7. DNS-Einträge

Registrieren Sie sich nun einen DynDNS-Hostnamen. Sie können jede beliebige Buchstabenkombination wählen, die noch nicht vergeben ist. Teilen Sie diesen Hostnamen Ihrem Domain-Provider mit, damit er den MX Eintrag für Ihre Domäne entsprechend setzt. Weiterhin können Sie einen Backup-MX (weiterer MX-Record mit höherer Preference) bei Ihrem Provider belassen, für die täglichen 5 Minuten, in denen Sie nach Ihrer Neu-Einwahl noch nicht wieder erreichbar sind oder es sonstige Behinderungen gibt (Stromausfall, Internetausfall, usw.). Sie holen die Mails dann wie gewohnt per POP3 ab; das kann Ihr Server mittels eines POP3-Fetchers oder eines Shell-Scripts erledigen.

8. Sicherheitsüberlegungen

Das System hat natürlich einige Schwachstellen, die Sie kennen sollten. Ich möchte Ihnen abschließend einige dieser Lücken aufzeigen und -wo möglich- eine Lösung vorschlagen.

8.1 Mailempfang

1. DynDNS
   Stellen Sie durch ein Programm sicher, dass Ihre öffentliche IP (aus Ihrem Router ausgelesen oder über andere Möglichkeiten herausgefunden) auch wirklich bei DynDNS hinterlegt ist. Sobald jemand Ihrem DynDNS-Eintrag umbiegt, hat kann er Ihre Mails auf sich umleiten. Da das Paßwort für DynDNS beim Update unverschlüsselt übertragen wird, ist das Kapern des Accounts technisch relativ einfach möglich.
2. DNS
   Stellen Sie sicher, dass der MX-Record Ihrer Domäne auf Ihren DynDNS-Hostnamen zeigt. Auch hier läßt sich die Mailzustellung umleiten. Änderungen hier kann im Allgemeinen aber nur Ihr Domain-Provider vornehmen.
3. Backup-MX
   Sehen Sie sich die MX-Records an. Eventuell hat Ihr Provider für Sie einen zweiten MX-Eintrag auf seine eigenen Maschinen eingerichtet, falls Ihr Rechner einmal nicht online ist. Das Mailsystem würde in diesem Falle die Mails an Ihren Provider liefern; dort lägen sie aber zur Einsichtnahme durch Dritte bereit. Möchten Sie auf Nummer sicher gehen, sollten Sie nur den MX auf Ihren Rechner eingetragen haben.
4. STARTTLS
   Mit viel Aufwand verbunden ist das Konfigurieren Ihres Mailsservers für den sicheren Empfang von eMails. Sie müssen sich dafür ein Zertifikat für den eMail-Versand von einem der großen Zertifikatsanbieter für Ihre Domain beantragen und dieses Ihrem Mailserver einrichten. Sobald dann aber der sendende Mailserver die Verbindung aufbaut, bekommt er als Features des Servers „STARTTLS“ mitgeteilt und wird versuchen, eine sichere Verbindung aufzubauen. Je nach Mailserver können Sie sogar eine sichere Verbindung erzwingen. So kann selbst Ihr DSL-Provider technisch keine Mails mehr mitlesen.

8.2 Mailversand

Allgemein können Sie selbst von sich aus keine Mails mehr einfach so versenden. Die Mailserver aller großen Unternehmen sperren einerseits Einwahl-IP-Adress-Bereiche aus und prüfen andererseits, ob Mail-Absenderdomänen und MX-Einträge zusammenpassen, um das Spam-Aufkommen zu reduzieren.

Es ist deswegen zwingend nötig, einen Mailversender („smarthost“) zu benutzen, in der Regel den Ihres Domain-Provideres. Nachdem der nicht zwingend auch Ihr DSL-Provider ist, sollten Sie die Verbindung dorthin verschlüsselt (TLS) aufbauen.

Alle gängigen Mailserver unterstützen diese Funktion, es gibt aber einen Fallstrick: Die Verschlüsselung wird über das Kommando STARTTLS unverschlüsselt eingeleitet. Entweder eine Stateful-Inspection-Firewall oder Ihr Provider können das STARTTLS aus dem Datenstrom herausfiltern und so eine Verschlüsselung verhindern.

Sie müssen deswegen Ihren Mailserver so konfigurieren, dass TLS erzwungen wird. Wenn Mails nicht mehr versendet werden, so können Sie mit WireShark der Ursache auf den Grund gehen. Sollte im SMTP-Datenstrom irgendwo ein „AAAAAAAA“ auftauchen, so können Sie sicher sein, dass eine Partei die Verbindung manipuliert.

8.3 Allgemein

Ansonsten ist es noch wichtig, den Server gegen unbefugtes Eindringen zu sichern. Im Folgenden einige Maßnahmen, die helfen können, unberechtigten Zugriff auf Ihre Daten zu verhindern.

Maßnahmen gegen elektronische Einbrüche:

• Auf dem Server wird nur in Ausnahmefällen gesurft.
• Kein Java oder JavaScript
• Kein Internet Explorer
• Nicht als Administrator einloggen, wenn unnötig
• Langes und sicheres Adminkennwort
• RPC-Ports in der Firewall sperren
• Kein Telnet oder FTP nach außen freigeben
• Keine „gesaugte“ Software installieren

Maßnahmen gegen unbefugten physikalischen Datenklau:

• Verschlüsseln mit TrueCrypt (Windows)
• BIOS auf „Thorough RAM-Test“ bei POST stellen, dann wird der untere Speicherbereich mit dem Volume-Key bei einem Reset ganz sicher überschrieben
• Reset-Taster außen am Rechner sehr gut erreichbar, großer Knopf
• RAM-Riegel mit ordentlich Sekundenkleber in die Sockel kleben oder vergießen
• Zimmer mit Rechner mit Bewegungsmelder oder Türkontakt und Logger ausstatten
• Server mittels WLAN anbinden und unzugänglich aufstellen