Weihnachtsnewsletter 2021

Liebe Artfiles Kundinnen und Kunden,

im vergangenen Jahr hat sich wieder viel getan bei uns und wie immer möchten wir Ihnen mit unserem traditionellen Weihnachtsnewsletter einen Überblick über die wichtigsten Neuerungen aus den vergangenen 12 Monaten geben und bei der guten Gelegenheit auch gleich einen forschen Blick in die Zukunft wagen.

ISO-Zertifizierung des W408 Rechenzentrums

Viele Neuerungen und Änderungen finden bei einem Hoster und Rechenzentrumsanbieter ja stets eher „unter der Haube“ statt. Nicht so bei der Zertifizierung unseres W408 Rechenzentrums in der Wendenstraße in Hamburg: Seit Mai diesen Jahres sind wir nun ISO 27001 zertifiziert und das auf Hochglanz gewienerte Zertifikat kann im Eingangsbereich des Rechenzentrums besichtigt werden. Genauso hatten wir uns das vorgestellt.

Insgesamt hat die Prozedur zwar etwas länger gedauert als geplant, dafür sind wir mit dem Ergebnis nun aber umso zufriedener und nicht nur unser Sicherheitsbeauftragter David Saam freut sich, dass das Projekt (endlich) zum Abschluss gebracht wurde.

Professional Web Cloudserver ist tot – es lebe Professional-Web af.stack!

Seltsame Überschrift, aber so ist es: bereits im Februar haben wir unsere neue Cloud Plattform af.stack aus der ausgiebigen Testphase in den produktiven Betrieb entlassen. af.stack ist unsere eigenentwickelte Cloudlösung auf Basis von OpenStack. Über die vielen Vorteile dieser Lösung können Sie sich am besten direkt auf unserer Homepage informieren. af.stack ist eine mächtige und flexible Cloudlösung, die in der Anwendung aber so einfach ist wie ein virtueller Server.

Im November haben wir dann begonnen, die OpenStack-Technologie auch für unsere Webhosting Produkte zu nutzen. Als erstes mussten wir dafür den Tarif „Professional Web Cloudserver“ in seine verdiente Webhosting-Rente schicken. Im nächsten Schritt haben wir dann einen Managed Hosting-Tarif eingeführt, der vollständig in der OpenStack Umgebung realisiert wurde.

Mit dem neuen Tarif „Professional Web af.stack“ ist es nun möglich, die vielen Vorteile des OpenStack Systems und alle Vorzüge eines gemanagten Webhosting-Tarifs zu genießen. Falls Sie sich hierfür interessieren, schauen Sie gern einmal auf unserer Homepage vorbei und sprechen Sie uns auf einen Testzugang an.

Neuerungen im DCP – ohne eigene Entwicklungsabteilung undenkbar

Seit unserer Gründung im Jahr 2000 leisten wir uns den „Luxus“ möglichst alle relevanten Applikationen im eigenen Haus von den eigenen Entwicklern erstellen zu lassen. Hierdurch ist es uns über die Jahre immer wieder möglich gewesen, Änderungen schnell und genau passend zu unseren und Ihren Bedürfnissen umzusetzen und neue Features zu entwickeln, die sonst niemand anbietet. Wie schon erwähnt, findet der überwiegende Teil der Optimierungen und Erweiterungen meist unterhalb des Radars statt und sorgt so für einen reibungslosen Betrieb. Aber natürlich gibt es auch Funktionen, die für Sie als Kunde direkt nutzbar sind und die dabei helfen sollen, Ihre Arbeit mit unseren Produkten noch einfacher und komfortabler zu machen. Hier einige Beispiele aus dem letzten Jahr:

Changelog

Auch kleinere Änderungen und Verbesserungen können zum Teil eine große Wirkung haben und die Dinge erleichtern. Damit Sie immer auf dem aktuellen Stand sind, welche Features neu hinzugekommen sind, oder welche Änderungen an der Webhostingplattform es gegeben hat, finden Sie seit einiger Zeit im DCP unter dem Menüpunkt „Ihr Account -> Changelog“ eine Liste der Änderungen.

Favoriten

Ebenfalls seit einigen Wochen finden Sie im DCP-Menü den Menüpunkt „Favoriten“. Sollten Sie eine Funktion im DCP oft nutzen, empfiehlt es sich diese als Favorit abzulegen. Dazu klicken Sie auf der jeweiligen Seite einfach auf den kleinen Stern in der oberen rechten Ecke. Alle so favorisierten DCP-Funktionen finden Sie dann in einer Liste unter „Favoriten“ wieder.

Suchfunktion und Archivierung für Tickets

Für alle, die den Überblick über Ihre Tickets verloren haben, gibt es jetzt die Möglichkeit, diese zu durchsuchen und nach Bedarf zu archivieren. Demnächst wird noch eine konfigurierbare Auto-Archivierung dazukommen.

2-Faktor Authentifizierung für DCP User und Wiederherstellungstoken

Nachdem das DCP für den Hauptnutzer schon lange die Möglichkeit bietet, per 2-Faktor Authentifizierung den Login zusätzlich abzusichern, gibt es diese Möglichkeit seit einiger Zeit auch für DCP User.

Außerdem können nun Wiederherstellungsschlüssel erzeugt werden, die bei Verlust des 2-Faktor-Gerätes das Zurücksetzen der Authentifizierung ermöglichen.

Wie Sie sehen, ist unsere Entwicklungsabteilung alles andere als untätig und die Entwicklung eigener Lösungen ist ein unverzichtbarer Bestandteil unserer Firmenphilosophie. Und weil uns so gut gefällt, was die Damen und Herren dort so treiben, haben wir das Softwaredepartment in den letzten 12 Monaten bereits durch einen weiteren Mitarbeiter verstärkt und zwei weitere werden im nächsten Jahr noch folgen.

Sie dürfen also weiter auf viele Neuerungen gespannt sein.

4-Tage-Woche

Hier kommt zur Abwechslung einmal eine besonders gute Nachricht für alle Artfiles Mitarbeiter*innen und solche, die es werden wollen: Bis zum 01.04.2022 werden wir unser Unternehmen zu einem 4-Tage-Woche Unternehmen umbauen. Das bedeutet für die meisten Mitarbeiter*innen: Freitag ist bei Artfiles frei.

Aber natürlich werden wir auch am Freitag unsere Webserver nicht ausschalten und auch die Rechenzentren werden weiter laufen wie bisher. Mit anderen Worten: Der Support, die Technische Betreuung unserer Systeme, sowie der Vertrieb bleibt weiterhin an 5 Tagen in der Woche für Sie zu den bekannten Zeiten besetzt.

Bei der Umstellung handelt es sich um ein Modellprojekt. Ab April geben wir dem Ganzen 18 Monate Zeit sich zu bewähren, dann wird entschieden, ob die 4-Tage-Woche fortgesetzt wird oder wir zur 5-Tage-Woche zurückkehren.

Große Pläne für das Jahr 2022

Einiges von dem, was wir ihm nächsten Jahr vorhaben, haben wir ja nun schon rausposaunt. Aber den größten Knaller haben wir uns natürlich für den Schluss aufgehoben: 2022 wird das Jahr der Artfiles Rechenzentrumserweiterung Colo 3!

Für Sie wird davon zunächst natürlich nicht viel sichtbar werden, aber Sie können uns glauben, dass schon der Gedanke an diesen Plan allen Artfiles Techniker*innen gleichzeitig die Freudesröte auf die Wangen, und den Angstschweiß auf die Stirn treibt. Wenn alles glatt läuft und uns die Corona-Lieferengpässe nicht den Zeitplan durcheinander bringen, werden wir zum Ende des nächsten Jahres unseren dritten Rechenzentrums-Abschnitt in Betrieb nehmen. Und wie auch schon beim Ausbau unserer bestehenden Colocation, werden wir auch diesmal wieder die oberste Priorität auf Zuverlässigkeit, Nachhaltigkeit und Energieeffizienz legen.

Wir freuen uns bereits sehr darauf dieses Projekt anzugehen und haben uns auch fest vorgenommen, die Fortschritte der Arbeiten öffentlich zu dokumentieren. Wie genau, wissen wir allerdings noch nicht. Wir halten Sie auf dem Laufenden!

Erreichbarkeit über die Feiertage

Am 24. und 31.12. ist unser Support in der Zeit von 9:00 bis 13 Uhr für Sie auch telefonisch oder per Chat erreichbar. An allen anderen Tagen stehen wir Ihnen zu den gewohnten Supportzeiten zur Verfügung.

Auch in diesem Jahr verzichten wir wieder auf die Erstellung von Weihnachtskarten und -grafiken und spenden von dem so gesparten Betrag von 1000,00 Euro an die Organisation Give Directly, einer Wohltätigkeitsorganisation, welche das Geld direkt auf die Mobiltelefone sehr armer Menschen sendet.

Das war es nun erst einmal von unserer Seite. Wie immer laden wir Sie herzlich ein, auch unser Facebook- und Twitterangebot zu nutzen um sich über aktuelle Neuigkeiten zu informieren.

Wir wünschen Ihnen angenehme Feiertage und einen guten Rutsch in das neue Jahr.

Das Artfiles Team

Artfiles ist MANRS Mitglied

Für ein stabiles Internet, wie Sie es hoffentlich kennen, ist es wichtig Regeln und Sicherheitsmechanismen haben. Eine Initiative, die sich eben dies auf die Fahnen geschrieben hat, ist MANRS (https://www.manrs.org).

MANRS steht für „Mutually Agreed Norms for Routing Security“, frei übersetzt “Einvernehmlich vereinbarte Normen zur Routing Sicherheit“.

Hieraus geht auch das Ziel der Initiative hervor, möglichst viele Teilnehmer sollen diese Normen umsetzen, sei es ein Internetprovider, Cloudanbieter, Streaminganbieter oder Internet Exchanges.

Um z.B. eine Domain aufrufen zu können, werden viele kleine Datenpakete durch das Internet geschickt. Diese Datenpakete müssen dafür mehrere Router passieren, diese Router sorgen dafür, dass das Datenpaket den schnellsten Weg zum Ziel findet. Um den schnellsten Weg zu finden, führt der Router einen „Routing Table“, in dem der Router alle ihm bekannten Wege zum Ziel führt. Dieser „Routing Table“ baut auf den Updates seiner Nachbarroutern auf.

Durch diesen kleinen Exkurs wird vielleicht auch deutlich, warum es wichtig ist, korrekte Daten an die Nachbarrouter zu annoncieren. Werden falsche Daten annonciert, führt der „Routing Table“ falsche Einträge. Letztendlich kann dies für Sie verschiedene Konsequenzen zur Folge haben: Ihre Daten kommen nicht am Ziel an; benötigen sehr viel länger zum Ziel; im schlimmsten Fall landen die Daten bei Kriminellen. Daher ist es wichtig, entsprechende Maßnahmen umzusetzen, um solche Probleme, so gut wie möglich, zu verhindern.

MANRS sieht hierfür 4 übergeordnete Themen vor:

  • Filtering
  • Anti-Spoofing
  • Coordination
  • Global Validation

Viele dieser Punkte haben wir schon seit langem umgesetzt, wie z.B. durch die Einführung von RPKI letztes Jahr. Nun haben wir jedoch auch die letzten Maßnahmen eingeführt und vor allem aktualisiert, um alle 4 Themenkomplexe komplett zu erfüllen. Somit können wir nun verkünden, dass wir seit heute offizieller MANRS Teilnehmer sind.

Auch zukünftig werden wir natürlich die Entwicklungen beobachten und entsprechende Maßnahmen ergreifen sofern diese nötig sind. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

Artfiles goes OpenStack

TL;DR: Wir bieten ihnen ab sofort eine vollwertige Openstack Compute / Blockstorage Lösung als Public Cloud mit Integration der wichtigsten Features ins DCP an.

Nach ziemlich genau 10 Jahren und weit über 2000 virtuellen Servern ist es Zeit, unsere selbstentwickelte Cloud in den wohlverdienten Ruhestand zu schicken.

Wie schon seit einiger Zeit abzusehen, ist die eigene Entwicklung einer Cloudplattform auf die Dauer nicht zu leisten. Zu schnell entwickelt sich die Technik und zu mächtig sind die Mitspieler.

Also haben wir uns bereits anfang 2019 entschlossen, auf eine offene Cloudlösung zu setzen und unsere Ressourcen darauf zu konzentrieren, diese perfekt in unsere komfortable und einfach zu bedienende DCP Architektur einzubinden.

Und so wurde AFstack geboren: die Flexibilität von OpenStack verbunden mit der einfachen Bedienung und perfekten Integration des DCPs.

Openstack

Mit OpenStack lässt sich eine Cloud rein aus Open Source Komponenten bauen. In Python programmiert verbindet es bekannte VM Software wie KVM und Xen mit Storage Technologien wie Ceph oder iSCSI-Filern. OpenVSwitch sorgt als SDN (Software Defined Networking) Lösung für moderne und flexible Netzwerkfunktionen.

Ursprünglich entwickelt 2010 von der NASA und Rackspace.com wird OpenStack (mittlerweile in Version 21) von einer weltweiten Community entwickelt und gepflegt.

OpenStack besteht aus diversen Komponenten, die jeweils einzelne Funktionalitäten eines virtuellen Datacenters abbilden: Nova (virtuelle Server), Cinder (Block Storage – „virtuelle Festplatten“), Swift (Objektstorage), Neutron (virtuelle Netzwerkkomponenten – Switches und Router). Dazu kommen viele Dienste, die die Verwaltung und Zusammenarbeit dieser Komponenten organisieren: Keystone (Authentifizierung – Identity Mamagement), Glance (Verwaltung von Betriebssystem Installationsimages) und Horizon (Weboberfläche).

Um diese zentralen Komponenten sammelt sich mittlerweile ein ganzer Zoo von weiteren Projekten, die die Cloud weit über die reine Verwaltung von virtuellen Computern hinaus bringen.

Die Bedienung all dieser Komponenten erfolgt entweder über das Horizon Webinterface oder über eine REST-basierte API. Wie sich anhand der Beschreibung erahnen lässt, ist die Benutzung dieses komplexen Systems nicht ganz einfach. Und hier kommt unsere DCP Integration ins Spiel.

af.stack

So nennen wir unser Produkt, dass die nahezu unendlichen Konfigurationsmöglichkeiten von OpenStack mit der einfachen Bedienung und Benutzfreundlichkeit des DCPs verbindet. Während im DCP die wichtigsten Funktionen wie VMs anlegen und steuern, IP Adressen verwalten und Kosten kontrollieren zur Verfügung stehen, können parallel per OpenStack API diesen Servern erweiterte Funktionen zugeordnet werden.

So können sie zum Beispiel im DCP einfach einen neuen virtuellen Server anlegen, um ihm dann per Horizon Oberfläche z.B. weitere Netzwerkinterfaces oder auch zusätzliche virtuelle Festplatten zuordnen.

Oder sie nutzen die Automatisierungsfunktionen von OpenStack und kreieren so eigene Servervorlagen und steuern dann die so erzeugten Server aus dem DCP.

Im Laufe der kommenden Monate werden wir weitere Features ins DCP integrieren, die Ihnen die Verwaltung unserer Cloudplattform nnoch weiter erleichtern werden – wie immer mit besonderem Blick auf die Benutzerfreundlichkeit.

Das Artfiles Mailsystem 2020

Wie jede Technik im Internet ist auch unser Mailsystem ständiger Veränderung und Anpassung an neue Entwicklungen unterworfen. Seit wir 2015 unser Mailsystem V3 in Betrieb genommen haben, hat sich viel getan, und so gibt es für uns auch im Frühjahr 2020 interessante Neuerungen zu verkünden – weitere werfen bereits ihre Schatten voraus.

Aber der Reihe nach:

E-Mail Backup & Restore

Bereits zum Jahresanfang angekündigt, wollen wir hier noch mal die Kernelemente des neuen Backupsystems vorstellen.

Unsere Mailstorage- und Abrufserver sind redundant ausgelegt und synchronisieren laufend ihren Datenbestand per DRBD auf ihren passiven Standby-Server. So ist sichergestellt, dass auch bei einem Hardwaredefekt die Ausfallzeit im Bereich weniger Minuten bleibt, und keine E-Mails verloren gehen können.

Der Standby-Server erzeugt alle zwei Stunden einen Snapshot des Datenbestandes, der dann vier Stunden vorgehalten wird. Dies dient zur Absicherung gegen eventuell manuell versehentlich gelöschte Daten.

Einmal täglich wird aus dem jeweils aktuellen Snapshot ein Offline Backup auf einen separaten Backup Server gezogen. Dieser Server speichert dann alle Daten jeweils 28 Tage lang. Die Backupserver stehen grundsätzlich physisch und logisch getrennt von den Mailservern, so dass Sie den Datenbestand auch gegen katastrophale Ereignisse wie Brand, Diebstahl oder Hackerangriffe absichern.

Im DCP können aus dem Offline Backup nun sowohl einzelne E-Mails als auch ganze Ordner und Accounts zum Restore ausgewählt werden. Diese werden dann vom Backupserver im Hintergrund eingespielt.

Im Unterschied zu den Lösungen anderer Anbieter sorgt das Artfiles Backupsystem dafür, dass wiederhergestellte Mails mit eventuell noch vorhandenen aktuellen Mails zusammengeführt werden. Dadurch bleiben auch die seit dem letzten Backup eingegangenen Mails erhalten und werden nicht überschrieben.

IMAPSync

Ab sofort ist es möglich, im DCP Mails zwischen verschiedenen IMAP Konten zu synchronisieren. Auf diese Weise können Sie beim Umzug Ihrer E-Mail-Konten von einem anderen Anbieter zu Artfiles bequem die E-Mails aus Ihrem alten Postfach zu Artfiles übertragen. Genauso wie beim E-Mail-Restore werden übertragene E-Mails mit bereits vorhandenen abgeglichen, so dass sich diese Funktion auch für das Zusammenführen von mehreren Accounts in einen einzelnen nutzen lässt.

Die Übertragung selbst findet transparent im Hintergrund statt, so dass sowohl Quell- als auch Zielaccount währenddessen uneingeschränkt nutzbar bleiben.

Informationen zur Nutzung der IMAPSync Funktion finden Sie ind er DCP Hilfe zum Thema.

Per Account Konfiguration

Ab sofort kann jeder E-Mail-Nutzer bei Artfiles seine E-Mail-Einstellungen selbst verwalten. Unter https://email.artfiles.de bzw. https://email.dcpserver.de steht ein Interface bereit, in dem je nach Berechtigungslevel alle Einstellungen, oder nur Autoresponder und Passwort geändert werden können. Der Berechtigungslevel kann im DCP Accountweit konfiguriert werden. Später wird im Rahmen weiterer Anpassungen im DCP auch eine feinere Kontrolle möglich sein.

Ausblick

Derzeit arbeiten unsere Entwickler an der Integration einer Lösung zur rechtssicheren E-Mail-Archivierung in unser Mailsystem bzw. ins DCP. Diese soll noch im zweiten Quartal 2020 online gehen. Außerdem überarbeiten wir derzeit das System unserer Mailausgangsserver, um auch in Zeiten immer aggressiver auftretender Spammer bzw. den Gegenmaßnahmen gegen diese einen zuverlässigen und sicheren Versand gewährleisten zu können. Auch diese Arbeiten sollen im zweiten Quartal abgeschlossen werden.

Newsletter: Alles neu macht der März

Liebe Artfiles Kunden,

unsere neue Homepage wirft ihre Schatten voraus, und so können wir Ihnen heute einige Neuigkeiten präsentieren, die vorwiegend die Optik unserer Webdienste betreffen:

Unsere neue Supportseite

Optisch aufgefrischt und auf eine responsive Wiki-Plattform umgestellt, finden Sie ab sofort unter

https://support.artfiles.de

alle Hilfeseiten zum DCP, wichtige technische Infos zu unseren Produkten und viele hilfreiche Anleitungen, mit deren Hilfe Sie das meiste aus Ihren Artfiles Accounts herausholen können.

Die alte Hilfe ist weiterhin in archivierter Form unter https://www.artfiles.de/support erreichbar, wird aber nicht mehr aktualisiert.

Das Artfiles Blog

Ebenfalls im neuen Design erstrahlt ab sofort unser Blog unter

https://blog.artfiles.de

Wir setzen weiterhin auf das bewährte WordPress und informieren in loser Folge über Neuerungen und interessante Aspekte rund um Webhosting und Internet Technik.

Ein neues DCP Theme

Ab sofort steht Ihnen im DCP unter „Einstellungen“ das DCP Theme „2020 lite“ zur Auswahl. Dieses modern-reduzierte Theme wird ab dem 17.3.2020 unser bisheriges „Classic“ Theme als Default im DCP ablösen.

Ab diesem Zeitpunkt werden alle DCPs ohne ausgewähltes Theme automatisch auf „2020 lite“ umgestellt. Selbstverständlich können Sie aber auch weiterhin das „Classic“ Theme in Ihren DCP Einstellungen auswählen.

Webmail Update

Nicht nur optisch, sondern auch unter der Haube hat unser Webmail ein Upgrade erhalten. Ab sofort steht Roundcube 1.4 im responsiven Design bereit für den schnellen Mailabruf zwischendurch (oder als Ersatz für einen Mailclient).

Das Webmail ist wie gewohnt unter https://webmail.artfiles.de erreichbar.

Neue Supportzeiten

Ab sofort steht Ihnen der Telefon- und Chatsupport bereits ab 8:00 statt ab 9:00 Uhr zur Verfügung.

Die neuen Supportzeiten sind demnach Montag bis Freitag von 8:00 bis 22:00 Uhr.

DE-CIX

Eher technischer Natur ist unsere letzte Ankündigung für heute: Nachdem Artfiles bereits seit dem letzten Jahr in Hamburg am größten deutschen Internet-Exchange Point DE-CIX vertreten ist, haben wir jetzt auch unser Peering in Frankfurt aufgenommen.

Die dort aufgeschaltete Bandbreite von 10 Gbit/s ist allerdings bereits fast schon wieder erreicht, so dass wir in den nächsten Wochen auf 20 Gbit/s erweitern werden.

Wir hoffen, dass Ihnen die Neuerungen gefallen, und freuen uns natürlich wie immer über Feedback, Kritik und Bug-Reports!

Das Artfiles Team

Anpassung Domainpreise

Lieber Artfiles Kunde,

unser Domainregistrar hat zum 01.01.2020 Preiserhöhungen verschiedener Top-Level-Domains (TLDs) angekündigt. Dies betrifft auch einige der von uns angebotenen TLDs. Deshalb müssen wir die Domainpreise der TLDs .info, .mobi, .pro und .bio anpassen. Für Neuregistrierungen gelten ab sofort die neuen Preise, für Domain-Verlängerungen werden die neuen Preise ab dem 01.02.2020 berechnet.
Andere TLDs (wie z.B. .de oder .com) sind von dieser Preiserhöhung nicht betroffen.

Details entnehmen Sie bitte der unten stehenden Liste.

TLD Bisheriger Preis
Standard-Domain
Bisheriger Preis
Park-Domain
Neuer Preis
Standard-Domain
Neuer Preis
Park-Domain
.info19,00 €16,00 €21,00 €18,00 €
.mobi23,00 €20,00 €25,00 €22,00 €
.pro21,00 €18,00 €23,00 €20,00 €
.bio76,00 €73,00 €80,00 €77,00 €

Sofern Sie Fragen zur Preiserhöhung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Das Artfiles Team

RPKI Validation bei Artfiles

In der IT-Branche ist RPKI in aller Munde und auch wir haben dieses Thema in den letzten Wochen aufgegriffen. Mit der Implementierung leisten wir einen Beitrag zur Routing-Sicherheit und schützen unsere Netze gegen gewollte und ungewollte Attacken.

Ab Dienstag, den 07.01.2020, werden wir die RPKI Validation aktivieren und Routen verwerfen, die nicht korrekt vom Inhaber authorisiert sind. Laut unserem Monitoring werden dies ca. 4500 IPv4 Netze und ca. 800 IPv6 Netze sein.

Invalid Prefixes (Stand: 13.12.2019)

Und nun nochmal genauer

Was ist eigentlich RPKI?

RPKI steht für ‚Resource Public Key Infrastructure‘ und bildet einen Baustein in der BGP Sicherheit. BGP ist die Abkürzung für ‚Border Gateway Protocol‘ und stellt das zentrale Routingprotokoll dar, um verschiedene Netzwerke miteinander zu verbinden.

Jede Organisation oder Privatperson, die selbst Prefixe (Netze) hochfahren möchte, erhält von der zuständigen RIR (Regional Internet Registry), in unserem Fall dem RIPE, eine sogenannte AS-Nummer. Generell kann nun jeder unterhalb seiner AS-Nummer (oder auch einer x-beliebigen, BGP bietet da keinen Schutz) jedes Prefix annoncieren und dies seinem BGP-Neighbor mitteilen. Ohne Sicherheitsmechanismen nimmt der BGP-Neighbor dieses Prefix in seinen Routing Table auf und teilt wiederum seinen Nachbarn mit, dass er einen Pfad zu diesem Prefix besitzt. Somit könnte der Traffic nun einen anderen Weg nehmen und nicht am eigentlichen Zielort ankommen. Mit RPKI ist es nun möglich, solche Angriffe zu einem großen Teil zu unterbinden. Wichtig hierfür ist das Signieren der eigenen Prefixe sowie das Validieren der externen Prefixe.

Signierung

RPKI setzt zum Signieren auf die Public-Key Verschlüsselung. Hierfür übernimmt das RIPE das Hosten der CA (Certification Authority) und stellt uns Zertifikate für unsere Prefixe aus. So ein Zertifikat nennt sich ROA (Route Origination Authorization) und besteht aus drei Teilen.

  1. Origin AS – Die AS-Nummer, die das Prefix hochfahren darf
  2. Prefix – Das zu signierende Prefix
  3. Prefixlänge – Die Länge des Prefix, z.B. ob das Prefix nur als /24 hochgefahren werden darf oder auch als /23

Beim RIPE kann man unter http://localcert.ripe.net:8088/roas die erstellten ROAs einsehen.

ROA für unser Prefix 80.252.96.0/20

Anhand der erstellten ROAs kann nun jeder Router ein Prüfung vornehmen, ob das an ihn annoncierte Prefix überhaupt annonciert werden darf.

Validierung

Die Validierung der Prefixe läuft so ab, dass zusätzliche Software, der Validator, alle ROAs von den unterschiedlichen RIRs runterlädt und lokal zusammenfasst. Der Router fragt die ROAs nun über das RTR-Protokoll vom Validator ab und führt dann eine Route Origin Validation (ROV) durch und versieht die ihm annoncierten Prefixe mit einem Status:

  • valid
    Das annoncierte Prefix wird vom korrekten AS annonciert und hat die korrekte Länge
  • unknown
    Das annoncierte Prefix hat keinen ROA oder die Verbindung zum Validator ist längere Zeit inaktiv und die lokale Datenbank damit nicht mehr up-to-date
  • invalid
    Das annoncierte Prefix wird vom falschen AS annonciert oder besitzt eine falsche Länge

Auf Basis dieser Validierung kann man auf dem Router nun festlegen, was mit den annoncierten Prefixes geschehen soll.

Als Validatoren setzen wir auf den RIPE RPKI Validator und auf den Routinator3000 von NLnetLabs.

Router sagt Nein

Wir haben unsere Router so konfiguriert, dass Prefixe mit dem Status valid und unknown angenommen werden. Prefixe mit dem Status invalid, werden vom 07.01.2020 an verworfen und nicht in den aktiven Routing Table aufgenommen.

Durch das Verwerfen von invaliden Prefixes kann es nun vorkommen, dass Clients aus diesen Netzen keinen unserer Services mehr nutzen können. Hier möchten wir nochmal betonen, dass das Problem in dem Fall nicht bei uns liegt, sondern beim Provider des Clients, da dort falsche ROAs konfiguriert sind.

Demonstrieren lässt sich dies z.B. an dem Prefix 24.38.100.0/24. Hierfür ist der folgende ROA angelegt.

Der bei ARIN angelegte ROA

Demnach darf nur das AS6128 das Netz announcen. Laut Routing Table wird das Netz jedoch von AS54004 announciert. Damit stimmt das announcierte Prefix nicht mit dem ROA überein und der Status wird auf invalid gesetzt.

Routing Status beim RIPEstat (https://stat.ripe.net/24.38.100.0%2F24#tabId=routing)

Den RPKI Status einer IP können Sie auch unter https://stat.ripe.net/ überprüfen.

Da wir mit einigen Kunden interne BGP-Sessions aufgesetzt haben und wir dort teilweise Prefixe announciert bekommen, die nicht durch einen ROA authorisiert werden können, mussten wir hierfür eine Lösung finden, da jedes an uns announcierte Prefix die Validierung durchlaufen soll, ohne Ausnahme.

Um dies zu gewährleisten, werden die announcierten Prefixes in die kundenspezifische Policy geschrieben und erhalten dort von uns den Status valid. So ist gewährleistet, dass die Prefixes vom Kunden immer valid sind und angenommen werden.

Zusätzlich versehen wir jedes Prefix mit einer Community, was uns z.B. das Monitoring der Prefixes erleichtert.

BGP Communities

Die Zukunft

RPKI trägt einen Teil zur Sicherheit der Netzwerke bei, weitere interessante Sicherheitsmaßnahmen wie z.B. ASPA befinden sich in der Entwicklung und werden von uns aufmerksam verfolgt, um auch zukünftig unser Netzwerk, und damit auch Sie, zu schützen.

Wir hoffen, Ihnen einen kleinen Einblick in die RPKI Implementierung bei Artfiles gegeben zu haben. Sollten Sie Fragen haben, melden Sie sich gerne bei uns.

Abschaltung alter PHP Versionen ab 20. November 2017

Wie bereits von uns angekündigt, werden wir aus Sicherheitsgründen zukünftig keine PHP Versionen anbieten können, für die es vom Hersteller keine Sicherheitsupdates mehr gibt. Ab dem 20. November werden dann alle PHP-Versionen, die nicht mindestens den Stand 5.6 haben, deaktiviert und nicht mehr zur Verfügung gestellt.

Ab dem 20. November 2017 wird ebenfalls auf allen Servern die Mindestversion auf PHP 5.6 geändert. Hierbei gilt es, drei Fälle zu unterscheiden:

  • Wenn Sie bisher gar nichts eingestellt haben und keine eigene PHP-Version bestimmt haben, wird automatisch PHP 5.6 verwendet.
  • Wenn Sie bisher per .htaccess (AddHandler) eine kleinere PHP-Version eingestellt hatten, wird ebenfalls automatisch PHP 5.6 verwendet.
  • Wenn Sie bereits eine höhere PHP-Version (PHP 7.0 oder 7.1) eingestellt haben, ändert sich für Sie nichts. Ihre PHP-Dateien werden dann auch weiterhin mit PHP 7.0 oder 7.1 ausgeführt.

Sofern Sie bei der Umstellung Hilfe benötigen oder andere Fragen zur Umstellung haben, können Sie sich natürlich jederzeit wie gewohnt an unseren Support wenden.

Mailsystem V3

Elbphilharmonie

Es ist vollbracht. Knapp aber letztlich doch chancenlos haben wir das Rennen um das am schlimmsten aus dem Zeitplan gelaufene Projekt diesseits der Elbe gegen die Elbphilharmony verloren. Dort ist erst im Januar feierliche Eröffnung. Wir sind fertig:

Das Projekt Artfiles Mailsystem V3 ist abgeschlossen.

Die Idee für ein von Grund auf neu konzipiertes Mailsystem geht bereits zurück auf das Jahr 2007: Das von uns eingesetzte Qmail war zu diesem Zeitpunkt gerade zehn Jahre alt geworden und von halboffiziellen Patches und eigenen Anpassungen so überwuchert, dass eine Weiterentwicklung nicht mehr sinnvoll erschien.

So reifte der Entschluss, ein neues Mailsystem auf Basis von Exim zu entwickeln.

Mailsystem V2

Aber während einige Komponenten wie Mailein- und ausgangsserver leicht ausgetauscht werden konnten, erwiesen sich Mailzustellung und -abruf als erstaunlich hartnäckig.

Als größtes Problem zeigte sich wie erwartet unser Anspruch, die Umstellung praktisch ohne Beeinträchtigung der Benutzer durchzuführen. Bei schon damals mehr als einhunderttausend Mailboxen war es undenkbar, den Benutzern Änderungen aufzuzwingen.

Also haben wir viel experimentiert, implementiert und getestet, aber letztlich ließ sich keine zufriedenstellende Lösung finden. Und mangels größerer Probleme mit unserem alten Mailsystem gab es natürlich auch immer wieder Projekte, die das neue Mailsystem von der Spitze der Todo Liste verdrängt haben.

Zwischenzeitlich wurde dann mal das Webmail von Squirrelmail auf Roundcube aktualisiert und alte Storageserver durch neuere ersetzt. Auch für die Redundanz wurde viel investiert, aber der Kern des alten Mailsystems blieb bestehen.

Es muss etwas passieren

Das änderte sich erst im Frühjahr 2015: Vor allem die Courier IMAP Software begann uns ernsthafte Probleme zu machen. Viele neuere Mailprogramme unterstützten nun IMAP Erweiterungen, die Courier schlicht nicht beherrschte, und die auch nicht mehr nachzurüsten waren. Also musste gehandelt werden.

Als neue POP3 und IMAP Software wurde Dovecot auserkoren. Zusammen mit Amavis sollte Dovecot auch die Mailzustellung in die Postfächer übernehmen. Damit sollte dann gleich auch die Konfiguration der Mailboxen in die Datenbank verlegt werden. Bisher befand sie sich nur zum Teil dort und zum Teil in .qmail Dateien auf den Storage Servern.

Die Implementierung der geplanten Lösung erwies sich leider als etwas schwieriger als gedacht. Das lag vor allem an der etwas undurchsichtigen Struktur von Amavis und der mangelhaften Dokumentation. Letztlich konnte aber im Herbst 2015 eine funktionierende Plattform für Mailzustellung und Abruf in den Testbetrieb gehen.

Aus leidvoller Erfahrung mit defekten Raidcontrollern und „alle Jahre wieder“ auftretenden Ausfällen von Storage Servern, entschieden wir uns für ein vollständig redundantes System für die Speicherung und den Abruf von Mails. Zunächst wurde es auf basis von Xen und Btrfs auf jeweils zwei per DRBD verbundenen Servern realisiert.

Leider zeigte sich jedoch relativ schnell, dass dieser doch recht komplexe Stack den harten Anforderungen des Livebetriebs nicht gewachsen war. Zudem erwies sich Btrfs als nicht ausgereift und sorgte mit vielen Problemen für reichlich graue Haare bei den Admins.

Also haben wir noch mal einen Gang zurück geschaltet und stattdessen auf Bewährtes gesetzt. Jetzt werden die Mails wieder in einem Ext4 Dateisystem gespeichert, das auf einem per LVM partitionierten DRBD aufsetzt. Es gibt keine Virtualisierung mehr, sondern „traditionelle“ Hochverfügbarkeit.

Nachdem diese Lösung im Frühjahr endlich betriebsbereit war, ging es an die Umstellung der Mailboxen vom alten in das neue System. Dies nahm nochmals einige Wochen in Anspruch und war im Mai dann endlich abgeschlossen.

Fast fertig

Damit war das neue Mailsystem im Grunde komplett soweit es die Mailboxen betraf.

Ein letzter Querulant aber hörte nicht auf, der Umstellung Widerstand zu leisten: Die Mailinglisten. Diese werden bei uns sozusagen seit Anbeginn der Zeit mit Ezmlm betrieben und sind dadurch praktisch untrennbar mit Qmail verzahnt.

Also wurde der Plan gefasst, eine saubere, auf die reine Mailinglistenfunktion reduzierte Qmailinstallation zu schaffen. Wie nicht anders zu erwarten steckte auch hier der Teufel im Detail. Aber schließlich konnte am 23. August der neue Mailinglistenserver online und der letzte „alte“ Qmail Server nach über 15 Jahren endlich offline gehen.

Status Quo

Eine Übersicht über den Mailzustellungsprozess gibt es hier: Artfiles Mail V3

Im Unterschied zu den dort skizzierten Plänen hat unser Mailsystem noch mal deutlich an Sicherheit und Verfügbarkeit gewonnen: es gibt jetzt eine redundante Speicherung sämtlicher Mails auf zwei Storage Servern, die sich in verschiedenen Brandabschnitten des Rechenzentrums befinden. Von diesem Redundanten Datenbestand werden alle drei Stunden Snapshots gezogen, die eine möglichst zeitnahe Wiederherstellung ermöglichen.

Zusätzlich werden vom jeweils aktuellsten Snapshot täglich die Daten auf ein drittes, unabhängiges System gesichert. Diese Sicherungen werden mindestens 28 Tage aufbewahrt.

Ausblick

Auch wenn nun ein Meilenstein erreicht ist, arbeiten wir selbstverständlich kontinuierlich weiter an der Verbesserung des Mailsystems. Als nächstes wollen wir den Benutzern die Möglichkeit geben, selbst Mails aus den backups wieder herzustellen. Derzeit muss das noch ein Administrator „zu Fuß“ tun.

Außerdem möchten wir den Benutzern mehr Konfigurationsmöglichkeiten für Ihre jeweiligen Accounts geben, ohne dass sie dafür das DCP bemühen müssen.

Beides ist bereits in Arbeit, die Realisierung wird aber noch einige Zeit in Anspruch nehmen – voraussichtlich aber nicht wieder fast zehn Jahre…

Let’s Encrypt im DCP

Um ein Let’s Encrypt Zertifikat im DCP zu aktivieren, muss zunächst die Teilnahme am Beta Programm aktiviert werden.

Dies geschieht im Menü unter „Einstellungen“.

 

Sobald die Beta Features freigeschaltet sind, findet sich nach wenigen Minuten im “Domain”-Menü ein Eintrag “SSL“:

Bildschirmfoto 2016-08-26 um 15.37.17

 

Ein Klick auf „Neu anlegen“ öffnet die Konfigurationsansicht:

Bildschirmfoto 2016-08-26 um 15.38.51Hier können bis zu 5 Subdomains einer Domain mit einem SSL/TLS Zertifikat versehen werden.

Es können nur Subdomains konfiguriert werden, für die noch kein anderes Zertifikat eingerichtet ist.

 

Technischer Hintergrund:

Das DCP erstellt automatisch einen Certificate Signing Request und übermittelt diesen an Let’s Encrypt. Gleichzeitig wird der Webserver entsprechend konfiguriert, um den Validierungsrequest korrekt zu beantworten. Es handelt sich hier also um eine HTTP Validierung. Diese läuft völlig transparent zum normalen Betrieb des Webservers.

Der gesamte Validierungsprozess dauert etwa 15 Minuten, so dass nach spätestens 15 bis 20 Minuten die Zertifikate zur Verfügung stehen.

 

Beispielzertifikat:

Bildschirmfoto 2016-08-26 um 16.06.50Let’s Encrypt Zertifikate sind derzeit grundsätzlich 90 Tage gültig. Das DCP erneuert Zertifikate aber bereits nach 60 Tagen gemäß der Empfehlung von Let’s Encrypt. Auch dies läuft völlig transparent für Benutzer des Webservers ab.

Einige Hintergrundinformationen zu Let’s Encrypt haben wir noch mal in einem eigenen Artikel zusammengefasst: Let’s Encrypt (beta)