Schutz Ihres Kundencenter-Logins

Am Mittwoch, den 23. November nehme ich eine neue Sicherheitsmaßnahme in Betrieb, die den Login-Bereich des Kundencenters betrifft.

Was ändert sich?

Sobald die Änderung live ist, läuft Ihr bisheriges Passwort zum Login in das Kundencenter ab! Logins für E-Mail, FTP oder Datenbank sind davon nicht betroffen.
Nutzen Sie einfach die Passwort-vergessen-Funktion, um ein eues Passwort festzulegen.

In Zukunft wird es dann so sein, dass der Zugang zum Kundencenter nach dreimaliger falscher Eingabe gesperrt wird und sie automatisch eine E-Mail mit einem Link erhalten, um Ihr Passwort zurückzusetzen.
Dieser Link hat eine Gültigkeit von 24 Stunden.

Sollten Komplikationen bei Ihnen auftreten oder Rückfragen bestehen, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

Upgrade der Serverlandschaft

Um mit den steigenden Anforderungen aktueller Applikationen an die Leistungsfähigkeit der Hardware auch weiterhin mithalten zu können und darüber hinaus für die Zukunft ein paar Leistungsreserven vorzuhalten, wird die gesamte Serverlandschaft auf neue Systeme migriert.

Sowohl die neuen Webserver, als auch die neuen Datenbankserver verfügen dann über schnelle SSD-Festplatten und eine höhere Prozessorleistung, was die Verarbeitungsgeschwindigkeit bei Datenbankanfragen und beim Disk-Caching um ein vielfaches erhöhen wird.

Ablaufplan der Aktualisierung

  1. Der Umzug auf die neuen Systeme findet in der Nacht von Sonntag, den 10. auf Montag, den 11. April statt.
  2. Gegen Mitternacht werden die Systeme ordnungsgemäß heruntergefahren und vom Netz getrennt, um den Datentransfer auf die neuen Systeme durchzuführen.
  3. Sobald die neuen Server betriebsbereit sind, werden sie wieder ans Netz genommen und und es wird ein abschließender Test durchgeführt.

Im Rahmen der Resynchronisierung der Systeme kommt es zu einem Ausfall Ihrer Internetpräsenzen von bis zu zwei Stunden.
Der E-Mail-Verkehr ist davon nicht betroffen — E-Mails werden regulär zugestellt.

Das Team aus dem Rechenzentrum und ich haben das Upgrade in den letzten Wochen intensiv vorbereitet und durchgeplant, sodass mit keinerlei Komplikationen zu rechnen ist. Sollte es wider Erwarten zu Problemen kommen, die mit vertretbarem Zeitaufwand nicht in der Nacht gelöst werden können, findet ein Rollback auf die alten Systeme statt. Sollte dieser Fall eintreten, werde ich Sie über einen neuen Termin informieren.

Sollten Komplikationen bei Ihnen auftreten oder Rückfragen bestehen, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

Serverstandort Deutschland

Im Rahmen der aktuellen Datenschutzdiskussionen, insbesondere was die Datenschutzgesetze anderer Länder, allen voran den USA anbelangt, habe ich mich dazu entschlossen, meine Server ausschließlich in Deutschland zu betrieben.

Die meisten systemrelevanten Systeme sind werden bereits in Deutschland betrieben und die Sekundärsysteme ziehen in den nächsten Wochen aus dem europäischen Ausland ebenfalls nach Deutschland.

Alle Systeme werden dann in einem zertifizierten Hochsicherheits-Rechenzentrum in Köln lokalisiert sein, welches sich auf HighEnd-Housing spezialisiert hat. Sie werden zu 100% mit Ökostrom betrieben und das Rechenzentrum selbst arbeitet komplett klimaneutral.

Bezahlen via PayPal

Zusätzlich zur bequemen Zahlung auf Rechnung oder via SEPA-Lastschrift bieten wir ab sofort auch die Bezahlung via PayPal an.

Sie finden dazu in jeder Rechnung-E-Mail einen Link, mit dem Sie die offene Rechnung bequem mit Ihrem PayPal-Konto bezahlen können.

OpenSSL-Sicherheitslücke „Heartbleed“

Die vor kurzem bekanntgewordene Sicherheitslücke bei der verschlüsselten Übertragen von Daten von und zum Web- oder Mailserver ermöglicht das Auslesen der übertragenen Daten.
Damit können Angreifer die an sich verschlüsselten Daten (wie zum Beispiel Benutzernamen, Passwörter, Konto- & Kreditkartendaten oder E-Mail-Inhalte) durch direkten Speicherzugriff im Klartext auslesen.

Da die OpenSSL-Bibliotheken zum quasi-Standard vieler Linux-Distributionen gehören, ist die Verbreitung des Bugs weltweit massiv und der anzunehmende Schaden dementsprechend immens.
Aufgrund der technischen Position der Sicherheitslücke ist es nicht möglich herauszufinden, ob die Lücke in einem Webserver bereits ausgenutzt wurde.

Ich habe den heutigen Tag damit zugebracht alle Server und Dienste auf die Sicherheitslücke zu testen und es ist mir eine Freude an dieser Stelle mitteilen zu können, dass meine Server von dem Bug nicht betroffen sind, da ich bei der Konfiguration auf den Einsatz des Heartbeat-Protokolls (daher der Name „Heartbleed“) verzichtet habe.
Es ist somit nicht nötig, bestehende SSL-Zertifikate zurückzuziehen und neu zu beantragen. Auch die Mailserverkonfigurationen können wie gewohnt beibehalten werden. Zu keinem Zeitpunkt konnten verschlüsselt übertragene Informationen von oder zu meinen Web- oder Mailservern ausgelesen werden!

Weiterführende Informationen über die Sicherheitslücke hat Anna Biselli auf Netzpolitik.org veröffentlicht. Wer es gerne etwas technischer mag, findet auf Heartbleed.com die genauen Details.

SEPA-Umstellung abgeschlossen

Wir haben in den vergangenen Wochen die Umstellung vom alten Lastschriftverfahren auf das neue SEPA-Lastschriftverfahren nun heute erfolgreich abgeschlossen und alle bisherigen Kunden mit Lastschriftzahlung auf das neue System migriegt.

Wenn auch Sie tun Zukunft lieber die bequeme Zahlung via Lastschrift mit einem Zahlungsziel von 14 Tagen nutzen möchten, geben Sie uns einfach kurz bescheid, dann senden wir Ihnen das Formular zu.

Generator für Verschwiegenheitserklärungen (NDA) verfügbar

Gerade Webhosting ist ein äußerst empfindliches Datenschutz- und Datensicherheitsthema, da in diesem Bereich besonders viele sensible Daten verarbeitet und gespeichert werden.

Daher biete ich schon länger an, eine Verschwiegenheitserklärung (kurz: NDA, non-disclosure-agreement) mit meinen Kunden abzuschließen. Damit dies in Zukunft einfacher ist, biete ich das Formular nun auch als Generator an.

Sie erreichen den Generator im Bereich „Tools“ und dann „Formulare“ über die Webseite.

Deaktivierung von SMTP after POP

Was ist SMTP-after-POP?

Beim E-Mail-Versand erfolgt am Postausgangsserver die Abfrage der E-Mail-Adresse sowie des zugehörigen Passworts. Nur wenn diese Zugangsdaten korrekt sind, erfolgt der Versand der E-Mail.

Zur Überprüfung der Zugangsdaten gibt es zwei unterschiedliche Verfahren, „SMTP-Auth“ und „SMTP-after-POP“. Während beim modernen Standardverfahren „SMTP-Auth“ explizit die Anmeldung mit E-Mail-Adresse und Passwort am Postausgangsserver erfolgt, geschieht dies beim veralteten „SMTP-after-POP“ nicht. Hier ist ein Versand möglich, wenn zuvor eine Anmeldung am Posteingangsserver mit den Zugangsdaten erfolgt ist. Das E-Mail-System merkt sich dabei die entsprechende IP-Adresse und erlaubt für einen gewissen Zeitraum das Versenden von Nachrichten ohne weitere Authentifizierung am Postausgangsserver.

Warum wird SMTP-after-POP zum 02.09.2013 deaktiviert?

Bedingt durch die beschriebene technische Besonderheit von SMTP-after-POP ergeben sich für mich als Provider im täglichen Betrieb leider immer wieder erhebliche Probleme bei der SPAM-Bekämpfung. Da keine eindeutige Authentifizierung erfolgt, ist ein E-Mail-Versand auch unbefugten Dritten möglich, wenn temporär dieselbe IP-Adresse genutzt wird — beispielsweise über ein öffentlich zugängliches oder nicht gesichertes Netz.

Das weitere Bereitstellen von SMTP-after-POP ist mir daher in Zukunft nicht mehr möglich und ich bitte um Ihr Verständnis, das Verfahren ab dem 2. Oktober 2013 nicht mehr zum Versand von E-Mails anzubieten. Sollten Sie derzeit noch SMTP-after-POP nutzen, ist ein Umsteigen auf das moderne und sichere SMTP-Auth erforderlich. 

So stellen Sie um

Rufen Sie in Outlook die Kontoeinstellungen auf, wählen Sie das Postfach aus für das Sie die Einstellungen kontrollieren möchten und klicken Sie auf „Ändern“. Unten rechts dann auf „Weitere Einstellungen“ und der Reiter „Postausgangsserver“ sollte bei Ihnen dann so aussehen:

Bitte stellen Sie Ihr E-Mail-Programm bis zum 2. Oktober um, ansonsten können Sie keine E-Mails mehr versenden!

Sollten Komplikationen bei Ihnen auftreten oder Rückfragen bestehen, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

HTTP Status- und Fehlercodes verstehen

Auf Anfragen an einen Server erhält man als Antwort stets auch einen Statuscode, der technisch über das Ergebnis der Anfrage informiert. Insbesondere im Fehlerfall können die Statuscodes hilfreiche Informationen liefern, um dem Problem auf die Spur zu kommen.

Folgend eine Liste der gängigsten HTTP-Statuscodes:

200er Statuscodes für Erfolgsmeldungen

Bei erfolgreichen Operationen erhält man einen 200er Statuscode zurück:

  • 200 OK
  • 201 Created
  • 202 Accepted
  • 203 Non-Authorative Information
  • 204 No Content
  • 205 Reset Content
  • 206 Partial Content

300er Statuscodes für Weiterleitungen

Für eine erfolgreiche Bearbeitung sind weitere Schritte seitens des Clients erforderlich, meist Verweise auf andere URLs:

  • 300 Multiple Choices
  • 301 Moved Permanently
  • 302 Moved Temporarily
  • 303 See Other
  • 304 Not Modified
  • 305 Use Proxy

400er Statuscodes für Client-Fehlermeldungen

Bei der Ausführung der Anfrage ist ein Fehler aufgetreten, den der anfragende Client verursacht hat:

  • 400 Bad Request
  • 401 Authorization Required
  • 402 Payment Required (not used yet)
  • 403 Forbidden
  • 404 Not Found
  • 405 Method Not Allowed
  • 406 Not Acceptable (encoding)
  • 407 Proxy Authentication Required
  • 408 Request Timed Out
  • 409 Conflicting Request
  • 410 Gone
  • 411 Content Length Required
  • 412 Precondition Failed
  • 413 Request Entity Too Long
  • 414 Request URI Too Long
  • 415 Unsupported Media Type

500er Statuscodes für Server-Fehlermeldungen

Der der Ausführung der Anfrage ist ein Fehler auf Serverseite aufgetreten:

  • 500 Internal Server Error
  • 501 Not Implemented
  • 502 Bad Gateway
  • 503 Service Unavailable
  • 504 Gateway Timeout
  • 505 HTTP Version Not Supported