announce July 2009

announce@lists.trash.net

2 participants
2 discussions

Verbesserung der Sicherheit auf trash.net Abschluss Phase 2

by Othmar Truniger

Hallo trash.netter, Am 1. Juli 2009 habe ich folgende Information angekündigt: Start von Phase 2 ab sofort: Umstellung auf SSL/TLS für Mailclients =================================================================== Zieltermin Abschluss Phase 2: 31.07.2009 Bitte stellt euren Mailclient komplett auf SSL/TLS um beim Zugriff über POP3 oder IMAP. Per 1. August wird die Klartextanmeldung durch den Mailclient nicht mehr unterstützt. Der Zieltermin ist sehr bald erreicht und deshalb hier nochmals die detaillierte Ankündigung: Ab 1. August sind Port 110 für POP3 und Port 143 für IMAP nicht mehr aktiv. Stattdessen sind die Dienste nur noch über POP3S (Port 995) und IMAPS (Port 993) erreichbar. Ich hoffe, dass alle betroffenen User diese Information noch vorher zur Kenntnis nehmen. Zusätzlicher Hinweis: Wir haben vor, den aktuellen POP3/IMAP Server gelegentlich durch Dovecot zu ersetzen. Grund: bessere Software-Qualität, bessere Konfigurationsmöglichkeiten, bessere Performance. Gesucht sind Test-Piloten für Dovecot, welche bereit sind, bei allfälligem Fallback gewisse manuelle Korrekturen vorzunehmen. Weil Dovecot eine eigene, verborgene Filestruktur unter ~/mail/.imap anlegt, müsste diese manuell wieder entfernt werden, damit sie unter dem aktuellen Standard-Daemon nicht stört. Der wesentliche Unterschied von Dovecot zum aktuellen POP3/IMAP Daemon: es gibt unter IMAP keine automatische Verschiebung mehr von Mails aus der Inbox ins mbox-File im Home. Dies muss nun manuell vorgenommen werden, damit sich die Grössenbeschränkung des MTA nicht auf die Inbox auswirkt. Alternativ kann direkt aus der Inbox in Mailfolders (Ablage) verschoben werden. Zugangsinformation für Test-Piloten: Dovecot IMAPS: Port 9993 für stinky.trash.net IPv4 und IPv6 Dovecot POP3S: Port 9995 für stinky.trash.net IPv4 und IPv6 Feedback willkommen. Gruss, Othmar Truniger Sysadmin trash.net

15 years, 4 months

Verbesserung der Sicherheit auf trash.net

by truniger

Hallo trash.netter Das Vorhaben, die Sicherheit für trash.net zu erhöhen, hat primär zum Ziel alle Klartext-Anmeldeverfahren zu vermeiden. Abschluss Phase 1 per 1. Juli: ============================== Ab sofort gelten folgende zwei Einschränkungen: A) SMTP AUTH nur noch über SSL/TLS ---------------------------------- Die Anmeldung am MTA von stinky.trash.net ist nur noch möglich, wenn die Verbindung über SSL/TLS verschlüsselt wird. Hinweis: die meisten Mailclients erlauben die Angabe von SSL/TLS beim Postausgangsserver B) FTP Anmeldung nur noch über SSL/TLS -------------------------------------- Die Anmeldung am FTP Server mit Benutzername ist nur noch möglich, wenn die Verbindung über SSL/TLS verschlüsselt wird. Hinweise: - wenn ein NAT-Router oder eine Firewall im Spiel ist, dann funktioniert die Kommunikation nur im Passiv-Modus, da der NAT-Router oder die Firewall keine Möglichkeit mehr hat die Portaushandlung für den Datachannel mitzuverfolgen. Zudem muss jede Outbound-Verbindung auf Upper-Ports erlaubt sein. - das Serverzertifikat lautet auf mail.trash.net (gleiches Zertifikat wie für Mailserver) - FTP Servertyp: z.B. bei FileZilla "FTP über SSL (Explizite Verschlüsselung)" - wenn kein SSL/TLS-fähiger FTP-Client vorhanden ist, empfiehlt sich als Alternative scp oder "ftp over ssh" - Anonymous-Login funktioniert weiterhin standardmässig. Als Workaround kann /incoming über anonymous-ftp verwendet werden, was über /home/anon-ftp/incoming im Filesystem sichtbar ist. Aber bitte nichts vertrauliches ablegen, da die Files nicht gelöscht werden können und jederman Read-Rechte hat. Lösch-Anträge bitte an techstaff(a)trash.net richten. Im Vorfeld zur Umstellung wurden die betroffenen Benutzer so weit im Log sichtbar vorgängig informiert. Start von Phase 2 ab sofort: Umstellung auf SSL/TLS für Mailclients =================================================================== Zieltermin Abschluss Phase 2: 31.07.2009 Bitte stellt euren Mailclient komplett auf SSL/TLS um beim Zugriff über POP3 oder IMAP. Per 1. August wird die Klartextanmeldung durch den Mailclient nicht mehr unterstützt. Ausblick Phase 3: Austausch SSH Serverkeys ========================================== wir werden in nächster Zukunft die SSH Serverkeys durch stärkere Keys ersetzen. Die Fingerprints werden vorgängig über Email bekanntgegeben. Bei Rückfragen stehe ich gerne zur Verfügung. Meldungen über Störungen bitte an support(a)trash.net richten. Othmar Truniger URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch ____________________________________________________

15 years, 5 months

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000

1999

1998

announce July 2009