CPU Sicherheitslücken Meltdown und Spectre

Seit einigen Tagen wird im Netz über CPU Sicherheitslücken bekannt als Meltdown und Spectre, diskutiert. Die seit dem 3.1.2018 bekannten Sicherheitslücken wurden durch das Google Project „Zero“ veröffentlicht. Dabei sind mehrere CPU´s von Intel, AMD und ARM betroffen.

Auch wir haben dies durch verschieden Blogs, Foren und Beiträgen in den sozialen Netzen mitbekommen und verfolgt. Damit unsere Mitglieder sich keine Sorgen machen müssen, wurde an den Servern bereits die nötigen Updates eingespielt damit die Sicherheitslücken behoben werden und der Normalbetrieb nicht gefährdet ist. Aber was sind diese Sicherheitslücken und was machen sie genau?

Dazu eine Erläuterung wie solche Sicherheitslücken funktionieren.

Sicherheitslücke „Meltdown „

Programme die auf einem System laufen, sind Normalerweise isoliert vom Bietriebssystem (z.B. Word läuft Eigenständig und ist nicht von Windows anhängig). Meltdown durchbricht diese Isolation und kan ggf. Durch Programme an Administrationszungängen gelangen und dabei das System beeinträchtigen.

Sicherheitslücke „Spectre“

Die Sicherheitslücke durchbricht die Isolation zwischen den Programmen. Auch wenn Programme „fehlerfrei“ sind, kann Spectre diese manipulieren und die Sicherheitslücke ausnutzen. Dennoch ist das Prozedere schwerer durchzuführen als bei Meltdown.

Die Sicherheitslücke kann jedoch nur ausgenutzt werden wenn man selbst Zugang zum System hat (SSH Zugang  oder Remote Desktop Zugang). Da dies bei unseren Systemen nicht möglich ist, ist das anwenden der beschriebenen Sicherheitslücke nicht möglich. Dennoch wurde zu Gunsten der Sicherheit der Daten unserer Mitglieder alle Systeme auf den neuesten Stand gebracht . Die Sicherheitslücke sind somit behoben.

Falls weitere Fragen zum Thema Sicherheit aufkommen, beantworten wir diese gerne per E-Mail oder im SupportCenter.

Neues Zertifikat & OpenDKIM Update

Soeben wurden auf allen Domain´s (www.bigcitymail.de, support.bigcitymail.de, mailcenter.bigcitymail.de usw) ein neues Zertifikat installiert. Das Zertifikat stammt von GeoTrust Inc und ist ein RapidSSL Wildcard Zertifikat. Die jenigen die sich mit Zertifikaten auskennen wissen was damit gemeint ist.

Dabei handelt es sich um ein Zertifikat für eine Hauptdomain und dazugehörigen Subdomains. Solche Zertifikate sind sehr hochwertig und bieten optimalen Schutz auf Webseiten und Shops. Da das MailCenter ebenfalls mit dem Zertifikat ausgestattet wurde, sind Aktionen im Eingeloggten Bereich und die Registrierung noch mal ein großes Stück sicherer geworden. Ihr könnt das Zertifikat nicht nur am grünen Schloss in eurem Browser erkennen sondern auch in der Information die euch euer Browser über das Zertifikat mitteilt.

Dieses Beispiel zeigt die Information aus dem Firefox Browser.

Die OpenDKIm Signatur wurde heute einem kleinem Update unterzogen. Dabei wurde  der private Schlüssel und der öffentliche Schlüssel erneuert und in jeder Domain hinterlegt. Der Empfänger sieht dass die E-Mail von „bigcitymail.de“ signiert ist. Die Signatur wird jedoch nur vom Server beigefügt wenn die Mail vom MailCenter aus versendet wird. Nutzer die einen Internetanschluss mit fester IP Adresse haben, können ihre IP gerne im Support mitgeteilt werden. Die IP Adresse wird als „Trusted Host“ im Server hinterlegt. Anschließend werden E-Mails die z.B. über Outlook versendet werden, automatisch vom Server signiert. Bitte teilt uns eure E-Mailadresse und die IP Adresse eures Routers mit damit wird dementsprechend einen Eintrag anlegen können. Nutzer die keine feste IP Adresse haben können dies jedoch mit DynDNS machen. Dazu gibt es in den Tagen eine Beschreibung in unserem Wiki was derzeit aufgebaut wird.

Für Fragen und Anregungen stehen wir euch gerne zur Verfügung.

Euch allen einen schönen ersten Advent.

Hinweis zur Zustellung von Microsoft Servern

Guten Morgen,

in den letzten Tagen beobachteten wir vermehrt  E-Mails von Microsoft Servern eingehen und immer wieder vom System auf die Greylist kommen. Es betreffen E-Mailadressen wie hotmail.com und live.com/.de. Da wir nicht abschätzen können ob es dich dabei um Spam Mails handelt und wir euch auch nicht Warten lassen wollen gibt es nun folgende Vorgehensweise. Wenn ihr eine Mail von den genannten Adressen erwartet, dann gebt uns bitte im Support Bescheid, damit für einen gewissen Zeitraum die Greylist deaktiviert wird und eure Mails ankommen. Wir werden mit euch einen Zeitraum absprechen wo die Greylist abgestellt wird. Bitte beachtet dabei dass während die Greylist abgestellt ist, Spam Mails bedingt zugestellt werden können. Dass heißt  zwar das der Spam Filter aktiv ist jedoch noch nicht alle Spam Mails erkennt. Im letzten Beitrag wurde erwähnt dass der Spam Filter noch in der Lernphase ist und die eine oder andere Spam Mail durchkommen kann. Dafür gibt es zusätzlich die Greylist. Diese prüft die Serveradresse. Wenn jedoch ein Verdacht auf Spam vorliegt, lehnt die Greylist die Mail ab mit dem Hinweis es später erneut zu versuchen. Wenn der gleiche Server dies dann innerhalb einer Stunde erneut versucht, wird die Mail seitens der Greylist durchgelassen und vor der Zustellung an den Spam Filter weitergegeben.

Bei den Microsoft Servern vermuten wir dass mehrere Mailserver mit unterschiedlichen IP Adressen im Einsatz sind. Wenn ein Server auf der Greylist landet wird diesem auch der Hinweis zurück gegeben es später erneut zu versuchen. Jedoch wird nicht der gleiche Server verwendet, sondern ein anderer. Dieser hat wiederum eine andere IP Adresse. Beim Versuch des 2. Servers landet er ebenfalls auf der Greylist. In der Zeit (ca 60 bis 120 Min) wird die Bestätigungsanfrage des ersten Servers wieder gelöscht und das Prozedere wiederholt sich. Deswegen auch unsere Bitte, meldet euch im Support wenn ihr von den Besagten Adressen eine Mail erwartet.

Update 18. November 2017:

Das Problem wurde gelöst.

Ihr könnt unter https://www.dnswl.org IP´s oder Servernamen selbst prüfen und feststellen die gewählten Server sicher bzw. unsicher sind.

Erweiterter Spamschutz aktiv

 

Ab heute ist der „Erweiterte Spamschutz“ mittels DKIM Prüfung und Einsatz von Spamassassin aktiv. Eingehende Mails werden zuvor auf eine gültige Signatur geprüft und anschließend wird durch Spamassassin der Score ermittelt. Der Score zeigt an ob es sich um eine Spammail handelt oder nicht. Je nach Höhe des Scores wird die Mail normal in Posteingang zugestellt oder im Spamordner abgelegt. Wenn der Score jedoch zu Hoch ist, wird die Mail vom System abgewiesen und nicht zugestellt. Da der Spamfilter sich noch in der „Lernphase“ befindet,, kann es vorkommen dass die eine oder andere Mail von z.B. Gmail, Web, GMX usw im Spamordner landen. Hier können Nutzer jedoch beitragen und im MailCenter bei jeder Mail angeben ob es sich dabei um Spam handelt oder nicht. Wenn dass mehrere male Wiederholt wird, merkt sich dies der Spamfilter und stellt die Mails dann richtig zu.

Unser Ziel ist es jedoch das Mails wie Prostata-Werbung, Potenzmittelangebote, Viagraversorgung usw fern bleibt und erst recht nicht zugestellt wird. Damit dies auch so bleibt werden wir regelmäßige Updates machen und dem Filter mit Spammails füttern damit er den Unterschied kennt.

Bezüglich der Signatur werden ab sofort Mails die über das MailCenter versendet werden mit einer DKIM Signatur versehen. Somit werden eure versendeten Mails als „echte“ Mails anerkannt und die Gefahr dass eure Mails im Spamordner landen minimiert sich.

Falls ihr Fragen oder Anregung zum Spamschutz habt, könnt ihr uns gerne im Support schreiben.