der notarzt ist da

Das Filtern von Spam über den SPAM-Ordner ist eine einfach und bequeme Sache. Leider so bequem, dass viele Leute ihren Spam in dem Ordner liegen lassen anstatt ihn zu löschen. Da das Aufkommen mittlerweile einen nicht unerheblichen Teil des Speicherplatzes verschlingt haben wir uns entschlossen entsprechende Gegenmaßnahmen zu unternehmen.

Ab Monat, dem 01.09.2008 wird der Ordner SPAM nur noch als temporärer Ordner zur Verfügung gestellt. Die Aufbewahrungsfrist für Mails in diesem Ordner wird auf 60 (=23+42-5) Tage begrenzt. Mails älteren Datums werden ab dann automatisch entleert!
Alle anderen Ordner bleiben selbstverständlich unverändert.

Möchtet Ihr eurem Spam archivieren, so empfehlen wir dies auf eurem eigenen Computer zu tun.

Die Reperatur der Datenbank ist vollendet. Jabber und Mail laufen wieder wir gewohnt. Fast.
Das erhebliche Aufkommen an Spamtrainingsdaten hat es leider nicht überlebt und wir haben uns entschlossen den Spamfilter neu zu trainieren. Daher kann es bedeuteten, dass in der nächsten Zeit etwas mehr Spam durch den Filter rasselt als gewohnt.
Wer sein Spamrchiv als globale Trainingsbasis zur Verfügung stellen will, melde sich bitte bei uns (nicht das Archiv schicken, sondern nur Bescheid sagen ).

Auf Grund eines Datenbankproblems sind derzeit Logins in die Services Jabber und E-Mail nicht möglich; bestehende Verbindungen können weiter genutzt werden.
Der Empfang von E-Mail, so wie übrige Dienste, wie DNS und Web, sollten nicht betroffen sein.
Wir gehen davon aus, das Problem im Laufe des Abends zu beheben.

Um es hier sicherheitshalber klar zu stellen: Das im vorigen Post erwähnte Debakel mit den kaputten SSL-Bibliotheken unter Debian und Ubuntu betrifft auch die User!

Solltet ihr euch mit der kaputten Bibliothek Keys erzeugt haben, so könnt ihr die jetzt getrost wegwerfen. Ihr solltet es sogar, sie stellen ein erhebliches Sicherheitsrisiko dar, ihr Wert entspricht etwa dem eines leeren Passwortes!. Der Login auf knup! ist damit seit dem letzten Systemupdate auch nicht mehr möglich, da alle betroffenen Keys automatisch gesperrt wurden (sind ja alle bekannt).

Kaputte Publickeys die Ihr von anderen Systemen bei euch habt (z.B. bei ssh, im Jabber oder Mail-Client, oder im Browser) müsst ihr entfernen und dann die neuen Publickeys einspielen. Beim letzten System-Update auf eurem System sollte ein entsprechender Hinweis erschienen sein.

Hier noch mal in Kürze erklärt:

Bei SSH

Server-Publickeys werden in der Datei ~/.ssh/known_hosts gespeichert. Eure Keys in ~/.ssh/id*.

Der schnellste und sicherste Weg zu einem sauberen ssh ist komplett mit einem neuen .ssh-Verzeichnis zu beginnen, so könnt ihr sichergehen, dass ihr keine kaputten Keys mehr habt. (Achtung: Das System muss natürlich vorher auf dem aktuellsten Stand sein!)

$ mv .ssh ssh-pwnd

Der ausführlichere Weg ist etwas holpriger.

Neuer Hostkey

Veränderte ssh-Keys meldet ssh umgehend und verweigert sinnvollerweise die Kommunikation.

user@host:~$ ssh sites.knup.de
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
2e:25:4b:0c:5d:f9:1a:83:1d:91:35:ff:ae:b3:e5:7d.
Please contact your system administrator.
Add correct host key in /home/user/.ssh/known_hosts to get rid of this message.
Offending key in /home/user/.ssh/known_hosts:42
RSA host key for 195.71.106.30 has changed and you have requested strict checking.
Host key verification failed.
user@host:~$ 

Wenn ihr euch -wie in diesem Fall- sicher seid, dass sich der Key geändert hat, müsst ihr den alten aus der Datei ~/.ssh/authorized_keys Löschen. Die entsprechende Zeile zeigt die Meldung Offending key in . In meiner known_hosts war es also Zeile 42.

Danach verbindet ihr euch erneut und übeprüft den Fingerprint:

user@host:~$ ssh sites.knup.de
The authenticity of host 'sites.knup.de (195.71.106.30)' can't be established.
RSA key fingerprint is 2e:25:4b:0c:5d:f9:1a:83:1d:91:35:ff:ae:b3:e5:7d.
Are you sure you want to continue connecting (yes/no)?
user@host:~$ 

Stimmt dieser, gebt ihr yes ein und könnt fortfahren.

Neuer Privatekey

Einen neuen Privatekey für euch erzeugen könnt ihr mit ssh-keygen:

$ mkdir ~/ssh-pwnd
$ mv ~/.ssh/id_* ~/ssh-pwnd
$ ssh-keygen

Weitere nützliche Infos gibt es auf http://www.debian.org/security/key-rollover/ .

Ein ziemlich unschöner Fehler in den OpenSSL-Packeten für Debian und Ubuntu wurde gestern entdeckt.

Durch diesen Fehler ist die Anzahl der damit erzeugbaren Schlüsselpaare so extrem gering (~262.000), dass man durch einfaches Ausprobieren alle (sowohl öffentlichen als auch privaten! Schlüssel) ermitteln kann.
Anders ausgedrückt: Die damit erzeugten Schlüssel sind wertlos und stellen keine Sicherheit mehr da. Jeder der den Datenverkehr mitlesen kann oder konnte, kann ihn nun auch entschlüsseln.

Damit dies in Zukunft nicht mehr möglich ist, ist es daher nötig mit der reparierten Software erneut heile Schlüsselpaare zu erzeugen. Aus diesem Grund hat der SSH-Daemon auf dem Webserver zwei neues Schlüsselpaare. Hier die passenden Fingerprints:

RSA (2048bit): 2e:25:4b:0c:5d:f9:1a:83:1d:91:35:ff:ae:b3:e5:7d
DSA (1024bit): 1a:4b:4a:52:d5:53:5f:6e:8a:e7:c7:22:54:e1:75:29

Einige von Euch werden beim Verschieben von Spam in den SPAM-Ordner die Meldung

Some messages did not have X-DSPAM-Signature header line

bemerkt haben. Um dem Kommentaransturm im Blog vorauszueilen möchten wir hier kurz erläutern, wie es dazu kommt:

Alle Mails die unseren Spamfilter durchlaufen werden mit zusätzlichen sog. Headerzeilen versehen. Eine davon ist die X-DSPAM-Signature. Anhand dieser Signatur kann unser Spamfilter einzelne E-Mails unterscheiden.

Verschiebt ihr nun eine unerkannte Spammail aus der Inbox in den SPAM-Ordner kann DSPAM so diese Mail wieder erkennen und vielleicht lernen was er zuvor falsch gemacht hat.

Sollte es euch nun passieren, dass ihr eine alte Spammail (also alle, die vor heute angekommen sind) in den SPAM-Ordner schiebt fehlt natürlich die o.g. Signatur. DSPAM kann mit der E-Mail leider nichts anfangen und weigert sich daher sie anzunehmen.

Sofern ihr nicht unbedingt ein großes Spamarchiv (mehrere Tausend aktuelle Spammails) habt solltet ihr den alten Spam einfach löschen und den Neuen zum Trainieren verwenden. Andernfalls setzt euch bitte mit uns in Verbindung.

Wie angekündigt ist nun der Spamfilter für die meisten Domains aktiv.
Sollten dazu Fragen oder Probleme bestehen, meldet euch einfach bei uns; ansonsten wünschen wir euch eine hoffentlich spamfreiere Inbox

# ls -la /etc/postfix/transport*
-rw-r--r-- 1 root root   199 Apr 18 00:00 /etc/postfix/transport
-rw-r--r-- 1 root root 12288 Apr 18 00:00 /etc/postfix/transport.db
#

Kein weiterer Kommentar.

Jeder der seine E-Mail-Adresse eine gewisse Zeit benutzt wird sich schon einmal über die sich immer mehr häufenden unerwünschten Spammails geärgert haben.

Egal ob einem unnütze Produkte und dubiose Geschäfte angeboten werden oder einfach nur versucht wird den Leser davon zu überzeugen sich den neusten Virus auf seinem Windows-System zu installieren; Spam nervt.

Selbst Menschen die ihre E-Mail Adresse nicht im Web veröffentlichen bekommen mittlerweile regelmäßig Spam. Es reicht schon, wenn sich ein Bekannter einen Wurm einfängt, der dann die Adressen seiner Freunde mit Spam zu schüttet.

In Zukunft möchten wir dem Empfang dieser unerwünschten Nachrichten mit einem selbstlernenden Filter entgegen treten und hoffen damit E-Mail wieder ein Stück weit zu einem erträglicheren Kommunikationsmedium zu machen.

Das Filtersystem wurde von uns in den vergangenen Monaten getestet und trainiert, am

Mittwoch, dem 18.04.2007

ist es soweit: Er wird für alle Benutzer scharfgeschaltet.

Im Anschluss werden wir das System kurz beschreiben. Es ist mehr als ratsam diese Informationen zu lesen und bei eventuellen Unklarheiten mit uns Rücksprache zu halten!

Das Prinzip ist verblüffend einfach

Der Spamfilter erkennt unerwünschte Nachrichten anhand bestimmter Muster und sortiert sie in einen Ordner mit dem Namen SPAM.
Der Benutzer bekommt diese Nachrichten nicht mehr in seinen Posteingang und freut sich hoffentlich über mehr Übersichtlichkeit.

Nun hat jede automatisierte Erkennung an sich, dass sie niemals perfekt funktionieren kann: Unterschiedliche Anwender bekommen unterschiedliche legitime E-Mails und auch unterschiedlichen Spam. Ebenso bewerten sie Spam unterschiedlich: Die einen stören sich an ungefragt zugestellten Newslettern oder Kettenbriefen während andere solche Nachrichten vll. sogar lesen würden.

Ein Spamfilter kann nur dann zufriedenstellend arbeiten, wenn er regelmäßig persönlich trainiert wird.

Nun werden viele von euch denken “Mist, jetzt wirds kompliziert”, aber halt, dran bleiben: es ist einfacher als ihr beführchtet

Unser Spamfilter lernt fast automatisch; Ihr arbeitet einfach genauso weiter wie bisher, anstelle den Spam zu löschen solltet ihr ihn allerdings dem Spamfilter verfüttern und das ist denkbar einfach:

Sobald ihr eine Spammail in eurem Posteingang entdeckt, verschiebt ihr sie einfach in den Ordner SPAM. Dies merkt der Spamfilter und trainiert.
Ebenso solltet ihr ab und zu den Ordner SPAM kontrollieren, ob nicht versehentlich erwünschte Mails als Spam erkannt wurden; diese verschiebt ihr dann in einen beliebigen anderen Ordner und der Spamfilter trainiert wieder.

Das wars!

Das Kleingedruckte

SPAM abonnieren

Den Ordner SPAM bekommt ihr nur zu Gesicht, wenn ihr zum Lesen von E-Mails IMAP oder Webmail verwendet und den Ordner abonniert. Benutzer die Ihre Post mit POP3 lesen können ihn nicht einsehen, da POP3 nur den Posteingang abruft.

Es wird daher empfohlen regelmäßig mit IMAP oder Webmail in den entsprechenden Ordner zu schauen oder ganz auf IMAP umzusteigen.

Konflikte mit anderen Spamfiltern

IMAP-BenutzerInnen die einen eigenen Spamfilter (z.B. von Evolution oder Thunderbird) verwenden müssen darauf achten, dass dieser nicht dem serverseitigen Filter in die Quere kommt.
Wichtig dabei ist, dass der eigene Filter keine Spammails aus dem Ordner SPAM herausnimmt, z.B. um sie nach “Junk” oder “Spam” zu legen. Der serverseitige Spamfilter würde so denken sie seien kein Spam, da er nur den Ordner SPAM für Spam kennt.
Wenn der eigene Filter die Nachrichten automatisch verschieben soll, geht das also nur wenn er sie auch in den gleichen Ordner SPAM verschiebt!

Seid ihr euch nicht sicher, so solltet ihr besser den eigenen Spamfilter -mindestens jedoch das automatische Verschieben- deaktivieren.

Wie das bei den einzelnen Programmen einzustellen ist können wir an dieser Stelle natürlich nicht ausführen. Sollte eure Programmdokumentation nicht ausreichend sein, so zögert nicht uns zu fragen. Bei eventuellem Bedarf veröffentlichen wir dazu auch gern eine Beschreibung.

Benutzer die POP3 verwenden können einen eigenen Spamfilter normal weiter benutzen.

Sollten irgendwelche Fragen oder Unklarheiten bestehen: Meldet euch einfach bei uns. Bitte erwähnt, mit welchen Programmen ihr arbeitet und ob ihr POP3 oder IMAP verwendet.

Um das Jabbern mit Clients zu ermöglichen, die noch keine sog. SRV Records unterstützen musste seit einiger Zeit die Verbindung speziell für chat.DOMAIN.TLD konfiguriert werden.

Durch ein so eben konfiguriertes Forwarding auf unserer Seite ist dies nun nicht mehr notwendig (die Einstellung beizubehalten hat aber auch keine Nachteile)!

Somit sollte es nun auch denen die ihre Clients nicht umstellen konnten wieder möglich sein wie gewohnt zu jabbern. Viel Spaß!

Nach dem ganzen Theater mit dem Serverumzug habe mir erstmal ne kleine Pause gegönnt, auch wenn noch die eine oder andere Kleinigkeit nicht 100%ig erledigt war. Anbei ein kleiner update:

mailman

Wie einige von Euch bereits bemerkt haben, haben wir den mailman deaktiviert. Die vorhandenen Listen wurden in normale Aliase bzw. Mailverteiler umgewandelt. Wer einen Verteiler ändern muss, kann das bis auf weiteres mit dem postfixadmin tun. Einfach hier melden. Wie das mit den Listen weitergeht, müssen wir noch sehen. Eine wirkliche Mailingliste war, so wie ich das sehe, gar nicht dabei, so dass ihr evtl. mit einfachen Mailgruppen bzw. Verteilern besser bedient seid. Please comment.

squirrelmail

Da sind evtl. einige Plugins nicht mit umgezogen, offenbar gab es die Möglichkeit, im squirellmail Mailfilter zu bearbeiten. Muss ich mir ansehen. Da wir eh vorhaben Serverseitige Mailfilter einzurichten, wird das wohl in dem Zuge mit geregelt.

Spamfilter

Die integration von DSPAM ind das neue Mailsystem ist so gut wie fertig - ich teste bereits mit meiner eigenen Domain. Sobald wir support technisch wieder besser besetzt sind, könnte man das für alle Mailuser einschalten.