Follow

Pro-Tipp: Wenn ein Exchange-Server über das Internet erreichbar war, dann würde ich ihn vollständig neu aufsetzen. Das Einspielen des Updates gewährleistet nicht, dass der Server nicht kompromittiert wurde. 🧙‍♂️

@kuketzblog

Dann kann man Exchange ja auch gleich durch einen richtigen Mailserver ersetzen. /c

@digitalcourage

Und welcher wäre das? Nur so als Frage für Unternehmen die den Gedanken vielleicht mal durchspielen möchten...

CC: @Datenschutzgeno

@kuketzblog

@cybastl @Datenschutzgeno @kuketzblog

Einer, der unter GNU/Linux oder *BSD läuft und vertrauenswürdig ist.

Für #vertrauenswürdigeSoftware haben wir gerade ein paar Kriterien aufgestellt. Im Text ist zwar von Apps die Rede, vieles gilt aber sinngemäß auch für Server-Software. Debian macht da schon viel richtig.

digitalcourage.de/digitale-sel

/c

@cybastl @digitalcourage @kuketzblog
Auf unserer Seite mit FOSS-Lösungen finden sich im Punkt Email schon mal drei Serverlösungen, die mindestens ebenbürtig sind. Wir arbeiten seit Jahren bestens mit postfix.
dd-eg.de/index.php?id=foss_lis

@Datenschutzgeno Danke für die Liste. Problem ist meist, dass Outlook als Client gesetzt ist. Gibt es eine FOSS Lösung, die nicht nur E-Mail sondern auch die Groupware-Funktionen wie Kalender, Aufgaben, Kontakte in Outlook unterstützt und sich für User Authentifizierung etc. ins AD integriert? 🤔

@cybastl @digitalcourage @kuketzblog

@datenteiler @cybastl @digitalcourage @kuketzblog
Ja, die gibt es durchaus. Mozilla Thunderbird hat diese Funktionen als Client, Citadel bietet eine Gesamtlösung als Groupware
citadel.org/index.html

@Datenschutzgeno
Schön wär's, leider kriege ich Thunderbird als Client nicht durch. Es soll Outlook sein.😥
@cybastl @digitalcourage @kuketzblog

@datenteiler @kuketzblog @cybastl @digitalcourage @Datenschutzgeno , eigentlich sollte mensch da aussteigen und sagen: wenn du outlook willst, hast du die Kontrolle eben schon verloren. Trotzdem kann sich outlook via imaps und caldav/carddav z.B. mit open-xchange synchronisieren. Selbst active-sync ist eine Alternative. Das Ziel kann aber nicht sein, open-source für closed-source zu verwenden? Wer so eingeschränkt in seiner Denke ist, nur Nutella essen zu können und keine anderen Aufstriche, der tut mir leid.

@diritschka Warum kann das nicht das Ziel sein? Btw. rede hier nur von der Arbeit, wo IT Entscheidung leider nicht bei mir liegen. Imho funktioniert Open Source in Firmen am besten, wo es Server und DBs antreibt. Anteil von Exchange liegt afaik bei ~70%. Es wäre ein erster Schritt, Exchange im Backend zu ersetzen besonders die, die noch auf Win Server 2003 laufen.

@kuketzblog @cybastl @Datenschutzgeno @digitalcourage

@datenteiler @kuketzblog @cybastl @Datenschutzgeno @digitalcourage , wir haben genug zu tun damit, das "E" bei Exchange zu "eliminieren". 😀 Wir forcieren die Outlook-Hörigkeit aber nicht, weil sie technisch oder UX-mässig nicht gerechtfertigt ist.

@datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Genau: es entscheiden die über IT, die
a) keine Ahnung haben
b) für flotte Marketingsprüche zu haben sind
c) keine Fehler aus Unwissenheit machen wollen und deshalb Nicht-Entscheidungen treffen
d) für ein nettes Essen (und ein Lob für die weise Nicht-Entscheidung) den Kauf eines Produkt gern durchwinken

@datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Das hat übrigens eine lange Tradition mit den Nicht-Entscheidungen. Als ich 1985 bei uns in der Forschung UNIX und TCP/IP mit Gateway und Emulation als Standard statt des IBM-Terminal 3270 einführen wollte, wurde ich vom RZ-Leiter im Ministerium ausgelacht mit den Worten: das IBM-Terminal wird über Jahre nicht verschwinden.
Ein Jahr später verkündete er stolz den IBM-PC mit DOS und TCP/IP zum Nonplusultra. No comment

@Datenschutzgeno @datenteiler @diritschka @kuketzblog @cybastl @digitalcourage

Das deckt sich mit meinen Erfahrungen. Wie kommt es, dass in Deutschland so viele RZ-Leiter solche Flachpfeifen sind?

@Datenschutzgeno @datenteiler @diritschka @kuketzblog @cybastl @digitalcourage

Vielleicht nirgendwo.

„By spreading questionable information about the drawbacks of less well-known products, an established company can discourage decision-makers from choosing those products over its own, regardless of the relative technical merits. This is a recognized phenomenon, epitomized by the traditional axiom of purchasing agents that "nobody ever got fired for buying IBM equipment". The aim is to have IT departments buy software they know to be technically inferior because upper management is more likely to recognize the brand.“

Quelle: en.wikipedia.org/wiki/Fear,_un

@diritschka
Es kann ein Zwischenziel sein. Wenn du nur den Server austauschst, müssen die User sich nicht umstellen., dann hast Du weniger Widerstände und mehr Akzeptanz für weitere Schritte
@kuketzblog @cybastl @Datenschutzgeno @digitalcourage @datenteiler

@cybastl @kuketzblog @Datenschutzgeno @digitalcourage , sicher erstmal einer mit postfix und dovecot. Aber Exchange ist noch mehr. Für Termine, Kontakte, Aufgaben, Cloudspeicher, Verschlüsselung, Web-Office u.v.m: open-xchange

@digitalcourage @kuketzblog
Haben ihn noch nicht in Betrieb gesehen, planen aber mal einen Test von "grammm" aus der Wiener Schmiede.
Scheint eine ernsthafte Alternative zu Exchange zu sein. Und kann mit Outlook.

heise.de/news/Alternative-zu-E

@IT_Sicherheit_Zuhause @kuketzblog @digitalcourage , das ist ein Zimbra-Fork. Und die können noch nicht mal transportverschlüsselte Mails versenden bzw. verstehen die Situation.

@kuketzblog ich würde sagen richtige Pros haben ein komplexes SIEM inklusive Analysten und sind in der Lage nachzuvollziehen ob der Server kompromittiert wurde und können sich das neu aufsetzen sparen.

@d00773 @kuketzblog davon dass Profis mehr tun als Systeme nur zu härten und sich dann zurücklehnen, als könnte man nicht mehr tun.

@svemagie Wieso qmail unbedingt? Einfach eine freie Software, ist doch egal welche.
@Roland Häder Im Gegensatz zu der meisten anderen, (freien) Software hebt sich qmail gewaltig ab.

Da hat sich jemand schon vor der ersten Zeile Code Gedanken gemacht, wie ein guter und sicherer MDA aussehen muss. Erst dann wurde die Software geschrieben. Entsprechend wenige ernsthafte Bugs wurden produziert und erst recht keine (bzw an einer Hand abzählbare!) Sicherheitslücken. Es gibt jetzt, nach 20+ Jahren, kaum Updates - weil sie nicht nötig sein, weil der Code "perfekt" ist.

Freie Software, "egal welche", ist auf dem Desktop daheim wohl richtig, wenn aber ein Unternehmens-Mailserver ersetzt werden soll, würde ich schon genau hinsehen wollen, welche Software eingesetzt werden soll. Email hat heute ja eine Wichtigkeit, die ihr eigentlich nicht so gut steht, aber dennoch würde ich Email als mission-critical einschätzen, also auf gleicher Ebene wie die Backup-Infrastruktur usw.

@kuketzblog Wenn das allein mal nützt, wer weiss wie weit Angreifer ggf. schon in das eigene Netz vorgedrungen sind.

@bjoerns @kuketzblog , wieso? Exchange wegwerfen, Debian10 drauf, postfix, dovecot, f2b, rkhunter usw..... fertig. 2-3 Stunden.

@diritschka @kuketzblog Gute Idee, greift aber zu kurz da Microsoft Exchange schon lange kein reiner Mail Server mehr ist sondern auch noch viele andere Aufgaben übernimmt.

@bjoerns @kuketzblog , ich hab weiter oben schon geschrieben: open-xchange kann mehr, als exchange je konnte. So what?

@kuketzblog
Mal für einen Laien: Sollten Exchange Server nicht mit dem Internet verbunden sein? Das ist doch der Sinn der Sache, oder nicht? :mastozany:

@kuketzblog gilt ein Exchange auch als erreichbar im Internet, wenn man Zugriff via Citrix VPN hat?

Ich muss mich erst via Citrix (inklusive 2FA) authentifizieren um meine Mails abrufen zu können vom Exchange.

Also zumindest wenn ich auf die Weboberfläche will.

Mit einem Client konnte man aber auch direkt die Mails abrufen.

@necrosis @kuketzblog , wie kommen wohl die Mails in Deinen Exchange? Nun können da x Firewalls vor sein, und Filter für böse Mails, wenn Du mit nem Client direkt abrufen kannst, ist der sehr wahrscheinlich direkt verdrahtet.
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!