale Symbol. Da https://www.windfluechter.net/ kein gekauftes, sondern ein selbsterstelltes Zertifikat benutzt, wird es deshalb nicht vom Browser als vertrauenswürdig erkannt. Gekaufte Zertifikate bieten keinen Mehrwert an Sicherheit, sondern sind im Grunde nur ein lohnendes Geschäftsfeld für Unternehmen, um Geld zu verdienen. Im Gegenteil gab es bereits zahlreiche Vorfälle, bei denen gefälschte Zertifikate auftauchten, die von angeblich vertrauensvollen Zertifizierungsstellen ausgegeben und von den Browsern aktzeptiert wurden. Hier bieten DNSSEC und DANE insofern eine Verbesserung, da nun die Betreiber selber ohne Zwischenhändler für einen sicheren Nachweis der Vertrauenskette ohne kommerziellen Zwischenhändler sorgen können.

Seit kurzem unterstützt nun auch WindfluechterNet grundsätzlich sowohl DNSSEC als auch DANE. Bei einigen Domains ist diese Unterstützung bereits aktiviert, etwa bei https://www.windfluechter.net/, https://webmail.windfluechter.net/ oder beim WindfluechterNet Mailserver. Damit bietet WindfluechterNet für die Nutzer moderne Sicherheit an, die selbst viele größere und internationale Anbieter derzeit noch nicht bieten.

Umzug des Servers in neues Rechenzentrum am 30. Oktober

Am 30. Oktober ab 23 Uhr zieht der Server vom Dortmunder Rechenzentrum nach Düsseldorf um. Der eigentliche Umzug soll ca. 2-3 Stunden dauern, allerdings werde ich erst am nächsten Morgen überprüfen können, ob wieder alles reibungslos läuft. Aber eigentlich sind keine Probleme zu erwarten.

Deaktivierung von POP3 auf dem Mailserver zum 1. November

Nach den letzten Sicherheitsprobleme in der OpenSSL Library und möglichen Angriffen wie die Poodle-Attacke, ist bei der Überprüfung des Mailservers aufgefallen, daß nur noch sehr wenige Nutzer (3 um genau zu sein) das alte Protokoll POP3 nutzen, um ihre E-Mails abzuholen. Um möglichst wenig Angriffsfläche für zukünftige Lücken zu bieten und die Sicherheit für die Nutzer zu erhöhen, wird das POP3 Protokoll auf dem Mailserver zum 1. November abgeschaltet. Stattdessen kann und sollte dann das IMAP Protokoll mit SSL/TLS Verschlüsselung benutzt werden.

Neues SSL-Zertifikat für Mail & Webmail

Vor ungefähr einem Monat dachte ich noch “Du musst daran denken, daß Anfang November der SSL-Zertifikat für Mail und Webmail abläuft und es rechtzeitig verlängern!” Aber wie das nunmal ist, war zwar der gute Vorsatz vorhanden, aber ab heute gibt es dann doch aufgrund des Ablaufs des alten Zertifikats ein neues. Wundert euch also nicht, wenn euer Browser oder euer Mailprogramm über das neue Zertifikat meckert. Bei OS X auf dem Apple sieht es im Mailprogramm dann zum Beispiel so aus: 

Das Zertifikat selber hat die folgenden Eckdaten: 

subject= /C=DE/ST=Mecklenburg-Vorpommern/L=Rostock/O=WindfluechterNet/OU=IT Services/CN=vserv.windfluechter.net/emailAddress=vserv.windfluechter.net
notBefore=Nov  3 13:12:59 2013 GMT
notAfter=Nov  3 13:12:59 2015 GMT
SHA1 Fingerprint=1D:BD:39:02:4A:0D:66:AA:B5:E8:C5:F6:78:72:B2:97:E6:E3:2F:8B

Anhand des SHA1 Fingerprints könnt ihr auch die Echtheit überprüfen. Das Zertifikat ist 2 Jahre gültig. Im Anhang könnt ihr übrigens meine Certificate Authority (CA) finden, mit dem alle Zertifikate auf diesem Server ausgestellt werden. Diese könnt ihr dann bei euch im Betriebssystem oder Browser importieren.

Hier noch zwei Screenshots aus Firefox: 

 

WindfluechterNet nun auch mit eigenem Cloud-Dienst

Damit die Nutzer von WindfluechterNet nicht gezwungen sind, ihre Daten bei ausländischen Cloud-Dienste zu deponieren, läuft nun auch hier eine OwnCloud Installation. Bei OwnCloud handelt es sich um ein freie Alternative zu kommerziellen Cloud-Diensten wie z.B. Dropbox, die man auf seinem eigenen Rechner bzw. Server installieren kann. Enthalten sind eigentlich alle gängigen Anforderungsprofile wie Dateiaustausch, Kalender, Aufgaben und Adressen.

Meldet euch einfach kurz, wenn ihr einen Zugang braucht. Hilfe für die Einrichtung gibt es auf www.silverhaze.org.

Webmail mit Spamfilter Einstellungen

Ein neuer Server bringt auch neue Versionen der Software mit sich. Gab es nur eine systemweite Konfiguration des Spamfilters, so ist es nun möglich, daß jeder Nutzer die Einstellungen des Spamfilters für sich selber zu konfigurieren. Über den Webmailer Roundcube kann man bequem entsprechende Änderungen vornehmen: 


Nachdem man sich in den Webmailer Roundcube eingeloggt hat, kann man rechts oben auf "Einstellungen" klicken und bekommt dann eine Seite mit einem zusätzlichen Reiter "Spam". Wenn man dort drauf klickt, bekommt man eine Seite, wo man die Einstellungen dann vornehmen kann. Leider ist die Formatierung bzw. die Anzeige auf der Seite derzeit etwas durcheinander, aber trotzdem ist es nutzbar: 

Der wichtigste Wert ist der Schwellwert. Standardmäßig steht der Schwellwert aus "Standard". Oh wunder! 😉 Dahinter verbirgt sich ein Wert von 5. Im Bild oben ist der Schwellwert bereits auf 3 herabgesetzt worden.

Der Spamfilter vergibt Punkte für unterschiedliche Merkmale von Spammails und addiert diese dann zu einem Punktwert. Wenn dieser Punktwert über dem Schwellwert liegt, wird die E-Mail vom Mailserver während des Empfangs abgewiesen. Insofern ist es ratsam, erst einmal mit einem höheren Schwellwert anzufangen und diesen nach und nach zu senken, bis man kaum noch Spammails bekommt.
Wenn man sich alle Header- bzw. Kopfzeilen im E-Mail-Programm anzeigen läßt, muss man nur nach "X-Spam-Score" Ausschau halten, um zu sehen, wie die jeweiligen E-Mails eingestuft wurden.

Eine weitere Einstellung auf der ersten Seite sind die akzeptierten Sprachen. Diese muss man derzeit auch noch anpassen, da die Datenbank beim Speichern nicht alle Sprachen aufnehmen kann. Also z.B. Deutsch, Englisch, Französisch, Spanisch.

Wenn man links im Seitenmenü auf "Adressregeln" klickt, kann man zum Beispiel auch E-Mail-Adressen angeben, die man abweisen oder zulassen will.