Artfiles goes OpenStack

TL;DR: Wir bieten ihnen ab sofort eine vollwertige Openstack Compute / Blockstorage Lösung als Public Cloud mit Integration der wichtigsten Features ins DCP an.

Nach ziemlich genau 10 Jahren und weit über 2000 virtuellen Servern ist es Zeit, unsere selbstentwickelte Cloud in den wohlverdienten Ruhestand zu schicken.

Wie schon seit einiger Zeit abzusehen, ist die eigene Entwicklung einer Cloudplattform auf die Dauer nicht zu leisten. Zu schnell entwickelt sich die Technik und zu mächtig sind die Mitspieler.

Also haben wir uns bereits anfang 2019 entschlossen, auf eine offene Cloudlösung zu setzen und unsere Ressourcen darauf zu konzentrieren, diese perfekt in unsere komfortable und einfach zu bedienende DCP Architektur einzubinden.

Und so wurde AFstack geboren: die Flexibilität von OpenStack verbunden mit der einfachen Bedienung und perfekten Integration des DCPs.

Openstack

Mit OpenStack lässt sich eine Cloud rein aus Open Source Komponenten bauen. In Python programmiert verbindet es bekannte VM Software wie KVM und Xen mit Storage Technologien wie Ceph oder iSCSI-Filern. OpenVSwitch sorgt als SDN (Software Defined Networking) Lösung für moderne und flexible Netzwerkfunktionen.

Ursprünglich entwickelt 2010 von der NASA und Rackspace.com wird OpenStack (mittlerweile in Version 21) von einer weltweiten Community entwickelt und gepflegt.

OpenStack besteht aus diversen Komponenten, die jeweils einzelne Funktionalitäten eines virtuellen Datacenters abbilden: Nova (virtuelle Server), Cinder (Block Storage – “virtuelle Festplatten”), Swift (Objektstorage), Neutron (virtuelle Netzwerkkomponenten – Switches und Router). Dazu kommen viele Dienste, die die Verwaltung und Zusammenarbeit dieser Komponenten organisieren: Keystone (Authentifizierung – Identity Mamagement), Glance (Verwaltung von Betriebssystem Installationsimages) und Horizon (Weboberfläche).

Um diese zentralen Komponenten sammelt sich mittlerweile ein ganzer Zoo von weiteren Projekten, die die Cloud weit über die reine Verwaltung von virtuellen Computern hinaus bringen.

Die Bedienung all dieser Komponenten erfolgt entweder über das Horizon Webinterface oder über eine REST-basierte API. Wie sich anhand der Beschreibung erahnen lässt, ist die Benutzung dieses komplexen Systems nicht ganz einfach. Und hier kommt unsere DCP Integration ins Spiel.

af.stack

So nennen wir unser Produkt, dass die nahezu unendlichen Konfigurationsmöglichkeiten von OpenStack mit der einfachen Bedienung und Benutzfreundlichkeit des DCPs verbindet. Während im DCP die wichtigsten Funktionen wie VMs anlegen und steuern, IP Adressen verwalten und Kosten kontrollieren zur Verfügung stehen, können parallel per OpenStack API diesen Servern erweiterte Funktionen zugeordnet werden.

So können sie zum Beispiel im DCP einfach einen neuen virtuellen Server anlegen, um ihm dann per Horizon Oberfläche z.B. weitere Netzwerkinterfaces oder auch zusätzliche virtuelle Festplatten zuordnen.

Oder sie nutzen die Automatisierungsfunktionen von OpenStack und kreieren so eigene Servervorlagen und steuern dann die so erzeugten Server aus dem DCP.

Im Laufe der kommenden Monate werden wir weitere Features ins DCP integrieren, die Ihnen die Verwaltung unserer Cloudplattform nnoch weiter erleichtern werden – wie immer mit besonderem Blick auf die Benutzerfreundlichkeit.

Das Artfiles Mailsystem 2020

Wie jede Technik im Internet ist auch unser Mailsystem ständiger Veränderung und Anpassung an neue Entwicklungen unterworfen. Seit wir 2015 unser Mailsystem V3 in Betrieb genommen haben, hat sich viel getan, und so gibt es für uns auch im Frühjahr 2020 interessante Neuerungen zu verkünden – weitere werfen bereits ihre Schatten voraus.

Aber der Reihe nach:

E-Mail Backup & Restore

Bereits zum Jahresanfang angekündigt, wollen wir hier noch mal die Kernelemente des neuen Backupsystems vorstellen.

Unsere Mailstorage- und Abrufserver sind redundant ausgelegt und synchronisieren laufend ihren Datenbestand per DRBD auf ihren passiven Standby-Server. So ist sichergestellt, dass auch bei einem Hardwaredefekt die Ausfallzeit im Bereich weniger Minuten bleibt, und keine E-Mails verloren gehen können.

Der Standby-Server erzeugt alle zwei Stunden einen Snapshot des Datenbestandes, der dann vier Stunden vorgehalten wird. Dies dient zur Absicherung gegen eventuell manuell versehentlich gelöschte Daten.

Einmal täglich wird aus dem jeweils aktuellen Snapshot ein Offline Backup auf einen separaten Backup Server gezogen. Dieser Server speichert dann alle Daten jeweils 28 Tage lang. Die Backupserver stehen grundsätzlich physisch und logisch getrennt von den Mailservern, so dass Sie den Datenbestand auch gegen katastrophale Ereignisse wie Brand, Diebstahl oder Hackerangriffe absichern.

Im DCP können aus dem Offline Backup nun sowohl einzelne E-Mails als auch ganze Ordner und Accounts zum Restore ausgewählt werden. Diese werden dann vom Backupserver im Hintergrund eingespielt.

Im Unterschied zu den Lösungen anderer Anbieter sorgt das Artfiles Backupsystem dafür, dass wiederhergestellte Mails mit eventuell noch vorhandenen aktuellen Mails zusammengeführt werden. Dadurch bleiben auch die seit dem letzten Backup eingegangenen Mails erhalten und werden nicht überschrieben.

IMAPSync

Ab sofort ist es möglich, im DCP Mails zwischen verschiedenen IMAP Konten zu synchronisieren. Auf diese Weise können Sie beim Umzug Ihrer E-Mail-Konten von einem anderen Anbieter zu Artfiles bequem die E-Mails aus Ihrem alten Postfach zu Artfiles übertragen. Genauso wie beim E-Mail-Restore werden übertragene E-Mails mit bereits vorhandenen abgeglichen, so dass sich diese Funktion auch für das Zusammenführen von mehreren Accounts in einen einzelnen nutzen lässt.

Die Übertragung selbst findet transparent im Hintergrund statt, so dass sowohl Quell- als auch Zielaccount währenddessen uneingeschränkt nutzbar bleiben.

Informationen zur Nutzung der IMAPSync Funktion finden Sie ind er DCP Hilfe zum Thema.

Per Account Konfiguration

Ab sofort kann jeder E-Mail-Nutzer bei Artfiles seine E-Mail-Einstellungen selbst verwalten. Unter https://email.artfiles.de bzw. https://email.dcpserver.de steht ein Interface bereit, in dem je nach Berechtigungslevel alle Einstellungen, oder nur Autoresponder und Passwort geändert werden können. Der Berechtigungslevel kann im DCP Accountweit konfiguriert werden. Später wird im Rahmen weiterer Anpassungen im DCP auch eine feinere Kontrolle möglich sein.

Ausblick

Derzeit arbeiten unsere Entwickler an der Integration einer Lösung zur rechtssicheren E-Mail-Archivierung in unser Mailsystem bzw. ins DCP. Diese soll noch im zweiten Quartal 2020 online gehen. Außerdem überarbeiten wir derzeit das System unserer Mailausgangsserver, um auch in Zeiten immer aggressiver auftretender Spammer bzw. den Gegenmaßnahmen gegen diese einen zuverlässigen und sicheren Versand gewährleisten zu können. Auch diese Arbeiten sollen im zweiten Quartal abgeschlossen werden.

Newsletter: Alles neu macht der März

Liebe Artfiles Kunden,

unsere neue Homepage wirft ihre Schatten voraus, und so können wir Ihnen heute einige Neuigkeiten präsentieren, die vorwiegend die Optik unserer Webdienste betreffen:

Unsere neue Supportseite

Optisch aufgefrischt und auf eine responsive Wiki-Plattform umgestellt, finden Sie ab sofort unter

https://support.artfiles.de

alle Hilfeseiten zum DCP, wichtige technische Infos zu unseren Produkten und viele hilfreiche Anleitungen, mit deren Hilfe Sie das meiste aus Ihren Artfiles Accounts herausholen können.

Die alte Hilfe ist weiterhin in archivierter Form unter https://www.artfiles.de/support erreichbar, wird aber nicht mehr aktualisiert.

Das Artfiles Blog

Ebenfalls im neuen Design erstrahlt ab sofort unser Blog unter

https://blog.artfiles.de

Wir setzen weiterhin auf das bewährte WordPress und informieren in loser Folge über Neuerungen und interessante Aspekte rund um Webhosting und Internet Technik.

Ein neues DCP Theme

Ab sofort steht Ihnen im DCP unter “Einstellungen” das DCP Theme “2020 lite” zur Auswahl. Dieses modern-reduzierte Theme wird ab dem 17.3.2020 unser bisheriges “Classic” Theme als Default im DCP ablösen.

Ab diesem Zeitpunkt werden alle DCPs ohne ausgewähltes Theme automatisch auf “2020 lite” umgestellt. Selbstverständlich können Sie aber auch weiterhin das “Classic” Theme in Ihren DCP Einstellungen auswählen.

Webmail Update

Nicht nur optisch, sondern auch unter der Haube hat unser Webmail ein Upgrade erhalten. Ab sofort steht Roundcube 1.4 im responsiven Design bereit für den schnellen Mailabruf zwischendurch (oder als Ersatz für einen Mailclient).

Das Webmail ist wie gewohnt unter https://webmail.artfiles.de erreichbar.

Neue Supportzeiten

Ab sofort steht Ihnen der Telefon- und Chatsupport bereits ab 8:00 statt ab 9:00 Uhr zur Verfügung.

Die neuen Supportzeiten sind demnach Montag bis Freitag von 8:00 bis 22:00 Uhr.

DE-CIX

Eher technischer Natur ist unsere letzte Ankündigung für heute: Nachdem Artfiles bereits seit dem letzten Jahr in Hamburg am größten deutschen Internet-Exchange Point DE-CIX vertreten ist, haben wir jetzt auch unser Peering in Frankfurt aufgenommen.

Die dort aufgeschaltete Bandbreite von 10 Gbit/s ist allerdings bereits fast schon wieder erreicht, so dass wir in den nächsten Wochen auf 20 Gbit/s erweitern werden.

Wir hoffen, dass Ihnen die Neuerungen gefallen, und freuen uns natürlich wie immer über Feedback, Kritik und Bug-Reports!

Das Artfiles Team

Anpassung Domainpreise

Lieber Artfiles Kunde,

unser Domainregistrar hat zum 01.01.2020 Preiserhöhungen verschiedener Top-Level-Domains (TLDs) angekündigt. Dies betrifft auch einige der von uns angebotenen TLDs. Deshalb müssen wir die Domainpreise der TLDs .info, .mobi, .pro und .bio anpassen. Für Neuregistrierungen gelten ab sofort die neuen Preise, für Domain-Verlängerungen werden die neuen Preise ab dem 01.02.2020 berechnet.
Andere TLDs (wie z.B. .de oder .com) sind von dieser Preiserhöhung nicht betroffen.

Details entnehmen Sie bitte der unten stehenden Liste.

TLD Bisheriger Preis
Standard-Domain
Bisheriger Preis
Park-Domain
Neuer Preis
Standard-Domain
Neuer Preis
Park-Domain
.info19,00 €16,00 €21,00 €18,00 €
.mobi23,00 €20,00 €25,00 €22,00 €
.pro21,00 €18,00 €23,00 €20,00 €
.bio76,00 €73,00 €80,00 €77,00 €

Sofern Sie Fragen zur Preiserhöhung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Das Artfiles Team

RPKI Validation bei Artfiles

In der IT-Branche ist RPKI in aller Munde und auch wir haben dieses Thema in den letzten Wochen aufgegriffen. Mit der Implementierung leisten wir einen Beitrag zur Routing-Sicherheit und schützen unsere Netze gegen gewollte und ungewollte Attacken.

Ab Dienstag, den 07.01.2020, werden wir die RPKI Validation aktivieren und Routen verwerfen, die nicht korrekt vom Inhaber authorisiert sind. Laut unserem Monitoring werden dies ca. 4500 IPv4 Netze und ca. 800 IPv6 Netze sein.

Invalid Prefixes (Stand: 13.12.2019)

Und nun nochmal genauer

Was ist eigentlich RPKI?

RPKI steht für ‘Resource Public Key Infrastructure’ und bildet einen Baustein in der BGP Sicherheit. BGP ist die Abkürzung für ‘Border Gateway Protocol’ und stellt das zentrale Routingprotokoll dar, um verschiedene Netzwerke miteinander zu verbinden.

Jede Organisation oder Privatperson, die selbst Prefixe (Netze) hochfahren möchte, erhält von der zuständigen RIR (Regional Internet Registry), in unserem Fall dem RIPE, eine sogenannte AS-Nummer. Generell kann nun jeder unterhalb seiner AS-Nummer (oder auch einer x-beliebigen, BGP bietet da keinen Schutz) jedes Prefix annoncieren und dies seinem BGP-Neighbor mitteilen. Ohne Sicherheitsmechanismen nimmt der BGP-Neighbor dieses Prefix in seinen Routing Table auf und teilt wiederum seinen Nachbarn mit, dass er einen Pfad zu diesem Prefix besitzt. Somit könnte der Traffic nun einen anderen Weg nehmen und nicht am eigentlichen Zielort ankommen. Mit RPKI ist es nun möglich, solche Angriffe zu einem großen Teil zu unterbinden. Wichtig hierfür ist das Signieren der eigenen Prefixe sowie das Validieren der externen Prefixe.

Signierung

RPKI setzt zum Signieren auf die Public-Key Verschlüsselung. Hierfür übernimmt das RIPE das Hosten der CA (Certification Authority) und stellt uns Zertifikate für unsere Prefixe aus. So ein Zertifikat nennt sich ROA (Route Origination Authorization) und besteht aus drei Teilen.

  1. Origin AS – Die AS-Nummer, die das Prefix hochfahren darf
  2. Prefix – Das zu signierende Prefix
  3. Prefixlänge – Die Länge des Prefix, z.B. ob das Prefix nur als /24 hochgefahren werden darf oder auch als /23

Beim RIPE kann man unter http://localcert.ripe.net:8088/roas die erstellten ROAs einsehen.

ROA für unser Prefix 80.252.96.0/20

Anhand der erstellten ROAs kann nun jeder Router ein Prüfung vornehmen, ob das an ihn annoncierte Prefix überhaupt annonciert werden darf.

Validierung

Die Validierung der Prefixe läuft so ab, dass zusätzliche Software, der Validator, alle ROAs von den unterschiedlichen RIRs runterlädt und lokal zusammenfasst. Der Router fragt die ROAs nun über das RTR-Protokoll vom Validator ab und führt dann eine Route Origin Validation (ROV) durch und versieht die ihm annoncierten Prefixe mit einem Status:

  • valid
    Das annoncierte Prefix wird vom korrekten AS annonciert und hat die korrekte Länge
  • unknown
    Das annoncierte Prefix hat keinen ROA oder die Verbindung zum Validator ist längere Zeit inaktiv und die lokale Datenbank damit nicht mehr up-to-date
  • invalid
    Das annoncierte Prefix wird vom falschen AS annonciert oder besitzt eine falsche Länge

Auf Basis dieser Validierung kann man auf dem Router nun festlegen, was mit den annoncierten Prefixes geschehen soll.

Als Validatoren setzen wir auf den RIPE RPKI Validator und auf den Routinator3000 von NLnetLabs.

Router sagt Nein

Wir haben unsere Router so konfiguriert, dass Prefixe mit dem Status valid und unknown angenommen werden. Prefixe mit dem Status invalid, werden vom 07.01.2020 an verworfen und nicht in den aktiven Routing Table aufgenommen.

Durch das Verwerfen von invaliden Prefixes kann es nun vorkommen, dass Clients aus diesen Netzen keinen unserer Services mehr nutzen können. Hier möchten wir nochmal betonen, dass das Problem in dem Fall nicht bei uns liegt, sondern beim Provider des Clients, da dort falsche ROAs konfiguriert sind.

Demonstrieren lässt sich dies z.B. an dem Prefix 24.38.100.0/24. Hierfür ist der folgende ROA angelegt.

Der bei ARIN angelegte ROA

Demnach darf nur das AS6128 das Netz announcen. Laut Routing Table wird das Netz jedoch von AS54004 announciert. Damit stimmt das announcierte Prefix nicht mit dem ROA überein und der Status wird auf invalid gesetzt.

Routing Status beim RIPEstat (https://stat.ripe.net/24.38.100.0%2F24#tabId=routing)

Den RPKI Status einer IP können Sie auch unter https://stat.ripe.net/ überprüfen.

Da wir mit einigen Kunden interne BGP-Sessions aufgesetzt haben und wir dort teilweise Prefixe announciert bekommen, die nicht durch einen ROA authorisiert werden können, mussten wir hierfür eine Lösung finden, da jedes an uns announcierte Prefix die Validierung durchlaufen soll, ohne Ausnahme.

Um dies zu gewährleisten, werden die announcierten Prefixes in die kundenspezifische Policy geschrieben und erhalten dort von uns den Status valid. So ist gewährleistet, dass die Prefixes vom Kunden immer valid sind und angenommen werden.

Zusätzlich versehen wir jedes Prefix mit einer Community, was uns z.B. das Monitoring der Prefixes erleichtert.

BGP Communities

Die Zukunft

RPKI trägt einen Teil zur Sicherheit der Netzwerke bei, weitere interessante Sicherheitsmaßnahmen wie z.B. ASPA befinden sich in der Entwicklung und werden von uns aufmerksam verfolgt, um auch zukünftig unser Netzwerk, und damit auch Sie, zu schützen.

Wir hoffen, Ihnen einen kleinen Einblick in die RPKI Implementierung bei Artfiles gegeben zu haben. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

Abschaltung alter PHP Versionen ab 20. November 2017

Wie bereits von uns angekündigt, werden wir aus Sicherheitsgründen zukünftig keine PHP Versionen anbieten können, für die es vom Hersteller keine Sicherheitsupdates mehr gibt. Ab dem 20. November werden dann alle PHP-Versionen, die nicht mindestens den Stand 5.6 haben, deaktiviert und nicht mehr zur Verfügung gestellt.

Ab dem 20. November 2017 wird ebenfalls auf allen Servern die Mindestversion auf PHP 5.6 geändert. Hierbei gilt es, drei Fälle zu unterscheiden:

  • Wenn Sie bisher gar nichts eingestellt haben und keine eigene PHP-Version bestimmt haben, wird automatisch PHP 5.6 verwendet.
  • Wenn Sie bisher per .htaccess (AddHandler) eine kleinere PHP-Version eingestellt hatten, wird ebenfalls automatisch PHP 5.6 verwendet.
  • Wenn Sie bereits eine höhere PHP-Version (PHP 7.0 oder 7.1) eingestellt haben, ändert sich für Sie nichts. Ihre PHP-Dateien werden dann auch weiterhin mit PHP 7.0 oder 7.1 ausgeführt.

Sofern Sie bei der Umstellung Hilfe benötigen oder andere Fragen zur Umstellung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Mailsystem V3

Elbphilharmonie

Es ist vollbracht. Knapp aber letztlich doch chancenlos haben wir das Rennen um das am schlimmsten aus dem Zeitplan gelaufene Projekt diesseits der Elbe gegen die Elbphilharmony verloren. Dort ist erst im Januar feierliche Eröffnung. Wir sind fertig:

Das Projekt Artfiles Mailsystem V3 ist abgeschlossen.

Die Idee für ein von Grund auf neu konzipiertes Mailsystem geht bereits zurück auf das Jahr 2007: Das von uns eingesetzte Qmail war zu diesem Zeitpunkt gerade zehn Jahre alt geworden und von halboffiziellen Patches und eigenen Anpassungen so überwuchert, dass eine Weiterentwicklung nicht mehr sinnvoll erschien.

So reifte der Entschluss, ein neues Mailsystem auf Basis von Exim zu entwickeln.

Mailsystem V2

Aber während einige Komponenten wie Mailein- und ausgangsserver leicht ausgetauscht werden konnten, erwiesen sich Mailzustellung und -abruf als erstaunlich hartnäckig.

Als größtes Problem zeigte sich wie erwartet unser Anspruch, die Umstellung praktisch ohne Beeinträchtigung der Benutzer durchzuführen. Bei schon damals mehr als einhunderttausend Mailboxen war es undenkbar, den Benutzern Änderungen aufzuzwingen.

Also haben wir viel experimentiert, implementiert und getestet, aber letztlich ließ sich keine zufriedenstellende Lösung finden. Und mangels größerer Probleme mit unserem alten Mailsystem gab es natürlich auch immer wieder Projekte, die das neue Mailsystem von der Spitze der Todo Liste verdrängt haben.

Zwischenzeitlich wurde dann mal das Webmail von Squirrelmail auf Roundcube aktualisiert und alte Storageserver durch neuere ersetzt. Auch für die Redundanz wurde viel investiert, aber der Kern des alten Mailsystems blieb bestehen.

Es muss etwas passieren

Das änderte sich erst im Frühjahr 2015: Vor allem die Courier IMAP Software begann uns ernsthafte Probleme zu machen. Viele neuere Mailprogramme unterstützten nun IMAP Erweiterungen, die Courier schlicht nicht beherrschte, und die auch nicht mehr nachzurüsten waren. Also musste gehandelt werden.

Als neue POP3 und IMAP Software wurde Dovecot auserkoren. Zusammen mit Amavis sollte Dovecot auch die Mailzustellung in die Postfächer übernehmen. Damit sollte dann gleich auch die Konfiguration der Mailboxen in die Datenbank verlegt werden. Bisher befand sie sich nur zum Teil dort und zum Teil in .qmail Dateien auf den Storage Servern.

Die Implementierung der geplanten Lösung erwies sich leider als etwas schwieriger als gedacht. Das lag vor allem an der etwas undurchsichtigen Struktur von Amavis und der mangelhaften Dokumentation. Letztlich konnte aber im Herbst 2015 eine funktionierende Plattform für Mailzustellung und Abruf in den Testbetrieb gehen.

Aus leidvoller Erfahrung mit defekten Raidcontrollern und “alle Jahre wieder” auftretenden Ausfällen von Storage Servern, entschieden wir uns für ein vollständig redundantes System für die Speicherung und den Abruf von Mails. Zunächst wurde es auf basis von Xen und Btrfs auf jeweils zwei per DRBD verbundenen Servern realisiert.

Leider zeigte sich jedoch relativ schnell, dass dieser doch recht komplexe Stack den harten Anforderungen des Livebetriebs nicht gewachsen war. Zudem erwies sich Btrfs als nicht ausgereift und sorgte mit vielen Problemen für reichlich graue Haare bei den Admins.

Also haben wir noch mal einen Gang zurück geschaltet und stattdessen auf Bewährtes gesetzt. Jetzt werden die Mails wieder in einem Ext4 Dateisystem gespeichert, das auf einem per LVM partitionierten DRBD aufsetzt. Es gibt keine Virtualisierung mehr, sondern “traditionelle” Hochverfügbarkeit.

Nachdem diese Lösung im Frühjahr endlich betriebsbereit war, ging es an die Umstellung der Mailboxen vom alten in das neue System. Dies nahm nochmals einige Wochen in Anspruch und war im Mai dann endlich abgeschlossen.

Fast fertig

Damit war das neue Mailsystem im Grunde komplett soweit es die Mailboxen betraf.

Ein letzter Querulant aber hörte nicht auf, der Umstellung Widerstand zu leisten: Die Mailinglisten. Diese werden bei uns sozusagen seit Anbeginn der Zeit mit Ezmlm betrieben und sind dadurch praktisch untrennbar mit Qmail verzahnt.

Also wurde der Plan gefasst, eine saubere, auf die reine Mailinglistenfunktion reduzierte Qmailinstallation zu schaffen. Wie nicht anders zu erwarten steckte auch hier der Teufel im Detail. Aber schließlich konnte am 23. August der neue Mailinglistenserver online und der letzte “alte” Qmail Server nach über 15 Jahren endlich offline gehen.

Status Quo

Eine Übersicht über den Mailzustellungsprozess gibt es hier: Artfiles Mail V3

Im Unterschied zu den dort skizzierten Plänen hat unser Mailsystem noch mal deutlich an Sicherheit und Verfügbarkeit gewonnen: es gibt jetzt eine redundante Speicherung sämtlicher Mails auf zwei Storage Servern, die sich in verschiedenen Brandabschnitten des Rechenzentrums befinden. Von diesem Redundanten Datenbestand werden alle drei Stunden Snapshots gezogen, die eine möglichst zeitnahe Wiederherstellung ermöglichen.

Zusätzlich werden vom jeweils aktuellsten Snapshot täglich die Daten auf ein drittes, unabhängiges System gesichert. Diese Sicherungen werden mindestens 28 Tage aufbewahrt.

Ausblick

Auch wenn nun ein Meilenstein erreicht ist, arbeiten wir selbstverständlich kontinuierlich weiter an der Verbesserung des Mailsystems. Als nächstes wollen wir den Benutzern die Möglichkeit geben, selbst Mails aus den backups wieder herzustellen. Derzeit muss das noch ein Administrator “zu Fuß” tun.

Außerdem möchten wir den Benutzern mehr Konfigurationsmöglichkeiten für Ihre jeweiligen Accounts geben, ohne dass sie dafür das DCP bemühen müssen.

Beides ist bereits in Arbeit, die Realisierung wird aber noch einige Zeit in Anspruch nehmen – voraussichtlich aber nicht wieder fast zehn Jahre…

Let’s Encrypt im DCP

Um ein Let’s Encrypt Zertifikat im DCP zu aktivieren, muss zunächst die Teilnahme am Beta Programm aktiviert werden.

Dies geschieht im Menü unter “Einstellungen”.

 

Sobald die Beta Features freigeschaltet sind, findet sich nach wenigen Minuten im “Domain”-Menü ein Eintrag “SSL”:

Bildschirmfoto 2016-08-26 um 15.37.17

 

Ein Klick auf “Neu anlegen” öffnet die Konfigurationsansicht:

Bildschirmfoto 2016-08-26 um 15.38.51Hier können bis zu 5 Subdomains einer Domain mit einem SSL/TLS Zertifikat versehen werden.

Es können nur Subdomains konfiguriert werden, für die noch kein anderes Zertifikat eingerichtet ist.

 

Technischer Hintergrund:

Das DCP erstellt automatisch einen Certificate Signing Request und übermittelt diesen an Let’s Encrypt. Gleichzeitig wird der Webserver entsprechend konfiguriert, um den Validierungsrequest korrekt zu beantworten. Es handelt sich hier also um eine HTTP Validierung. Diese läuft völlig transparent zum normalen Betrieb des Webservers.

Der gesamte Validierungsprozess dauert etwa 15 Minuten, so dass nach spätestens 15 bis 20 Minuten die Zertifikate zur Verfügung stehen.

 

Beispielzertifikat:

Bildschirmfoto 2016-08-26 um 16.06.50Let’s Encrypt Zertifikate sind derzeit grundsätzlich 90 Tage gültig. Das DCP erneuert Zertifikate aber bereits nach 60 Tagen gemäß der Empfehlung von Let’s Encrypt. Auch dies läuft völlig transparent für Benutzer des Webservers ab.

Einige Hintergrundinformationen zu Let’s Encrypt haben wir noch mal in einem eigenen Artikel zusammengefasst: Let’s Encrypt (beta)

Let’s Encrypt (beta)

letsencrypt_logo

Ab sofort bieten wir im Rahmen unseres Beta Programms allen Webhosting Kunden ab Private Medium die Möglichkeit, Let’s Encrypt® SSL Zertifikate über das DCP einzurichten. In der folgenden kurzen FAQ wollen wir versuchen, die wichtigsten Fragen zu Let’s Encrypt zu beantworten.

Was ist eigentlich Let’s Encrypt?

Let’s Encrypt ist eine kostenlose und vollautomatisierte sogenannte Certificate Authority, also eine Stelle, die kostenlose SSL Zertifikate ausstellt.

Wozu braucht man eine Certificate Authority?

Um eine verschlüsselte Verbindung (z.B. HTTPS) sicher nutzen zu können, ist es nicht nur wichtig, dass der Datenverkehr verschlüsselt wird, sondern es ist ebenso wichtig sicher zu stellen, dass man auch tatsächlich mit dem richtigen Server kommuniziert.

Ansonsten könnte ein Angreifer, der zwischen Server und Benutzer sitzt, einfach selbst die Verschlüsselung zu beiden Seiten durchführen und so doch wieder den Datenverkehr abhören, ohne dass die Kommunikationspartner das bemerken.

Um diese Angriffsmöglichkeit zu verhindern, gibt es SSL Zertifikate, die der Server präsentiert und die seinen Namen enthalten. Dadurch kann der Benutzer bzw. sein Browser erkennen, dass die Verbindung auch tatsächlich mit dem gewünschten Server und nicht mit einem Angreifer “In der Leitung” zustande gekommen ist.

Um nun wiederrum das Zertifikat überprüfen zu können, ist es durch ein weiteres Zertifikat beglaubigt. Dieses sogenannte Root Zertifikat wird von einer Certificate Authority ausgestellt und muss im Browser (oder auch z.B. im Mailclient) des Benutzers hinterlegt sein.

Was ist das Besondere an Let’s Encrypt?

Die Root Zertifikate von Let’s Encrypt sind wie die aller Certificate Authorities (z.B. Verisign, Geotrust, Thawte etc.) in praktisch allen aktuellen Browsern hinterlegt (bzw. derzeit noch “cross signed”). Nur so kann die Sicherheit einer SSL/TLS Verbindung garantiert werden und das berühmte Schloss im Browser schließt sich.

Im Gegensatz zu kommerziellen Certificate Authorities sind Let’s Encrypt Zertifikate kostenlos und können über einen automatisierten Prozess erzeugt werden.

Braucht man eigentlich noch “traditionelle” Certificate Authorities?

Das kommt darauf an. Let’s Encrypt Zertifikate sind bei der Benutzung genauso sicher wie kommerziell ausgestellte Zertifikate. Wenn man also nur seine Webseiten absichern möchte, reicht ein Let’s Encrypt sicher aus.

Möchte man allerdings seinen Benutzern und Kunden eine größtmögliche Sicherheit auch optisch präsentieren, geht es nicht ohne sogenannte “Extended Validation” Zertifikate. Nur mit diesen Zertifikaten färbt sich die Adressleiste grün bzw. erscheint der Firmenname neben der URL.

Extended Validation Zertifikate müssen manuell geprüft werden und können daher von Let’s Encrypt nicht angeboten werden. Hier ist man also weiterhin auf kommerzielle Anbieter angewiesen.

Und warum kostenlos?

Das Ziel von Let’s Encrypt ist es, eine möglichst große Anzahl von Webservern durch SSL/TLS abzusichern und so das Internet insgesamt sicherer zu machen. Hinter Let’s Encrypt stehen viele Größen des Internet wie zum Beispiel CISCO, Facebook und natürlich Mozilla, die Organisation hinter Firefox.

Links:

https://letsencrypt.org/

https://de.wikipedia.org/wiki/Digitales_Zertifikat

https://de.wikipedia.org/wiki/Transport_Layer_Security

Artfiles Mail V3

Das Artfiles Mailsystem wird von Grund auf erneuert. Nach mehreren Monaten Entwicklungszeit und ausführlichen Tests wird ab dem 1.1.2016 das Mailsystem V3 ausgerollt. Die wichtigsten Neuerungen im Überblick:

  • Umstellung von Courier auf Dovecot IMAP
  • Unterstützung von XLIST Kommandos zur Ordnerverwaltung z.B. in Outlook
  • Sieve-Unterstützung: Filterung von Mails schon auf dem Server
  • Robustere Mailzustellung und höhere Verfügbarkeit
  • Bis zu 30 Tage Backup dreimal täglich

Hintergrund

Das Artfiles Mailsystem basiert seit dem Start vor nun mehr als 15 Jahren auf Qmail, Exim und Courier. Exim mit seine extrem vielfältigen Konfigurations- und Erweiterungsmöglichkeiten sorgt für den Transport ein- und ausgehender Mails, Qmail für die Zustellung und Filterung eingehender Mails. Courier stellt Abrufmöglichkeiten via POP3 und IMAP zur Verfügung.

Das "alte" Mailsystem schematisch
Das “alte” Mailsystem (V1) schematisch

Obwohl dieses System auch nach vielen Jahren immer noch stabil und sicher funktioniert, ist doch die Entwicklung mittlerweile an einigen Komponenten vorübergegangen: Qmail wird praktisch seit 1998 funktional nicht weiterentwickelt und auch Courier, obwohl noch aktiv entwickelt, lässt viele moderne Features, wie Sieve oder XLIST vermissen.

Aus diesem Grund haben wir uns für eine von Grund auf neu konzipierte Lösung entschieden: Als IMAP und POP3 Mailserver fungiert nun Dovecot. Das Scannen der Mails auf Viren und SPAM übernimmt Amavis direkt auf dem Mailboxsystem. Hierdurch wird die Zustellung von Mails besser als bisher parallelisiert. Hier lag eine Schwachstelle des alten Systems mit nur einer Qmail Instanz, die alle Mailboxserver mit Mails versorgen musste. So konnte ein kurzzeitig stark erhöhtes Mailaufkommen auf einzelnen Servern die Zustellung auch anderer Mails beeinträchtigen.

Das "neue" Mailsystem
Das “neue” Mailsystem (V3) schematisch

Ein weiterer, höchst erwünschter Nebeneffekt des neuen Systems ist die wesentlich bessere Nachvollziehbarkeit der Mailzustellungen bis hin zum Logging der Antivirus- und Spamfilter-Entscheidungen.

Die Server des neuen Systems sind entweder ihrerseits redundant ausgelegt, oder laufen als virtuelle Maschinen auf redundanter Hardware, so dass wir im Fehlerfall sehr schnell – teilweise sogar automatisch – den Betrieb wieder herstellen können. Da wir für die Mailspeicherung künftig auf BTRFS setzen, können wir eine einfache Backuplösung anbieten, die nahezu unbegrenzte Speicherpunkte ermöglicht. Zusätzlich wird ein Offline-Backup erstellt.

Durch die nun ausschließlich datenbankbasierte Konfiguration ergeben sich viele Konfigurationsmöglichkeiten, die wir im Laufe der nächsten Monate im DCP für Sie verfügbar machen werden.

Was bedeutet das für unsere Kunden

Sobald Ihre Domain(s) umgestellt sind, profitieren Sie automatisch von den zusätzlichen Features des neuen Mailsystems: Sie können Mails per Sieve filtern (dazu werden wir in den nächsten Wochen noch einen Artikel veröffentlichen). Wenn Sie IMAP nutzen, erkennt Ihr Mailclient automatisch die speziellen Ordner, die für z.B. gelöschte Mails, gesendete Mails oder Entwürfe vorgesehen sind. Insbesondere beim Zugriff mit mehreren Clients auf ein bestimmtes Postfach wird hierdurch die Einrichtung deutlich erleichtert.

In den nächsten Monaten werden wir zudem in einigen Tarifen die Möglichkeit anbieten, selbst Mails aus beliebigen Backups in das jeweilige Postfach zurückzuspielen.

Was ist aus Mail V2 geworden?

Wenn Sie sich fragen, warum auf Mail V1 direkt Mail V3 folgt – Mail V2 war als auf Basis von Exim selbst entwickeltes System zwar vielversprechend, wir haben es aber zugunsten einer weitestgehend auf Standardkomponenten basierenden Lösung verworfen.

Links

SIEVE

Local Mail Transfer Protocol (LMTP)

RFC6154 XLIST

BTRFS