Abkündigung Unterstützung Exchange 2003

Microsoft hat die Unterstützung und Updates für Exchange 2003 bereits am 8. April 2014 eingestellt. Exchange 2003 sowie der zugrunde liegende Windows Server haben somit seit über fünf Jahren keine Sicherheitsupdates erfahren und müssen als unsicher erachtet werden.

Bereits jetzt gibt es diverse Einschränkungen in der Kommunikation zwischen anderen Mailservern und Exchange 2003 Installationen. Exchange 2003 unterstützt nur die veralteten und unsicheren bzw gefährlichen Verschlüsselungsprotokolle SSLv2 und SSLv3 sowie RC4-Algorithmen. Diese sind auf den Servern von Cleanmail aus Sicherheitsgründen deaktiviert.

Die Zustellung von Mails an Exchange 2003-Installation erfolgt daher mit Verzögerung und ausschliesslich unverschlüsselt. Dies, da mehrere Zustellversuche nötig sind, bis die Verschlüsselung deaktiviert und eine Klartext-Zustellung durchgeführt wird. Durch die Nutzung des Fallbacks steht auch weniger Redundanz zur Verfügung.

Auf dem Cleanmail Outbound Scanner wird ab Ende 2019 mandatory TLS für einliefernde Server aktiviert (aktuell: opportunistisches TLS). Dies sichert die Übertragung der Authentifizierungsdaten (Benutzername und Passwort) ab und erschwert das Mitschneiden dieser Daten. Somit trägt dies signifikant zur Verbesserung der Datensicherheit bei. Da jedoch Exchange 2003 keine verschlüsselte Verbindung zu unseren Servern aufbauen kann, wird Exchange 2003 von der Nutzung des Cleanmail Outbound Scanners ausgeschlossen.

Cleanmail wird deshalb ab Ende 2019 die Unterstützung für Microsoft Exchange 2003 Server weitestgehend einstellen. Betroffenen Kunden empfehlen wir bis spätestens zu diesem Zeitpunkt auf eine neuere Version von Microsoft Exchange oder, zum Dienst ExchangeInCloud.ch von Cleanmail zu migrieren.

DNS-Flag-Day

Der 1. Februar 2019 ist der „DNS-Flag-Day“.

Das Domain Name System DNS ist die Kontakt-App des Internets. Die ermöglicht es zum Beispiel, dass Sie durch die Eingabe des Namens „www.cleanmail.ch“ auf diese Webseite gelangt sind, oder dass Mails mit der Endung @cleanmail.ch beim richtigen Mailserver angeliefert werden.

In den letzten Jahrzehnten ist das DNS-Protokoll stetig weiter entwickelt worden. Leider gibt es immer noch sehr viele alte DNS-Software, die noch auf dem Stand von vor 1999 ist. Aktuelle DNS-Software muss mit allerlei Behelfslösungen sicherstellen, dass derart veraltete Software noch weiter funktioniert.

Am 1. Februar 2019 werden nun viele grosse Anbieter die Behelfslösungen abschalten. Obwohl 20 Jahre Vorbereitungszeit eigentlich genug sein sollten, und obwohl es öffentlich zugängliche Werkzeug zur Überprüfung gibt, werden einige Dienste und Dienstanbieter von dieser Veränderung wohl überrascht sein.

Wenn es ab dem 1. Februar 2019 zu unerwarteten Ausfällen kommt, steckt mit einer gewissen Wahrscheinlichkeit also der „DNS-Flag-Day“ dahinter. Die Infrastruktur von Cleanmail selbst ist auf aktuellem Stand und daher nicht selbst davon betroffen. Es kann aber sein, dass andere Organisationen aufgrund des DNS-Flag-Days keine Mails bei uns einliefern oder keine Mails von uns annehmen wollen/können. Bitte beachten Sie, dass dieses Verhalten ausserhalb des Einflusses von Cleanmail liegt und daher nicht gewhitelistet werden kann.

Weiterführende Informationen zum DNS-Flag-Day finden Sie unter https://dnsflagday.net/ sowie eine ausführliche journalistische Aufarbeitung bei golem.de.

Outlook Express End-Of-Life

Mail wird mit folgender Fehlermeldung abgewiesen:
CMR-HDR-OE-EOL

Cleanmail akzeptiert ab sofort keine Nachrichten mehr, welche mit Microsoft Outlook Express verfasst wurden. Die Weiterentwicklung dieses Mailprogramms wurde von Microsoft bereits 2009 beendet und Outlook Express anschliessend durch Windows Mail ersetzt.

Somit hat diese Software seit über 9 Jahren keine Sicherheitsupdates mehr erhalten, wodurch von ihrer Verwendung dringend abgeraten werden muss.

Heute wird Outlook Express bzw Kopfzeilen, welche eine Erstellung mit Outlook Express vorgeben, fast ausschliesslich durch Spammer verwendet.

Striktere Regeln zur Annahme von Mail mit Absender bluewin.ch

Mail von Absendern in der Domäne bluewin.ch wird mit folgender Fehlermeldung abgewiesen:
Forged sender domain from this server

Dies bedeutet, dass dieses Mail nicht über die offiziellen Server von Bluewin eingeliefert wurde. Bluewin legt per SPF-Eintrag fest, von welchen Servern legitime Mails mit Absender bluewin.ch stammen sollten. Cleanmail hat bislang Mail mit Absender bluewin.ch von beliebigen Servern akzeptiert, setzt neu jedoch die Vorgabe von Bluewin um. Mit dieser Massnahme werden Absenderfälschung und Phishingversuche unterbunden.

Diese Abweisung kann nicht umgangen werden, indem der Empfänger einen Eintrag in der weissen Liste erstellt. Stattdessen muss der Absender die korrekten, von Bluewin betriebenen Postausgangsserver verwenden. Die nötigen Angaben finden Sie im Swisscom Hilfe Center. Bei Fragen zur Konfiguration wenden Sie sich bitte an den Support von Swisscom oder Ihren lokalen PC-Supporter.

Wie kann ich beim Umstieg auf Cleanmail die bestehende weisse Liste des vorherigen Spamfilters importieren?

Wir raten unseren Kunden von prophylaktischen Einträgen in die weisse Liste ab. In fast allen Fällen besteht für unsere Kunden nicht nur keine Notwendigkeit für solche Einträge, sondern sie können sogar unerwünschte Nebenwirkungen haben.

Mehr „Wie kann ich beim Umstieg auf Cleanmail die bestehende weisse Liste des vorherigen Spamfilters importieren?“

Spearphishing

In unseren Protokollen und in Kundengesprächen sehen wir aktuell gehäuft Spearphishing-Versuche gegen Schweizerische KMUs. Eine Spearphishing-Attacke beginnt normalerweise mit auf die Empfängerfirma abgestimmten Mails. Diese Mails haben eine gefälschte Absenderadresse (für den ungeübten Benutzer manchmal schwer erkennbar). Darin gibt sich der Angreifer als CEO oder Geschäftsleiter aus und verlangt die Überweisung einer bestimmten Summe für ein dringendes Geschäft auf ein Empfängerkonto.

Es gibt Variationen dieses Musters: einmal geht es um vertrauliche Kundendaten statt einer Überweisung, ein anderes mal ist die Vorgehensweise subtil an das Ziel angepasst, oder es werden unterschiedliche Geschichten gesponnen, um das ganze glaubwürdiger zu machen. Die Angreifer verwenden öffentlich zugängliche Informationen (Handelsregister, Firmenwebseite, Social-Media-Profile) um sich ein Bild von der Unternehmung und den involvierten Personen zu machen, wodurch häufig eine hohe Glaubwürdigkeit erzielt wird.

Da solche Mails vom Absender von Hand verfasst werden und keine „gefährlichen“ Attachments enthalten, können sie mit technischen Mitteln nur teilweise erkannt werden. Wir empfehlen, die Mitarbeiter auf solche Attacken zu schulen, und bei verdächtigen Anfragen von Mitarbeitern/Vorgesetzten ggf. telefonisch Rücksprache zu nehmen.

Wenn Sie von Spearphishing-Angriffen betroffen sind, wenden Sie sich bitte an unseren Support, um sich zu weiteren Massnahmen (Spearphishing-Filterset und SPF) beraten zu lassen.