OpenSSL-Sicherheitslücke „Heartbleed“

Die vor kurzem bekanntgewordene Sicherheitslücke bei der verschlüsselten Übertragen von Daten von und zum Web- oder Mailserver ermöglicht das Auslesen der übertragenen Daten.
Damit können Angreifer die an sich verschlüsselten Daten (wie zum Beispiel Benutzernamen, Passwörter, Konto- & Kreditkartendaten oder E-Mail-Inhalte) durch direkten Speicherzugriff im Klartext auslesen.

Da die OpenSSL-Bibliotheken zum quasi-Standard vieler Linux-Distributionen gehören, ist die Verbreitung des Bugs weltweit massiv und der anzunehmende Schaden dementsprechend immens.
Aufgrund der technischen Position der Sicherheitslücke ist es nicht möglich herauszufinden, ob die Lücke in einem Webserver bereits ausgenutzt wurde.

Ich habe den heutigen Tag damit zugebracht alle Server und Dienste auf die Sicherheitslücke zu testen und es ist mir eine Freude an dieser Stelle mitteilen zu können, dass meine Server von dem Bug nicht betroffen sind, da ich bei der Konfiguration auf den Einsatz des Heartbeat-Protokolls (daher der Name „Heartbleed“) verzichtet habe.
Es ist somit nicht nötig, bestehende SSL-Zertifikate zurückzuziehen und neu zu beantragen. Auch die Mailserverkonfigurationen können wie gewohnt beibehalten werden. Zu keinem Zeitpunkt konnten verschlüsselt übertragene Informationen von oder zu meinen Web- oder Mailservern ausgelesen werden!

Weiterführende Informationen über die Sicherheitslücke hat Anna Biselli auf Netzpolitik.org veröffentlicht. Wer es gerne etwas technischer mag, findet auf Heartbleed.com die genauen Details.

SEPA-Umstellung abgeschlossen

Wir haben in den vergangenen Wochen die Umstellung vom alten Lastschriftverfahren auf das neue SEPA-Lastschriftverfahren nun heute erfolgreich abgeschlossen und alle bisherigen Kunden mit Lastschriftzahlung auf das neue System migriegt.

Wenn auch Sie tun Zukunft lieber die bequeme Zahlung via Lastschrift mit einem Zahlungsziel von 14 Tagen nutzen möchten, geben Sie uns einfach kurz bescheid, dann senden wir Ihnen das Formular zu.

Generator für Verschwiegenheitserklärungen (NDA) verfügbar

Gerade Webhosting ist ein äußerst empfindliches Datenschutz- und Datensicherheitsthema, da in diesem Bereich besonders viele sensible Daten verarbeitet und gespeichert werden.

Daher biete ich schon länger an, eine Verschwiegenheitserklärung (kurz: NDA, non-disclosure-agreement) mit meinen Kunden abzuschließen. Damit dies in Zukunft einfacher ist, biete ich das Formular nun auch als Generator an.

Sie erreichen den Generator im Bereich „Tools“ und dann „Formulare“ über die Webseite.

Deaktivierung von SMTP after POP

Was ist SMTP-after-POP?

Beim E-Mail-Versand erfolgt am Postausgangsserver die Abfrage der E-Mail-Adresse sowie des zugehörigen Passworts. Nur wenn diese Zugangsdaten korrekt sind, erfolgt der Versand der E-Mail.

Zur Überprüfung der Zugangsdaten gibt es zwei unterschiedliche Verfahren, „SMTP-Auth“ und „SMTP-after-POP“. Während beim modernen Standardverfahren „SMTP-Auth“ explizit die Anmeldung mit E-Mail-Adresse und Passwort am Postausgangsserver erfolgt, geschieht dies beim veralteten „SMTP-after-POP“ nicht. Hier ist ein Versand möglich, wenn zuvor eine Anmeldung am Posteingangsserver mit den Zugangsdaten erfolgt ist. Das E-Mail-System merkt sich dabei die entsprechende IP-Adresse und erlaubt für einen gewissen Zeitraum das Versenden von Nachrichten ohne weitere Authentifizierung am Postausgangsserver.

Warum wird SMTP-after-POP zum 02.09.2013 deaktiviert?

Bedingt durch die beschriebene technische Besonderheit von SMTP-after-POP ergeben sich für mich als Provider im täglichen Betrieb leider immer wieder erhebliche Probleme bei der SPAM-Bekämpfung. Da keine eindeutige Authentifizierung erfolgt, ist ein E-Mail-Versand auch unbefugten Dritten möglich, wenn temporär dieselbe IP-Adresse genutzt wird — beispielsweise über ein öffentlich zugängliches oder nicht gesichertes Netz.

Das weitere Bereitstellen von SMTP-after-POP ist mir daher in Zukunft nicht mehr möglich und ich bitte um Ihr Verständnis, das Verfahren ab dem 2. Oktober 2013 nicht mehr zum Versand von E-Mails anzubieten. Sollten Sie derzeit noch SMTP-after-POP nutzen, ist ein Umsteigen auf das moderne und sichere SMTP-Auth erforderlich. 

So stellen Sie um

Rufen Sie in Outlook die Kontoeinstellungen auf, wählen Sie das Postfach aus für das Sie die Einstellungen kontrollieren möchten und klicken Sie auf „Ändern“. Unten rechts dann auf „Weitere Einstellungen“ und der Reiter „Postausgangsserver“ sollte bei Ihnen dann so aussehen:

Bitte stellen Sie Ihr E-Mail-Programm bis zum 2. Oktober um, ansonsten können Sie keine E-Mails mehr versenden!

Sollten Komplikationen bei Ihnen auftreten oder Rückfragen bestehen, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

HTTP Status- und Fehlercodes verstehen

Auf Anfragen an einen Server erhält man als Antwort stets auch einen Statuscode, der technisch über das Ergebnis der Anfrage informiert. Insbesondere im Fehlerfall können die Statuscodes hilfreiche Informationen liefern, um dem Problem auf die Spur zu kommen.

Folgend eine Liste der gängigsten HTTP-Statuscodes:

200er Statuscodes für Erfolgsmeldungen

Bei erfolgreichen Operationen erhält man einen 200er Statuscode zurück:

  • 200 OK
  • 201 Created
  • 202 Accepted
  • 203 Non-Authorative Information
  • 204 No Content
  • 205 Reset Content
  • 206 Partial Content

300er Statuscodes für Weiterleitungen

Für eine erfolgreiche Bearbeitung sind weitere Schritte seitens des Clients erforderlich, meist Verweise auf andere URLs:

  • 300 Multiple Choices
  • 301 Moved Permanently
  • 302 Moved Temporarily
  • 303 See Other
  • 304 Not Modified
  • 305 Use Proxy

400er Statuscodes für Client-Fehlermeldungen

Bei der Ausführung der Anfrage ist ein Fehler aufgetreten, den der anfragende Client verursacht hat:

  • 400 Bad Request
  • 401 Authorization Required
  • 402 Payment Required (not used yet)
  • 403 Forbidden
  • 404 Not Found
  • 405 Method Not Allowed
  • 406 Not Acceptable (encoding)
  • 407 Proxy Authentication Required
  • 408 Request Timed Out
  • 409 Conflicting Request
  • 410 Gone
  • 411 Content Length Required
  • 412 Precondition Failed
  • 413 Request Entity Too Long
  • 414 Request URI Too Long
  • 415 Unsupported Media Type

500er Statuscodes für Server-Fehlermeldungen

Der der Ausführung der Anfrage ist ein Fehler auf Serverseite aufgetreten:

  • 500 Internal Server Error
  • 501 Not Implemented
  • 502 Bad Gateway
  • 503 Service Unavailable
  • 504 Gateway Timeout
  • 505 HTTP Version Not Supported
+ Weitere Einträge anzeigen