Roundcube Next: Webmail für die nächsten 10 Jahre

244’361: So viele Logins haben wir insgesamt die vergangenen 30 Tage auf unserem Webmail-Server verzeichnet. Damit gehört Webmail für unsere Kunden zu einer der wichtigsten Funktionen unseres Angebots.

Seit Jahren nutzen wir dazu das beliebte Open-Source-Projekt Roundcube, dessen Hauptentwickler ebenfalls aus der Schweiz stammen.

Neustart nach 10 Jahren

Roundcube war 2005 als Hobbyprojekt gestartet worden und ist in der Zwischenzeit zu einem ausgereiften Produkt gewachsen, das viele unserer Kunden auch als Eigeninstallation auf ihrem Webhosting verwenden.

Mit dem Wandel vom Hobbyprojekt zu einem Produkt, auf das Millionen von Benutzern vertrauen, haben sich auch die Anforderungen geändert. Und obwohl das Projekt mit der Zeit gegangen ist und regelmässig neue Standards implementiert worden sind, ist es an der Zeit, die Codebasis neu aufzubauen.

Darum haben die Entwickler hinter Roundcube eine Kampagne lanciert: Roundcube Next.

Mit Roundcube Next soll eine Webapplikation entstehen, die auf den aktuellsten Programmierstandards basiert und die mit allen möglichen Geräten komfortabel zu bedienen ist. Gepaart mit der langjährigen Erfahrung der Entwickler ergibt das beste Voraussetzungen für ein aussichtsreiches Projekt.

Die Entwickler haben das Projekt Anfang Mai mit einem Video angekündigt.

Roundcube Next unterstützen

Damit das Projekt auch wirklich erfolgreich wird und sich die Menschen dahinter voll auf diese Aufgabe konzentrieren können, sind wir alle, die Nutzer von Roundcube, gefragt. Wie könnte es im Jahr 2015 anders sein: Die benötigten 80’000 USD werden per Crowdfunding eingesammelt.

Bis heute sind bereits 38% des Komplettbetrags zusammengekommen. Damit gilt es in den nächsten 36 Tagen den Restbetrag von knapp 50’000 USD zu sammeln, damit das Projekt überhaupt zu Stande kommt.

Jede Hilfe zählt

Wir haben dem Projekt bereits 2’000 USD zugesichert. Wenn auch Sie ein gutes Open-Source-Projekt unterstützen möchten, sichern Sie der Kampagne gleich selbst einen Betrag zu oder teilen Sie den Link mit Ihren Freunden. Jede Hilfe zählt!

Automatisch aufgeräumt: Ordnung in Ihrem E-Mail-Postfach

Wenn Sie Ihre E-Mails auf mehreren Geräten abrufen, dann nutzen Sie mit grösster Wahrscheinlichkeit das IMAP-Protokoll. Das in der heutigen Form bestehende Protokoll hat bereits zwölf Jahre auf dem Buckel und verrichtet zuverlässig seinen Dienst.

Einzig das mit den Ordnern war in der Vergangenheit so eine Sache. Weil jedes E-Mail-Programm sein eigenes Süppchen kocht, kam es schon mal zu einem Ordnerchaos, das sich nur mit manuellen Eingriffen bewältigen liess.

Schicken Sie das Ordnerchaos im Postfach in Rente

Das leidige Ordnerchaos hat seinen Zenit erreicht. Für den passenden Abgang sorgen wir automatisch.

Unsere Server geben neuerdings vor, wie die Standardordner für Entwürfe und gesendete, gelöschte oder als Spam markierte Nachrichten heissen. Die meisten E-Mail-Programme halten sich daran und so bleiben Ihnen manuelle Eingriffe erspart.

Ordnung im E-Mail-Postfach. Dank IMAP LIST automatisch auf jedem Gerät. (Bildquelle)

Ordnung im E-Mail-Postfach. Dank IMAP LIST automatisch auf jedem Gerät. (Bildquelle)

Junk-Ordner nach Mass

Die Frage, wieso denn Spam nicht automatisch im entsprechenden Ordner landet, wurde uns häufig gestellt. Eine Anpassung war definitiv fällig.

E-Mails, die bis anhin mit [SPAM] im Betreff markiert wurden, landen nun auch automatisch im dafür vorgesehenen Ordner. Das bringt mehr Ordnung in Ihren Posteingang.

Keine Sorge: Falls Ihnen die alte Methode lieber war, haben wir ebenfalls eine Lösung. Sie finden im my.cyon-Konto unter «E-Mail > Spam- & Virenschutz» neu eine Option, mit der sich der Junk-Ordner für alle Adressen, Adressen einer bestimmten Domain oder eine einzelne E-Mail-Adresse punktgenau deaktivieren lässt. Damit wäre dann wieder alles beim Alten.

Das automatische Verschieben von Spam im E-Mail-Postfach lässt sich deaktivieren.

Das automatische Verschieben von Spam in den Junk-Ordner lässt sich deaktivieren.

Falls Sie POP3 nutzen, hat die getroffene Wahl keinen Einfluss. POP3 unterstützt keine serverseitigen Ordner und markierte Spam-E-Mails landen weiterhin direkt im Posteingang.

Richten Sie jetzt weitere Geräte ein

Wenn Sie sich bis jetzt davor gescheut haben, Ihre E-Mail-Adresse auf weiteren Geräten einzurichten, spricht nun nichts mehr dagegen, dieses Vorhaben anzupacken. Dank unserem neuen E-Mailzauberer sind auch die restlichen Einrichtungsschritte im Handumdrehen erledigt.

Achtung Stolperstein: SHA-1-signierte SSL-Zertifikate

Zum Thema SSL-Zertifikate bahnt sich ein Stolperstein an, dem es bis jetzt an der nötigen Publizität mangelt. Eine zugegeben sehr technische Angelegenheit, die es aber verdient ins Scheinwerferlicht gerückt zu werden.

Konkret geht es um den Algorithmus, mit dem der Fingerabdruck eines Zertifikats berechnet wird. Über den Fingerabdruck kann der Browser des Besuchers einer Website verifizieren, dass es sich auch tatsächlich um das angeforderte Zertifikat handelt.

SHA-1 ist veraltet

Bereits seit 10 Jahren (!) ist bekannt, dass Prüfsummen, die mit dem verbreiteten Algorithmus SHA-1 erstellt werden, theoretisch gefälscht werden können.

Zurzeit ist die benötigte Rechenleistung allerdings noch so teuer, dass ein Angriff praktisch ausgeschlossen werden kann. Aber bereits im Jahr 2017 werden herkömmliche Computer genug Rechenpower besitzen, um einen Angriff ökonomisch sinnvoll zu machen.

Browser zeigen Warnung

Google hat mit der aktuellen Version (42) seines Browser Chrome begonnen, Websites zu kennzeichnen, wenn die Signatur des SSL-Zertifikats auf SHA-1 basiert und das Zertifikat länger als 31.12.2015 gültig ist. Damit sollen die Zertifikatsstellen dazu bewegt werden, neue Zertifikate nur noch mit dem sicheren SHA-2-Verfahren zu signieren.

Ist das Zertifikat bis 2016 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine dezente Warnung.

Ist das Zertifikat bis 2016 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine dezente Warnung.

Ist das Zertifikat bis 2017 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine deutliche Warnung.

Ist das Zertifikat bis 2017 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine deutliche Warnung.

Microsoft hatte bereits im Jahr 2013 ähnliche Massnahmen angekündigt, dafür jedoch einen moderateren Zeitplan gewählt, an dem sich auch Mozilla mit dem Browser Firefox orientiert.

Alte Zöpfe abschneiden

Zertifikate, deren Fingerabdruck auf SHA-2 basiert, werden von einigen älteren Betriebssystemen und Browser-Versionen nicht unterstützt. Das prominenteste Beispiel: Windows XP ist erst ab SP3 SHA-2-kompatibel. Aktuell benutzen nur noch knapp 3% unserer Besucher diese alte Windows-Version. Je nach Zielgruppe Ihrer Website kann der Wert aber deutlich höher sein. Prüfen Sie also Ihre Zugriffstatistiken, bevor Sie die Umstellung auf ein SHA-2-signiertes Zertifikat vornehmen. Eine ausführliche Übersicht zur SHA-2-Kompatibilität von Betriebsystemen, Browsern und anderer Software bietet der Zertifikats-Anbieter GlobalSign auf seiner Website.

Ist meine Website betroffen?

Grundsätzlich sind alle Websites betroffen, die über HTTPS erreichbar und deren Zertifikate mit SHA-1 signiert sind. Ob Ihre Website dazugehört, testen Sie am besten mit dem Online-Checker sha1affected.com. Dort erfahren Sie ebenfalls, ob das Zertifikat Ihrer Website in der aktuellen Chrome-Version eine Warnung verursacht.

Was kann ich tun, wenn mein Zertifikat betroffen ist?

Wenn das SHA-1-signierte Zertifikat für Ihre Website bis 2016 oder sogar 2017 gültig ist, sollten Sie es sobald wie möglich erneuern lassen. Andernfalls wird Besuchern Ihrer Website, die Google Chrome nutzen, eine der oben erwähnten Warnungen gezeigt.

In der Regel ist die Neuausgabe Ihres Zertifikats kostenlos, was jedoch von Zertifikats-Anbieter zu Zertifikats-Anbieter unterschiedlich sein kann. Die Neuausgabe des Zertifikats sollte dann selbstverständlich einen SHA-2-basierten Fingerabdruck besitzen. Die meisten Zertifikats-Anbieter behandeln das Thema mit eigenen Support-Artikeln, im Zweifelsfall wenden Sie sich direkt an den entsprechenden Anbieter.

So schnell umstellen wie möglich?

Wie Sie vielleicht bemerkt haben, trägt unser Zertifikat für *.cyon.ch zurzeit noch einen SHA-1-basierten Fingerabdruck. Da es noch dieses Jahr erneuert werden muss, zeigt Google Chrome keine Warnung. Die Umstellung auf SHA-2 wird im Zuge der routinemässigen Erneuerung erfolgen.

Wenn das Zertifikat für Ihre Website sowieso noch dieses Jahr verlängert wird, ist eine sofortiger Erneuerung nicht dringend notwendig. Spätestens Ende 2015 sollte das Zertifikat aber mit SHA-2 signiert sein, um Probleme zu vermeiden.

Achten Sie bei der Verlängerung darauf, dass der Zertifikatsanbieter das neue Zertifikat mit SHA-2 signiert. Sollte der Zertifikats-Anbieter einen neuen Certificate-Signing-Request (CSR) benötigen, generieren wir diesen CSR selbstverständlich gerne für Sie.

Wenn Sie Fragen zu diesem Thema haben, hinterlassen Sie uns einen Kommentar oder schreiben Sie uns eine E-Mail. Wir stehen Ihnen gerne zur Seite.

WordPress in Gefahr – cyon-Kunden sicher

Zur Zeit sorgt wieder eine Sicherheitslücke für Schlagzeilen, die Millionen von WordPress-Installationen für eine mögliche feindliche Übernahme öffnet.

Das Wichtigste vorweg: Unsere in diesem Jahr eingeführte Web Application Firewall (WAF) spielt ihre Stärke voll aus und schliesst diese Lücke für alle cyon-Kunden bereits serverseitig.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke. Bildquelle.

Dennoch ist es wie immer ratsam, seine Installation aktuell zu halten und auf die inzwischen erschienene Version 4.2.2 von WordPress zu aktualisieren.

Lücke im Default-Theme Twenty Fifteen

Die gefundene XSS-Lücke findet sich im mitgelieferten Theme Twenty Fifteen, was praktisch jede Installation von WordPress verwundbar macht – auch wenn ein anderes Theme aktiv ist.

Die Lücke tritt auch an anderen Stellen auf, z.B. im beliebten Plugin Jetpack.

Bei der Sicherheitsfirma Sucuri, den Entdeckern der Lücke, finden sich weitere technische Hintergründe. Deutsche Quellen sind beispielsweise heise online oder Golem.de.

E-Mailprogramm einrichten wie von Zauberhand

Ein neues E-Mailkonto im gewünschten Programm einzurichten kann schnell mal zu einer frustrierenden Angelegenheit werden. Wie lautet der Benutzername? Und der Mailserver? POP3 oder IMAP? Verschlüsseln oder nicht? Fragen über Fragen, die den Geduldsfaden arg strapazieren können.

Wir haben uns hingesetzt und überlegt, wie wir dieses frustrierende Erlebnis für unsere Kunden lösen können. Herausgekommen ist unser neuer E-Mail-Zauberer, auf welchen wir zugegebenermassen ziemlich stolz sind und der Ihnen diese lästige Arbeit endlich abnimmt.

Vergessen Sie die technischen Details

Schlagen Sie sich nicht mit Servernamen oder Ports herum. Alles was der E-Mailzauberer wissen muss, ist die einzurichtende E-Mailadresse. Der Rest passiert wie von Zauberhand.

Geben Sie Ihre E-Mailadresse an und wählen Sie das gewünschte Programm.

Geben Sie Ihre E-Mailadresse an und wählen Sie das gewünschte Programm.

Outlook und Thunderbird: Check ✔️

Für die E-Mailprogramme von Microsoft und Mozilla geschieht die automatische Konfiguration sogar ohne E-Mailzauberer. Die Programme verfügen über eine Funktion welche versucht, die richtigen Einstellungen direkt vom Anbieter der E-Mailadresse zu beziehen. Dieses Verfahren wird von uns vollständig unterstützt. Wer mehr über diese Funktion erfahren möchte, findet unter dem Stichwort Autodiscover (Microsoft) bzw. Autoconfig (Mozilla) alle Details.

Apple Mail und iOS: Check ✔️

Apple löst das automatische Einrichten einer E-Mailadresse über sogenannte Profile. Unser E-Mailzauberer bietet Ihnen das passende Profil direkt zur Installation an. Alles was Sie tun müssen, ist mit Safari und Ihrem iPad, iPhone oder Mac unseren E-Mailzauberer zu starten. Mit einem Mac funktioniert natürlich auch jeder andere Browser – das Profil muss dann mit einem Doppelklick geöffnet werden.

Auf Apple-Geräten lassen sich  E-Mailkonten dank Profilen ganz einfach konfigurieren.

Auf Apple-Geräten lassen sich E-Mailkonten dank Profilen ganz einfach konfigurieren.

Falls Sie iCloud nutzen und die E-Maileinstellungen synchronisieren (standardmässig aktiviert), wird ein installiertes Profil auf allen Ihren Geräten automatisch aktiv. Einmal einrichten – auf jedem Gerät sofort nutzen: So einfach geht das.

Verschlüsselte Verbindung für alle: Check ✔️

Mit dem E-Mailzauberer liefern wir eine wichtige Komponente gleich mit: Verschlüsselte Verbindungen. Alle Programme, die Sie mit dem E-Mailzauberer konfigurieren, kommunizieren über eine sichere Verbindung mit dem Server.

Wo der E-Mailzauberer nicht automatisiert helfen kann, weil zum Beispiel das E-Mailprogramm nicht unterstützt wird, wird das Einrichten dennoch leichter: Tragen Sie als Posteingangs- und Postausgangsserver einfach überall mail.cyon.ch ein. Meldungen, dass das Zertifikat nicht mit dem Hostnamen übereinstimmt, gehören damit der Vergangenheit an.

Möchten Sie unseren E-Mailzauberer gleich ausprobieren? Hier geht’s lang: www.cyon.ch/support/mailwizard

Seite 1 von 8512345...102030...Letzte »