Was bringt spamfence aka. eXpurgate kostenlos?

Von Mainboarder am 3.11.2014 veröffentlicht
Tags: , , ,

spamfence von eleven aus Deutschland ist ein Virenfilter auf der Basis von eXpurgate für den privaten Gebrauch. Man verspricht über 99% Spamerkennungsrate, keine false Positives (als Spam erkannte legitime Mails) und einen Schutz vor Viren. Ich testete den Dienst.

Die Einrichtung von spamfence ist einfach. Anmelden und danach eine spamfence-Mailadresse erhalten. Mails hierhin werden gefiltert und weitergeleitet an frei definierbare Adressen.

Um den Filter ordentlich zu testen, richtete ich dafür Weiterleitungen von Honeypotadressen auf die spamfence-Adresse ein und beobachtete wie viel Spam durch den Filter kam. Damit ich nicht von Spam überwältigt werde und nur die false Negatives (nicht als Spam erkannte Mails) und legitime Testmails erhalte, habe ich eine Regel erstellt, die diese Nachrichten an eine von mir abgefragte Adresse weiterleitet.

Nachdem ich das System jetzt mehrere Monate so nutze, möchte ich nun ein erstes Fazit ziehen.

Täglich kommen teilweise mehrere false Negatives durch den Filter. Diese können eindeutig Spam sein: in Englisch, beinhalten das Wort Viagra oder “Angebote” die mit jeder Menge Geld zu tun haben. Im letzten Monat lag der fehlerhafte Anteil bei ca. 6%. In der letzten Woche dagegen bei ca. 10%.

Viren werden dagegen recht zuverlässig erkannt. Zumindest werden diese nicht regulär zugestellt, darauf kommt es an. Ob Mail mit Viren nun als Spam, Bulk oder Virus erkannt werden, ist für mich weniger wichtig.

Ob es einem zwischen 94-90% weniger Spam (sofern kein weiterer Spamfilter eingesetzt wird) wert ist, dass die eigenen Mails eine Firma mitlesen, speichern und verarbeiten kann, muss jeder selbst wissen. Mir ist es das nicht wert, da es aber eh nur Honeypots sind, warum nicht durch Spamfence schleußen. Vielleicht wird der Filter damit besser.

Rechnermanagement mit Puppet

Von Mainboarder am 21.10.2014 veröffentlicht
Tags: , , ,

Nachdem ich in letzter Zeit immer mal wieder von Tools wie Puppet und Salt gehört habe, wollte ich mir mal anschauen, wie das Ganze funktioniert. Wie leicht lassen sich mehrere Rechner damit zentral verwalten?

Puppet und Salt sind Tools mit denen man die Konfiguration von Rechnern zentral übernehmen kann. Updates einspielen, Programme verteilen und installieren, Konfigurationen anpassen (SSLv3 bei allen Maschinen mit SSL abschalten) und Cronjobs verwalten sind nur ein paar Beispiele der Anwendungsmöglichkeiten.
Doch zunächst hat man die Wahl welches Programm man überhaupt nutzen möchte: Puppet, Saltstack, Chef, CFEngine und Ansible sind die vermutlich derzeit am weitesten verbreiteten Tools dafür. Für Puppet entschied ich mich dann, weil ich davon bislang am meisten gehört habe. Damit ist die gefühlte Verbreitung am größten und damit hoffentlich auch die Unterstützung. Es ist kostenlos, läuft auf Linux und Windows und ist noch mit vertretbaren Aufwand zu installieren, wenn man auf die grafische Oberfläche verzichtet. Der Master (Rechner, der die Clients konfiguriert), muss Linux sein. Die Clients können auch Windows nutzen.

Port freigeben, Quellen importieren, Master installieren, Clients installieren, Master konfigurieren, Clients starten, Grundkonfiguration anlegen, auf dem Master die Zertifikate der Clients bestätigen, Cronjobs auf den Clients einrichten. So der grobe Installationsablauf.

Die Konfiguration ist an sich auch nicht übermäßig schwer. Man sollte schonmal mit Arrays gearbeitet haben und wissen was das ist.

Als Beispiel werde ich beschrieben, wie man die Meldung, die beim Anmelden an einem Linux mittels SSH erscheint, konfiguriert (Message of the day (MOTD)).

  • Unter /etc/puppet/manifests die Datei site.pp anlegen.
  • Für jeden Client einen Eintrag mit “node ‘HOSTNAME'{ }” anlegen (ohne doppelte Anführungszeichen)
  • Die geschweiften Klammern mit “include standard” füllen
  • Unter /etc/puppet/modules den Ordner standard mit den Unterordnern files, manifests, templates anlegen
  • Unter files die Datei motd mit den gewünschten Inhalten anlegen
  • Unter manifests die Datei init.pp anlegen
  • Mit folgenden Inhalten füllen:

Die source ist so richtig. Der Pfad wird vom Puppet-Verzeichnis aus angegeben und der Unterordner files für modules weggelassen. Das ‘/etc/motd’ sagt Puppet, wo die Datei hinsoll. Der Rest ist, denke ich, selbsterklärend.

In dieser Klasse lässt sich nun sammeln, was auf allen Rechnern eingerichtet werden soll, solange in der site.pp Manifest für jeden Host diese class geladen wird.

Ein Cronjob (alle 30 Minuten) für Puppet lässt sich übrigens wie folgt einrichten:

Dieser muss aber einmalig von allen Clients mit “puppet agent –server HOSTNAME.MASTER –test” geholt werden.

Eine schöne Möglichkeit besteht auch darin, die Konfiguration eines eigenen Standardsystems vollständig in Puppet zu verwalten. Dann kann man diesen Rechner schnell duplizieren. Lediglich ein laufendes Betriebssystem und der installierte und eingerichtete Puppet Client müssen vorhanden sein.

Ein weiterer schöner Anwendungsfall ist auch, die Firewall iptables auf mehreren Server  synchron zu halten. Dies geht über externe Module.

Das Verfahren gegen die Onlineausgabe einer überregionalen Tageszeitung u.a. initiiert durch Mainboarder.de wird erneut aufgerollt. Zuvor erging für die Berichterstattung über den mutmaßlichen Kinderpornobesitz des ehemaligen Abgeordneten Edathy eine Missbilligung des Presserates nach Ziffern 2 und 8 wegen Veröffentlichung von Emailadressen und (nicht zweifelsfrei zuordenbaren) nickname von Edathy.

Einzelheiten sollen dazu nicht veröffentlicht werden. Allerdings möchte ich gleichzeitig dennoch fair berichten, damit nicht der Eindruck entsteht, dass die Missbilligung der letzte Akt war.
Das Medium hat neue Argumente und Informationen vorgetragen, die es vernünftig erscheinen lassen, den Fall neu zu bewerten.

Diese werde ich nun prüfen und – sofern ich anderer Ansicht bin – dem Beschwerdeausschuss zukommen lassen. Nicht alle Argumente aus dem Schreiben sind für mich stichhaltig. Neue Zusatzinformationen zeigen mir aber, dass der Text missverstanden werden konnte. Nicht umsonst hat zuvor der Ausschuss eine Missbilligung ausgesprochen. Die Zeitung argumentiert mit neuen Informationen, dass der nickname in einem bestimmten Zeitraum sehr wohl Edathy zugeordnet werden kann.

Verhandelt wird voraussichtlich am 3.12.2014. Vermutlich erfahre ich erst Ende des Jahres oder Anfang nächsten Jahres von dem Ergebnis.

Roderich Kiesewetter (CDU) und Eikonal

Von Mainboarder am 10.10.2014 veröffentlicht
Tags: , , , , ,

Hallo Herr Kiesewetter,

Medienberichten entnahm ich, dass Sie dazu auffordern das G10-Gesetz “so gut wie möglich” einzuhalten: http://www.zeit.de/digital/datenschutz/2014-10/nsa-bnd-eikonal-details-untersuchungsausschuss

Wie der Name des Gesetzes schon sagt, bezieht es sich ergänzend auf das Grundgesetz.

Ich weiß nicht wo Sie Ihr Verständnis für Gesetze her haben, aber an Gesetze ist sich nicht “so gut wie möglich” zu halten. Wenn etwas gegen das Gesetz so offensichtlich wie das Programm Eikonal verstößt, dann ist das illegal und nicht – wie Ihre Aussage impliziert – so zu gestalten, dass Gesetze in möglichst geringen Umfang verletzt werden.

Woher nehmen Sie eigentlich das Verständnis, dass nur die Daten Deutscher ausgefiltert werden müssen? Das Fernmeldegeheimnis bezieht sich auf den Datenverkehr in Deutschland. Der DE-CIX ist in Frankfurt und ist damit vollständig durch das Fernmeldegeheimnis und das G10-Gesetz geschützt. Es hätte gar kein Eikonal geben dürfen.

Kennen Sie Artikel 20 GG (Abs 3,4)? Ich glaube Sie laufen Gefahr sich heftigen Widerstand aufzubürden.

Mit freundlichen Grüßen