KeyHelp Community

Kleines Vorwort:
Diskussionen zu diesem Thema verlaufen unter IT-lern gerne mal sehr kontrovers. Jedes Projekt hat verschiedene Voraussetzungen und unterschiedliche Zielvorgaben. Jeder Admin hat zudem im Laufe seiner administrativen Tätigkeit eigene Erfahrungen gemacht, die durchaus sehr voneinander abweichen können und die persönliche Meinung bzw. den Standpunkt beeinflussen.
Deshalb möchte ich diesen Thread weniger als expliziten Funktionswunsch sondern eher als Meinungsaustausch ansehen.
Ich war auch nicht sicher, ob ich den Thread besser im Bereich "Allgemeine Fragen" oder im Bereich "Funktionswünsche" posten soll. Ich habe mich trotzdem für den Bereich "Funktionswünsche" entschieden, da meine Intention schon in diese Richtung läuft

In der aktuellen KH-Konfiguration sind diverse Spamschutzmechanismen (Postgrey, Amavis, ClamAV, SpamAssassin, Pyzor, Razor) integriert, um die Menge an Spammails möglichst zu reduzieren.
Der Einsatz dieser Dienste kann je nach Einzelfall durchaus legitim sein, im Reselling-Bereich ist der Einsatz oft sogar notwendig, wenn man als Reseller auf spezielle Kundenwünsche eingehen will.

Nun bin ich nicht wirklich ein Freund von diesen Diensten und aus meiner subjektiven Sicht sprechen einige Gründe gegen den Einsatz:

• Sie verursachen (je nach Mailaufkommen) durchaus erhebliche Systemlast, was bei kleineren Systemen dazu führen kann, daß man sehr schnell an die Leistungsgrenzen der zur Verfügung stehenden Hardware (speziell RAM) stößt und solche Systeme im schlimmsten Fall sogar völlig in die Knie gehen.
• Diese Dienste haben in der Vergangenheit nicht selten durch eklatante Sicherheitslücken geglänzt, die teilweise über lange Zeit und u.U. noch bis heute nicht unbedingt gefixt sind. Hier verweise ich mal auf diesen Thread im SSF (Post #9 ff.).
• Wenn die Dienste nicht absolut sauber konfiguriert sind, kommt es immer mal wieder zu Problemen beim Zusammenspiel dieser Dienste. Davor sind selbst professionelle Admins nicht immer sicher, denn oft genug werden mit Paketupdates auch Änderungen in der Konfigurationssyntax vorgenommen, die nicht immer vollständig publiziert werden und u.U. eine umfassende Anpassung der eigenen Systemkonfiguration erfordern.
• Jeder laufende Dienst bedeutet auch immer einen potentiellen Angriffsvektor, was gerade im Mailserverbereich schnell mal zu einem größeren Problem werden kann.
• Auch der administrative Aufwand fällt hier ins Gewicht. Je mehr Dienste laufen, desto mehr Zeit muß man in die Systempflege investieren (Logfileanalyse, Updates, etc.)

Was würde ich mir wünschen?

• Einsatz von Postscreen. Postfix bringt mit Postscreen einen Schutzmechanismus OOTB mit, der wenn richtig konfiguriert fast alles an Spam außen vor hält (eine Beispielkonfiguration findet man z.B. hier).
• Die optionale Einbindung der o.g. Dienste während der Installation von KH. So kann jeder Admin entsprechend seiner Zielvorgaben, der zur Verfügung stehenden Hardware und seiner persönlichen Vorlieben entscheiden, ob diese Dienste mitinstalliert werden sollen oder nicht.

Ich bin schon sehr gespannt, wie ihr zu dieser Thematik steht und ob ihr meinen Argumenten folgen oder sie erwidern werdet

Hi!
Meine ganz persönliche Meinung, muss keiner teilen:
Ja, klar, man kann soooo vieles tun, um die Kisten sichererer und sicherer zu machen. Im oberoberprofessionellen Betrieb werden diese Dienste sowieso getrennt, -> Maschine für Kunden -> Maschine für Datenbanken -> Maschine für Mails -> Maschine für tgl. Backups -> Maschine für Desasterbackups etc.etc.etc. Das ist auch nicht die Liga in der KH spielen will.
Ich hatte schon mal in irgendeinem Sicherheitsthread geschrieben, was man noch alles tun kann, um die Sicherheits zu erhöhen, werde den Link gleich nochmal posten. ABER - KH bringt schon ne Menge (aus meiner Sicht) sehr vernünftig konfigurierte Module mit, darunter auch AppArmor (welches ich von Hand nie konfigurieren könnte, da es tausende von Switches hat) und schon echt ne Hausnummer in Sachen Sicherheit ist.
Und mit jedem Modul wird nämlich der Spagat zwischen Administrierbarkeit und Sicherheit größer. Und Fehlersuche immer länger. UND die Kompatibilität von KH immer schmaler.

KH arbeitet ständig an der Sicherheit, nächtliche Updates, neue Module (modevasive kommt), viele Sicherheitsmodule sind inklusive - wer mehr möchte - bitteschön, es sind Anleitungen in diesem Forum vorhanden. Im Netz auch.

Ich selbst fahre sowieso keinen Server zu 100% Last - weder Platten, noch Netzwerk, noch CPU, noch RAM. Es ist immer genügend Luft nach oben, auch für länger dauernde Laststpitzen. Die Serverdimensionierung sollte eben passen. Wo es dann nicht mehr passt, sind Klitschen, die unrealistische Preise ohne Limits haben.

Und das Wichtigste bei diesem Thema: Kompromittierungen geschehen noch zu über 75% durch ungepflegte USER-Scripte und leicht zu erratende Passwörter, dann folgen die ungepflegten Büchsen mit 2 Jahre altem OS und noch älteren Rules. Und dann kommt der Rest irgendwann und in aller Regel auch nur, wenn man Interesse hat, die Maschine zu entern. Noch sicherer: Dass 100% sichere System gibt es eh nicht.

Daher übergebe ich das Mikro mal an die Admins - gehe aber gaaanz stark davon aus, dass es denen ähnlich geht. Und wenn eine Sicherheitslücke bekannt wird, wird sie von den Admins auch gestopft. Und ob und wie oft das vorgekommen ist, kann ich nicht beurteilen.

Das gleiche gilt für Mails - Greylisting kannste betreiben, ist aber serverlastig, wie du sagst.

LG

nikko wrote:KH arbeitet ständig an der Sicherheit, nächtliche Updates, neue Module (modevasive kommt), viele Sicherheitsmodule sind inklusive - wer mehr möchte - bitteschön, es sind Anleitungen in diesem Forum vorhanden. Im Netz auch.

Mir geht es auch nicht darum, das Sicherheitskonzept von KH in Frage zu stellen. Ganz im Gegenteil, wie du auch bestätigst ist es sehr gut durchdacht und auch umgesetzt worden.
Allerdings ist man darauf angewiesen, daß die verwendeten Softwaremodule auch so funktionieren, wie sie sollen. Und auf die Funktionstüchtigkeit von ClamAV, Amavis & Co hat KH eben keinen Einfluß

Meine Intention geht auch eher in die Richtung "Weniger ist manchmal mehr..."
Oder anders ausgedrückt: Warum soll ich 6 weitere Dienste nutzen, wenn Postfix den Job OOTB mit Postscreen (fast) genauso gut erledigt
Deswegen auch der Wunsch nach optionaler Einbindung und nicht nach komplettem Wegfall...

Aber das ist genau das, was ich im Startpost schon gesagt habe...bei diesem Thema prallen die verschiedensten Meinungen und Standpunkte aufeinander

Ergänzend zu meinen Ausführungen im Startpost möchte ich hier noch eine Meinungsäußerung von Prof. Dr. Eggendorfer, Professor für IT-Sicherheit zum Thema Mailfilterung nachreichen:

Das übertriebene Filtern stellt eine Straftat dar, nämlich die Verletzung des Fernmeldegeheimnisses durch Unterdrückung. Zwar meinen andere, die Nutzer eines Mailservers gäben – stimmen sie der Filterung zu – eine so genannte tatbestandsausschließende Einwilligung. Doch die Versender von Mails, die ein Server ausfiltert, können diese nicht erteilen – und auch die schützt das Fernmeldegeheimnis.

Quelle: http://www.linux-magazin.de/Ausgaben/20 ... offset)/10

Ja, sicher doch. Das Versenden von schädlichen Inhalten Viren) und unaufgeforderten Mails (Spam) und Missbrauch von Mails (anstößige Inhalte) ist möglicherweise auch strafbar.
Hier entscheidet das Nutzen / Risikoverhältnis. Wie bei einem Medikament.

nikko wrote:Ja, sicher doch. Das Versenden von schädlichen Inhalten Viren) und unaufgeforderten Mails (Spam) und Missbrauch von Mails (anstößige Inhalte) ist möglicherweise auch strafbar.

Nein, die Aussage bezieht sich eher auf False Positive gefilterte Mails
Ein echter Spammer wird sich wohl kaum auf datenschutzrechtliche oder anderweitig rechtlich relevante Belange berufen und diese vielleicht sogar noch einklagen. Ich denke, darüber sind wir uns im Klaren...

Ein weiterer Grund, warum ich von ClamAV & Konsorten nicht viel halte:

Bis zum 28.09.2016 stand in den Ubuntu-Quellen eine völlig veraltete ClamAV-Version zur Verfügung (Version: 0.98.7 vom 28. April 2015). Erst fast 17 Monate später(!) wird die aktuelle Version bereitgestellt (Version: 0.99.2 vom 3. Mai 2016)! Und die ist auch schon wieder fast 5 Monate alt!

Ich hab ja grundsätzlich kein Problem damit, wenn ältere Software in den Paketquellen gepflegt wird. Aber sorry, bei Virenscannern und ähnlichem muß man einfach auf dem Laufenden sein.

Ich bin normalerweise kein Freund davon, alte Threads auszubuddeln...aber hier verstoße ich ausnahmsweise mal gegen meine Prinzipien.

Ich beziehe mich auf folgenden Thread: Spam Score ?, wollte jetzt aber dort nicht antworten, da es da zu sehr OffTopic gewesen wäre und der TE dort nach einer KH-internen Lösung bei einem managed Server fragte.

Aber zum Thema ansich habe ich mal ein paar (relativ) aktuelle Zahlen aus meiner eigenen praktischen Erfahrung.
Ich betreue mit zwei weiteren Adminkollegen ein größeres Server-Setup, wo natürlich auch ein Mailserver dazugehört. Die Spamabwehr setzt in diesem Setup ausschließlich auf Postscreen.
Im Rahmen dieser administrativen Tätigkeit fertigen wir quartalsweise eine Last- und Sicherheitsanalyse des Gesamtsystems an. Im zweiten Quartal 2017 gab es bei knapp 800 Postfächern und durchschnittlich 240.000 incoming Mails pro Monat ein Spamaufkommen von knapp 4.100 Mails, was einer Spamquote von etwa 1,71% entspricht.
Würde man hier noch weitere Spamschutzmechanismen nachschalten (was hier der Auftraggeber ausdrücklich nicht wünschte), könnte die Quote sicher weit unter 1% gedrückt werden.

Das ist ne Hausnummer!
Interessant wäre, Jolinar, ob das mit dem im Repository hinterlegten Postfix/ Postscreen umsetzbar und lauffähig ist. Ggfls. parallel / Hand in Hand mit den bisher installierten Diensten.
Wir müssen die Zusatzarbeiten für die Admins bei der Implementierung im Rahmen halten - hoffentlich schlagen sie nicht schon die Hände über dem Kopf zusammen.

Aber ich denke, einem Test im Hause Keywebs steht nichts im Wege...

Hallo Alex und Martin....

nikko wrote: ↑Sun 24. Sep 2017, 23:30Interessant wäre, Jolinar, ob das mit dem im Repository hinterlegten Postfix/ Postscreen umsetzbar und lauffähig ist.

Auf dem erwähnten System läuft ein Debian 9 mit Postfix 3.1.4 aus dem Repo. Die Postfix-Konfiguration haben wir (bis auf kleinere Anpassungen an unser System) weitestgehend von hier übernommen.
Vielleicht sei noch zu erwähnen, daß man sich wirklich ziemlich gründlich in die Materie und speziell in die Doku einlesen sollte. Die Menge der möglichen Konfigurationsparameter ist so umfangreich, daß man auch ganz schnell mal seinen Mailserver "kaputtkonfigurieren" kann, wenn man zu oberflächlich rangeht.
Erschwerend kommt natürlich hinzu, daß man nicht täglich irgendwelche Mailserver manuell konfigurieren muß. Deshalb habe ich zum Nachschauen auch immer eine ausgedruckte Postfix-Doku am Platz liegen, weil ich auch garnicht gewillt bin, alle Parameter im Kopf zu haben.

P.S.:
Es sollte vielleicht auch nicht unerwähnt bleiben, daß der überwiegende Teil der Postfächer rein beruflich genutzt wird (mit entsprechenden Verhaltensvorgaben im Umgang mit Mail seitens des Arbeitgebers) und somit das Spamaufkommen erfahrungsgemäß generell etwas geringer ist als bei privat genutzten Postfächern.

Das sieht schon wieder kompliziert aus
Ich höre schon wieder die Rufe "KH funktioniert nicht"

Aber Postscreen ist auch nicht so serverlastig wie der Rest und sortiert ja schon vorab....
Alles in allem nicht schlecht

Jolinar wrote: ↑Sun 24. Sep 2017, 20:29

Ich beziehe mich auf folgenden Thread: Spam Score ?, wollte jetzt aber dort nicht antworten, da es da zu sehr OffTopic gewesen wäre und der TE dort nach einer KH-internen Lösung bei einem managed Server fragte.

Ich lese hier mal intensiv mit

Jolinar wrote: ↑Mon 25. Sep 2017, 02:08... Deshalb habe ich zum Nachschauen auch immer eine ausgedruckte Postfix-Doku am Platz liegen ...

select name from me; wrote: ↑Mon 25. Sep 2017, 14:58

Jolinar wrote: ↑Mon 25. Sep 2017, 02:08... Deshalb habe ich zum Nachschauen auch immer eine ausgedruckte Postfix-Doku am Platz liegen ...

Ich lese viele Sachen lieber auf Papier als am Bildschirm, OldSchool halt.
Außerdem kann ich so persönliche Anmerkungen an den Rand schreiben und für mich wichtige Sachen mit diesen bunten Klebestreifchen markieren.

Jolinar wrote: ↑Mon 25. Sep 2017, 15:11 OldSchool halt ...
Außerdem kann ich ...mit diesen bunten Klebestreifchen markieren.

Ich lach mich schlapp - die hab ich auch.