Ralf Zimmermann SIEGNETZ.IT GmbH


Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf

Zurück zum Seitenanfang | Publiziert am

Mozilla, die EFF und weitere Partner wollen SSL/TLS-Zertifikate kostenlos für alle Server-Betreiber bereitstellen, die ihre Webseiten verschlüsseln wollen. Zwei Linux-Befehle sollen reichen, um ein Zertifikat anzufordern und sofort live zu schalten.

Unter dem Namen "Let's Encrypt" wollen Mozilla, Akamai, Cisco und die EFF eine neue, kostenlose Zertifizierungsstelle für SSL/TLS-Zertifikate einrichten. Das gemeinnützige Projekt soll ab Sommer 2015 kostenlose Zertifikate an Administratoren verteilen. Mit neuer Technik soll es wesentlich einfacher werden, Zertifikate anzufordern und zu erneuern – so viel wie möglich davon soll als Open Source zur Verfügung gestellt werden. Anders als bei selbstsignierten Zertifikaten, sollen Browser diesen Zertifikaten vertrauen, ohne dass der Anwender mit einer Fehlermeldung konfrontiert wird.

[Quelle: ]

Microsoft patched schwere TLS-Lücke

Zurück zum Seitenanfang | Publiziert am

Microsoft hat ein Update veröffentlicht, das eine schwere Sicherheitslücke schließt. Die Lücke betrifft Windows Rechner und Server die einen Webserver, einen Mail Server oder einen FTP Server betreiben. Betroffen ist die die Sicherheitskomponente Microsoft Secure Channel. Betreiber sollten das Update schnellst möglich einspielen. Eventuell sind auch andere Services betroffen, insofern sie das Sicherheitsframework verwenden. Microsoft weisst darauf hin, dass es keinen Workaround gibt.

Vulnerability in Schannel Could Allow Remote Code Execution (2992611) This security update resolves a privately reported vulnerability in the Microsoft Secure Channel (Schannel) security package in Windows. The vulnerability could allow remote code execution if an attacker sends specially crafted packets to a Windows server. This security update is rated Critical for all supported releases of Microsoft Windows. For more information, see the Affected Software section. The security update addresses the vulnerability by correcting how Schannel sanitizes specially crafted packets. For more information about the vulnerability, see the Frequently Asked Questions (FAQ) subsection for the specific vulnerability. [Quelle: ]

Google nogotofail network security testing tool

Zurück zum Seitenanfang | Publiziert am

Google hat unter ein Security Testing Tool veröffentlicht, um Sicherheitslücken in Anwendungen und bei SSL/TLS Verbindungen aufzuspüren.

nogotofail Nogotofail is a network security testing tool designed to help developers and security researchers spot and fix weak TLS/SSL connections and sensitive cleartext traffic on devices and applications in a flexible, scalable, powerful way. It includes testing for common SSL certificate verification issues, HTTPS and TLS/SSL library bugs, SSL and STARTTLS stripping issues, cleartext issues, and more. [Quelle: ]

Pigeonhole for Dovecot v2.2 Release v0.4.5 & v0.4.6

Zurück zum Seitenanfang | Publiziert am

hat Pigeonwhole v0.4.5 & v0.4.6 für Dovevot v2.2 veröffentlicht.

v0.4.6 02-11-2014 Stephan Bosch <stephan@rename-it.nl> - After make distclean the distributed tarball would fail to recompile. This causes problems for some distribution builds. v0.4.5 30-10-2014 Stephan Bosch <stephan@rename-it.nl> + Added a Pigeonhole version banner to doveconf output. This way, future bug reports will also include Pigeonhole version information. - Fixed handling of implicit keep. Last version erroneously reported that implicit keep succeeded after an earlier failure, while it in fact had failed. Particularly occurred for mailbox quota errors. - Fixed segfault occurring on SunOS systems when there is no active script.

Pigeonhole for Dovecot v2.2 Release v0.4.4

Zurück zum Seitenanfang | Publiziert am

hat Pigeonwhole v0.4.4 für Dovevot v2.2 veröffentlicht.

v0.4.4 28-10-2014 Stephan Bosch <stephan@rename-it.nl> * Added support for Japanese mail addresses with dots at non-standard places in localpart. * Changed handling of ENOSPACE into a normal temporary failure and added handling of ENOQUOTA as a user error. * Restructured result execution, so that all actions which involve mail storage are always committed before all others. + Implemented support for generic Sieve storages. Using alternative storages now also possible for sieve_before/sieve_after. + Implemented storage driver for retrieving Sieve scripts from LDAP. This currently cannot be used with ManageSieve. + Implemented sieve_redirect_envelope_from setting, which allows configuring the envelope sender of redirected messages. - Fixed handling of mail storage errors occurring while evaluating the input message. - managesieve-login: - Removed bogus ALERT response code returned for AUTHENTICATE command. - Fixed handling of invalid initial response argument to AUTHENTICATE command. - Fixed handling of stream errors in lexical scanner. - Fixed handling of SMTP errors. Permanent and temporary errors were mixed up. - Fixed several problems reported by CLang 3.4. - duplicate extension: Fixed erroneous compile error about conflicting tags when `:handle' argument was used last. - relational extension: Fixed error handling of `:value' match. - editheader extension: Fixed header unfolding and header iteration. - mailbox extension: Fixed the `:create' tag, which erroneously subscribed an existing folder. - extprograms plugin: Fixed handling of error codes. - doveadm-sieve plugin: Fixed several bugs. Synchronization of symbolic link in the file storage should now also work properly.

HTML5 Standard offiziell fertiggestellt

Zurück zum Seitenanfang | Publiziert am

Nach mehreren Jahren wurde der Standard die HTML5 Web-Beschreibungssprache fertiggestellt. Der HTML5 Standard ist unter der Adresse einzusehen.

HTTP Strict Transport Security

Zurück zum Seitenanfang | Publiziert am

ist eine Security opt-in Erweiterung, die mittels eines speziellen Headers von einer Web Applikation gesetzt wird. Unterstützt ein Browser diese Erweiterung, dann wird der Server die Web Applikation nur noch über HTTPS aufrufen. Am einfachsten ist es, auf der HTTP Seite einen Redirect auf den HTTPS Vhost zu konfigurieren und dort den Strict-Transport-Securit Header zu setzen.

Note: Die HTTP Strict Transport Security (HSTS) werden auf https://rz.siegnetz.de auch gesetzt.

HTTP auf HTTPS redirecten

... RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301] ...

Strict-Transport-Security Header setzen

Ist z.B. bei einem Apache Webserver das Modul headers aktiviert, kann man einfach über die Vhost Konfiguration den notwendigen Header setzen.

... <IfModule headers_module> Header add Strict-Transport-Security "max-age=15768000" </IfModule> ...

Mehr zu HTTP Strict Transport Security (HSTS) findet man im .

Dovecot Release v2.2.15

Zurück zum Seitenanfang | Publiziert am

hat Dovecot v2.2.15 veröffentlicht.

Note: Bei mir funktioniert Dovecot v2.2.15 ohne Probleme.

Some small fixes and changes to v2.2.14. This release is mainly in the hope that it could still make it into the next Debian stable instead of v2.2.14 - mainly because of a couple of new assert crashes that started happening in v2.2.14 and should be fixed now.
  • Plugins can now print a banner comment in doveconf output (typically the plugin version)
  • Replication plugin now triggers low (instead of high) priority for mail copying operations.
  • IMAP/POP3/ManageSieve proxy: If destination server can't be connected to, retry connecting once per second up to the value of proxy_timeout. This allows quick restarts/upgrades on the backend server without returning login failures.
  • Internal passdb lookups (e.g. done by lmtp/doveadm proxy) wasn't returning failure in some situations where it should have (e.g. allow_nets mismatch)
  • LMTP uses mail_log_prefix now for logging mail deliveries instead of a hardcoded prefix. The non-delivery log prefix is still hardcoded though
  • + passdb allow_nets=local matches lookups that don't contain an IP address (internally done by Dovecot services)
  • + Various debug logging and error logging improvements
  • - Various race condition fixes to LAYOUT=index
  • - v2.2.14 virtual plugin crashed in some situations

Spamhaus 127.*.*.* Return Codes

Zurück zum Seitenanfang | Publiziert am

Oft gibt es Irretationen bei den Antwort Codes von RBL Abfragen. Zur Erläuterung habe ich die Antwort Codes von Spamhaus mal aufgeführt.

Return Codes

Spamhaus uses this general convention for return codes:
Return Code Description Spamhaus IP Blocklists Spamhaus Domain Blocklists Spamhaus Whitelists
Return codes for Spamhaus IP zones:
Return Code Zone Description SBL Spamhaus SBL Data SBL Spamhaus SBL CSS Data XBL CBL Data PBL ISP Maintained PBL Spamhaus Maintained
We recommend you use SBL together with XBL and PBL, as the three zones block different spam sources. To save you having to query three separate DNSBL zones there is a special combined DNSBL zone called Zen which contains the complete SBL, XBL and PBL data. We recommend you use this combined DNSBL zone for checking SMTP connecting IP. To use it, simply set your mail server's DNSBL check to query zen.spamhaus.org only. (Don't query SBL, XBL or PBL and Zen!)
DNSBL Zone to Query Returns Contains
SBL sbl.spamhaus.org Static UBE sources, verified spam services (hosting or support) and ROKSO spammers
XBL xbl.spamhaus.org Illegal 3rd party exploits, including proxies, worms and trojan exploits
PBL pbl.spamhaus.org IP ranges which should not be delivering unauthenticated SMTP email.
ZEN zen.spamhaus.org Combined zone (recommended). Includes SBL, XBL and PBL.

Honeypot attacked URL's

Zurück zum Seitenanfang | Publiziert am | Aktualisiert am

Neben den Quell Adressen der Attacken gegen meine Honeypots habe ich die URl's ausgewertet die aufgerufen wurden.

Die häufigsten attackierten Honeypot URL's

/admin /admin/login.php /cgi-bin/hello /cgi-bin/index.cgi /cgi-bin/login.php /cgi-bin/test.cg /login.php /tmUnblock.cgi /typo3 /vtigercrm /webmail/login.php /xmlrpc.php /wp-login.php /wp-admin/admin-ajax.php /wp-signup.php

SSL Funktionalität testen

Zurück zum Seitenanfang | Publiziert am

Wer seine Server und seinen Client auf die Heartbleed oder auf die Poodle SSLv3 Lücke testen möchte, kann dies mit folgenden Tools erledigen.

Nützliche Links um SSL Verbindungen und Zertifkate zu testen

von Qualsys SSL Labs von Thawte, Inc.

Microsoft Active Sync Verbindungen testen

OpenSSL Test Poodle

openssl s_client -connect rz.siegnetz.de:443 -ssl3

OpenSSL Test Heartbleed

openssl s_client -connect rz.siegnetz.de:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

Blacklist aus Attacken gegen SSH,SMTP,IMAP und HTTP

Zurück zum Seitenanfang Publiziert am Aktualisiert am

Ich habe die Quell Adressen der Attacken gegen unsere Honeypots zusammengefasst. Die Attacken wurden gegen die Services SSH,SMTP,IMAP, und HTTP durchgeführt. Bei Gelegenheit werde ich die Liste aktualisieren und zum Download zur Verfügung stellen.


Note: Die Daten stammen ausschliesslich aus Analysen der SIEGNETZ.IT GmbH und sind nicht für andere repräsentativ. Sie dienen der SIEGNETZ.IT GmbH Statistiken über Attacken und deren Quellen zu erstellen und Gegenmassnahmen zu treffen.

Server gegen POODLE SSLv3 Vulnerability absichern

Zurück zum Seitenanfang | Publiziert am | Aktualisiert am


Wer seinen Webserver so konfiguriert das SSLv2 und SSLv3 deaktiviert sind, wird seine Seite von einigen Webcrawlern oder Bots nicht mehr erfassen lassen können. Dazu gehört auch der GoogleBot.

SSLHonorCipherOrder on SSLCipherSuite ALL:!ADH:!SSLv2:!SSLv3:!EXPORT56 \ :!EXPORT40:!RC4:!DES:+HIGH:+MEDIUM:+EXP SSLProtocol All -SSLv2 -SSLv3


ssl_protocols = !SSLv2 !SSLv3 ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL


smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5