Newsletter: Alles neu macht der März

Liebe Artfiles Kunden,

unsere neue Homepage wirft ihre Schatten voraus, und so können wir Ihnen heute einige Neuigkeiten präsentieren, die vorwiegend die Optik unserer Webdienste betreffen:

Unsere neue Supportseite

Optisch aufgefrischt und auf eine responsive Wiki-Plattform umgestellt, finden Sie ab sofort unter

https://support.artfiles.de

alle Hilfeseiten zum DCP, wichtige technische Infos zu unseren Produkten und viele hilfreiche Anleitungen, mit deren Hilfe Sie das meiste aus Ihren Artfiles Accounts herausholen können.

Die alte Hilfe ist weiterhin in archivierter Form unter https://www.artfiles.de/support erreichbar, wird aber nicht mehr aktualisiert.

Das Artfiles Blog

Ebenfalls im neuen Design erstrahlt ab sofort unser Blog unter

https://blog.artfiles.de

Wir setzen weiterhin auf das bewährte WordPress und informieren in loser Folge über Neuerungen und interessante Aspekte rund um Webhosting und Internet Technik.

Ein neues DCP Theme

Ab sofort steht Ihnen im DCP unter “Einstellungen” das DCP Theme “2020 lite” zur Auswahl. Dieses modern-reduzierte Theme wird ab dem 17.3.2020 unser bisheriges “Classic” Theme als Default im DCP ablösen.

Ab diesem Zeitpunkt werden alle DCPs ohne ausgewähltes Theme automatisch auf “2020 lite” umgestellt. Selbstverständlich können Sie aber auch weiterhin das “Classic” Theme in Ihren DCP Einstellungen auswählen.

Webmail Update

Nicht nur optisch, sondern auch unter der Haube hat unser Webmail ein Upgrade erhalten. Ab sofort steht Roundcube 1.4 im responsiven Design bereit für den schnellen Mailabruf zwischendurch (oder als Ersatz für einen Mailclient).

Das Webmail ist wie gewohnt unter https://webmail.artfiles.de erreichbar.

Neue Supportzeiten

Ab sofort steht Ihnen der Telefon- und Chatsupport bereits ab 8:00 statt ab 9:00 Uhr zur Verfügung.

Die neuen Supportzeiten sind demnach Montag bis Freitag von 8:00 bis 22:00 Uhr.

DE-CIX

Eher technischer Natur ist unsere letzte Ankündigung für heute: Nachdem Artfiles bereits seit dem letzten Jahr in Hamburg am größten deutschen Internet-Exchange Point DE-CIX vertreten ist, haben wir jetzt auch unser Peering in Frankfurt aufgenommen.

Die dort aufgeschaltete Bandbreite von 10 Gbit/s ist allerdings bereits fast schon wieder erreicht, so dass wir in den nächsten Wochen auf 20 Gbit/s erweitern werden.

Wir hoffen, dass Ihnen die Neuerungen gefallen, und freuen uns natürlich wie immer über Feedback, Kritik und Bug-Reports!

Das Artfiles Team

RPKI Validation bei Artfiles

In der IT-Branche ist RPKI in aller Munde und auch wir haben dieses Thema in den letzten Wochen aufgegriffen. Mit der Implementierung leisten wir einen Beitrag zur Routing-Sicherheit und schützen unsere Netze gegen gewollte und ungewollte Attacken.

Ab Dienstag, den 07.01.2020, werden wir die RPKI Validation aktivieren und Routen verwerfen, die nicht korrekt vom Inhaber authorisiert sind. Laut unserem Monitoring werden dies ca. 4500 IPv4 Netze und ca. 800 IPv6 Netze sein.

Invalid Prefixes (Stand: 13.12.2019)

Und nun nochmal genauer

Was ist eigentlich RPKI?

RPKI steht für ‘Resource Public Key Infrastructure’ und bildet einen Baustein in der BGP Sicherheit. BGP ist die Abkürzung für ‘Border Gateway Protocol’ und stellt das zentrale Routingprotokoll dar, um verschiedene Netzwerke miteinander zu verbinden.

Jede Organisation oder Privatperson, die selbst Prefixe (Netze) hochfahren möchte, erhält von der zuständigen RIR (Regional Internet Registry), in unserem Fall dem RIPE, eine sogenannte AS-Nummer. Generell kann nun jeder unterhalb seiner AS-Nummer (oder auch einer x-beliebigen, BGP bietet da keinen Schutz) jedes Prefix annoncieren und dies seinem BGP-Neighbor mitteilen. Ohne Sicherheitsmechanismen nimmt der BGP-Neighbor dieses Prefix in seinen Routing Table auf und teilt wiederum seinen Nachbarn mit, dass er einen Pfad zu diesem Prefix besitzt. Somit könnte der Traffic nun einen anderen Weg nehmen und nicht am eigentlichen Zielort ankommen. Mit RPKI ist es nun möglich, solche Angriffe zu einem großen Teil zu unterbinden. Wichtig hierfür ist das Signieren der eigenen Prefixe sowie das Validieren der externen Prefixe.

Signierung

RPKI setzt zum Signieren auf die Public-Key Verschlüsselung. Hierfür übernimmt das RIPE das Hosten der CA (Certification Authority) und stellt uns Zertifikate für unsere Prefixe aus. So ein Zertifikat nennt sich ROA (Route Origination Authorization) und besteht aus drei Teilen.

  1. Origin AS – Die AS-Nummer, die das Prefix hochfahren darf
  2. Prefix – Das zu signierende Prefix
  3. Prefixlänge – Die Länge des Prefix, z.B. ob das Prefix nur als /24 hochgefahren werden darf oder auch als /23

Beim RIPE kann man unter http://localcert.ripe.net:8088/roas die erstellten ROAs einsehen.

ROA für unser Prefix 80.252.96.0/20

Anhand der erstellten ROAs kann nun jeder Router ein Prüfung vornehmen, ob das an ihn annoncierte Prefix überhaupt annonciert werden darf.

Validierung

Die Validierung der Prefixe läuft so ab, dass zusätzliche Software, der Validator, alle ROAs von den unterschiedlichen RIRs runterlädt und lokal zusammenfasst. Der Router fragt die ROAs nun über das RTR-Protokoll vom Validator ab und führt dann eine Route Origin Validation (ROV) durch und versieht die ihm annoncierten Prefixe mit einem Status:

  • valid
    Das annoncierte Prefix wird vom korrekten AS annonciert und hat die korrekte Länge
  • unknown
    Das annoncierte Prefix hat keinen ROA oder die Verbindung zum Validator ist längere Zeit inaktiv und die lokale Datenbank damit nicht mehr up-to-date
  • invalid
    Das annoncierte Prefix wird vom falschen AS annonciert oder besitzt eine falsche Länge

Auf Basis dieser Validierung kann man auf dem Router nun festlegen, was mit den annoncierten Prefixes geschehen soll.

Als Validatoren setzen wir auf den RIPE RPKI Validator und auf den Routinator3000 von NLnetLabs.

Router sagt Nein

Wir haben unsere Router so konfiguriert, dass Prefixe mit dem Status valid und unknown angenommen werden. Prefixe mit dem Status invalid, werden vom 07.01.2020 an verworfen und nicht in den aktiven Routing Table aufgenommen.

Durch das Verwerfen von invaliden Prefixes kann es nun vorkommen, dass Clients aus diesen Netzen keinen unserer Services mehr nutzen können. Hier möchten wir nochmal betonen, dass das Problem in dem Fall nicht bei uns liegt, sondern beim Provider des Clients, da dort falsche ROAs konfiguriert sind.

Demonstrieren lässt sich dies z.B. an dem Prefix 24.38.100.0/24. Hierfür ist der folgende ROA angelegt.

Der bei ARIN angelegte ROA

Demnach darf nur das AS6128 das Netz announcen. Laut Routing Table wird das Netz jedoch von AS54004 announciert. Damit stimmt das announcierte Prefix nicht mit dem ROA überein und der Status wird auf invalid gesetzt.

Routing Status beim RIPEstat (https://stat.ripe.net/24.38.100.0%2F24#tabId=routing)

Den RPKI Status einer IP können Sie auch unter https://stat.ripe.net/ überprüfen.

Da wir mit einigen Kunden interne BGP-Sessions aufgesetzt haben und wir dort teilweise Prefixe announciert bekommen, die nicht durch einen ROA authorisiert werden können, mussten wir hierfür eine Lösung finden, da jedes an uns announcierte Prefix die Validierung durchlaufen soll, ohne Ausnahme.

Um dies zu gewährleisten, werden die announcierten Prefixes in die kundenspezifische Policy geschrieben und erhalten dort von uns den Status valid. So ist gewährleistet, dass die Prefixes vom Kunden immer valid sind und angenommen werden.

Zusätzlich versehen wir jedes Prefix mit einer Community, was uns z.B. das Monitoring der Prefixes erleichtert.

BGP Communities

Die Zukunft

RPKI trägt einen Teil zur Sicherheit der Netzwerke bei, weitere interessante Sicherheitsmaßnahmen wie z.B. ASPA befinden sich in der Entwicklung und werden von uns aufmerksam verfolgt, um auch zukünftig unser Netzwerk, und damit auch Sie, zu schützen.

Wir hoffen, Ihnen einen kleinen Einblick in die RPKI Implementierung bei Artfiles gegeben zu haben. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

Abschaltung alter PHP Versionen ab 20. November 2017

Wie bereits von uns angekündigt, werden wir aus Sicherheitsgründen zukünftig keine PHP Versionen anbieten können, für die es vom Hersteller keine Sicherheitsupdates mehr gibt. Ab dem 20. November werden dann alle PHP-Versionen, die nicht mindestens den Stand 5.6 haben, deaktiviert und nicht mehr zur Verfügung gestellt.

Ab dem 20. November 2017 wird ebenfalls auf allen Servern die Mindestversion auf PHP 5.6 geändert. Hierbei gilt es, drei Fälle zu unterscheiden:

  • Wenn Sie bisher gar nichts eingestellt haben und keine eigene PHP-Version bestimmt haben, wird automatisch PHP 5.6 verwendet.
  • Wenn Sie bisher per .htaccess (AddHandler) eine kleinere PHP-Version eingestellt hatten, wird ebenfalls automatisch PHP 5.6 verwendet.
  • Wenn Sie bereits eine höhere PHP-Version (PHP 7.0 oder 7.1) eingestellt haben, ändert sich für Sie nichts. Ihre PHP-Dateien werden dann auch weiterhin mit PHP 7.0 oder 7.1 ausgeführt.

Sofern Sie bei der Umstellung Hilfe benötigen oder andere Fragen zur Umstellung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Mailsystem V3

Elbphilharmonie

Es ist vollbracht. Knapp aber letztlich doch chancenlos haben wir das Rennen um das am schlimmsten aus dem Zeitplan gelaufene Projekt diesseits der Elbe gegen die Elbphilharmony verloren. Dort ist erst im Januar feierliche Eröffnung. Wir sind fertig:

Das Projekt Artfiles Mailsystem V3 ist abgeschlossen.

Die Idee für ein von Grund auf neu konzipiertes Mailsystem geht bereits zurück auf das Jahr 2007: Das von uns eingesetzte Qmail war zu diesem Zeitpunkt gerade zehn Jahre alt geworden und von halboffiziellen Patches und eigenen Anpassungen so überwuchert, dass eine Weiterentwicklung nicht mehr sinnvoll erschien.

So reifte der Entschluss, ein neues Mailsystem auf Basis von Exim zu entwickeln.

Mailsystem V2

Aber während einige Komponenten wie Mailein- und ausgangsserver leicht ausgetauscht werden konnten, erwiesen sich Mailzustellung und -abruf als erstaunlich hartnäckig.

Als größtes Problem zeigte sich wie erwartet unser Anspruch, die Umstellung praktisch ohne Beeinträchtigung der Benutzer durchzuführen. Bei schon damals mehr als einhunderttausend Mailboxen war es undenkbar, den Benutzern Änderungen aufzuzwingen.

Also haben wir viel experimentiert, implementiert und getestet, aber letztlich ließ sich keine zufriedenstellende Lösung finden. Und mangels größerer Probleme mit unserem alten Mailsystem gab es natürlich auch immer wieder Projekte, die das neue Mailsystem von der Spitze der Todo Liste verdrängt haben.

Zwischenzeitlich wurde dann mal das Webmail von Squirrelmail auf Roundcube aktualisiert und alte Storageserver durch neuere ersetzt. Auch für die Redundanz wurde viel investiert, aber der Kern des alten Mailsystems blieb bestehen.

Es muss etwas passieren

Das änderte sich erst im Frühjahr 2015: Vor allem die Courier IMAP Software begann uns ernsthafte Probleme zu machen. Viele neuere Mailprogramme unterstützten nun IMAP Erweiterungen, die Courier schlicht nicht beherrschte, und die auch nicht mehr nachzurüsten waren. Also musste gehandelt werden.

Als neue POP3 und IMAP Software wurde Dovecot auserkoren. Zusammen mit Amavis sollte Dovecot auch die Mailzustellung in die Postfächer übernehmen. Damit sollte dann gleich auch die Konfiguration der Mailboxen in die Datenbank verlegt werden. Bisher befand sie sich nur zum Teil dort und zum Teil in .qmail Dateien auf den Storage Servern.

Die Implementierung der geplanten Lösung erwies sich leider als etwas schwieriger als gedacht. Das lag vor allem an der etwas undurchsichtigen Struktur von Amavis und der mangelhaften Dokumentation. Letztlich konnte aber im Herbst 2015 eine funktionierende Plattform für Mailzustellung und Abruf in den Testbetrieb gehen.

Aus leidvoller Erfahrung mit defekten Raidcontrollern und “alle Jahre wieder” auftretenden Ausfällen von Storage Servern, entschieden wir uns für ein vollständig redundantes System für die Speicherung und den Abruf von Mails. Zunächst wurde es auf basis von Xen und Btrfs auf jeweils zwei per DRBD verbundenen Servern realisiert.

Leider zeigte sich jedoch relativ schnell, dass dieser doch recht komplexe Stack den harten Anforderungen des Livebetriebs nicht gewachsen war. Zudem erwies sich Btrfs als nicht ausgereift und sorgte mit vielen Problemen für reichlich graue Haare bei den Admins.

Also haben wir noch mal einen Gang zurück geschaltet und stattdessen auf Bewährtes gesetzt. Jetzt werden die Mails wieder in einem Ext4 Dateisystem gespeichert, das auf einem per LVM partitionierten DRBD aufsetzt. Es gibt keine Virtualisierung mehr, sondern “traditionelle” Hochverfügbarkeit.

Nachdem diese Lösung im Frühjahr endlich betriebsbereit war, ging es an die Umstellung der Mailboxen vom alten in das neue System. Dies nahm nochmals einige Wochen in Anspruch und war im Mai dann endlich abgeschlossen.

Fast fertig

Damit war das neue Mailsystem im Grunde komplett soweit es die Mailboxen betraf.

Ein letzter Querulant aber hörte nicht auf, der Umstellung Widerstand zu leisten: Die Mailinglisten. Diese werden bei uns sozusagen seit Anbeginn der Zeit mit Ezmlm betrieben und sind dadurch praktisch untrennbar mit Qmail verzahnt.

Also wurde der Plan gefasst, eine saubere, auf die reine Mailinglistenfunktion reduzierte Qmailinstallation zu schaffen. Wie nicht anders zu erwarten steckte auch hier der Teufel im Detail. Aber schließlich konnte am 23. August der neue Mailinglistenserver online und der letzte “alte” Qmail Server nach über 15 Jahren endlich offline gehen.

Status Quo

Eine Übersicht über den Mailzustellungsprozess gibt es hier: Artfiles Mail V3

Im Unterschied zu den dort skizzierten Plänen hat unser Mailsystem noch mal deutlich an Sicherheit und Verfügbarkeit gewonnen: es gibt jetzt eine redundante Speicherung sämtlicher Mails auf zwei Storage Servern, die sich in verschiedenen Brandabschnitten des Rechenzentrums befinden. Von diesem Redundanten Datenbestand werden alle drei Stunden Snapshots gezogen, die eine möglichst zeitnahe Wiederherstellung ermöglichen.

Zusätzlich werden vom jeweils aktuellsten Snapshot täglich die Daten auf ein drittes, unabhängiges System gesichert. Diese Sicherungen werden mindestens 28 Tage aufbewahrt.

Ausblick

Auch wenn nun ein Meilenstein erreicht ist, arbeiten wir selbstverständlich kontinuierlich weiter an der Verbesserung des Mailsystems. Als nächstes wollen wir den Benutzern die Möglichkeit geben, selbst Mails aus den backups wieder herzustellen. Derzeit muss das noch ein Administrator “zu Fuß” tun.

Außerdem möchten wir den Benutzern mehr Konfigurationsmöglichkeiten für Ihre jeweiligen Accounts geben, ohne dass sie dafür das DCP bemühen müssen.

Beides ist bereits in Arbeit, die Realisierung wird aber noch einige Zeit in Anspruch nehmen – voraussichtlich aber nicht wieder fast zehn Jahre…

Let’s Encrypt im DCP

Um ein Let’s Encrypt Zertifikat im DCP zu aktivieren, muss zunächst die Teilnahme am Beta Programm aktiviert werden.

Dies geschieht im Menü unter “Einstellungen”.

 

Sobald die Beta Features freigeschaltet sind, findet sich nach wenigen Minuten im “Domain”-Menü ein Eintrag “SSL”:

Bildschirmfoto 2016-08-26 um 15.37.17

 

Ein Klick auf “Neu anlegen” öffnet die Konfigurationsansicht:

Bildschirmfoto 2016-08-26 um 15.38.51Hier können bis zu 5 Subdomains einer Domain mit einem SSL/TLS Zertifikat versehen werden.

Es können nur Subdomains konfiguriert werden, für die noch kein anderes Zertifikat eingerichtet ist.

 

Technischer Hintergrund:

Das DCP erstellt automatisch einen Certificate Signing Request und übermittelt diesen an Let’s Encrypt. Gleichzeitig wird der Webserver entsprechend konfiguriert, um den Validierungsrequest korrekt zu beantworten. Es handelt sich hier also um eine HTTP Validierung. Diese läuft völlig transparent zum normalen Betrieb des Webservers.

Der gesamte Validierungsprozess dauert etwa 15 Minuten, so dass nach spätestens 15 bis 20 Minuten die Zertifikate zur Verfügung stehen.

 

Beispielzertifikat:

Bildschirmfoto 2016-08-26 um 16.06.50Let’s Encrypt Zertifikate sind derzeit grundsätzlich 90 Tage gültig. Das DCP erneuert Zertifikate aber bereits nach 60 Tagen gemäß der Empfehlung von Let’s Encrypt. Auch dies läuft völlig transparent für Benutzer des Webservers ab.

Einige Hintergrundinformationen zu Let’s Encrypt haben wir noch mal in einem eigenen Artikel zusammengefasst: Let’s Encrypt (beta)

Let’s Encrypt (beta)

letsencrypt_logo

Ab sofort bieten wir im Rahmen unseres Beta Programms allen Webhosting Kunden ab Private Medium die Möglichkeit, Let’s Encrypt® SSL Zertifikate über das DCP einzurichten. In der folgenden kurzen FAQ wollen wir versuchen, die wichtigsten Fragen zu Let’s Encrypt zu beantworten.

Was ist eigentlich Let’s Encrypt?

Let’s Encrypt ist eine kostenlose und vollautomatisierte sogenannte Certificate Authority, also eine Stelle, die kostenlose SSL Zertifikate ausstellt.

Wozu braucht man eine Certificate Authority?

Um eine verschlüsselte Verbindung (z.B. HTTPS) sicher nutzen zu können, ist es nicht nur wichtig, dass der Datenverkehr verschlüsselt wird, sondern es ist ebenso wichtig sicher zu stellen, dass man auch tatsächlich mit dem richtigen Server kommuniziert.

Ansonsten könnte ein Angreifer, der zwischen Server und Benutzer sitzt, einfach selbst die Verschlüsselung zu beiden Seiten durchführen und so doch wieder den Datenverkehr abhören, ohne dass die Kommunikationspartner das bemerken.

Um diese Angriffsmöglichkeit zu verhindern, gibt es SSL Zertifikate, die der Server präsentiert und die seinen Namen enthalten. Dadurch kann der Benutzer bzw. sein Browser erkennen, dass die Verbindung auch tatsächlich mit dem gewünschten Server und nicht mit einem Angreifer “In der Leitung” zustande gekommen ist.

Um nun wiederrum das Zertifikat überprüfen zu können, ist es durch ein weiteres Zertifikat beglaubigt. Dieses sogenannte Root Zertifikat wird von einer Certificate Authority ausgestellt und muss im Browser (oder auch z.B. im Mailclient) des Benutzers hinterlegt sein.

Was ist das Besondere an Let’s Encrypt?

Die Root Zertifikate von Let’s Encrypt sind wie die aller Certificate Authorities (z.B. Verisign, Geotrust, Thawte etc.) in praktisch allen aktuellen Browsern hinterlegt (bzw. derzeit noch “cross signed”). Nur so kann die Sicherheit einer SSL/TLS Verbindung garantiert werden und das berühmte Schloss im Browser schließt sich.

Im Gegensatz zu kommerziellen Certificate Authorities sind Let’s Encrypt Zertifikate kostenlos und können über einen automatisierten Prozess erzeugt werden.

Braucht man eigentlich noch “traditionelle” Certificate Authorities?

Das kommt darauf an. Let’s Encrypt Zertifikate sind bei der Benutzung genauso sicher wie kommerziell ausgestellte Zertifikate. Wenn man also nur seine Webseiten absichern möchte, reicht ein Let’s Encrypt sicher aus.

Möchte man allerdings seinen Benutzern und Kunden eine größtmögliche Sicherheit auch optisch präsentieren, geht es nicht ohne sogenannte “Extended Validation” Zertifikate. Nur mit diesen Zertifikaten färbt sich die Adressleiste grün bzw. erscheint der Firmenname neben der URL.

Extended Validation Zertifikate müssen manuell geprüft werden und können daher von Let’s Encrypt nicht angeboten werden. Hier ist man also weiterhin auf kommerzielle Anbieter angewiesen.

Und warum kostenlos?

Das Ziel von Let’s Encrypt ist es, eine möglichst große Anzahl von Webservern durch SSL/TLS abzusichern und so das Internet insgesamt sicherer zu machen. Hinter Let’s Encrypt stehen viele Größen des Internet wie zum Beispiel CISCO, Facebook und natürlich Mozilla, die Organisation hinter Firefox.

Links:

https://letsencrypt.org/

https://de.wikipedia.org/wiki/Digitales_Zertifikat

https://de.wikipedia.org/wiki/Transport_Layer_Security

Artfiles Mail V3

Das Artfiles Mailsystem wird von Grund auf erneuert. Nach mehreren Monaten Entwicklungszeit und ausführlichen Tests wird ab dem 1.1.2016 das Mailsystem V3 ausgerollt. Die wichtigsten Neuerungen im Überblick:

  • Umstellung von Courier auf Dovecot IMAP
  • Unterstützung von XLIST Kommandos zur Ordnerverwaltung z.B. in Outlook
  • Sieve-Unterstützung: Filterung von Mails schon auf dem Server
  • Robustere Mailzustellung und höhere Verfügbarkeit
  • Bis zu 30 Tage Backup dreimal täglich

Hintergrund

Das Artfiles Mailsystem basiert seit dem Start vor nun mehr als 15 Jahren auf Qmail, Exim und Courier. Exim mit seine extrem vielfältigen Konfigurations- und Erweiterungsmöglichkeiten sorgt für den Transport ein- und ausgehender Mails, Qmail für die Zustellung und Filterung eingehender Mails. Courier stellt Abrufmöglichkeiten via POP3 und IMAP zur Verfügung.

Das "alte" Mailsystem schematisch
Das “alte” Mailsystem (V1) schematisch

Obwohl dieses System auch nach vielen Jahren immer noch stabil und sicher funktioniert, ist doch die Entwicklung mittlerweile an einigen Komponenten vorübergegangen: Qmail wird praktisch seit 1998 funktional nicht weiterentwickelt und auch Courier, obwohl noch aktiv entwickelt, lässt viele moderne Features, wie Sieve oder XLIST vermissen.

Aus diesem Grund haben wir uns für eine von Grund auf neu konzipierte Lösung entschieden: Als IMAP und POP3 Mailserver fungiert nun Dovecot. Das Scannen der Mails auf Viren und SPAM übernimmt Amavis direkt auf dem Mailboxsystem. Hierdurch wird die Zustellung von Mails besser als bisher parallelisiert. Hier lag eine Schwachstelle des alten Systems mit nur einer Qmail Instanz, die alle Mailboxserver mit Mails versorgen musste. So konnte ein kurzzeitig stark erhöhtes Mailaufkommen auf einzelnen Servern die Zustellung auch anderer Mails beeinträchtigen.

Das "neue" Mailsystem
Das “neue” Mailsystem (V3) schematisch

Ein weiterer, höchst erwünschter Nebeneffekt des neuen Systems ist die wesentlich bessere Nachvollziehbarkeit der Mailzustellungen bis hin zum Logging der Antivirus- und Spamfilter-Entscheidungen.

Die Server des neuen Systems sind entweder ihrerseits redundant ausgelegt, oder laufen als virtuelle Maschinen auf redundanter Hardware, so dass wir im Fehlerfall sehr schnell – teilweise sogar automatisch – den Betrieb wieder herstellen können. Da wir für die Mailspeicherung künftig auf BTRFS setzen, können wir eine einfache Backuplösung anbieten, die nahezu unbegrenzte Speicherpunkte ermöglicht. Zusätzlich wird ein Offline-Backup erstellt.

Durch die nun ausschließlich datenbankbasierte Konfiguration ergeben sich viele Konfigurationsmöglichkeiten, die wir im Laufe der nächsten Monate im DCP für Sie verfügbar machen werden.

Was bedeutet das für unsere Kunden

Sobald Ihre Domain(s) umgestellt sind, profitieren Sie automatisch von den zusätzlichen Features des neuen Mailsystems: Sie können Mails per Sieve filtern (dazu werden wir in den nächsten Wochen noch einen Artikel veröffentlichen). Wenn Sie IMAP nutzen, erkennt Ihr Mailclient automatisch die speziellen Ordner, die für z.B. gelöschte Mails, gesendete Mails oder Entwürfe vorgesehen sind. Insbesondere beim Zugriff mit mehreren Clients auf ein bestimmtes Postfach wird hierdurch die Einrichtung deutlich erleichtert.

In den nächsten Monaten werden wir zudem in einigen Tarifen die Möglichkeit anbieten, selbst Mails aus beliebigen Backups in das jeweilige Postfach zurückzuspielen.

Was ist aus Mail V2 geworden?

Wenn Sie sich fragen, warum auf Mail V1 direkt Mail V3 folgt – Mail V2 war als auf Basis von Exim selbst entwickeltes System zwar vielversprechend, wir haben es aber zugunsten einer weitestgehend auf Standardkomponenten basierenden Lösung verworfen.

Links

SIEVE

Local Mail Transfer Protocol (LMTP)

RFC6154 XLIST

BTRFS

Das neue Artfiles Webmail

Roundcube Loginscreen

Unter https://rc.artfiles.de können sie unser neues Webmail bereits seit ca. einem Jahr nutzen, jetzt machen wir ernst und schicken Squirrelmail mit etwas Verspätung in den wohlverdienten Ruhestand.

Warum?

Die Weiterentwicklung von Squirrelmail ist seit zwei Jahren praktisch eingeschlafen. Der derzeitige Entwicklungszweig wird nur noch von einer kleinen Community gepflegt und hat nach unserer Ansicht den Anschluss an moderne Entwicklungen verloren.

Roundcube

Wir haben uns für Roundcube als neue Webmail Lösung entschieden. Roundcube ist wie Squirrelmail ein Open Source Produkt und wird seit Jahren aktiv entwickelt. Roundcube bietet eine moderne HTML Oberfläche mit Drag and Drop, Ajax und umfassender Erweiterbarkeit durch Themes und Plugins.

Artfiles Webmail

Für unsere Roundcube Installation empfehlen wir das voreingestellte Litecube Theme, das eine schlanke Oberfläche sowohl auf dem Desktop als auch auf mobilen Geräten bietet. Wie schon im Squirrelmail bietet das neue Webmail in seinen Einstellungen die Möglichkeit, Passwörter zu ändern und Autoresponder zu konfigurieren.

Reseller

Reseller können über ihr DCP (unter E-Mail -> Webmail) ein eigenes Logo sowie einen eigenen Titel konfigurieren.

Für die beste Darstellung empfehlen wir eine Logogröße von ca 125×30 Pixeln.

DCP Webmail Settings

Logo und Titel werden aktiv, wenn das Webmail über eine eigene Domain unter dem jeweiligen Account aufgerufen wird.

Wenn sie keine eigene URL verwenden möchten, aber dennoch nicht auf webmail2.artfiles.de verweisen möchten, erreichen sie das neue Webmail auch unter webmail.dcpserver.de. Wir empfehlen dringend, die TLS Varianten zu nutzen:

https://webmail2.artfiles.de

https://webmail.dcpserver.de

Wenn sie eine eigene URL verwenden möchten, und diese TLS-sichern möchten, sprechen sie uns bitte an.

Die Umstellung

Zum 1.10.2015 werden wir Squirrelmail abschalten. Das bedeutet, dass wir einen Monat beide Systeme parallel anbieten, so dass sie sich und ihre Benutzer in Ruhe mit dem neuen Webmail vertrau machen können. Selbstverständlich steht ihnen unser Support jederzeit gerne bei Fragen und Problemen zur Seite.

Bei der ersten Anmeldung im neuen Webmail werden automatisch einige Informationen, wie z.B. Adressbucheinträge und persönliche Informationen übernommen. Nicht übernommen werden Kalendereinträge und Notizen.

Sobald Squirrelmail abgeschaltet wurde, ist das neue Webmail auch unter

https://webmail.artfiles.de

erreichbar.

Das Kleingedruckte

Die folgenden Funktionen von Squirrelmail werden im neuen Webmail nicht mehr zur Verfügung stehen:

  • Kalender
  • Notizen
  • Serverseitige GPG Integration

Kalender und Notizen lassen sich im Roundcube nur durch Plugins nachrüsten, welche die Stabilität und Wartbarkeit des Webmails nachhaltig verschlechtern. Da nur eine sehr geringe Anzahl von Kunden diese Funktionen nutzt, die auch im Squirrelmail ja nur sher Rudimentär vorhanden sind, haben wir uns entschlossen, sie ersatzlos zu streichen.

Mit der GPG Integration verhält es sich etwas anders. Hier haben wir aus grundsätzlichen Sicherheitserwägungen von einer serverseitigen Integration abgesehen. Es ist aus unserer Sicht nicht sinnvoll, geheime PGP Schlüssel auf unserem Webmail Server abzulegen. Stattdessen empfehlen wir die Nutzung von Mailvelope.

Mailvelope stellt über ein Browserplugin für Firefox und Chrome eine PGP Implementierung zur Verfügung, bei der die Ver- und Entschlüsselung auf dem Client stattfindet. So müssen keine Keys oder Passwörter zum Server übertragen oder dort gespeichert werden.

Datenschutz im US Geschäft

Artfiles hat eine US Niederlassung gegründet. Einige Kunden haben sich besorgt geäußert, dass diese Erweiterung unseres Geschäftes Artfiles in irgendeiner Weise unter Einfluss der US amerikanischen Behörden und vor allem natürlich Geheimdienste bringt.

Das Wichtigste vorab: Selbstverständlich wird Artfiles auch in Zukunft keine Kundendaten (weder die Daten der Kunden, noch Daten “über die Kunden”) in die USA transferieren, außer dies ist ausdrücklich vom jeweiligen Kunden so gewünscht.

Deutsche Kunden werden wie bisher ausschließlich in Deutschland auf deutschen Servern gehostet.

Zu grundsätzlichen Fragen des Datenschutzes aber nun ein Gastbeitrag unseres Anwalts und Datenschutzbeauftragten Dr. Martin Bahr (www.dr-bahr.com):

Die Gründung einer US-Tochtergesellschaft ist datenschutzrechtlich unbedenklich

Zunächst ist es wichtig sich in Erinnerung zu rufen, dass beide Gesellschaften rechtlich vollkommen autonome juristische Personen sind. Die Artfiles New Media GmbH ist eine deutsche GmbH, die Artfiles LLC eine nach US-Recht gegründete Limited Liability Company. Aus datenschutzrechtlicher Sicht ist die jeweils andere Gesellschaft somit ein vollkommen fremdes Unternehmen. Ohne ausdrückliche Zustimmung des Kunden dürfen keinerlei personenbezogene Daten zwischen den Unternehmen ausgetauscht werden.
Nun könnte man auf die Idee kommen, dass es den amerikanischen Behörden gleichwohl doch irgendwie gelingen könnte, über die Artfiles LLC auf die Daten der Artfiles New Media GmbH Zugriff zu nehmen. Eine solche theoretische Möglichkeit scheitert jedoch von vornherein an einem wichtigen Umstand: Die deutsche GmbH ist die Muttergesellschaft und die LLC ist zu 100% die Tochtergesellschaft.
Dies bedeutet nichts anderes, als dass alleinige Gesellschafterin der amerikanischen Firma die deutsche GmbH ist. Das US-Unternehmen liegt damit wirtschaftlich vollständig in deutschen Händen. Die deutsche GmbH bestimmt als Gesellschafterin die Marschroute. Die Tochter ist somit vollkommen abhängig von ihrer Mutter.
Aufgrund dieser Abhängigkeit stehen der Artfiles LLC keinerlei rechtlichen Möglichkeiten zu, Zugriff auf die deutsche GmbH zu nehmen. Ordnet z.B. eine amerikanische Behörde gegenüber der LLC eine Maßnahme an, so kann dies weder unmittelbar noch mittelbar die Muttergesellschaft treffen.
Die Eröffnung einer Tochtergesellschaft im Ausland, die zu 100% in den Händen der Mutter liegt, ist also aus datenschutzrechtlicher Hinsicht absolut unbedenklich. Dadurch wird auch nicht der NSA oder sonstigen US-Geheimorganisationen die Tür zu den Daten deutscher User geöffnet.
Ein einfacher Blick auf die Praxis zeigt auch diesen Umstand: Denn zahlreiche deutsche und europäische Unternehmen besitzen eigenständige Tochtergesellschaften, ohne dass dies von den Datenschutzbehörden in Europa jemals kritisiert wurde.

Was es aber zu beachten gilt

Grundsätzlich werden sämtliche Daten der Artfiles-Kunden in Deutschland von der deutschen GmbH gehostet. Nur wenn der Kunde dies ausdrücklich verlangt, kann er wahlweise mit der US-Tochtergesellschaft den Vertrag schließen und/oder seine Daten in US-Rechenzentren hosten lassen.
In beiden Fällen gilt es dabei zu beachten: Sobald der Kunde freiwillig und bewusst einen Berührungspunkt mit den USA setzt, gilt das zuvor Gesagte nicht mehr. Wählt ein Kunde nämlich das Hosting seiner Daten in den USA, so muss ihm klar sein, dass die dortigen Behörden somit faktisch Zugriff auf seine Informationen haben, z.B. im Rahmen einer Beschlagnahme vor Ort.
Gleiches gilt im Falle eines Vertragsschlusses mit der Artfiles LLC. Auch hier liegen standardmäßig sämtliche Daten auf US-Servern. Einzige Ausnahme: Wenn ein Kunde einen Vertragsschluss mit der Artfiles LLC wünscht, seine Daten aber in den Deutschland hosten will. Ein solcher Fall dürfte in der Praxis zwar eher selten vorkommen, soll hier aber gleichwohl nicht unberücksichtigt bleiben: Auch hier muss der Kunde damit rechnen, dass letzten Endes sämtliche Informationen ebenfalls bei den US-Behörden landen. Die Informationen zu seiner Person speichert die Artfiles LLC ohnehin aufgrund des Vertragsverhältnisses vor Ort in den USA. Hierauf haben die dortigen Ermittler unmittelbaren Zugriff. Die anderen Daten liegen zwar im Ausland und sind damit zunächst nicht unmittelbar greifbar. Wie zahlreiche Beispiele aus den letzten Jahren jedoch zeigen, ist dies aber nur von kurzer Dauer. Im Rahmen der Amtshilfe bzw. durch andere Maßnahmen gelingt es den US-Behörden idR. auch auf diese Datensätze zuzugreifen.
Lange Rede, kurzer Sinn: Wer jeden (theoretischen) Zugriff auf seine Daten durch US-Ämter vermeiden will, sollte weiterhin bei der deutschen Artfiles New Media GmbH bleiben und auch in Deutschland hosten. Durch die Gründung der US-Tochter entsteht keinerlei Datenschutzproblem.


Rechtsanwalt Dr. Bahr ist TÜV-zertifizierter Datenschutzbeauftragter und berät Artfiles seit mehr als 10 Jahren.

Awesome! – Artfiles jetzt auch in den USA!

Wir gehen den nächsten Schritt! Am 01.08. eröffnen wir offiziell unsere Niederlassung am Standort San Diego, USA:

downtown_sd

Nach über 15 Jahren Aktivität auf dem heimischen Markt als Internet Service Provider hat sich die Artfiles New Media GmbH als Anbieter von serviceorientierten Internet und IT-Dienstleistungen in Hamburg, Deutschland und Europa etabliert. Auf der soliden wirtschaftlichen Grundlage des deutschen Unternehmens treiben wir unsere eigene Entwicklung voran und positionieren uns in Zukunft interkontinental.

Warum wir der Überzeugung sind, dass dies eine gute Idee ist, und was es für Sie als derzeitiger, oder vielleicht zukünftiger Artfiles Kunde bedeutet, lesen Sie in diesem Artikel.
Q: Wieso muss es denn überhaupt die USA sein?
A: Ganz einfach, das ist unser Ding.

Durch einen weiteren Artfiles Standort in den vereinigten Staaten eröffnen sich uns allein technisch viele neue Perspektiven und Möglichkeiten – doch dazu später mehr. Zuerst einmal geben wir unumwunden zu, dass sowohl die Geschäftsleitung, als auch Teile der Artfiles Belegschaft eine tief gehende Verbundenheit mit dem Westen der USA verspüren, mit den Leuten, mit der Kultur und auch natürlich mit der Landschaft. Viele Reisen, Erlebnisse und ein reger Austausch haben dazu geführt, dass es, was die Auswahl des Landes angeht zu keiner anderen Entscheidung kommen konnte. Selbstverständlich ließe sich das gleiche Geschäftsmodell wahrscheinlich auch in vielen anderen Ländern dieser Erde realisieren, nur dort wollen wir halt nicht hin: Wir haben Lust auf Kalifornien!
Und da haben wir schon mal den ersten Teil unserer Beweggründe ein Tochterunternehmen in den vereinigten Staaten zu eröffnen: Das gesamte Team ist von Anfang an hoch motiviert dabei, und alle haben Lust dafür hier etwas zu bewegen. Diese Begeisterung und Geschlossenheit ist eine Grundvoraussetzung für eine solche Unternehmung und unabdingbar für einen erfolgreichen Verlauf des Projekts.

Bliebe nur noch zu klären, warum wir uns denn für San Diego entschieden haben und nicht für das extra hippe San Francisco. Hierfür gibt es gleich mehrere Gründe. Obwohl auch San Diego in den letzen Jahren zunehmend attraktiv für Start-Ups geworden ist, so ist der Personalmarkt aber noch lange nicht so überhitzt wie im Silicon-Valley. Ein Punkt, der gerade für unser Vorhaben, hier einen Teil unserer Programmierung vornehmen zu lassen, wichtig ist. Und obwohl es hier etwas ruhiger zugeht besteht immer noch eine räumliche Nähe zum Brennpunkt Silicon Valley.
Zusammen mit Los Angeles bildet San Diego einen wichtigen Internetknotenpunkt im südlichen Nordamerika. Für unsere Kunden, die den süd- und mittelamerikanischen Markt erreichen müssen, ist dies ein starkes Argument. Im Gegensatz zu Los Angeles erwartet unsere Mitarbeiter in San Diego aber die bessere Lebensqualität – für unsere Begriffe.
Q: Was wollt ihr denn da machen?
A: Wir machen das, was wir können.

Die Artfiles LLC als unsere amerikanische Tochter wird in den USA überwiegend die gleichen Services anbieten wie ihre deutsche Muttergesellschaft, die Artfiles New Media GmbH. Des Weiteren werden wir in San Diego einen Teil unserer Entwicklungen vornehmen. Gehen wir kurz einmal ins Detail und schauen welcher Nutzen uns und Ihnen hieraus entsteht.
1. Internet Service Providing
Wir werden ein, dem amerikanischen Markt angepasstes Webhosting-Portfolio erstellen
Wir werden direkt in San Diego Colocation Services anbieten
Im kleineren Maßstab werden wir auch dedicated Server und andere Produkte in den USA vertreiben.

Vorteile
Durch die Präsenz sowohl am deutschen als auch am US-Markt wird es uns möglich sein deutschen Kunden ein Produkt in den USA mit deutschen Konditionen (Verträge nach deutschem Gesetz) und amerikanischen Kunden ein Produkt in Deutschland mit amerikanischem Vertragswerk anzubieten.

Den Markt für Hostingprodukte in den USA haben wir uns natürlich genau angeschaut und uns ist dabei aufgefallen, dass gerade die mittelschweren Hostinganbieter über keinen besonders umfassenden Zugriff auf die technischen Ressourcen verfügen. Hier sind wir anders und besser aufgestellt: Seit anderthalb Jahrzehnten sind wir mit dem Umgang sämtlicher Ressourcen vertraut, die für den Betrieb eines ISP notwendig sind. Hierdurch wird es uns auch auf dem amerikanischen Markt möglich sein, Produkte anzubieten, welche unsere Mitbewerber nicht anbieten können.

Durch vermehrte Anfragen von deutschen Kunden aus den letzten Jahren wissen wir, dass es einen Bedarf für Housing-Services im Großraum USA, Lateinamerika und Südamerika gibt. Diesen Kunden bieten wir nun die Möglichkeit Ihre Server in gewohnter Artfiles-Qualität mit geringen Latenzen in unserer Colocation unterzubringen.

Zusätzlich können die lokalen Büro- und Supportzeiten eingehalten werden. Ein Vorteil, der jedem deutschen Unternehmen einleuchten wird, welches einen Servicevertrag mit einem kalifornischen Anbieter abgeschlossen hat. Der gewünschte Ansprechpartner geht nämlich immer dann zu Bett, wenn wir hier gerade unseren Morgenkaffee schlürfen.
2. Entwicklung
Schon oft haben wir darüber nachgedacht einen Teil unserer Entwicklungsarbeiten einem Drittanbieter zu überlassen. Dies wird nun über die Artfiles LLC geschehen. Die schwerpunktmäßigen Entwicklungsaufgaben für die LLC werden sein:
– die ständige Weiterverbesserung des DCP
– die Internationalisierung unserer Internetauftritte
– die fortlaufende Optimierung und Weiterentwicklung unseres Hostingsystems

Vorteile
Anders als bei einer Vergabe an ein Fremdunternehmen halten wir weiter alle Fäden, angefangen vom Auswahl des Personals bis zur Projektierung aller Arbeiten in der Hand. Während unsere hausinternen Entwickler aber stets Gefahr laufen, Ihre Neuentwicklungen besonders dringenden betrieblichen Aufgaben zu unterstellen, wird unsere Entwicklungsabteilung in San Diego in Ruhe und Konzentration an ihren Projekten arbeiten können.
Durch die dedizierte Arbeit an den oben aufgeführten Aufgaben werden Sie als Artfiles-Kunde in Zukunft schneller von der Einführung neuer und der Verbesserung bisheriger Funktionen profitieren.

Zusätzlich werden wir aber auch noch von ganz anderen Effekten profitieren: Durch die Öffnung eines neuen Marktes mit allem was dazu gehört – Produktentwicklung, Programmierung, Personal, Internationalisierung etc. – wird der Horizont und das Know-How aller am Konzern beteiligten Personen und Gruppen erweitert und wir werden von vielen neuen Erfahrungen lernen und hiervon bei unserer Arbeit einen Nutzen ziehen. Wir sind uns sicher, dass wir in der Lage sein werden, diesen Gewinn im Kundensinne umzusetzen.
Und was bringt mir das jetzt konkret?
Die Zufriedenheit unserer Kunden ist bekanntermaßen ein wichtiger Grundpfeiler der Artfiles Firmenphilosophie und so fußt auch die Entscheidung den Schritt über den großen Teich zu wagen zu einem erheblichen Teil auf ebendiesen, unseren Anspruch. Wenn sich alles entwickelt wie geplant wird Artfiles sich durch diesen Schritt kontinuierlich weiterentwickeln und sich in vielen Bereichen zu verbessern, wie weiter oben beschrieben.
An zweien dieser positiven Auswirkungen werden Sie jedoch bereits in Kürze teilhaben können:
Serverstandort USA oder in Deutschland – Sie entscheiden!
Als Artfiles Kunde werden Sie in Zukunft bei vielen Tarifen entscheiden können, ob der Account der Account auf einem Server in San Diego oder in Deutschland aktiviert werden soll. Bei den Webhosting-Tarifen werden Sie dies ganz einfach bei der Einrichtung im DCP einstellen können. Bei anderen Tarifen, wie z.B. Dedicated Server können Mehrkosten entstehen. Mehr Informationen wird es schon bald hierzu auf unserer Homepage geben.
Artfiles wird international
Noch in diesem Jahr werden wir damit beginnen, unsere sämtlichen Veröffentlichungen ins Englische zu übersetzen. Hierzu zählt selbstverständlich auch das DCP und unser Onlinesupport.
Und es ist jetzt schon ersichtlich, dass es zwischen den Firmen eine fruchtbare Wechselwirkung geben wird. Funktionen und Eigenschaften unserer Services die an einem Standort unverzichtbar sind, sind eventuell am anderen Standort ebenfalls ein Gewinn. Nehmen wir als Beispiel einmal Zahlungsmethoden. In den USA sind hiesige Zahlungsarten, wie Überweisung oder Lastschrift nicht gebräuchlich. Dafür wird nahezu jede Transaktion über eine Kreditkarte abgewickelt. Die Notwendigkeit die Zahlungsmöglichkeit per Kreditkarte in unserem US-Geschäft einzusetzen, eröffnet uns dann auch die relativ naheliegende Möglichkeit diese Funktion für unsere deutschen Kunden bereitzustellen.
Q: Wann geht es denn los?
A: Wir sind schon mitten drin

Die Artfiles LLC wurde bereits im Februar von uns gegründet. Ein Büro ist ebenso vorhanden, wie das erste angemietete Rack bei ScaleMatrix, einem sehr innovativen Rechenzentrumsanbieter. die ersten Bladeserver haben im April ihren produktiven Betrieb aufgenommen und im August werden wir dann, mit unserem ersten Mitarbeiter direkt vor Ort in die vollen gehen. Es geht natürlich erst einmal darum die Rahmenbedingungen für das neue Unternehmen zu schaffen. Viele Formalien wollen erledigt, vertrauenswürdige Lieferanten und Zuarbeiter gefunden werden und dann sollen auch schon bald die ersten Mitarbeiter eingestellt werden.
Von allen wichtigen Entwicklungen und Erlebnissen werden wir auf einem neuen Blog unter blog.artfiles.com zu berichten wissen. Den Starttermin werden wir hier und auf unserer Facebook und Twitter Präsenz bekannt geben.
Wir hoffen, ihr schaut dann einmal rein und seid mit dabei beim Projekt “Artfiles goes USA!”
Wir freuen uns drauf!