Hallo trash.netter Das Vorhaben, die Sicherheit für trash.net zu erhöhen, hat primär zum Ziel alle Klartext-Anmeldeverfahren zu vermeiden. Abschluss Phase 1 per 1. Juli: ============================== Ab sofort gelten folgende zwei Einschränkungen: A) SMTP AUTH nur noch über SSL/TLS ---------------------------------- Die Anmeldung am MTA von stinky.trash.net ist nur noch möglich, wenn die Verbindung über SSL/TLS verschlüsselt wird. Hinweis: die meisten Mailclients erlauben die Angabe von SSL/TLS beim Postausgangsserver B) FTP Anmeldung nur noch über SSL/TLS -------------------------------------- Die Anmeldung am FTP Server mit Benutzername ist nur noch möglich, wenn die Verbindung über SSL/TLS verschlüsselt wird. Hinweise: - wenn ein NAT-Router oder eine Firewall im Spiel ist, dann funktioniert die Kommunikation nur im Passiv-Modus, da der NAT-Router oder die Firewall keine Möglichkeit mehr hat die Portaushandlung für den Datachannel mitzuverfolgen. Zudem muss jede Outbound-Verbindung auf Upper-Ports erlaubt sein. - das Serverzertifikat lautet auf mail.trash.net (gleiches Zertifikat wie für Mailserver) - FTP Servertyp: z.B. bei FileZilla "FTP über SSL (Explizite Verschlüsselung)" - wenn kein SSL/TLS-fähiger FTP-Client vorhanden ist, empfiehlt sich als Alternative scp oder "ftp over ssh" - Anonymous-Login funktioniert weiterhin standardmässig. Als Workaround kann /incoming über anonymous-ftp verwendet werden, was über /home/anon-ftp/incoming im Filesystem sichtbar ist. Aber bitte nichts vertrauliches ablegen, da die Files nicht gelöscht werden können und jederman Read-Rechte hat. Lösch-Anträge bitte an techstaff(a)trash.net richten. Im Vorfeld zur Umstellung wurden die betroffenen Benutzer so weit im Log sichtbar vorgängig informiert. Start von Phase 2 ab sofort: Umstellung auf SSL/TLS für Mailclients =================================================================== Zieltermin Abschluss Phase 2: 31.07.2009 Bitte stellt euren Mailclient komplett auf SSL/TLS um beim Zugriff über POP3 oder IMAP. Per 1. August wird die Klartextanmeldung durch den Mailclient nicht mehr unterstützt. Ausblick Phase 3: Austausch SSH Serverkeys ========================================== wir werden in nächster Zukunft die SSH Serverkeys durch stärkere Keys ersetzen. Die Fingerprints werden vorgängig über Email bekanntgegeben. Bei Rückfragen stehe ich gerne zur Verfügung. Meldungen über Störungen bitte an support(a)trash.net richten. Othmar Truniger URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch ____________________________________________________