mwiederkehr

Ja, leider. Ich bin kein Purist und verwende HTML, aber meine Signatur ist brav mit "-- " abgetrennt. Vor über 20 Jahren habe ich als Azubi in einer Newsgroup eine Frage gestellt. Mit Outlook Express. Was dann passiert ist, würde man heute "Shitstorm" nennen. Es hat bis heute Eindruck hinterlassen.

Das Bild ist binär im AD gespeichert. Du kannst es nicht 1:1 ins HTML einfügen, sondern musst es auslesen, Base64-codieren und dann den Base64-String in die Signatur einfügen: <img src="data:image/png;base64, _erzeugter_String_"/> Wobei es schöner ist, die Bilder auf einem Webserver abzulegen und darauf zu verlinken. Sonst werden sie mit jeder E-Mail mitgeschickt. Einbetten funktioniert zwar, aber es ist suboptimal, wenn eine 1-KB-Nachricht wegen dem Foto auf 200 KB aufgeblasen wird.

Hier habe ich es gelesen: https://docs.microsoft.com/en-us/microsoft-365/admin/get-help-with-domains/create-dns-records-at-any-dns-hosting-provider?view=o365-worldwide#add-an-mx-record-for-email-outlook-exchange-online

Ich finde im Internet einige Leute mit dem gleichen Problem, aber ein Bug in Exchange kann es kaum sein. Erstens sind die Zeiten zum Glück vorbei, in denen Microsoft grundlegende Standards über Jahre ignoriert. RFC 974 verlangt einen unsigned 16-bit Integer, was 0 ist und im Beispiel kommt die "0" mehrmals vor. Zweitens empfiehlt Microsoft die Priorität 0 bei den MX-Records von Exchange Online. Ich meinte, dass das nicht immer so war. Macht ein "nslookup -q=MX euertenant.onmicrosoft.com", sehet und staunet!

Ja, von aussen wird viel automatisiert gescannt und es werden Passwörter durchprobiert. Logfiles von Webservern sind voll von Aufrufen nach "/phpmyadmin", "/joomla" oder nach Pfaden von bekannten Webshells, die ein früherer Angreifer zurückgelassen haben könnte. Und wenn man in die Ereignisanzeige eines Servers mit offenem RDP-Port sieht, findet man pro Tag tausende Einträge zu Anmeldeversuchen mit allen möglichen Namen, ebenso bei Linux-Servern mit offenem SSH und aktivierter Keyboard-Authentication. Neuerdings kommen die Versuche nicht mehr von wenigen IP-Adressen, sondern von Botnets, bei denen von einer IP-Adresse aus kaum mehr als drei Versuche pro Tag stattfinden. So läuft eine "Bruteforce-Protection" ins Leere, wie sie von manchen Firewall-Herstellern beworben wird. Die Verwendung von erratenen Kennwörtern habe ich in der Praxis schon mehrfach gesehen: Die Benutzer müssen alle sichere Kennwörter haben, aber für die Multifunktionsgeräte erstellt man einen Benutzer namens "scan" und weil man nicht immer die Doku bemühen will, nimmt man als Passwort auch "scan". Ist ja nur für die Geräte. Der Benutzer ist in der Gruppe "Domänen-Benutzer", damit die Geräte die gescannten Dokumente in den Freigaben abspeichern können. Dann kommt das Bedürfnis, von zu Hause aus auf dem Terminalserver arbeiten zu können. Port 3389 ist schnell aufgemacht und ist ja kein Problem, schliesslich haben die Benutzer gute Passwörter und der Server ist aktuell. Nur: In der Gruppe "Remotedesktopbenutzer" sind die "Domänen-Benutzer" und daher auch der "scan"-User... Die Schwachstellen in Multifunktionsgeräten sollten hingegen normalerweise nicht von aussen ausnutzbar sein. Dazu müsste sich ein Angreifer schon im internen Netz befinden. Entweder, weil er auf einem Rechner schon eine Malware zur Ausführung bringen konnte oder weil das Gäste-WLAN den Zugriff ins interne Netz erlaubt. Der Defender läuft erst ab Server 2016. Ich würde jetzt aber nicht überhastet eine Drittsoftware beschaffen. Erstens ist das Risiko eines Schadsoftware-Befalls für einen Dateiserver gering, weil darauf keine Leute im Internet surfen oder E-Mails lesen und selbst wenn eine virus.exe auf dem Server abgespeichert wird, passiert nichts, solange man sie nicht von dort aus startet. Zweitens ist Windows Server 2012 im Oktober 2023 End of Life, so dass Du bis dahin besser eine Migration auf ein aktuelles System in Angriff nimmst. (Wobei ich bei fünf Benutzern mal offen lassen möchte, ob es noch ein Server sein muss, oder ob auch ein NAS oder eine Lösung wie OneDrive reichen würde.) Ja, in der Tat. Früher hat man sich gefragt, wie b***d die Leute denn sein müssten, auf Anhänge von E-Mails zu öffnen, die vor Grammatikfehlern nur so strotzten. Heute sind die E-Mails "besser". Einmal wurde angerufen, in einwandfreiem Deutsch eine Person aus der Buchhaltung verlangt und dieser dann eine E-Mail angekündigt, deren Anhang unbedingt sofort geöffnet werden müsse. Als ich letztes Jahr einen Phishing-Test bei einer Firma mit ca. 100 Mitarbeitern gemacht habe, haben 50% den Link angeklickt und sagenhafte 30% haben ihre Zugangsdaten im Formular eingetragen. Weil man die Weitergabe von Zugangsdaten nicht zu 100% verhindern kann, ist es besser, wenn sie von aussen nicht missbraucht werden können: Indem es keinen Zugriff gibt oder indem man MFA einsetzt. Microsoft 365 ist in der Hinsicht so komfortabel geworden, dass es eigentlich keinen Grund mehr gibt, MFA nicht zu aktivieren respektive nicht aktiviert zu lassen.

Es gibt viele Präsentationen, die einen ins Staunen versetzen. Die dort gezeigten Sachen sind real, aber über dem, was 08/15-Massen-Malware macht. Mit fünf Arbeitsplätzen ist man meist kein attraktives Ziel für ausgefeilte Attacken. Solche Umgebungen bekommt man mit verhältnismässig wenig Aufwand ausreichend sicher: nur Betriebssysteme und Software einsetzen, die im Herstellersupport sind regelmässig Updates durchführen Defender überall aktiv nicht als Admin arbeiten mehrere Versionen der Datensicherung aufbewahren, mindestens eine davon offline (Online Backup geht, wenn die Sicherung vom Client aus nicht gelöscht werden kann) möglichst wenig Zugänge von aussen ("Port 3389 auf den Rechner weiterleiten" ist ganz schlecht, VPN ist besser, Deine remotewebaccess.com-Lösung sieht aus wie ein RD-Gateway, das wäre akzeptabel) Benutzer sensibilisieren gefährliche E-Mail-Anhänge blockieren evtl. filternden DNS wie OpenDNS verwenden Ich habe schon einige erfolgreiche Angriffe auf KMU miterlebt und bis jetzt kam die Schadsoftware immer per E-Mail (entweder als Massen-Mail à la "ihr Paket ist da", aber auch sehr zielgerichtet als Bewerbung auf eine tatsächlich ausgeschriebene Stelle) oder per Ausnutzung von Schwachstellen öffentlich erreichbarer Software (Exchange, phpMyAdmin, HPE iLO...). Ausgefeilte Methoden wie "Netzwerkanschluss in unverschlossenem Gebäudeanbau verwendet, um auf verwundbarem Drucker eine Schadsoftware zu installieren, die bösartigen JavaScript-Code in gescannte PDFs einfügt" habe ich bis jetzt nur an Vorträgen gesehen. Schlussendlich geht es bei der Sicherheit ja nicht um 100%, sondern darum, die Kosten für einen Angriff höher zu machen als den potenziellen Gewinn.

Viele Probleme mit dem Ruhezustand waren durch Software bedingt, die nicht mit dessen Effekten wie Zeitsprüngen, Netzwerkunterbrüchen etc. klargekommen ist. Die Zeiten ändern sich, in den letzten Jahren hatte ich keine Probleme mehr damit. Outlook stürzt ja auch nicht mehr ab, wenn es die Verbindung zum Exchange verliert. 😀

Ich habe Threema, Signal und Telegram, erhalte aber immer wieder mal eine SMS. Oder die Rückfrage, ob meine Nummer wirklich korrekt sei, ich tauche nicht auf in WhatsApp. Könnte sich in (wohl eher ferner als naher) Zukunft ändern, wenn die EU ihre Pläne umsetzt: https://www.europarl.europa.eu/news/en/press-room/20220315IPR25504/deal-on-digital-markets-act-ensuring-fair-competition-and-more-choice-for-users

"Archiv" und "aktiv bearbeiten" schliesst sich aus, Stichwort "unveränderbare, rechtssichere Archivierung". Einige Kunden wickeln ihre Projekte über Teams ab. Dort kann man E-Mails speichern und sie dann wieder im Outlook öffnen, aber es ist natürlich kein E-Mail-Client. Man sollte sich vielleicht auch die Frage stellen, ob wirklich mit den E-Mails gearbeitet wird oder nicht eher mit den angehängten Dateien.

Ein Kunde, für den das Beste gerade gut genug ist, hat seine Büroräumlichkeiten umgebaut und hat jetzt Glas an allen Arbeitsplätzen. Inkl. Medienkonvertern für die Telefone. Das ist ein wenig wie bei Sportwagen: Man braucht die hohe Geschwindigkeit nicht, aber es ist cool zu wissen, dass man könnte, wenn man wollte. Wobei es im Raum Zürich neuerdings Internet mit 25 Gig symmetrisch gibt, sogar sehr günstig (das Abo, nicht der passende Router).

Wie Nils schon geschrieben hat, ist es evtl. einfacher, die Dateien im Dateisystem abzulegen. Falls sie in die Datenbank müssen, ist varbinary schon richtig. Du kannst die Daten als Byte-Array speichern und wieder auslesen. (Oder Du nimmst varchar und speicherst die Daten Base64-codiert, das benötigt aber ca. 30% mehr Speicher.) Pass auf, dass Du nur die reinen Daten in der varbinary-Spalte speicherst. Evtl. hast Du die Daten als Base64 vorliegen nach dem Upload. Mime-Typ und Dateiname musst Du separat speichern, um die Dateien sinnvoll zum Download anbieten zu können.

Das Zertifikat und der Reverse-Eintrag im DNS müssen zum Hostnamen des Servers passen, dieser muss aber keiner Maildomain entsprechen. Man kann von "mail.provider.de" E-Mails für tausende Domains empfangen und versenden. Ein Spezialfall ist bei Exchange nur Autodiscover. Hier entweder autodiscover.zweitedomain.de als SAN eintragen lassen (wenn es nur zwei Domains sind), oder die HTTP-Redirect-Methode oder SRV-Records nutzen.

Man darf neben der Hyper-V-Rolle auch Software betreiben, die dem Management des Hosts und der VMs dient. Veeam dürfte man also auf dem Host installieren, ohne eine Windows-Lizenz zu "verbrauchen". Wobei das aber nur in wirklich kleinen Umgebungen eine halbwegs gute Idee ist. Da Backup aufs NAS erwähnt wurde: in einer kleinen Umgebung könnte man die Sicherung vom NAS aus durchführen, zum Beispiel mit Synology Active Backup.

Du kannst entweder die aktuellen ADMX herunterladen oder die entsprechenden Keys in der Registry setzen (siehe weiter unten auf der verlinkten Seite).

Ich habe bei Kunden ohne WSUS folgende GPO aktiviert: https://www.pdq.com/blog/how-to-block-the-windows-11-upgrade/.

Das, was Evgenij sagt. Virenscanner erhöhen die Komplexität und damit das Risiko für Lücken auf einem System. Früher, als man noch Disketten ausgetauscht hat, waren sie sinnvoll, damals waren die Signaturen meist neuer als die Viren. Heute ist signaturbasierte Erkennung fast nutzlos und die heuristischen Verfahren mit "künstlicher Intelligenz" sind anfällig für Fehlalarme. Die anderen Funktionen, die Virenscanner mitgebracht haben (Zugriff auf USB-Ports sperren, Ausführen von EXEs aus Temp-Verzeichnis blockieren etc.) kann Windows mittlerweile selbst. Da verzichtet man gerne auf Software, die auf einem privilegierten Account läuft und über die Cloud bzw. den Hersteller ferngesteuert werden kann. Wenn man Kunden fragt, weshalb sie nicht einfach den Defender nehmen, kommen viele Argumente, von "XY hat 99.99% Erkennungsrate" bis "den Scanner von einem kleinen Hersteller kennen die Hacker nicht, damit rechnen sie nicht", aber nichts vernünftiges. Den Defender hingegen aktiviere ich bzw. lasse ihn aktiviert. Der stört nicht und vielleicht bewahrt er doch mal vor Schaden bzw. erkennt einen Ausbruch.

Ich möchte noch SEPPmail erwähnen. Die gibt es schon ewig und sie kann Empfängern ohne Zertifikat eine Art sicheres Webmail zur Verfügung stellen, auf welchem die E-Mails gelesen und auch beantwortet werden können. Besonders im Verkehr mit Privatkunden, wie es bei Anwälten der Fall ist, ist das praktisch. Wichtig finde ich den Aspekt Backup / Archivierung, wie von Wisi erwähnt: Verschlüsselung auf den Endgeräten scheint super, kann aber mit Anforderungen wie Archivierung der geschäftsrelevanten Kommunikation im Widerspruch stehen. Signierung ist wesentlich einfacher als Verschlüsselung, da die E-Mails dabei lesbar bleiben. Je nach Anforderungen sind verschlüsselte E-Mails nicht notwendig. Wenn nur die Anhänge geschützt werden müssen, könnte auch Nextcloud inkl. dem Outlook-Plugin von Sendent ausreichen. Dieses ersetzt die Anhänge vor dem Versand durch einen Link auf Nextcloud und es kann ein Passwort vergeben werden. Dieses muss dem Empfänger auf einem separaten Kanal zur Verfügung gestellt werden.

Der gepostete Sourcecode enthält leider nicht den Teil mit den Links. Die müssten wohl in der header.php sein. Ich bin mir nicht sicher, aber $_SERVER["PHP_SELF"] gibt unter Windows möglicherweise nicht das gleiche Resultat zurück, wie unter Linux. Generell muss man mit Servervariablen vorsichtig sein. Hast Du PHP über ISAPI installiert? Versuch es sonst über FastCGI, das kommt am nächsten an das Verhalten unter Linux ran.

Hast Du die index.php selbst geschrieben? Evtl. lokal entwickelt, mit lokalen Pfaden drin?

Steam Link könnte eine Option sein, aber nicht für den gesamten Desktop, sondern nur für Spiele. Oder Parsec, das soll eine Art schnelleres RDP ("60 fps") sein.

Ich verwende KeePass. Die Datei liegt auf einer Nextcloud-Instanz. So kann ich vom Smartphone aus per App wie AuthPass zugreifen und für den Zugriff per Browser habe ich im Nextcloud die App KeeWeb installiert. Damit lässt sich die Datei direkt im Browser öffnen. Die Entschlüsselung erfolgt lokal im Browser, der Server sieht das Kennwort nie.

Ein befreundeter Netzwerkspezialist arbeitet mit NeDi. Sieht nicht sehr modern aus, aber zeigt sehr vieles an. Die Standardversion ohne Support ist kostenlos.

Ich kenne die Ursache für den Fehler leider nicht. Hilft es, wenn Du in der Firewall für Deine Anwendung alles öffnest? Du verwendest den FtpWebRequest. Diesen gibt es ab .Net 6 nicht mehr. (Die WebRequest-"Familie" fällt raus, für HTTP gibt es den HttpClient, für FTP gibt es keine eingebauten Klassen mehr.) Mit Google finde ich viele Leute, die das gleiche Problem haben wie Du. Du könntest deshalb prüfen, ob es mit einem anderen Client geht. Ich verwende FluentFTP. Dieser ist weniger sperrig anzusteuern und kann etwa rekursive Downloads von Haus aus.

You could try "reqFTP.UsePassive = true;". Active mode is hard to get through firewalls, especially if TLS is used.

Der schöne Norden, da kann man gleich neidisch werden. 😍 Ich war bis jetzt in München, Berlin und Hamburg, alles schön und eindrücklich, aber mit der grössten Sehnsucht denke ich an Hamburg. Da muss ich unbedingt wieder hin.