Newsletter: Alles neu macht der März

Liebe Artfiles Kunden,

unsere neue Homepage wirft ihre Schatten voraus, und so können wir Ihnen heute einige Neuigkeiten präsentieren, die vorwiegend die Optik unserer Webdienste betreffen:

Unsere neue Supportseite

Optisch aufgefrischt und auf eine responsive Wiki-Plattform umgestellt, finden Sie ab sofort unter

https://support.artfiles.de

alle Hilfeseiten zum DCP, wichtige technische Infos zu unseren Produkten und viele hilfreiche Anleitungen, mit deren Hilfe Sie das meiste aus Ihren Artfiles Accounts herausholen können.

Die alte Hilfe ist weiterhin in archivierter Form unter https://www.artfiles.de/support erreichbar, wird aber nicht mehr aktualisiert.

Das Artfiles Blog

Ebenfalls im neuen Design erstrahlt ab sofort unser Blog unter

https://blog.artfiles.de

Wir setzen weiterhin auf das bewährte WordPress und informieren in loser Folge über Neuerungen und interessante Aspekte rund um Webhosting und Internet Technik.

Ein neues DCP Theme

Ab sofort steht Ihnen im DCP unter “Einstellungen” das DCP Theme “2020 lite” zur Auswahl. Dieses modern-reduzierte Theme wird ab dem 17.3.2020 unser bisheriges “Classic” Theme als Default im DCP ablösen.

Ab diesem Zeitpunkt werden alle DCPs ohne ausgewähltes Theme automatisch auf “2020 lite” umgestellt. Selbstverständlich können Sie aber auch weiterhin das “Classic” Theme in Ihren DCP Einstellungen auswählen.

Webmail Update

Nicht nur optisch, sondern auch unter der Haube hat unser Webmail ein Upgrade erhalten. Ab sofort steht Roundcube 1.4 im responsiven Design bereit für den schnellen Mailabruf zwischendurch (oder als Ersatz für einen Mailclient).

Das Webmail ist wie gewohnt unter https://webmail.artfiles.de erreichbar.

Neue Supportzeiten

Ab sofort steht Ihnen der Telefon- und Chatsupport bereits ab 8:00 statt ab 9:00 Uhr zur Verfügung.

Die neuen Supportzeiten sind demnach Montag bis Freitag von 8:00 bis 22:00 Uhr.

DE-CIX

Eher technischer Natur ist unsere letzte Ankündigung für heute: Nachdem Artfiles bereits seit dem letzten Jahr in Hamburg am größten deutschen Internet-Exchange Point DE-CIX vertreten ist, haben wir jetzt auch unser Peering in Frankfurt aufgenommen.

Die dort aufgeschaltete Bandbreite von 10 Gbit/s ist allerdings bereits fast schon wieder erreicht, so dass wir in den nächsten Wochen auf 20 Gbit/s erweitern werden.

Wir hoffen, dass Ihnen die Neuerungen gefallen, und freuen uns natürlich wie immer über Feedback, Kritik und Bug-Reports!

Das Artfiles Team

Anpassung Domainpreise

Lieber Artfiles Kunde,

unser Domainregistrar hat zum 01.01.2020 Preiserhöhungen verschiedener Top-Level-Domains (TLDs) angekündigt. Dies betrifft auch einige der von uns angebotenen TLDs. Deshalb müssen wir die Domainpreise der TLDs .info, .mobi, .pro und .bio anpassen. Für Neuregistrierungen gelten ab sofort die neuen Preise, für Domain-Verlängerungen werden die neuen Preise ab dem 01.02.2020 berechnet.
Andere TLDs (wie z.B. .de oder .com) sind von dieser Preiserhöhung nicht betroffen.

Details entnehmen Sie bitte der unten stehenden Liste.

TLD Bisheriger Preis
Standard-Domain
Bisheriger Preis
Park-Domain
Neuer Preis
Standard-Domain
Neuer Preis
Park-Domain
.info19,00 €16,00 €21,00 €18,00 €
.mobi23,00 €20,00 €25,00 €22,00 €
.pro21,00 €18,00 €23,00 €20,00 €
.bio76,00 €73,00 €80,00 €77,00 €

Sofern Sie Fragen zur Preiserhöhung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Das Artfiles Team

RPKI Validation bei Artfiles

In der IT-Branche ist RPKI in aller Munde und auch wir haben dieses Thema in den letzten Wochen aufgegriffen. Mit der Implementierung leisten wir einen Beitrag zur Routing-Sicherheit und schützen unsere Netze gegen gewollte und ungewollte Attacken.

Ab Dienstag, den 07.01.2020, werden wir die RPKI Validation aktivieren und Routen verwerfen, die nicht korrekt vom Inhaber authorisiert sind. Laut unserem Monitoring werden dies ca. 4500 IPv4 Netze und ca. 800 IPv6 Netze sein.

Invalid Prefixes (Stand: 13.12.2019)

Und nun nochmal genauer

Was ist eigentlich RPKI?

RPKI steht für ‘Resource Public Key Infrastructure’ und bildet einen Baustein in der BGP Sicherheit. BGP ist die Abkürzung für ‘Border Gateway Protocol’ und stellt das zentrale Routingprotokoll dar, um verschiedene Netzwerke miteinander zu verbinden.

Jede Organisation oder Privatperson, die selbst Prefixe (Netze) hochfahren möchte, erhält von der zuständigen RIR (Regional Internet Registry), in unserem Fall dem RIPE, eine sogenannte AS-Nummer. Generell kann nun jeder unterhalb seiner AS-Nummer (oder auch einer x-beliebigen, BGP bietet da keinen Schutz) jedes Prefix annoncieren und dies seinem BGP-Neighbor mitteilen. Ohne Sicherheitsmechanismen nimmt der BGP-Neighbor dieses Prefix in seinen Routing Table auf und teilt wiederum seinen Nachbarn mit, dass er einen Pfad zu diesem Prefix besitzt. Somit könnte der Traffic nun einen anderen Weg nehmen und nicht am eigentlichen Zielort ankommen. Mit RPKI ist es nun möglich, solche Angriffe zu einem großen Teil zu unterbinden. Wichtig hierfür ist das Signieren der eigenen Prefixe sowie das Validieren der externen Prefixe.

Signierung

RPKI setzt zum Signieren auf die Public-Key Verschlüsselung. Hierfür übernimmt das RIPE das Hosten der CA (Certification Authority) und stellt uns Zertifikate für unsere Prefixe aus. So ein Zertifikat nennt sich ROA (Route Origination Authorization) und besteht aus drei Teilen.

  1. Origin AS – Die AS-Nummer, die das Prefix hochfahren darf
  2. Prefix – Das zu signierende Prefix
  3. Prefixlänge – Die Länge des Prefix, z.B. ob das Prefix nur als /24 hochgefahren werden darf oder auch als /23

Beim RIPE kann man unter http://localcert.ripe.net:8088/roas die erstellten ROAs einsehen.

ROA für unser Prefix 80.252.96.0/20

Anhand der erstellten ROAs kann nun jeder Router ein Prüfung vornehmen, ob das an ihn annoncierte Prefix überhaupt annonciert werden darf.

Validierung

Die Validierung der Prefixe läuft so ab, dass zusätzliche Software, der Validator, alle ROAs von den unterschiedlichen RIRs runterlädt und lokal zusammenfasst. Der Router fragt die ROAs nun über das RTR-Protokoll vom Validator ab und führt dann eine Route Origin Validation (ROV) durch und versieht die ihm annoncierten Prefixe mit einem Status:

  • valid
    Das annoncierte Prefix wird vom korrekten AS annonciert und hat die korrekte Länge
  • unknown
    Das annoncierte Prefix hat keinen ROA oder die Verbindung zum Validator ist längere Zeit inaktiv und die lokale Datenbank damit nicht mehr up-to-date
  • invalid
    Das annoncierte Prefix wird vom falschen AS annonciert oder besitzt eine falsche Länge

Auf Basis dieser Validierung kann man auf dem Router nun festlegen, was mit den annoncierten Prefixes geschehen soll.

Als Validatoren setzen wir auf den RIPE RPKI Validator und auf den Routinator3000 von NLnetLabs.

Router sagt Nein

Wir haben unsere Router so konfiguriert, dass Prefixe mit dem Status valid und unknown angenommen werden. Prefixe mit dem Status invalid, werden vom 07.01.2020 an verworfen und nicht in den aktiven Routing Table aufgenommen.

Durch das Verwerfen von invaliden Prefixes kann es nun vorkommen, dass Clients aus diesen Netzen keinen unserer Services mehr nutzen können. Hier möchten wir nochmal betonen, dass das Problem in dem Fall nicht bei uns liegt, sondern beim Provider des Clients, da dort falsche ROAs konfiguriert sind.

Demonstrieren lässt sich dies z.B. an dem Prefix 24.38.100.0/24. Hierfür ist der folgende ROA angelegt.

Der bei ARIN angelegte ROA

Demnach darf nur das AS6128 das Netz announcen. Laut Routing Table wird das Netz jedoch von AS54004 announciert. Damit stimmt das announcierte Prefix nicht mit dem ROA überein und der Status wird auf invalid gesetzt.

Routing Status beim RIPEstat (https://stat.ripe.net/24.38.100.0%2F24#tabId=routing)

Den RPKI Status einer IP können Sie auch unter https://stat.ripe.net/ überprüfen.

Da wir mit einigen Kunden interne BGP-Sessions aufgesetzt haben und wir dort teilweise Prefixe announciert bekommen, die nicht durch einen ROA authorisiert werden können, mussten wir hierfür eine Lösung finden, da jedes an uns announcierte Prefix die Validierung durchlaufen soll, ohne Ausnahme.

Um dies zu gewährleisten, werden die announcierten Prefixes in die kundenspezifische Policy geschrieben und erhalten dort von uns den Status valid. So ist gewährleistet, dass die Prefixes vom Kunden immer valid sind und angenommen werden.

Zusätzlich versehen wir jedes Prefix mit einer Community, was uns z.B. das Monitoring der Prefixes erleichtert.

BGP Communities

Die Zukunft

RPKI trägt einen Teil zur Sicherheit der Netzwerke bei, weitere interessante Sicherheitsmaßnahmen wie z.B. ASPA befinden sich in der Entwicklung und werden von uns aufmerksam verfolgt, um auch zukünftig unser Netzwerk, und damit auch Sie, zu schützen.

Wir hoffen, Ihnen einen kleinen Einblick in die RPKI Implementierung bei Artfiles gegeben zu haben. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

Abschaltung alter PHP Versionen ab 20. November 2017

Wie bereits von uns angekündigt, werden wir aus Sicherheitsgründen zukünftig keine PHP Versionen anbieten können, für die es vom Hersteller keine Sicherheitsupdates mehr gibt. Ab dem 20. November werden dann alle PHP-Versionen, die nicht mindestens den Stand 5.6 haben, deaktiviert und nicht mehr zur Verfügung gestellt.

Ab dem 20. November 2017 wird ebenfalls auf allen Servern die Mindestversion auf PHP 5.6 geändert. Hierbei gilt es, drei Fälle zu unterscheiden:

  • Wenn Sie bisher gar nichts eingestellt haben und keine eigene PHP-Version bestimmt haben, wird automatisch PHP 5.6 verwendet.
  • Wenn Sie bisher per .htaccess (AddHandler) eine kleinere PHP-Version eingestellt hatten, wird ebenfalls automatisch PHP 5.6 verwendet.
  • Wenn Sie bereits eine höhere PHP-Version (PHP 7.0 oder 7.1) eingestellt haben, ändert sich für Sie nichts. Ihre PHP-Dateien werden dann auch weiterhin mit PHP 7.0 oder 7.1 ausgeführt.

Sofern Sie bei der Umstellung Hilfe benötigen oder andere Fragen zur Umstellung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Mailsystem V3

Elbphilharmonie

Es ist vollbracht. Knapp aber letztlich doch chancenlos haben wir das Rennen um das am schlimmsten aus dem Zeitplan gelaufene Projekt diesseits der Elbe gegen die Elbphilharmony verloren. Dort ist erst im Januar feierliche Eröffnung. Wir sind fertig:

Das Projekt Artfiles Mailsystem V3 ist abgeschlossen.

Die Idee für ein von Grund auf neu konzipiertes Mailsystem geht bereits zurück auf das Jahr 2007: Das von uns eingesetzte Qmail war zu diesem Zeitpunkt gerade zehn Jahre alt geworden und von halboffiziellen Patches und eigenen Anpassungen so überwuchert, dass eine Weiterentwicklung nicht mehr sinnvoll erschien.

So reifte der Entschluss, ein neues Mailsystem auf Basis von Exim zu entwickeln.

Mailsystem V2

Aber während einige Komponenten wie Mailein- und ausgangsserver leicht ausgetauscht werden konnten, erwiesen sich Mailzustellung und -abruf als erstaunlich hartnäckig.

Als größtes Problem zeigte sich wie erwartet unser Anspruch, die Umstellung praktisch ohne Beeinträchtigung der Benutzer durchzuführen. Bei schon damals mehr als einhunderttausend Mailboxen war es undenkbar, den Benutzern Änderungen aufzuzwingen.

Also haben wir viel experimentiert, implementiert und getestet, aber letztlich ließ sich keine zufriedenstellende Lösung finden. Und mangels größerer Probleme mit unserem alten Mailsystem gab es natürlich auch immer wieder Projekte, die das neue Mailsystem von der Spitze der Todo Liste verdrängt haben.

Zwischenzeitlich wurde dann mal das Webmail von Squirrelmail auf Roundcube aktualisiert und alte Storageserver durch neuere ersetzt. Auch für die Redundanz wurde viel investiert, aber der Kern des alten Mailsystems blieb bestehen.

Es muss etwas passieren

Das änderte sich erst im Frühjahr 2015: Vor allem die Courier IMAP Software begann uns ernsthafte Probleme zu machen. Viele neuere Mailprogramme unterstützten nun IMAP Erweiterungen, die Courier schlicht nicht beherrschte, und die auch nicht mehr nachzurüsten waren. Also musste gehandelt werden.

Als neue POP3 und IMAP Software wurde Dovecot auserkoren. Zusammen mit Amavis sollte Dovecot auch die Mailzustellung in die Postfächer übernehmen. Damit sollte dann gleich auch die Konfiguration der Mailboxen in die Datenbank verlegt werden. Bisher befand sie sich nur zum Teil dort und zum Teil in .qmail Dateien auf den Storage Servern.

Die Implementierung der geplanten Lösung erwies sich leider als etwas schwieriger als gedacht. Das lag vor allem an der etwas undurchsichtigen Struktur von Amavis und der mangelhaften Dokumentation. Letztlich konnte aber im Herbst 2015 eine funktionierende Plattform für Mailzustellung und Abruf in den Testbetrieb gehen.

Aus leidvoller Erfahrung mit defekten Raidcontrollern und “alle Jahre wieder” auftretenden Ausfällen von Storage Servern, entschieden wir uns für ein vollständig redundantes System für die Speicherung und den Abruf von Mails. Zunächst wurde es auf basis von Xen und Btrfs auf jeweils zwei per DRBD verbundenen Servern realisiert.

Leider zeigte sich jedoch relativ schnell, dass dieser doch recht komplexe Stack den harten Anforderungen des Livebetriebs nicht gewachsen war. Zudem erwies sich Btrfs als nicht ausgereift und sorgte mit vielen Problemen für reichlich graue Haare bei den Admins.

Also haben wir noch mal einen Gang zurück geschaltet und stattdessen auf Bewährtes gesetzt. Jetzt werden die Mails wieder in einem Ext4 Dateisystem gespeichert, das auf einem per LVM partitionierten DRBD aufsetzt. Es gibt keine Virtualisierung mehr, sondern “traditionelle” Hochverfügbarkeit.

Nachdem diese Lösung im Frühjahr endlich betriebsbereit war, ging es an die Umstellung der Mailboxen vom alten in das neue System. Dies nahm nochmals einige Wochen in Anspruch und war im Mai dann endlich abgeschlossen.

Fast fertig

Damit war das neue Mailsystem im Grunde komplett soweit es die Mailboxen betraf.

Ein letzter Querulant aber hörte nicht auf, der Umstellung Widerstand zu leisten: Die Mailinglisten. Diese werden bei uns sozusagen seit Anbeginn der Zeit mit Ezmlm betrieben und sind dadurch praktisch untrennbar mit Qmail verzahnt.

Also wurde der Plan gefasst, eine saubere, auf die reine Mailinglistenfunktion reduzierte Qmailinstallation zu schaffen. Wie nicht anders zu erwarten steckte auch hier der Teufel im Detail. Aber schließlich konnte am 23. August der neue Mailinglistenserver online und der letzte “alte” Qmail Server nach über 15 Jahren endlich offline gehen.

Status Quo

Eine Übersicht über den Mailzustellungsprozess gibt es hier: Artfiles Mail V3

Im Unterschied zu den dort skizzierten Plänen hat unser Mailsystem noch mal deutlich an Sicherheit und Verfügbarkeit gewonnen: es gibt jetzt eine redundante Speicherung sämtlicher Mails auf zwei Storage Servern, die sich in verschiedenen Brandabschnitten des Rechenzentrums befinden. Von diesem Redundanten Datenbestand werden alle drei Stunden Snapshots gezogen, die eine möglichst zeitnahe Wiederherstellung ermöglichen.

Zusätzlich werden vom jeweils aktuellsten Snapshot täglich die Daten auf ein drittes, unabhängiges System gesichert. Diese Sicherungen werden mindestens 28 Tage aufbewahrt.

Ausblick

Auch wenn nun ein Meilenstein erreicht ist, arbeiten wir selbstverständlich kontinuierlich weiter an der Verbesserung des Mailsystems. Als nächstes wollen wir den Benutzern die Möglichkeit geben, selbst Mails aus den backups wieder herzustellen. Derzeit muss das noch ein Administrator “zu Fuß” tun.

Außerdem möchten wir den Benutzern mehr Konfigurationsmöglichkeiten für Ihre jeweiligen Accounts geben, ohne dass sie dafür das DCP bemühen müssen.

Beides ist bereits in Arbeit, die Realisierung wird aber noch einige Zeit in Anspruch nehmen – voraussichtlich aber nicht wieder fast zehn Jahre…

Let’s Encrypt im DCP

Um ein Let’s Encrypt Zertifikat im DCP zu aktivieren, muss zunächst die Teilnahme am Beta Programm aktiviert werden.

Dies geschieht im Menü unter “Einstellungen”.

 

Sobald die Beta Features freigeschaltet sind, findet sich nach wenigen Minuten im “Domain”-Menü ein Eintrag “SSL”:

Bildschirmfoto 2016-08-26 um 15.37.17

 

Ein Klick auf “Neu anlegen” öffnet die Konfigurationsansicht:

Bildschirmfoto 2016-08-26 um 15.38.51Hier können bis zu 5 Subdomains einer Domain mit einem SSL/TLS Zertifikat versehen werden.

Es können nur Subdomains konfiguriert werden, für die noch kein anderes Zertifikat eingerichtet ist.

 

Technischer Hintergrund:

Das DCP erstellt automatisch einen Certificate Signing Request und übermittelt diesen an Let’s Encrypt. Gleichzeitig wird der Webserver entsprechend konfiguriert, um den Validierungsrequest korrekt zu beantworten. Es handelt sich hier also um eine HTTP Validierung. Diese läuft völlig transparent zum normalen Betrieb des Webservers.

Der gesamte Validierungsprozess dauert etwa 15 Minuten, so dass nach spätestens 15 bis 20 Minuten die Zertifikate zur Verfügung stehen.

 

Beispielzertifikat:

Bildschirmfoto 2016-08-26 um 16.06.50Let’s Encrypt Zertifikate sind derzeit grundsätzlich 90 Tage gültig. Das DCP erneuert Zertifikate aber bereits nach 60 Tagen gemäß der Empfehlung von Let’s Encrypt. Auch dies läuft völlig transparent für Benutzer des Webservers ab.

Einige Hintergrundinformationen zu Let’s Encrypt haben wir noch mal in einem eigenen Artikel zusammengefasst: Let’s Encrypt (beta)

Let’s Encrypt (beta)

letsencrypt_logo

Ab sofort bieten wir im Rahmen unseres Beta Programms allen Webhosting Kunden ab Private Medium die Möglichkeit, Let’s Encrypt® SSL Zertifikate über das DCP einzurichten. In der folgenden kurzen FAQ wollen wir versuchen, die wichtigsten Fragen zu Let’s Encrypt zu beantworten.

Was ist eigentlich Let’s Encrypt?

Let’s Encrypt ist eine kostenlose und vollautomatisierte sogenannte Certificate Authority, also eine Stelle, die kostenlose SSL Zertifikate ausstellt.

Wozu braucht man eine Certificate Authority?

Um eine verschlüsselte Verbindung (z.B. HTTPS) sicher nutzen zu können, ist es nicht nur wichtig, dass der Datenverkehr verschlüsselt wird, sondern es ist ebenso wichtig sicher zu stellen, dass man auch tatsächlich mit dem richtigen Server kommuniziert.

Ansonsten könnte ein Angreifer, der zwischen Server und Benutzer sitzt, einfach selbst die Verschlüsselung zu beiden Seiten durchführen und so doch wieder den Datenverkehr abhören, ohne dass die Kommunikationspartner das bemerken.

Um diese Angriffsmöglichkeit zu verhindern, gibt es SSL Zertifikate, die der Server präsentiert und die seinen Namen enthalten. Dadurch kann der Benutzer bzw. sein Browser erkennen, dass die Verbindung auch tatsächlich mit dem gewünschten Server und nicht mit einem Angreifer “In der Leitung” zustande gekommen ist.

Um nun wiederrum das Zertifikat überprüfen zu können, ist es durch ein weiteres Zertifikat beglaubigt. Dieses sogenannte Root Zertifikat wird von einer Certificate Authority ausgestellt und muss im Browser (oder auch z.B. im Mailclient) des Benutzers hinterlegt sein.

Was ist das Besondere an Let’s Encrypt?

Die Root Zertifikate von Let’s Encrypt sind wie die aller Certificate Authorities (z.B. Verisign, Geotrust, Thawte etc.) in praktisch allen aktuellen Browsern hinterlegt (bzw. derzeit noch “cross signed”). Nur so kann die Sicherheit einer SSL/TLS Verbindung garantiert werden und das berühmte Schloss im Browser schließt sich.

Im Gegensatz zu kommerziellen Certificate Authorities sind Let’s Encrypt Zertifikate kostenlos und können über einen automatisierten Prozess erzeugt werden.

Braucht man eigentlich noch “traditionelle” Certificate Authorities?

Das kommt darauf an. Let’s Encrypt Zertifikate sind bei der Benutzung genauso sicher wie kommerziell ausgestellte Zertifikate. Wenn man also nur seine Webseiten absichern möchte, reicht ein Let’s Encrypt sicher aus.

Möchte man allerdings seinen Benutzern und Kunden eine größtmögliche Sicherheit auch optisch präsentieren, geht es nicht ohne sogenannte “Extended Validation” Zertifikate. Nur mit diesen Zertifikaten färbt sich die Adressleiste grün bzw. erscheint der Firmenname neben der URL.

Extended Validation Zertifikate müssen manuell geprüft werden und können daher von Let’s Encrypt nicht angeboten werden. Hier ist man also weiterhin auf kommerzielle Anbieter angewiesen.

Und warum kostenlos?

Das Ziel von Let’s Encrypt ist es, eine möglichst große Anzahl von Webservern durch SSL/TLS abzusichern und so das Internet insgesamt sicherer zu machen. Hinter Let’s Encrypt stehen viele Größen des Internet wie zum Beispiel CISCO, Facebook und natürlich Mozilla, die Organisation hinter Firefox.

Links:

https://letsencrypt.org/

https://de.wikipedia.org/wiki/Digitales_Zertifikat

https://de.wikipedia.org/wiki/Transport_Layer_Security

Artfiles Mail V3

Das Artfiles Mailsystem wird von Grund auf erneuert. Nach mehreren Monaten Entwicklungszeit und ausführlichen Tests wird ab dem 1.1.2016 das Mailsystem V3 ausgerollt. Die wichtigsten Neuerungen im Überblick:

  • Umstellung von Courier auf Dovecot IMAP
  • Unterstützung von XLIST Kommandos zur Ordnerverwaltung z.B. in Outlook
  • Sieve-Unterstützung: Filterung von Mails schon auf dem Server
  • Robustere Mailzustellung und höhere Verfügbarkeit
  • Bis zu 30 Tage Backup dreimal täglich

Hintergrund

Das Artfiles Mailsystem basiert seit dem Start vor nun mehr als 15 Jahren auf Qmail, Exim und Courier. Exim mit seine extrem vielfältigen Konfigurations- und Erweiterungsmöglichkeiten sorgt für den Transport ein- und ausgehender Mails, Qmail für die Zustellung und Filterung eingehender Mails. Courier stellt Abrufmöglichkeiten via POP3 und IMAP zur Verfügung.

Das "alte" Mailsystem schematisch
Das “alte” Mailsystem (V1) schematisch

Obwohl dieses System auch nach vielen Jahren immer noch stabil und sicher funktioniert, ist doch die Entwicklung mittlerweile an einigen Komponenten vorübergegangen: Qmail wird praktisch seit 1998 funktional nicht weiterentwickelt und auch Courier, obwohl noch aktiv entwickelt, lässt viele moderne Features, wie Sieve oder XLIST vermissen.

Aus diesem Grund haben wir uns für eine von Grund auf neu konzipierte Lösung entschieden: Als IMAP und POP3 Mailserver fungiert nun Dovecot. Das Scannen der Mails auf Viren und SPAM übernimmt Amavis direkt auf dem Mailboxsystem. Hierdurch wird die Zustellung von Mails besser als bisher parallelisiert. Hier lag eine Schwachstelle des alten Systems mit nur einer Qmail Instanz, die alle Mailboxserver mit Mails versorgen musste. So konnte ein kurzzeitig stark erhöhtes Mailaufkommen auf einzelnen Servern die Zustellung auch anderer Mails beeinträchtigen.

Das "neue" Mailsystem
Das “neue” Mailsystem (V3) schematisch

Ein weiterer, höchst erwünschter Nebeneffekt des neuen Systems ist die wesentlich bessere Nachvollziehbarkeit der Mailzustellungen bis hin zum Logging der Antivirus- und Spamfilter-Entscheidungen.

Die Server des neuen Systems sind entweder ihrerseits redundant ausgelegt, oder laufen als virtuelle Maschinen auf redundanter Hardware, so dass wir im Fehlerfall sehr schnell – teilweise sogar automatisch – den Betrieb wieder herstellen können. Da wir für die Mailspeicherung künftig auf BTRFS setzen, können wir eine einfache Backuplösung anbieten, die nahezu unbegrenzte Speicherpunkte ermöglicht. Zusätzlich wird ein Offline-Backup erstellt.

Durch die nun ausschließlich datenbankbasierte Konfiguration ergeben sich viele Konfigurationsmöglichkeiten, die wir im Laufe der nächsten Monate im DCP für Sie verfügbar machen werden.

Was bedeutet das für unsere Kunden

Sobald Ihre Domain(s) umgestellt sind, profitieren Sie automatisch von den zusätzlichen Features des neuen Mailsystems: Sie können Mails per Sieve filtern (dazu werden wir in den nächsten Wochen noch einen Artikel veröffentlichen). Wenn Sie IMAP nutzen, erkennt Ihr Mailclient automatisch die speziellen Ordner, die für z.B. gelöschte Mails, gesendete Mails oder Entwürfe vorgesehen sind. Insbesondere beim Zugriff mit mehreren Clients auf ein bestimmtes Postfach wird hierdurch die Einrichtung deutlich erleichtert.

In den nächsten Monaten werden wir zudem in einigen Tarifen die Möglichkeit anbieten, selbst Mails aus beliebigen Backups in das jeweilige Postfach zurückzuspielen.

Was ist aus Mail V2 geworden?

Wenn Sie sich fragen, warum auf Mail V1 direkt Mail V3 folgt – Mail V2 war als auf Basis von Exim selbst entwickeltes System zwar vielversprechend, wir haben es aber zugunsten einer weitestgehend auf Standardkomponenten basierenden Lösung verworfen.

Links

SIEVE

Local Mail Transfer Protocol (LMTP)

RFC6154 XLIST

BTRFS

Das neue Artfiles Webmail

Roundcube Loginscreen

Unter https://rc.artfiles.de können sie unser neues Webmail bereits seit ca. einem Jahr nutzen, jetzt machen wir ernst und schicken Squirrelmail mit etwas Verspätung in den wohlverdienten Ruhestand.

Warum?

Die Weiterentwicklung von Squirrelmail ist seit zwei Jahren praktisch eingeschlafen. Der derzeitige Entwicklungszweig wird nur noch von einer kleinen Community gepflegt und hat nach unserer Ansicht den Anschluss an moderne Entwicklungen verloren.

Roundcube

Wir haben uns für Roundcube als neue Webmail Lösung entschieden. Roundcube ist wie Squirrelmail ein Open Source Produkt und wird seit Jahren aktiv entwickelt. Roundcube bietet eine moderne HTML Oberfläche mit Drag and Drop, Ajax und umfassender Erweiterbarkeit durch Themes und Plugins.

Artfiles Webmail

Für unsere Roundcube Installation empfehlen wir das voreingestellte Litecube Theme, das eine schlanke Oberfläche sowohl auf dem Desktop als auch auf mobilen Geräten bietet. Wie schon im Squirrelmail bietet das neue Webmail in seinen Einstellungen die Möglichkeit, Passwörter zu ändern und Autoresponder zu konfigurieren.

Reseller

Reseller können über ihr DCP (unter E-Mail -> Webmail) ein eigenes Logo sowie einen eigenen Titel konfigurieren.

Für die beste Darstellung empfehlen wir eine Logogröße von ca 125×30 Pixeln.

DCP Webmail Settings

Logo und Titel werden aktiv, wenn das Webmail über eine eigene Domain unter dem jeweiligen Account aufgerufen wird.

Wenn sie keine eigene URL verwenden möchten, aber dennoch nicht auf webmail2.artfiles.de verweisen möchten, erreichen sie das neue Webmail auch unter webmail.dcpserver.de. Wir empfehlen dringend, die TLS Varianten zu nutzen:

https://webmail2.artfiles.de

https://webmail.dcpserver.de

Wenn sie eine eigene URL verwenden möchten, und diese TLS-sichern möchten, sprechen sie uns bitte an.

Die Umstellung

Zum 1.10.2015 werden wir Squirrelmail abschalten. Das bedeutet, dass wir einen Monat beide Systeme parallel anbieten, so dass sie sich und ihre Benutzer in Ruhe mit dem neuen Webmail vertrau machen können. Selbstverständlich steht ihnen unser Support jederzeit gerne bei Fragen und Problemen zur Seite.

Bei der ersten Anmeldung im neuen Webmail werden automatisch einige Informationen, wie z.B. Adressbucheinträge und persönliche Informationen übernommen. Nicht übernommen werden Kalendereinträge und Notizen.

Sobald Squirrelmail abgeschaltet wurde, ist das neue Webmail auch unter

https://webmail.artfiles.de

erreichbar.

Das Kleingedruckte

Die folgenden Funktionen von Squirrelmail werden im neuen Webmail nicht mehr zur Verfügung stehen:

  • Kalender
  • Notizen
  • Serverseitige GPG Integration

Kalender und Notizen lassen sich im Roundcube nur durch Plugins nachrüsten, welche die Stabilität und Wartbarkeit des Webmails nachhaltig verschlechtern. Da nur eine sehr geringe Anzahl von Kunden diese Funktionen nutzt, die auch im Squirrelmail ja nur sher Rudimentär vorhanden sind, haben wir uns entschlossen, sie ersatzlos zu streichen.

Mit der GPG Integration verhält es sich etwas anders. Hier haben wir aus grundsätzlichen Sicherheitserwägungen von einer serverseitigen Integration abgesehen. Es ist aus unserer Sicht nicht sinnvoll, geheime PGP Schlüssel auf unserem Webmail Server abzulegen. Stattdessen empfehlen wir die Nutzung von Mailvelope.

Mailvelope stellt über ein Browserplugin für Firefox und Chrome eine PGP Implementierung zur Verfügung, bei der die Ver- und Entschlüsselung auf dem Client stattfindet. So müssen keine Keys oder Passwörter zum Server übertragen oder dort gespeichert werden.

Datenschutz im US Geschäft

Artfiles hat eine US Niederlassung gegründet. Einige Kunden haben sich besorgt geäußert, dass diese Erweiterung unseres Geschäftes Artfiles in irgendeiner Weise unter Einfluss der US amerikanischen Behörden und vor allem natürlich Geheimdienste bringt.

Das Wichtigste vorab: Selbstverständlich wird Artfiles auch in Zukunft keine Kundendaten (weder die Daten der Kunden, noch Daten “über die Kunden”) in die USA transferieren, außer dies ist ausdrücklich vom jeweiligen Kunden so gewünscht.

Deutsche Kunden werden wie bisher ausschließlich in Deutschland auf deutschen Servern gehostet.

Zu grundsätzlichen Fragen des Datenschutzes aber nun ein Gastbeitrag unseres Anwalts und Datenschutzbeauftragten Dr. Martin Bahr (www.dr-bahr.com):

Die Gründung einer US-Tochtergesellschaft ist datenschutzrechtlich unbedenklich

Zunächst ist es wichtig sich in Erinnerung zu rufen, dass beide Gesellschaften rechtlich vollkommen autonome juristische Personen sind. Die Artfiles New Media GmbH ist eine deutsche GmbH, die Artfiles LLC eine nach US-Recht gegründete Limited Liability Company. Aus datenschutzrechtlicher Sicht ist die jeweils andere Gesellschaft somit ein vollkommen fremdes Unternehmen. Ohne ausdrückliche Zustimmung des Kunden dürfen keinerlei personenbezogene Daten zwischen den Unternehmen ausgetauscht werden.
Nun könnte man auf die Idee kommen, dass es den amerikanischen Behörden gleichwohl doch irgendwie gelingen könnte, über die Artfiles LLC auf die Daten der Artfiles New Media GmbH Zugriff zu nehmen. Eine solche theoretische Möglichkeit scheitert jedoch von vornherein an einem wichtigen Umstand: Die deutsche GmbH ist die Muttergesellschaft und die LLC ist zu 100% die Tochtergesellschaft.
Dies bedeutet nichts anderes, als dass alleinige Gesellschafterin der amerikanischen Firma die deutsche GmbH ist. Das US-Unternehmen liegt damit wirtschaftlich vollständig in deutschen Händen. Die deutsche GmbH bestimmt als Gesellschafterin die Marschroute. Die Tochter ist somit vollkommen abhängig von ihrer Mutter.
Aufgrund dieser Abhängigkeit stehen der Artfiles LLC keinerlei rechtlichen Möglichkeiten zu, Zugriff auf die deutsche GmbH zu nehmen. Ordnet z.B. eine amerikanische Behörde gegenüber der LLC eine Maßnahme an, so kann dies weder unmittelbar noch mittelbar die Muttergesellschaft treffen.
Die Eröffnung einer Tochtergesellschaft im Ausland, die zu 100% in den Händen der Mutter liegt, ist also aus datenschutzrechtlicher Hinsicht absolut unbedenklich. Dadurch wird auch nicht der NSA oder sonstigen US-Geheimorganisationen die Tür zu den Daten deutscher User geöffnet.
Ein einfacher Blick auf die Praxis zeigt auch diesen Umstand: Denn zahlreiche deutsche und europäische Unternehmen besitzen eigenständige Tochtergesellschaften, ohne dass dies von den Datenschutzbehörden in Europa jemals kritisiert wurde.

Was es aber zu beachten gilt

Grundsätzlich werden sämtliche Daten der Artfiles-Kunden in Deutschland von der deutschen GmbH gehostet. Nur wenn der Kunde dies ausdrücklich verlangt, kann er wahlweise mit der US-Tochtergesellschaft den Vertrag schließen und/oder seine Daten in US-Rechenzentren hosten lassen.
In beiden Fällen gilt es dabei zu beachten: Sobald der Kunde freiwillig und bewusst einen Berührungspunkt mit den USA setzt, gilt das zuvor Gesagte nicht mehr. Wählt ein Kunde nämlich das Hosting seiner Daten in den USA, so muss ihm klar sein, dass die dortigen Behörden somit faktisch Zugriff auf seine Informationen haben, z.B. im Rahmen einer Beschlagnahme vor Ort.
Gleiches gilt im Falle eines Vertragsschlusses mit der Artfiles LLC. Auch hier liegen standardmäßig sämtliche Daten auf US-Servern. Einzige Ausnahme: Wenn ein Kunde einen Vertragsschluss mit der Artfiles LLC wünscht, seine Daten aber in den Deutschland hosten will. Ein solcher Fall dürfte in der Praxis zwar eher selten vorkommen, soll hier aber gleichwohl nicht unberücksichtigt bleiben: Auch hier muss der Kunde damit rechnen, dass letzten Endes sämtliche Informationen ebenfalls bei den US-Behörden landen. Die Informationen zu seiner Person speichert die Artfiles LLC ohnehin aufgrund des Vertragsverhältnisses vor Ort in den USA. Hierauf haben die dortigen Ermittler unmittelbaren Zugriff. Die anderen Daten liegen zwar im Ausland und sind damit zunächst nicht unmittelbar greifbar. Wie zahlreiche Beispiele aus den letzten Jahren jedoch zeigen, ist dies aber nur von kurzer Dauer. Im Rahmen der Amtshilfe bzw. durch andere Maßnahmen gelingt es den US-Behörden idR. auch auf diese Datensätze zuzugreifen.
Lange Rede, kurzer Sinn: Wer jeden (theoretischen) Zugriff auf seine Daten durch US-Ämter vermeiden will, sollte weiterhin bei der deutschen Artfiles New Media GmbH bleiben und auch in Deutschland hosten. Durch die Gründung der US-Tochter entsteht keinerlei Datenschutzproblem.


Rechtsanwalt Dr. Bahr ist TÜV-zertifizierter Datenschutzbeauftragter und berät Artfiles seit mehr als 10 Jahren.