Kategorie: Produkte

Artfiles Web-Security

Vielleicht haben Sie es selbst schon erlebt: Ihre Website reagiert plötzlich langsamer als gewohnt, oder der Server zeigt ungewöhnlich hohe Zugriffszahlen – oft ein Hinweis auf automatisierte Angriffe oder gezielte Überlastungsversuche.

Tatsächlich nehmen Webangriffe weiter zu. Laut dem aktuellen NETSCOUT DDoS Threat Intelligence Report[1] gehört Deutschland zu den am stärksten betroffenen Ländern in der DACH-Region: Die Zahl und Komplexität von DDoS-Angriffen stieg 2024 deutlich an. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete im August einen weiteren Zuwachs der durchschnittlichen Angriffsstärke auf 442 Mbit/s (+6 % gegenüber Vormonat)[2].

Mit unserem neuen Web-Security Paket bieten wir Ihnen nicht nur Schutz, sondern auch Kontrolle und Transparenz. Alle Sicherheitsfunktionen sind direkt über das DCP konfigurierbar und kombinieren automatisierte Abwehrmechanismen mit individuell anpassbaren Regeln – ein Ansatz, den in dieser Form nur wenige Anbieter bieten.

DDoS-Schutz – Stabilität auch unter Last

Alle unsere Kund:innen profitieren bereits von einem automatischen Basisschutz, der verdächtige Traffic-Spitzen erkennt und DDoS-Angriffe in Echtzeit abwehrt.

Im Web-Security Paket stehen zusätzlich detaillierte Reporting-Funktionen zur Verfügung: Sie zeigen Ursprung, Dauer und Intensität eines Angriffs und machen sichtbar, wie effektiv die Schutzmechanismen reagiert haben. Damit behalten Sie die volle Kontrolle über die Sicherheitslage Ihres Servers – auch bei komplexeren Angriffsszenarien.

IP-Filter – präzise Zugriffskontrolle auf Netzwerkebene

Mit dem IP-Filter lassen sich Zugriffsregeln für einzelne IP-Adressen oder ganze IP-Netze definieren. So können Sie beispielsweise festlegen, wie viele gleichzeitige Verbindungen oder Anfragen pro Sekunde zulässig sind.

Außerdem lassen sich sensible Dienste wie FTP, SSH oder Verwaltungsoberflächen gezielt auf bestimmte Adressbereiche beschränken – ein effektiver Schutz beispielsweise gegen Brute-Force[3]-Angriffe.

Auch der Zugriff auf das DCP selbst kann auf bestimmte IP-Bereiche limitiert werden, sodass nur autorisierte Verbindungen auf Ihre Konfigurationsoberfläche zugreifen können – ein häufig genutztes Feature für zusätzliche Administrationssicherheit.
Selbst HTTP/S-Zugriffe können eingeschränkt werden, um missbräuchlichen Traffic zu blockieren, bevor er Ihre Anwendung überhaupt erreicht.

ModSecurity – Web Application Firewall direkt integriert

ModSecurity agiert als leistungsfähige Web Application Firewall (WAF) auf Serverebene und überprüft eingehende Anfragen in Echtzeit. So werden gezielte Angriffe auf zum Beispiel WordPress Plugins durch SQL-Injections oder Cross-Site-Scripting (XSS)[4] frühzeitig erkannt und blockiert.

Über das DCP lässt sich ModSecurity subdomaingenau aktivieren und flexibel konfigurieren – inklusive Testmodus („Regeln ausführen, aber nur loggen“) und automatischer Blockierung erkannter Angriffe. Das zugrunde liegende OWASP Core Rule Set (CRS) kann in Version 3 oder 4 gewählt werden; zusätzlich bestimmen Sie das Prüflevel (Paranoia Level 1–4), um Sicherheit und False Positives optimal auszubalancieren.

Damit steht Ihnen eine vollwertige WAF-Infrastruktur zur Verfügung, ohne dass Sie externe Module oder eigene Serverkonfigurationen pflegen müssen – ein deutlicher Vorteil gegenüber vielen Wettbewerbern.

So schützt ModSecurity Ihre Website bereits, bevor Angriffe Schaden anrichten können – ganz automatisch.

Für wen ist das Paket sinnvoll?

Das Web-Security Paket richtet sich an Kund:innen mit dem Tarif Professional Web af.stack oder Professional Web Bladeserver, die Ihre Serverumgebung aktiv verwalten und überwachen möchten.

Über das DCP erhalten Sie eine zentral steuerbare Sicherheitslösung, die DDoS-Abwehr, Zugriffskontrolle und WAF vereint – ohne zusätzliche Software oder externe Firewall-Systeme.

Das Ergebnis: mehr Transparenz, weniger Angriffsfläche – und ein Sicherheitsniveau, das in dieser Form kaum ein anderer Hosting-Anbieter bietet.

Aktivieren Sie Ihr Web-Security Paket jetzt direkt im DCP und machen Sie Ihre Website fit gegen moderne Angriffe.

Weitere Informationen finden Sie hier:

https://support.artfiles.de/Sicherheit

https://www.artfiles.de/webhosting/servertechnik/web-security

Ein Blick hinter die Kulissen

So wird ein DDoS-Angriff in den Traffic-Diagrammen unserer Router sichtbar. Die grünen Spitzen markieren den eingehenden Traffic während eines nächtlichen Angriffs. Trotz kurzfristiger Lastspitzen im Bereich von mehreren Gbit/s blieb der Datenverkehr stabil. Das Web-Security Paket erkennt solche Anfragen automatisch und filtert sie in Echtzeit, sodass Ihre Website jederzeit erreichbar bleibt.

[1]AP Verlag

[2] Link BSI

[3] malwarebytes

[4] https://www.owasptopten.org/

Spam? Jetzt nicht mehr.

Es ist soweit: Ab sofort steht allen Teilnehmern unseres Beta-Programmes die neue Artfiles Antispam Lösung zur Verfügung. (Informationen zum Beta-Programm finden sie in der DCP Hilfe)

Ebenfalls in der DCP Hilfe finden sie natürlich auch eine Anleitung zur Einrichtung des neuen Spamfilters.

In diesem Artikel möchte ich ein wenig auf die technischen Hintergründe des Artfiles Antispam Systems eingehen – wie es bisher war, und wie es nun werden wird. Aber Achtung: es wird technisch!

Anmerkung: Basierend auf Feedback aus der Betaphase haben wir einige Änderungen zur ursprünglich hier vorgestellten Version vorgenommen. Diese Änderungen sind im Text hervorgehoben.

SpamAssassin

Erst geliebt, dann geschmäht: Als SpamAssassin vor gut 20 Jahren auf der Bildfläche erschien, gab es zum ersten Mal eine echte Waffe gegen die schon damals allgegenwärtigen unerwünschten Emails. Bis dahin blieb es jedem Nutzer selbst überlassen, seine Mailbox vom Spam zu säubern.

Heute undenkbar: anfang der 2000er Jahre war es noch durchaus üblich den Provider des Spamversenders anzuschreiben und auf das Fehlverhalten seiner User hinzuweisen.

Noch undenkbarer: manchmal hatte das damals sogar Erfolg!

Aber es war abzusehen, dass es mehr brauchte, um dem Problem Herr zu werden und SpamAssassin bot die entsprechenden Werkzeuge: Filterlisten, Erkennung von wiederkehrenden Mustern in URLs und Headern und sogar eine einfache statistische Analyse mit Bayes Filtern.

Leider konnte die Entwicklung des SpamAssassins aber mit der rasanten Ausbreitung des Spamproblems nicht Schritt halten, und so sind heute nicht nur die Erkennungsraten, sondern auch die Administration und das Monitoring nicht mehr Stand der Technik.

The (not exactly) new kid in town

Auftritt Rspamd: von Grund auf neu entwickelt und mit modernen Features wie REST-API, Webinterface und Lua-Skripting ausgestattet, tritt Rspamd an, auch der Spamflut des Jahres 2023 Herr zu werden. Wie SpamAssassin ist auch Rspamd ein lupenreines Opensource Projekt unter der Apache Lizenz.

Anders als der SpamAssassin, der als Filter bei der Mailzustellung eingebunden wird, arbeitet Rspamd aber direkt mit dem MX Server zusammen und kann so bereits im SMTP Dialog eingreifen und gegebenenfalls Mails zurückweisen.

Wesentlich weiterentwickelt im Gegensatz zum SpamAssassin sind auch das MIME-Handling und die statistische Analyse.

Vergleich SpamAssassin / Rspamd

Rspamd bei Artfiles

Rspamd scannt auf den Artfiles Maileingangsservern (MX) alle eingehenden Mails und fügt als Spam erkannten Nachrichten diverse Header hinzu:

X-AF-Spam-Report: Action: add_header
    Symbol: RDNS_NONE(0.00)
    Symbol: BAYES_SPAM(5.04)
    Symbol: HAS_XOIP(0.00)
    Symbol: R_DKIM_REJECT(1.00)
    Symbol: NEURAL_SPAM(0.00)
    Symbol: FROM_NEEDS_ENCODING(0.00)
    Symbol: DATE_IN_FUTURE(4.00)
    Symbol: RCVD_COUNT_THREE(0.00)
    Symbol: TO_DN_ALL(0.00)
    Symbol: DKIM_TRACE(0.00)
    Symbol: RCVD_NO_TLS_LAST(0.10)
    Symbol: TO_EQ_FROM(0.00)
    Symbol: MIME_TRACE(0.00)
    Symbol: SUBJECT_ENDS_QUESTION(0.00)
    Symbol: ASN(0.00)
    Symbol: ARC_NA(0.00)
    Symbol: RBL_NIXSPAM(4.00)
    Symbol: FROM_HAS_DN(0.00)
    Symbol: TO_MATCH_ENVRCPT_ALL(0.00)
    Symbol: R_BAD_CTE_7BIT(3.50)
    Symbol: PREVIOUSLY_DELIVERED(0.00)
    Symbol: DMARC_NA(0.00)
    Symbol: CT_EXTRA_SEMI(0.40)
    Symbol: RCPT_COUNT_ONE(0.00)
    Symbol: RCVD_IN_DNSWL_NONE(0.00)
    Symbol: MIME_HTML_ONLY(0.00)
    Symbol: R_SPF_NA(0.00)
    Symbol: HFILTER_HOSTNAME_UNKNOWN(2.50)
    Message-ID: 3aWI9M3SIWDVOKpaia5J29op+gbMWC9H708EbDO77XDlHoPTWmGXZQkYm2vhZaRv-Bw@mail.gmail.com
X-AF-Spam-Score: 20.5
X-AF-Spam-Checked: Artfiles Antispam 0.5
Subject: Verlieren Sie bis zu 14 kg in einem Monat?

Entscheidend ist vor allem der X-AF-Spam-Score. Dieser wird auf den IMAP Servern per Sieve ausgewertet und sorgt dann für die Umleitung einer als Spam erkannten Mail in den Junk bzw. Spam Ordner des jeweiligen Accounts.

Im DCP lassen sich wie schon beim SpamAssassin Schwellwerte für die Filterung einstellen:

min = 8
medium = 5
max = 3

Mails, deren X-AF-Spam-Score über dem Schwellwert liegt, werden als Spam behandelt. max stellt also den aggresivsten Wert dar.

Update: Es stehen nur noch die Werte Standard (5) und Hoch (3) zur Auswahl.

Da alle Mails mit einem entsprechenden Score versehen werden, selbst, wenn für den Empfängeraccount kein Spamschutz aktiviert ist, können alle Spam Header auch in eigenen Sieve Skripten ausgewertet werden.

Um die Kompatibiliät mit den bisherigen Markierungen des SpamAssassin zu gewährleisten, gibt es im DCP zudem die Möglichkeit, per Option diese Markierungen auch für den Rspamd zu aktivieren. Dann sähe die entsprechende Nachricht so aus:

X-AF-Spam-Report: Action: add_header
    Symbol: RDNS_NONE(0.00)
    Symbol: BAYES_SPAM(5.04)
    Symbol: HAS_XOIP(0.00)
    Symbol: R_DKIM_REJECT(1.00)
    Symbol: NEURAL_SPAM(0.00)
    Symbol: FROM_NEEDS_ENCODING(0.00)
    Symbol: DATE_IN_FUTURE(4.00)
    Symbol: RCVD_COUNT_THREE(0.00)
    Symbol: TO_DN_ALL(0.00)
    Symbol: DKIM_TRACE(0.00)
    Symbol: RCVD_NO_TLS_LAST(0.10)
    Symbol: TO_EQ_FROM(0.00)
    Symbol: MIME_TRACE(0.00)
    Symbol: SUBJECT_ENDS_QUESTION(0.00)
    Symbol: ASN(0.00)
    Symbol: ARC_NA(0.00)
    Symbol: RBL_NIXSPAM(4.00)
    Symbol: FROM_HAS_DN(0.00)
    Symbol: TO_MATCH_ENVRCPT_ALL(0.00)
    Symbol: R_BAD_CTE_7BIT(3.50)
    Symbol: PREVIOUSLY_DELIVERED(0.00)
    Symbol: DMARC_NA(0.00)
    Symbol: CT_EXTRA_SEMI(0.40)
    Symbol: RCPT_COUNT_ONE(0.00)
    Symbol: RCVD_IN_DNSWL_NONE(0.00)
    Symbol: MIME_HTML_ONLY(0.00)
    Symbol: R_SPF_NA(0.00)
    Symbol: HFILTER_HOSTNAME_UNKNOWN(2.50)
    Message-ID: 3aWI9M3SIWDVOKpaia5J29op+gbMWC9H708EbDO77XDlHoPTWmGXZQkYm2vhZaRv-Bw@mail.gmail.com
X-AF-Spam-Score: 20.5
X-AF-Spam-Checked: Artfiles Antispam 0.5
X-Spam-Flag: YES
X-Spam-Score: 20
Subject: *****SPAM***** Verlieren Sie bis zu 14 kg in einem Monat?

So muss an bestehenden, clientseitigen Filtereinstellungen nichts geändert werden für den nahtlosen Umstieg auf Rspamd.

Der Kompatibilitätsmodus ist auch die richtige Wahl für Accounts, die noch per POP3 abgerufen werden, da POP3 Clients nicht kompatibel sind mit IMAP Ordnern wie Junk und Spam.

Schwarz – weiß

Auch Rspamd unterstützt selbstverständlich Black- und Whitelists. Deren Konfiguration ist allerdings etwas anders organisiert, als im SpamAssassin. Listen für einzelne Accounts können sie nun direkt im jeweiligen Account eingeben. Dort können sie auch festlegen, ob der jeweilige Account die für die gesamte Domain oder für ihren Artfiles Account als Ganzes konfigurierten Listen übernehmen soll.

Lernen, Lernen und nochmals Lernen

Die Präzision der Spamfilterung hängt nicht zuletzt von den Trainingsdaten ab, die den Statistikmodulen des Rspamd zur Verfügung stehen. Ab sofort können sie sich aktiv zunächst an der Reduzierung von False Positives, also Mails, die fälschlich als Spam klassifiziert wurden, beteiligen.

Wenn sie die entsprechende Option im DCP aktivieren, wird jede Mail, die sie aus ihrem Spamordner verschieben als Ham – also als Nicht-Spam – vom System gelernt.

Update: Es wird sowohl Spam (durch verschieben in den Spamordner) als auch Ham (durch verschieben aus dem Spamordner) gelernt.

Virenschutz

Im SpamAssassin war er noch ein separates System, nun ist der Virenscanner direkt im Rspamd integriert. Auch die Behandlung erkannter Viren ändert sich: Gab es bisher die Wahl zwischen Löschen und Verschieben der Virusmails, wird nun der Inhalt einer infizierten Mail entfernt, und die Mail dann entsprechend markiert normal zugestellt. Sie sieht dann etwa so aus:

Subject: [DCP Antivirus: Message content removed] Eicar Test Virus

Der Inhalt dieser Email wurde vom Virenscanner entfernt, da ein Virus erkannt wurde.

The content of this Mail was removed because the anti virus software detected a virus.

So können Sie gefahrlos Absender und ursprüngliches Subject prüfen und den Absender gegebenenfalls sogar informieren.

Sie haben die Wahl!

Das vielleicht wichtigste zum Schluss: während der Beta-Phase bis ca. Ende Mai 2023 können sie jederzeit zwischen SpamAssassin und Rspamd wechseln und das System ausgiebig testen. Später werden wir für neu angelegte Accounts aussschließlich Rspamd unterstützen.

Eine Abkündigung des SpamAssassin für bestehende Accounts ist derzeit nicht vorgesehen, wir können das aber mittelfristig nicht ausschließen.

Vor allem aber empfehlen wir unbedingt den Umstieg auf Rspamd. Die Ergebnisse der Spamerkennung sind sehr viel besser als beim SpamAssassin – und wir wissen natürlich, dass viele unserer Kunden dringend auf eine solche Verbesserung gewartet haben.

Heartbleed – Problem erkannt, Gefahr gebannt

Heartbleed
Heartbleed, Quelle: https://heartbleed.com/ – Lizenz: CC0

Der Heartbleed Bug wird zurecht von vielen als der „GAU des Internets” bezeichnet. Hierdurch wurden alle verschlüsselten Verbindungen, die von dem Bug betroffen waren, plötzlich unsicher. Betroffene Webserver müssen als unsicher gelten bis das Problem behoben ist. Technische Details zum Bug gibt es bei Heise und auch XKCD hat es wieder einmal mit einem anschaulichen Comic gut auf den Punkt gebracht.

 

„Heartbleed – Problem erkannt, Gefahr gebannt“ weiterlesen

Email Spam Blacklisting – was es damit auf sich hat und wie wir damit umgehen.

 

Trotzdem die „E-Mail“ seit vielen Jahren ein ausgereiftes und vielgenutztes Kommunikationsmedium ist, kann es in seltenen Fällen leider immer noch zu Problemen kommen, wenn es um den Versand oder den Empfang von Mails geht. Da können dann zum Beispiel wichtige E-Mails nicht versandt werden und der Mailserver des Empfängers gibt nur eine kryptische Fehlermeldung von sich und wehrt sich nach Kräften dagegen die Mail anzunehmen. Häufig steht in solchen Fehlermeldungen ein Verweis auf sogenannte Blacklists. Was es damit auf sich hat, ahnen Sie vielleicht schon: Das ewige Problem des Missbrauchs von E-Mails für Werbung, den sogenannten Spam. Im Folgenden wollen wir einmal kurz aufführen, was hier das Problem ist und was wir tun, um solche Probleme möglichst gar nicht erst entstehen zu lassen.

„Email Spam Blacklisting – was es damit auf sich hat und wie wir damit umgehen.“ weiterlesen

Sicherheit von WordPress und Co.

schreibenIn jüngster Zeit sehen wir vermehrt, wie Angriffe und sogenannte DDOS-Attacken („Distributed Denial of Service”, etwa: verteilte Attacken) auf unserer Kunden zunehmen, die zum Beispiel WordPress oder Joomla installiert haben. Unsere Serverüberwachung ist in der Lage, solche Angriffe häufig schon zu erkennen, bevor der Kunde dies bemerkt, sodass wir hier Gegenmaßnahmen ergreifen können, wie zum Beispiel das Aussperren dieser Angreifer. Dennoch kann nicht immer jede Attacke verhindert werden und nicht jeder Angriff wird erkannt, zumal wenn dieser mit hoher krimineller Energie abläuft.

„Sicherheit von WordPress und Co.“ weiterlesen

Anschreiben von der ICANN

Domain-OrigIn letzter Zeit erreichen uns Fragen von Kunden, die bei uns eine Domain registriert haben und von der „Internet Corporation for Assigned Names and Numbers” (ICANN) (1) bezüglich dieser Domain angeschrieben wurden. Eines gleich vorweg: Sie brauchen Sich wegen dieser Anschreiben keine Gedanken zu machen. Sofern Sie Ihre Domain bei uns nicht kündigen, wird diese automatisch auch durch uns verlängert. „Anschreiben von der ICANN“ weiterlesen