Pro-Tipp: Wenn ein Exchange-Server über das Internet erreichbar war, dann würde ich ihn vollständig neu aufsetzen. Das Einspielen des Updates gewährleistet nicht, dass der Server nicht kompromittiert wurde. 🧙♂️
@digitalcourage Das wäre noch besser. 👍
@digitalcourage @kuketzblog
Genau das wäre auch unsere Empfehlung
Und welcher wäre das? Nur so als Frage für Unternehmen die den Gedanken vielleicht mal durchspielen möchten...
CC: @Datenschutzgeno
@cybastl @Datenschutzgeno @kuketzblog
Einer, der unter GNU/Linux oder *BSD läuft und vertrauenswürdig ist.
Für #vertrauenswürdigeSoftware haben wir gerade ein paar Kriterien aufgestellt. Im Text ist zwar von Apps die Rede, vieles gilt aber sinngemäß auch für Server-Software. Debian macht da schon viel richtig.
https://digitalcourage.de/digitale-selbstverteidigung/app-kriterien
/c
@cybastl @digitalcourage @kuketzblog
Auf unserer Seite mit FOSS-Lösungen finden sich im Punkt Email schon mal drei Serverlösungen, die mindestens ebenbürtig sind. Wir arbeiten seit Jahren bestens mit postfix.
https://dd-eg.de/index.php?id=foss_liste
@Datenschutzgeno Danke für die Liste. Problem ist meist, dass Outlook als Client gesetzt ist. Gibt es eine FOSS Lösung, die nicht nur E-Mail sondern auch die Groupware-Funktionen wie Kalender, Aufgaben, Kontakte in Outlook unterstützt und sich für User Authentifizierung etc. ins AD integriert? 🤔
@datenteiler @cybastl @digitalcourage @kuketzblog
Ja, die gibt es durchaus. Mozilla Thunderbird hat diese Funktionen als Client, Citadel bietet eine Gesamtlösung als Groupware
https://citadel.org/index.html
@Datenschutzgeno
Schön wär's, leider kriege ich Thunderbird als Client nicht durch. Es soll Outlook sein.😥
@cybastl @digitalcourage @kuketzblog
@diritschka Warum kann das nicht das Ziel sein? Btw. rede hier nur von der Arbeit, wo IT Entscheidung leider nicht bei mir liegen. Imho funktioniert Open Source in Firmen am besten, wo es Server und DBs antreibt. Anteil von Exchange liegt afaik bei ~70%. Es wäre ein erster Schritt, Exchange im Backend zu ersetzen besonders die, die noch auf Win Server 2003 laufen.
@datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Genau: es entscheiden die über IT, die
a) keine Ahnung haben
b) für flotte Marketingsprüche zu haben sind
c) keine Fehler aus Unwissenheit machen wollen und deshalb Nicht-Entscheidungen treffen
d) für ein nettes Essen (und ein Lob für die weise Nicht-Entscheidung) den Kauf eines Produkt gern durchwinken
@datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Das hat übrigens eine lange Tradition mit den Nicht-Entscheidungen. Als ich 1985 bei uns in der Forschung UNIX und TCP/IP mit Gateway und Emulation als Standard statt des IBM-Terminal 3270 einführen wollte, wurde ich vom RZ-Leiter im Ministerium ausgelacht mit den Worten: das IBM-Terminal wird über Jahre nicht verschwinden.
Ein Jahr später verkündete er stolz den IBM-PC mit DOS und TCP/IP zum Nonplusultra. No comment
@Datenschutzgeno @datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Das deckt sich mit meinen Erfahrungen. Wie kommt es, dass in Deutschland so viele RZ-Leiter solche Flachpfeifen sind?
@c @datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Wo ist das anders?
@Datenschutzgeno @datenteiler @diritschka @kuketzblog @cybastl @digitalcourage
Vielleicht nirgendwo.
„By spreading questionable information about the drawbacks of less well-known products, an established company can discourage decision-makers from choosing those products over its own, regardless of the relative technical merits. This is a recognized phenomenon, epitomized by the traditional axiom of purchasing agents that "nobody ever got fired for buying IBM equipment". The aim is to have IT departments buy software they know to be technically inferior because upper management is more likely to recognize the brand.“
Quelle: https://en.wikipedia.org/wiki/Fear,_uncertainty,_and_doubt
@diritschka
Es kann ein Zwischenziel sein. Wenn du nur den Server austauschst, müssen die User sich nicht umstellen., dann hast Du weniger Widerstände und mehr Akzeptanz für weitere Schritte
@kuketzblog @cybastl @Datenschutzgeno @digitalcourage @datenteiler
@digitalcourage 😂 der ist gut! 👍
@kuketzblog
@digitalcourage @kuketzblog
Haben ihn noch nicht in Betrieb gesehen, planen aber mal einen Test von "grammm" aus der Wiener Schmiede.
Scheint eine ernsthafte Alternative zu Exchange zu sein. Und kann mit Outlook.
https://www.heise.de/news/Alternative-zu-Exchange-grammm-bringt-Linux-Groupware-5066738.html
@kuketzblog ich würde sagen richtige Pros haben ein komplexes SIEM inklusive Analysten und sind in der Lage nachzuvollziehen ob der Server kompromittiert wurde und können sich das neu aufsetzen sparen.
@d00773 @kuketzblog davon dass Profis mehr tun als Systeme nur zu härten und sich dann zurücklehnen, als könnte man nicht mehr tun.
@kuketzblog im idealfall mit na anderen software ;D
@kuketzblog Wenn das allein mal nützt, wer weiss wie weit Angreifer ggf. schon in das eigene Netz vorgedrungen sind.
@diritschka @kuketzblog Gute Idee, greift aber zu kurz da Microsoft Exchange schon lange kein reiner Mail Server mehr ist sondern auch noch viele andere Aufgaben übernimmt.
@kuketzblog
Mal für einen Laien: Sollten Exchange Server nicht mit dem Internet verbunden sein? Das ist doch der Sinn der Sache, oder nicht?
@kuketzblog gilt ein Exchange auch als erreichbar im Internet, wenn man Zugriff via Citrix VPN hat?
Ich muss mich erst via Citrix (inklusive 2FA) authentifizieren um meine Mails abrufen zu können vom Exchange.
Also zumindest wenn ich auf die Weboberfläche will.
Mit einem Client konnte man aber auch direkt die Mails abrufen.
@kuketzblog
Dann kann man Exchange ja auch gleich durch einen richtigen Mailserver ersetzen. /c