GHOST Sicherheitslücke (CVE-2015-0235) – Linux Systeme (und natürlich Mailserver) schnellstmöglich patchen

Am 27.01.2015 wurde eine neue Sicherheitslücke der GLIBC mit dem Namen “GHOST” bekannt:

– https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
– https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

Die Sicherheitslücke selbst ist ziemlich alt. Betroffen sind zahlreiche Linux Systeme. Nach Informationen von heise.de sind der Mailserver Exim, und auch der Mailserver procmail betroffen. Der Fehler liegt in der Funktion gethostbyname().

Unser Mailserver-Produkt AXIGEN ist nicht betroffen, wie wir analysiert haben.

Nachdem jedoch auch weitere Programme und Dienste auf dem Server betroffen sein können, empfehlen wir dennoch die Systeme schnelstmöglich über die Paketverwaltung zu aktualisieren.

Weiterlesen

Benimmregeln für E-Mails am Beispiel von Coca Cola

Im Geschäftsalltag sind E-Mails mit Sicherheit das Kommunikationsmittel Nr.1 – doch auch wie im restlichen Leben, sollte es Benimmregeln für E-Mails geben. Eine Art Knigge für E-Mails.

Ein interessanter Beitrag zeigt, wie es Coca Cola handhabt: http://qz.com/320112/heres-the-genius-way-coca-cola-employees-manage-their-email/

Ein Tipp von Coca Cola besagt z.B.:

Versende keine E-Mails am Wochenende. Vor allem nicht als Führungskraft. Lass Deine Mitarbeiter in Ruhe. Wenn man am Wochenende arbeitet, OK. Aber alle anderen, die nicht am Wochenende arbeiten möchten auch keine Mails erhalten (dank Smartphone und Co. nicht so einfach). Daher lieber am Wochenende vorbereiten und Montag direkt am Morgen versenden. Dringliche Sachen und wenn man den anderen mit Sicherheit erreicht, sind davon natürlich ausgenommen. Das sorgt für Erholung der Anderen.

Ein Tipp, den wir bei uns im Unternehmen umsetzen werden!

Weiterlesen

Abschaltung der DNS-Blacklist AHBL und die Folgen

Die DNS-Blacklist AHBL (Abusive Hosts Blocking List) stellte bereits zum Jahreswechsel ihre Dienste ein. Das wurde bereits im März 2014 angekündigt. Das hatten entweder einige nicht mitbekommen oder vergessen.

Die Blacklist existiert zwar weiter, markiert jedoch ALLE E-Mails seit Jahreswechsel als Treffer, also als Spammer und damit geblockt.

Gestern, am 07.01.2015 kam es zu zahlreichen Problemen, da viele Dienste noch diese Blacklist eingebunden hatten. Dies führte zu zahlreichen abgelehnten Mails, die nicht zugestellt werden konnten.

Leider gab es auch einige versteckte Nutzungen der Liste (als Sammel oder Fallback-Score), sodass es nicht immer einfach ist, herauszufinden, ob die Liste verwendet wird oder nicht.

Das Verhalten der AHBL ist schwer nachzuvollziehen, denn letztlich wurde eine Massenwelle ausgelöst. Eine einfache Abschaltung wäre besser gewesen.

So wurden nämlich genau die Falschen bestraft: Mails gehen an einen Server, der noch die Blacklist (ggf. auch unbewusst) verwendet. Der Absender erhält eine Warung zurück, dass sich sein Mailserver auf der Liste befindet und informiert seine eigene IT. Diese sucht dann ggf. verzweifelt, warum man auf der Blacklist sei und ob die eigene Infrastruktur betroffen ist. Ist sie natürlich nicht.

Stattdessen wird großer Aufwand (und ggf. weitere Probleme) produziert, der nicht hätte sein müssen.

Daher muss jeder Admin nun prüfen, ob er (oder eine Sub-Dienst) diese Liste noch einsetzt und unbedingt aus der Verwendung entfernen. Diese Liste kann ggf. auch im Spamassassin eingebunden sein.

Weiterlesen

Prüfung des Mailserver-Virenschutzes / Virenscanner

Um den Virenscanner / Virenfilter auf Ihrem System gefahrlos zu testen, bietet sich der EICAR-Testvirus an.

Es handelt sich dabei um eine ganz harmlose Zeichenfolge:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Diese Zeichenfolge wird von allen Virenscanner-Herstellern als Virus identifiziert. Sie können sich diesen Text selbst als Mail senden, um Ihren Mailserver zu testen. Es kann jedoch sein, dass diese Mail dann bereits beim Versand gefiltert wird und nie ankommt.

Alternativ können Sie auch den heise Emailcheck verwenden.

Weiterlesen

Mails zukunftssicher verschlüsseln mit PFS (Perfect Forward Secrecy)

Zahlreiche SSL-Sicherheitslücken und nicht zuletzt der NSA-Skandal machen den Einsatz von PFS  unumgänglich. Wie PFS funktioniert, können Sie z.B. hier nachlesen.

Um Ihren Mailserver mit PFS abzusichern, ist es notwendig, dass ihr Mailserver PFS überhaupt unterstützt (das tun noch nicht alle Produkte) und Sie die richtigen Cipher-Suites verwenden.

Bei unserem Mailserver AXIGEN (ab Version 8.2.) funktioniert das in den SSL-Listener-Einstellungen:

cipher
Der zu verwendende Cipher lautet:

ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Sobald der Cipher entsprechend eingetragen wurde, z.B. beim Webmail-Listener, kann die Unterstützung für PFS mit folgendem Kommando geprüft werden:

openssl s_client -connect SERVER:PORT -showcerts -crlf -cipher ECDHE-RSA-RC4-SHA

SERVER und PORT sollten natürlich durch die gewünschten Werte ausgetauscht werden.

Die Ausgabe sieht dann wie folgt aus, dort finden Sie die Bestätigung, dass die korrekten Cipher verwendet werden:

openssl2

Weiterlesen