Zum 15.01.2023 plant IONOS eine tiefgreifende Änderung bei seiner Email-Infrastruktur.1 Der Email-Versand funktioniert ab dann nur noch mit und jeweils im Namen von authentifizierten IONOS-Konten: Wenn die E-Mail-Adressen für den Absender und die Authentifizierung am Postausgangsserver (SMTP) in den Einstellungen Ihrer verwendeten Software nicht übereinstimmen, werden betroffene E-Mails ab dem 15.01.2024 von unseren SMTP-Servern mit der folgenden Fehlermeldung abgelehnt und nicht versendet: “Sender address is not allowed.” Mir fallen da auf Anhieb einige ein, die Ihre OnPrem-Mail-Server noch mit Tools wie PopBeamer2 in Kombination mit IONOS CatchAll-Sammelkonten betreiben und kurzfristig im neuen Jahr Ihre Email-Infrastruktur anpacken müssen. Der von IONOS vorgeschlagene Weg, ist keine Lösung.3 Read more

Mit Ankündigung1 beginnt Proxyshell sein Wirken in der Exchange-Welt. Bereits zum Wochenende hat es über 1900 Server befallen2. Es sind hauptsächlich Systeme, die “On-Prem” von KMU oder Ihren IT-Systemhäusern betrieben werden. Zu den betroffenen Unternehmen sollen Bauunternehmen, Verarbeitungsbetriebe und sogar ein regionaler Flughafen zählen, so Heise3 und bezieht sich dabei auf den Sicherheitsexperten Kevin Beaumont4. Vor meinem geistigen Auge schweben die ersten Meldungen in den Medien, wo von Hackern und Erpressern in negativen Superlativen geschrieben wird. Wo sogenannte Admins, die nüchtern betrachtet nur bessere Microsoft-Produktbediener sind, als Retter in der Not gelobt werden, nur weil diese in Nacht- und Wochenendschichten “geplatzte” Netze wieder neu aufgesetzt haben. Read more

Ein Zwei Bilder sagen mehr, als tausend Worte: Unglaublich wie die CDU einen vergammelten End-Of-Life Exchange 2010 Server künstlich mit einer Lage Schlangenöl als WAF am Leben erhält. Wir reden hier nicht von einem AD eines Wald-Wiesen-Windows Admins sondern vom AD einer Regierungspartei! In der Fliegerei gibt es ein Sprichwort: Die Luft reinigt sich von selbst. In diesem Sinne, Bye Bye!

Es ist wieder soweit, das BSI gibt eine “Sicherheitsdurchsage”1 für alle Microsoft Exchange-Server Betreiber. Gleich mehrere Lücken (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) im Technologie-Stack von Microsoft führen zur Übernahme des Servers und in Folge des kompletten AD-Firmennetzwerks. Wie zuletzt im Frühjahr bei HAFNIUM2 werden wieder Regelsätze zum Auffinden bereits kompromittierter Systeme verteilt3. Obwohl die meisten Patches gegen “ProxyShell” bereits im Mai (z.B. mit dem CU20 für Exchange 2016) von Microsoft veröffentlicht wurden, sind diese längst nicht bei allen installiert. Der Sicherheitsforscher Kevin Beaumont spricht ohne Übertreibung bei seiner Präsentation4 auf der DefCon von einem “Tip of an Iceberg”. Nur wenige Tage später werden bereits die ersten automatisierten Scans auf “Proxyshell” festgestellt5. Die Landkarte betroffener Systeme spricht für sich: Read more

Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware1. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu. Persönlich rechne ich ab diesem Wochenende mit der ersten Welle. Sie wird zuerst die Standard-Installationen befallen, wo die Hacker leichtes Spiel haben und anhand der Dokumente Ihre Ziele schnell identifizieren konnten. Ich tippe auf “lohnenswerte” - sprich zahlungsbereite - Behörden, Kommunen sowie große Unternehmen. Wahrscheinlich werden die Ziele noch manuell angegriffen da die benötigte Ransomware-Infrastruktur zum automatisierten Befall, Bezahlung und Entschlüsselung eingerichtet werden muß. Gleichzeitig herrscht unter den verschiedenen Hackergruppen ein harter Wettbewerb. Wer zuerst verschlüsselt, der gewinnt. Mit der zweiten Welle folgen die “low-hanging fruits”, die vielen namenlosen und automatisiert “abgefrühstückten” Server kleiner und mittlerer Unternehmen. Read more

Jeder mit einem im Internet betriebenen Microsoft Exchange-Server, Outlook Web Access (OWA) oder Exchange Active Sync (EAS) kann davon ausgehen, dass sein System seit Januar kompromittiert wurde. Das berichten Sicherheitsexperten wie Chris Krebs1 und Nachrichten-Magazine wie Golem2 oder Heise3. In Deutschland hat das BSI über 9.000 Unternehmen kontaktiert4. Die Tragweite der aktuellen Sicherheitslücken sind vergleichbar mit dem bisherigen Microsoft Super-GAU um Eternal-Blue5 und Wannacry6 vor 4 Jahren. Es ist nicht die erste Warnung vom BSI vor Microsoft Exchange7. Die Rufe erfolgen in immer kürzeren Intervallen mit immer höheren Schockwellen für die Betroffenen. Selbstverständlich sind Anti-Virus-Lösungen - Schlangenöl wie ich zu sagen pflege - kein wirksamer Schutz. Waren es noch nie in den vergangenen Jahrzehnten. Leider vertrauen noch immer zu viele IT-Verantwortliche diesem Geschäftsmodell. Read more

Meldungen zu großen Hacks und Datenleaks hinterlassen ein ungutes Gefühl. Bin ich auch betroffen? Leak Checker versprechen Antworten. Das Hasso-Plattner-Institut (HPI) in Potsdam betreibt eine medial bekannte1 Plattform - die Lösung der Universität Bonn2 ist etwas weniger bekannt. Beide teilen sich das gleiche Funktionsprinzip: Email eingeben, Abgleich mit einer Datenbank aller Leaks, Antwort zurücksenden. Die Unterschiede liegen in den Details und sind leider weniger erfreulich. Einbindung von Google Ressourcen Das HPI disqualifiziert sich mit Einbindung einer extern verlinkter Javascript-Ressource von ajax.googleapis.com. Es handelt sich um eine JQuery-Bibliothek in der veralteten Version 1.11.0 mit zahlreichen dokumentierten Schwachstellen3. Ein Besucher wird zu der Datenweitergabe seiner IP, Browserdaten und dem Zeitpunkt des Abrufes an Google nicht gefragt. Eine Information in der Datenschutzerklärung fehlt4. Read more

40.000 Unternehmen allein in Deutschland betroffen Das BSI warnt mit der zweithöchsten Stufe “orange” (= Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs) öffentlich in den Medien1. Etwa 40.000 Unternehmen allein in Deutschland sind von mehreren kritischen Schwachstellen betoffen da Sicherheitsupdates bislang nicht installiert wurden2. Heise spricht gar vom Russisch-Roulette-Spielen3. Nicht ohne Grund warne ich seit mehreren Jahren vor einer zu engen Verzahnung von Microsoft AD und Internet-Funktionen. Dort wo Microsoft-Lösungen durch freie Standards und Systeme ersetzt werden können, sollte das umgehend geschehen. Doch viele hängen leider Ihre internen Dienste wie z.B. einen Exchange direkt “ins Internet” mitsamt OWA und EAS ganz ohne Firewalls, Mail-Gateways oder Reverse-Proxies. Im Normalfall leider absolut fahrlässig per Portweiterleitung. Read more

Ein weiterer Kunde aus dem Mittelstand (ca. 250 Benutzer verteilt über mehrere Standorte) ist aktuell dabei seine Exchange-Infrastruktur auf freie Software zu migrieren. Mit der schlüsselfertigen Einrichtung des neuen Linux-Mailservers habe ich meinen bescheidenen Beitrag dazu geleistet. Die übrige Einrichtung der Benutzer und die Datenmigration erfolgt von der eigenen IT-Abteilung des Kunden. Benutzer können weiterhin in Ihrer gewohnten Outlook-Umgebung und mobilen Clients arbeiten, wenn die neuen EAS-Accounts “side-by-side” zu den bestehenden Exchange-Konten ausgerollt werden. Von einer Sekunde auf die nächste kann ohne Downzeit nur durch Konfigurationswechsel am Reverse-Proxy und Mailgateway gewechselt werden. Aufwändige, kostenintensive und vor allem “harte” Exchange-Migrationswege entfallen. Read more

Ursprünglich wollte ich nur diesen Fnord zeigen. Das typische, selbsterklärende Microsoft-Ding: Aber bevor die Frage kommt, warum ich denn ein Office 2019 anpacke, verrate ich es Euch: Ein Unternehmen mit 40 Postfächern hat sich entschieden, seinen Exchange-Server in die Wüste zu schicken. Für alle Controller und Buchhalter: Wir reden hier von einer Kosteneinsparung von 15-25% im Jahr! Jetzt läuft alles mit Internetstandards auf einem Debian 10. Keine Blackbox, alle Emails liegen als EML-Dateien im jeweiligen MAILDIR vor. Mit allen Komfortfunktion wie zuvor auch: Vom EAS-ActiveSync für Outlook (wenn’s denn wirklich sein muß), einem richtig guter Webmailer, öffentlichen Ordnern, Kalendern, Kontakten und sogar Ressourcen. Hier weitere Screenshots von heute: Read more