WIRed-Net

Wir haben SSLv3 bei folgenden Diensten deaktiviert:

- HTTPS (Webseiten)
- FTPS/SFTP (Dateiübertragungen)
- SMTP, POP3, IMAP (E-Mail)

Sollten Sie Probleme haben, Verbindungen zu diesen Diensten aufzubauen, konfigurieren Sie bitte Ihre Programme oder Skripte so, dass das Nachfolgeprotokoll TLS zum Einsatz kommt.

Bereich:

Sicherheit

Durchgeführt:

Bereits am 17.Oktober 2014 12:00 CET

Um der letzter Zeit steigenden Spamflut entgegen zu treten haben wir uns dazu entschieden, zusätzlich das Greylisting einzuführen. Dieses wird am 27.01.2016 13:00 aktiviert.

Bitte lesen Sie den nachfolgenden Info Text durch.

Was ist Greylisting?

Greylisting (oder auch manchmal "Graylisting") ist ein Mittelweg zwischen Black- und Whitelisting.
Blacklists werden eingesetzt um Emails vollständig zu blocken und Whitelists um Emails (ungeprüft) durch zu lassen, bildet Greylisting die Mitte:
Der erste Kontakt wird geblockt und erst der Zweite Kontakt wird durchgelassen.
Um diese Funktion und den sinnvollen Einsatz zu verstehen bedarf es einiger Erklärung:

Fragen und Antworten:

Wie funktioniert Greylisting?

Greylisting merkt sich ein Trippel aus den Eingangsdaten:
1. IP-Adresse des einliefernden Mail-Servers
2. Sender-Email-Adresse
3. Empfänger-Email-Adresse

Beim ersten Kontakt merkt sich Greylisting dieses Trippel und meldet dem einliefernden Mailserver einen Temporary not available. Jeder richtige Mailserver erkennt diesen Fehlercode und versucht es nach einiger Zeit noch einmal.
Sobald dieser Server es nochmal versucht, erscheint dieses Trippel ein zweites Mal im Greylisting. jetzt weiß die Software, dass es sich hierbei um einen echten Mailserver handelt. Dieses Trippel wird dann für einige Zeit (z.B. 1 Monat) auf eine Whitelist gesetzt, so dass der folgende Emailverkehr nicht behindert wird.

Warum funktioniert Greylisting?

Greylisting blockt deshalb viele Spam-Emails, weil viele Spam-Programme  nur die Daten raushauen ohne auf Fehlermeldungen Rücksicht zu nehmen. Insbesondere versuchen Sie es nur in seltenen Fällen ein zweites Mal mit dem selben Trippel. Denn Spam-Versand ist inzwischen in vielen Ländern eine Straftat. D.h. der Spammer muss sich ständig verstecken und wechselt daher regelmäßig die IP und nutzt überwiegend zufällige Absender-Adressen.

Daher ist diese Methode deutlich effektiver und auch Ressourcen sparender als z.B. ein SpamAssassin und/oder RBL-Blocking.

Welche Nachteile hat Greylisting?

Der Zeitverzug beim "Erstkontakt" ist der größte Nachteil. Dies trifft vor allem neue Geschäftsbeziehungen im Business-Bereich.

Viele E-Mail Nutzer denken  immer gleich, daß wichtige Emails nicht mehr durchkommen.
Dieses ist definitiv nicht der Fall!
Denn die wichtigen (und eben auch realen) Emails werden immer über Email-Server verschickt. Dieser versucht grundsätzlich die Email über einen längeren Zeitraum zu verschicken.

Manche unbedarfte Benutzer haben Angst, dass deren Kontakte die Email ein zweites Mal schicken müssen.
Nein, das übernimmt der Email-Server!

Für Webhoster und Server-Admin's ist hier häufig Überzeugungsarbeit zu leisten. Ein paar Argumente:
- "Alle Emails kommen an. Nur die Erste braucht geringfügig länger."
- "Es betrifft nur den Erstkontakt!"
- "Ihre Kontakt-/Bestell-Formulare auf der Website sind davon nicht betroffen."
- "Ihre verschickten Emails sind davon nicht betroffen!"
- "Lesen Sie den Artikel bei Wikipedia!"
- "Dafür sparen Sie sich viele Spams am Tag."

Warum kommen immer noch Spam-Mails an?

Meistens sind es Emails, die über einen realen Email-Server versendet werden. Das kann verschiedene Gründe haben. Meistens aber den Grund, daß dieser Server nicht mehr 100%ig unter der Kontrolle des Administrators steht oder ein E-Mailaccount gehackt wurde und mit dessen Zugangsdaten Spam-Mails versendet werden.
Das letztere ist wird aber von dem jeweiligen Administrator schnell erkannt und der Account zwangsmäßig mit einem neuen Passwort versehen und der Accountbesitzer benachrichtigt.

Sollten durch das Greylisting bei Ihnen Probleme entstehen, bitten wir Sie den üblichen Weg für die Problemlösungsmeldung zu gehen.

Bereich:

E-Mail

In der letzten Zeit häufen sich Probleme betreffs E-Mailversand über unsere E-Mailserver (post2.wired-net.de). Wir sind der Sache nachgegangen und haben folgendes festgestellt:

-Es betrifft nur Telekom-Kunden bei denen der Speedport-Router auf das Modell “W 724V” ausgetauscht wurde.

Warum:
Bei den aktuellen Speedport-Routern (Modell “W 724V”) der Deutschen Telekom treten beim Mailversand über unseren SMTP Server (post2.wired-net.de) Probleme auf. Die Telekom hat in dem o.g. Speedportrouter standardmäßig alle SMTP-Server bis auf die eigenen und die weniger anderer großer Anbieter gesperrt. Betroffen sind insbesondere Telekom-Kunden, die im Rahmen der Umstellung auf den IP-basierten Anschluss einen neuen Router erhalten haben.

Um wieder E-Mails über unsere SMTP-Server versenden zu können, müssen Sie die Sperre entweder entweder ganz deaktivieren, oder den WIRED-NET SMTP-Server manuell freischalten.

1. Loggen Sie sich dazu im Web-Interface des Routers (URL: “speedport.ip”) ein.
2. wählen Sie oben das Menü “Internet”.
3. Sie finden dort links ein Menü “Liste der sicheren E-Mail-Server”.
4. wählen Sie entweder die Option “Liste der sicheren E-Mail-Server verwenden” ab (Haken entfernen), oder fügen Sie den WIRED-NET SMTP-Server “post2.wired-net.de” zur Liste hinzu.

Die beste Wahl ist, die "Liste der sicheren E-Mail-Server" abzuwählen (Haken entfernen). Die Liste bringt absolut keinerlei Sicherheitsvorteile und dient nur dazu, eine gewisse Sicherheit bei den Providern, welche DE-Mail unterstützen, vorzutäuschen.

Ferner halten wir es für nicht gut, daß die Telekom fremde Mailserver unter "Genarverdacht" stellt, daß diese nicht sicher sind, hat doch die Telekom ihre eigenen Mailserver  erst ab Mai 2014   auf "Zwangsverschlüsselung" umgestellt. Da war es bei "Anderen" E-Mailanbietern bereits schon ein alter Hut.

Sollten Sie keine Zugriffmöglichkeit auf Ihren Speedport-Router haben (durch Telekom Sperrung) Rufen Sie den Telekom-Support an und bitten Sie darum, dass die "Liste der sicheren E-Mailserver" deaktiviert wird. Bestehen Sie darauf !!!

Bereich:

E-Mail

Aufgrund einer kürzlich bekannt gewordenen Sicherheitslücke im veralteten SSL-Protokoll 3.0 haben wir dieses Protokoll deaktivieren.

Wir erwarten dadurch keine gravierenden Auswirkungen. Sollten Sie jedoch (sehr) alte Programme, wie zum Beispiel Internet Explorer 6 verwenden, wird die Verbindung zu SSL geschützten Diensten nicht mehr funktionieren.

Wir haben SSLv3 bei folgenden Diensten deaktiviert:

- HTTPS (Webseiten)
- FTPS/SFTP (Dateiübertragungen)
- SMTP, POP3, IMAP (E-Mail)

Sollten Sie Probleme haben, Verbindungen zu diesen Diensten aufzubauen, konfigurieren Sie bitte Ihre Programme oder Skripte so, dass das Nachfolgeprotokoll TLS zum Einsatz kommt.

Bereich:

Sicherheit

Durchgeführt:

17.Oktober 2014 12:00 CET

Da WIRED-NET  Produkte auf Linuxbasis einsetzt, möchten wir Sie Informieren, dass wir  (WIRED-NET) sämtliche dadurch bekannte Schwachstellen durch  Sicherheitsupdates umgehend beseitigt haben.

Dadurch konnte es in den vergangenen zwei Tagen zu kurzen Unterbrechungen kommen.

Links zu der Sicherheitslücke

http://heise.de/-2403305
http://heise.de/-2403607
http://www.golem.de/news/linux-shell-bash-sicherheitsluecke-erlaubt-codeausfuehrung-auf-servern-1409-109439.html
http://www.golem.de/news/bash-luecke-die-hintergruende-zu-shellshock-1409-109463.html

24.September 2014 12:00 CET