Automatisch aufgeräumt: Ordnung in Ihrem E-Mail-Postfach

Wenn Sie Ihre E-Mails auf mehreren Geräten abrufen, dann nutzen Sie mit grösster Wahrscheinlichkeit das IMAP-Protokoll. Das in der heutigen Form bestehende Protokoll hat bereits zwölf Jahre auf dem Buckel und verrichtet zuverlässig seinen Dienst.

Einzig das mit den Ordnern war in der Vergangenheit so eine Sache. Weil jedes E-Mail-Programm sein eigenes Süppchen kocht, kam es schon mal zu einem Ordnerchaos, das sich nur mit manuellen Eingriffen bewältigen liess.

Schicken Sie das Ordnerchaos im Postfach in Rente

Das leidige Ordnerchaos hat seinen Zenit erreicht. Für den passenden Abgang sorgen wir automatisch.

Unsere Server geben neuerdings vor, wie die Standardordner für Entwürfe und gesendete, gelöschte oder als Spam markierte Nachrichten heissen. Die meisten E-Mail-Programme halten sich daran und so bleiben Ihnen manuelle Eingriffe erspart.

Ordnung im E-Mail-Postfach. Dank IMAP LIST automatisch auf jedem Gerät. (Bildquelle)

Ordnung im E-Mail-Postfach. Dank IMAP LIST automatisch auf jedem Gerät. (Bildquelle)

Junk-Ordner nach Mass

Die Frage, wieso denn Spam nicht automatisch im entsprechenden Ordner landet, wurde uns häufig gestellt. Eine Anpassung war definitiv fällig.

E-Mails, die bis anhin mit [SPAM] im Betreff markiert wurden, landen nun auch automatisch im dafür vorgesehenen Ordner. Das bringt mehr Ordnung in Ihren Posteingang.

Keine Sorge: Falls Ihnen die alte Methode lieber war, haben wir ebenfalls eine Lösung. Sie finden im my.cyon-Konto unter «E-Mail > Spam- & Virenschutz» neu eine Option, mit der sich der Junk-Ordner für alle Adressen, Adressen einer bestimmten Domain oder eine einzelne E-Mail-Adresse punktgenau deaktivieren lässt. Damit wäre dann wieder alles beim Alten.

Das automatische Verschieben von Spam im E-Mail-Postfach lässt sich deaktivieren.

Das automatische Verschieben von Spam in den Junk-Ordner lässt sich deaktivieren.

Falls Sie POP3 nutzen, hat die getroffene Wahl keinen Einfluss. POP3 unterstützt keine serverseitigen Ordner und markierte Spam-E-Mails landen weiterhin direkt im Posteingang.

Richten Sie jetzt weitere Geräte ein

Wenn Sie sich bis jetzt davor gescheut haben, Ihre E-Mail-Adresse auf weiteren Geräten einzurichten, spricht nun nichts mehr dagegen, dieses Vorhaben anzupacken. Dank unserem neuen E-Mailzauberer sind auch die restlichen Einrichtungsschritte im Handumdrehen erledigt.

Achtung Stolperstein: SHA-1-signierte SSL-Zertifikate

Zum Thema SSL-Zertifikate bahnt sich ein Stolperstein an, dem es bis jetzt an der nötigen Publizität mangelt. Eine zugegeben sehr technische Angelegenheit, die es aber verdient ins Scheinwerferlicht gerückt zu werden.

Konkret geht es um den Algorithmus, mit dem der Fingerabdruck eines Zertifikats berechnet wird. Über den Fingerabdruck kann der Browser des Besuchers einer Website verifizieren, dass es sich auch tatsächlich um das angeforderte Zertifikat handelt.

SHA-1 ist veraltet

Bereits seit 10 Jahren (!) ist bekannt, dass Prüfsummen, die mit dem verbreiteten Algorithmus SHA-1 erstellt werden, theoretisch gefälscht werden können.

Zurzeit ist die benötigte Rechenleistung allerdings noch so teuer, dass ein Angriff praktisch ausgeschlossen werden kann. Aber bereits im Jahr 2017 werden herkömmliche Computer genug Rechenpower besitzen, um einen Angriff ökonomisch sinnvoll zu machen.

Browser zeigen Warnung

Google hat mit der aktuellen Version (42) seines Browser Chrome begonnen, Websites zu kennzeichnen, wenn die Signatur des SSL-Zertifikats auf SHA-1 basiert und das Zertifikat länger als 31.12.2015 gültig ist. Damit sollen die Zertifikatsstellen dazu bewegt werden, neue Zertifikate nur noch mit dem sicheren SHA-2-Verfahren zu signieren.

Ist das Zertifikat bis 2016 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine dezente Warnung.

Ist das Zertifikat bis 2016 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine dezente Warnung.

Ist das Zertifikat bis 2017 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine deutliche Warnung.

Ist das Zertifikat bis 2017 gültig und der Fingerabdruck mit SHA-1 erstellt, zeigt Google Chrome eine deutliche Warnung.

Microsoft hatte bereits im Jahr 2013 ähnliche Massnahmen angekündigt, dafür jedoch einen moderateren Zeitplan gewählt, an dem sich auch Mozilla mit dem Browser Firefox orientiert.

Alte Zöpfe abschneiden

Zertifikate, deren Fingerabdruck auf SHA-2 basiert, werden von einigen älteren Betriebssystemen und Browser-Versionen nicht unterstützt. Das prominenteste Beispiel: Windows XP ist erst ab SP3 SHA-2-kompatibel. Aktuell benutzen nur noch knapp 3% unserer Besucher diese alte Windows-Version. Je nach Zielgruppe Ihrer Website kann der Wert aber deutlich höher sein. Prüfen Sie also Ihre Zugriffstatistiken, bevor Sie die Umstellung auf ein SHA-2-signiertes Zertifikat vornehmen. Eine ausführliche Übersicht zur SHA-2-Kompatibilität von Betriebsystemen, Browsern und anderer Software bietet der Zertifikats-Anbieter GlobalSign auf seiner Website.

Ist meine Website betroffen?

Grundsätzlich sind alle Websites betroffen, die über HTTPS erreichbar und deren Zertifikate mit SHA-1 signiert sind. Ob Ihre Website dazugehört, testen Sie am besten mit dem Online-Checker sha1affected.com. Dort erfahren Sie ebenfalls, ob das Zertifikat Ihrer Website in der aktuellen Chrome-Version eine Warnung verursacht.

Was kann ich tun, wenn mein Zertifikat betroffen ist?

Wenn das SHA-1-signierte Zertifikat für Ihre Website bis 2016 oder sogar 2017 gültig ist, sollten Sie es sobald wie möglich erneuern lassen. Andernfalls wird Besuchern Ihrer Website, die Google Chrome nutzen, eine der oben erwähnten Warnungen gezeigt.

In der Regel ist die Neuausgabe Ihres Zertifikats kostenlos, was jedoch von Zertifikats-Anbieter zu Zertifikats-Anbieter unterschiedlich sein kann. Die Neuausgabe des Zertifikats sollte dann selbstverständlich einen SHA-2-basierten Fingerabdruck besitzen. Die meisten Zertifikats-Anbieter behandeln das Thema mit eigenen Support-Artikeln, im Zweifelsfall wenden Sie sich direkt an den entsprechenden Anbieter.

So schnell umstellen wie möglich?

Wie Sie vielleicht bemerkt haben, trägt unser Zertifikat für *.cyon.ch zurzeit noch einen SHA-1-basierten Fingerabdruck. Da es noch dieses Jahr erneuert werden muss, zeigt Google Chrome keine Warnung. Die Umstellung auf SHA-2 wird im Zuge der routinemässigen Erneuerung erfolgen.

Wenn das Zertifikat für Ihre Website sowieso noch dieses Jahr verlängert wird, ist eine sofortiger Erneuerung nicht dringend notwendig. Spätestens Ende 2015 sollte das Zertifikat aber mit SHA-2 signiert sein, um Probleme zu vermeiden.

Achten Sie bei der Verlängerung darauf, dass der Zertifikatsanbieter das neue Zertifikat mit SHA-2 signiert. Sollte der Zertifikats-Anbieter einen neuen Certificate-Signing-Request (CSR) benötigen, generieren wir diesen CSR selbstverständlich gerne für Sie.

Wenn Sie Fragen zu diesem Thema haben, hinterlassen Sie uns einen Kommentar oder schreiben Sie uns eine E-Mail. Wir stehen Ihnen gerne zur Seite.

WordPress in Gefahr – cyon-Kunden sicher

Zur Zeit sorgt wieder eine Sicherheitslücke für Schlagzeilen, die Millionen von WordPress-Installationen für eine mögliche feindliche Übernahme öffnet.

Das Wichtigste vorweg: Unsere in diesem Jahr eingeführte Web Application Firewall (WAF) spielt ihre Stärke voll aus und schliesst diese Lücke für alle cyon-Kunden bereits serverseitig.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke. Bildquelle.

Dennoch ist es wie immer ratsam, seine Installation aktuell zu halten und auf die inzwischen erschienene Version 4.2.2 von WordPress zu aktualisieren.

Lücke im Default-Theme Twenty Fifteen

Die gefundene XSS-Lücke findet sich im mitgelieferten Theme Twenty Fifteen, was praktisch jede Installation von WordPress verwundbar macht – auch wenn ein anderes Theme aktiv ist.

Die Lücke tritt auch an anderen Stellen auf, z.B. im beliebten Plugin Jetpack.

Bei der Sicherheitsfirma Sucuri, den Entdeckern der Lücke, finden sich weitere technische Hintergründe. Deutsche Quellen sind beispielsweise heise online oder Golem.de.

E-Mailprogramm einrichten wie von Zauberhand

Ein neues E-Mailkonto im gewünschten Programm einzurichten kann schnell mal zu einer frustrierenden Angelegenheit werden. Wie lautet der Benutzername? Und der Mailserver? POP3 oder IMAP? Verschlüsseln oder nicht? Fragen über Fragen, die den Geduldsfaden arg strapazieren können.

Wir haben uns hingesetzt und überlegt, wie wir dieses frustrierende Erlebnis für unsere Kunden lösen können. Herausgekommen ist unser neuer E-Mail-Zauberer, auf welchen wir zugegebenermassen ziemlich stolz sind und der Ihnen diese lästige Arbeit endlich abnimmt.

Vergessen Sie die technischen Details

Schlagen Sie sich nicht mit Servernamen oder Ports herum. Alles was der E-Mailzauberer wissen muss, ist die einzurichtende E-Mailadresse. Der Rest passiert wie von Zauberhand.

Geben Sie Ihre E-Mailadresse an und wählen Sie das gewünschte Programm.

Geben Sie Ihre E-Mailadresse an und wählen Sie das gewünschte Programm.

Outlook und Thunderbird: Check ✔️

Für die E-Mailprogramme von Microsoft und Mozilla geschieht die automatische Konfiguration sogar ohne E-Mailzauberer. Die Programme verfügen über eine Funktion welche versucht, die richtigen Einstellungen direkt vom Anbieter der E-Mailadresse zu beziehen. Dieses Verfahren wird von uns vollständig unterstützt. Wer mehr über diese Funktion erfahren möchte, findet unter dem Stichwort Autodiscover (Microsoft) bzw. Autoconfig (Mozilla) alle Details.

Apple Mail und iOS: Check ✔️

Apple löst das automatische Einrichten einer E-Mailadresse über sogenannte Profile. Unser E-Mailzauberer bietet Ihnen das passende Profil direkt zur Installation an. Alles was Sie tun müssen, ist mit Safari und Ihrem iPad, iPhone oder Mac unseren E-Mailzauberer zu starten. Mit einem Mac funktioniert natürlich auch jeder andere Browser – das Profil muss dann mit einem Doppelklick geöffnet werden.

Auf Apple-Geräten lassen sich  E-Mailkonten dank Profilen ganz einfach konfigurieren.

Auf Apple-Geräten lassen sich E-Mailkonten dank Profilen ganz einfach konfigurieren.

Falls Sie iCloud nutzen und die E-Maileinstellungen synchronisieren (standardmässig aktiviert), wird ein installiertes Profil auf allen Ihren Geräten automatisch aktiv. Einmal einrichten – auf jedem Gerät sofort nutzen: So einfach geht das.

Verschlüsselte Verbindung für alle: Check ✔️

Mit dem E-Mailzauberer liefern wir eine wichtige Komponente gleich mit: Verschlüsselte Verbindungen. Alle Programme, die Sie mit dem E-Mailzauberer konfigurieren, kommunizieren über eine sichere Verbindung mit dem Server.

Wo der E-Mailzauberer nicht automatisiert helfen kann, weil zum Beispiel das E-Mailprogramm nicht unterstützt wird, wird das Einrichten dennoch leichter: Tragen Sie als Posteingangs- und Postausgangsserver einfach überall mail.cyon.ch ein. Meldungen, dass das Zertifikat nicht mit dem Hostnamen übereinstimmt, gehören damit der Vergangenheit an.

Möchten Sie unseren E-Mailzauberer gleich ausprobieren? Hier geht’s lang: www.cyon.ch/support/mailwizard

Warum sind Sicherheitslücken eigentlich so gefährlich?

Seit letzter Woche sagen wir Sicherheitslücken ganz direkt den Kampf an. Dank dem neuen System können Sicherheitslücken nicht nur erkannt sondern auch sofort mit einem passenden Patch gestopft werden. So haben Angreifer keine Chance mehr, verwundbare Websites für ihre Zwecke zu missbrauchen.

Freude und Skepsis

Unsere Ankündigung, bekannte Sicherheitslücken nun automatisch den Garaus zu machen, hat so einiges an Reaktionen generiert. In den Kommentaren des Blogbeitrags finden sich erfreute aber auch besorgte Meinungen.

Viele positive Rückmeldungen haben wir per E-Mail erhalten. Generell wird geschätzt, dass eine oft aufwendige und bisher manuelle Arbeit nun durch den Computer ausgeführt wird.

Eine Menge Sicherheitslücken geschlossen

Die zahlreichen Reaktionen haben uns gezeigt, dass das Thema Sicherheit einen grossen Stellenwert besitzt. Und das ist auch gut so, denn Sicherheitslücken können enorme Schäden verursachen.

Zwischenzeitlich konnten wir insgesamt 164’425 Sicherheitslücken feststellen, welche nun dank dem neuen System keine Gefahr mehr darstellen. Knapp 20% aller gescannten Webhosting-Kunden waren durch eine Sicherheitslücke gefährdet.

Bis jetzt ist uns übrigens kein einziger Fall bekannt, bei dem es nötig war, einen angewandten Patch rückgängig zu machen.

Die Top-3 der Fragen zum neuen System

Aus den zahlreichen Rückmeldungen haben sich drei Fragen herauskristallisiert, die nach unserer Ankündigung noch unklar waren:

  • Wie werden Sicherheitslücken erkannt?
    Die Erkennung von Sicherheitslücken erfolgt über sogenannte Hashes von Dateien. So wird sichergestellt, dass nur unveränderte Dateien von Applikationen gepatcht werden. Manuelle Anpassungen bleiben also unberührt.

  • Wie wird gepatched?
    Die Patches werden «zielgenau» angebracht. Es werden also weder Updates gefahren noch einzelne Dateien überschrieben sondern nur diese Stellen im Code geändert, welche eine Sicherheitslücke schliessen.

  • Woher kommen die Patches?
    Die Patches kommen in der Regel direkt von den Herstellern der jeweiligen Applikationen. In Einzelfällen werden Patches auch selbst geschrieben, wenn z.B. eine Lücke bereits ausgenutzt wird und der Hersteller noch keinen Patch bereitgestellt hat.

Sie finden im passenden Supportcenter-Artikel ausserdem weitere Antworten auf häufig gestellte Fragen: Wie funktioniert das automatische Schliessen von Sicherheitslücken?

Was Sicherheitslücken anrichten können

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. (Bildquelle)

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. Bildquelle

Sicherheitslücken sind gefährlich, das lässt sich nicht wegdiskutieren. Aber warum eigentlich? Und wieso sollte ich davon betroffen sein? Dieses reale Beispiel soll ein wenig Licht ins Dunkle bringen:

Ursache

Im Dezember 2014 sorgte die sogenannte SoakSoak-Attacke für Aufregung. Die Sicherheitslücke in einem WordPress-Plugin war von vielen Website-Betreibern unentdeckt geblieben und dann in einem relativ koordinierten Angriff ausgenutzt worden.

Wirkung

Die Sicherheitslücke erlaubte es Angreifern, Schadcode in die betroffene Installation zu schleusen und so jeden Besucher der Website potentiell zu gefährden. Den genauen Angriffs-Vektor, den sich die Angreifer dabei zu Nutze gemacht hatten, haben die Spezialisten von Sucuri im Detail beschrieben.

Zum Teil waren Websites innert Sekunden erneut mit Schadcode infiziert worden, nachdem der ursprüngliche Code entfernt worden war. In solchen Fällen half dann nur noch die komplette Neuinstallation des betroffenen Content-Management-Systems.

Nachwehen

Gehackte Websites sind vor allem für deren Betreiber eine mühsame Angelegenheit. Aber auch unbeteiligte Dritte können von solchen Angriffen in Mitleidenschaft gezogen werden. Seien dies andere Kunden auf dem gleichen Server oder die Besucher einer betroffenen Websites, denen beim Aufruf Schadsoftware untergejubelt wird.

Hashtag #cmsnews

Das Fazit ist klar: Mit Sicherheitslücken ist nicht zu spassen. Aktualisieren Sie Ihr Content-Management-System deshalb regelmässig manuell oder nutzen Sie automatische Sicherheits-Updates, die viele Content-Management-Systeme inzwischen von Haus aus mitbringen.

Möchten Sie wissen, wenn für Ihr Lieblings-CMS eine neue Version erschienen ist? Folgen Sie uns auf Twitter, wo wir unter dem Hashtag #cmsnews über neue Versionen der beliebtesten CMS berichten.

Seite 1 von 8512345...102030...Letzte »