Kampf dem Spam: Tägliche Angriffe auf die Inbox

Spam nervt – in jeder Hinsicht. Beim Empfänger, dessen E-Mail-Postfach im einfachsten Fall mit unerwünschter Werbung, betrügerischen Angeboten oder Phishing-Mails und im schlimmsten Fall gar mit Schadsoftware gefüllt wird. Aber auch für uns als Webhosting-Anbieter ist Spam ein Problem. Die Zunahme der Spam-E-Mails erhöht nicht nur den Abwehr- und Supportaufwand, sondern sorgt auch für eine höhere Belastung der technischen Infrastruktur.

Kampf dem Spam

Bereits die schiere Anzahl der eingehenden E-Mail-Nachrichten ist enorm: Allein im Monat Dezember 2017 haben uns beispielsweise 20’754’405 E-Mails erreicht. Das entspricht 669’497 E-Mails pro Tag. Allerdings: Nur knapp 44% davon sind echte, also erwünschte E-Mails. Der Rest wurde als unerwünschte E-Mails markiert oder von unseren Mailservern direkt abgelehnt.

Schwarze Liste: Ein bekannter Spammer?

Um Ihnen als Kunde so wenig wie möglich Spam in Ihr E-Mail-Postfach zu liefern, gehen wir in mehreren Stufen gegen unerwünschte E-Mail-Nachrichten vor. Das beginnt damit, dass wir bei einem Verbindungsversuch eines externen Servers im Hintergrund abklären, ob dessen IP-Adresse auf einer «schwarzen Liste» (sogenannte Realtime Blackhole Lists, RBL) eingetragen ist. Ist das der Fall, lehnen unsere Mailserver die Annahme des E-Mails ab. Allein mit dieser Massnahme wenden wir bereits über 53% der Spammails ab.

Greylisting: Schicks mir noch ein zweites Mal!

Im nächsten Schritt lehnen wir den Zustellversuch ab, wenn die ankommende E-Mail von einem unbekannten Absender geschickt wird. Beim sogenannten Greylisting wird der Umstand genutzt, dass legitime Mailserver in so einem Fall später erneut versuchen, die E-Mail zuzustellen. Etwas, das Spam-Versender äusserst selten versuchen.

Last but not least: Der gute alte Spamfilter

Damit bleiben noch 8’083’177 E-Mails, die als nächstes von SpamAssassin unter die Lupe genommen werden. SpamAssassin analysiert die eingehenden E-Mails und verteilt für Merkmale, die auf Spam hindeuten, Strafpunkte. Liegt die Anzahl Punkte über 5, wird der Betreff der E-Mail mit [SPAM] markiert und ist so beim Abruf des Posteingangs leicht als verdächtig erkennbar (und lässt sich mit einem passenden Filter in einen Ordner verschieben). Liegt die Anzahl Punkte gar über 20, wird die E-Mail vom Server abgewiesen.

Zulassen oder Blockieren – Sie haben es in der Hand!

In Ihrem my.cyon können Sie erwünschte Absender jederzeit zu Ihrer Whitelist hinzufügen. E-Mails von einem Absender auf der Whitelist werden dann von der Spam- und Virenüberprüfung ausgenommen. Das Umgekehrte gilt, wenn Sie einen Absender auf die Blacklist setzen: In diesem Fall werden die E-Mails des Absenders automatisch gelöscht.

Übrigens: In Ihrem my.cyon-Konto finden Sie unter «E-Mail» > «E-Mail-Log» aktuelle Informationen zum Status Ihrer ein- und ausgehenden E-Mails.

Screenshot E-Mail-Log

Transparenzbericht 2017

2016 haben wir unseren ersten Transparenzbericht veröffentlicht und damit über an uns gestellte, rechtliche Anfragen informiert. Mit dem heutigen Bericht informieren wir Sie über Anfragen, die wir 2017 erhalten haben.

Transparenzbericht Ausgabe 2017

Während Transparenzberichte bei US-Internet-Unternehmen wie Google, Facebook oder Twitter seit längerem zum Standard gehören, sind Berichte dieser Art unter Schweizer Fernmelde- und Internet-Unternehmen noch nicht verbreitet. Zurzeit sind uns mit Tresorit und Threema zwei Unternehmen mit Sitz in der Schweiz bekannt, die aktuelle Zahlen veröffentlicht haben. Mit unserem eigenen Transparenzbericht möchten wir Ihnen zeigen, wieviele Anfragen rechtlicher Natur wir erhalten haben und wie wir damit umgegangen sind.

Auskunftsersuchen von Behörden

Im Zeitraum 01.01.2017 – 31.12.2017 haben wir 13 Auskunftsersuchen von Behörden erhalten. Dabei handelte sich um Anfragen der folgenden Instanzen:

Behörde Art der Anfrage Anzahl erhaltener Anfragen Anfragen, bei denen Daten geliefert wurden
Staatsanwaltschaft, Polizei Editionsverfügung
(Art. 263/265 StPO)
10 10
EJPD, ÜPF Rückwirkende Verkehrsdaten, Überwachung des Fernmeldeverkehrs
(Art. 24b Bst. b VÜPF)
3 0

Bei Anfragen durch den Dienst ÜPF haben wir nach rechtlicher Prüfung keine Daten geliefert. Bis zum Inkrafttreten des revidierten BÜPF am 1. März 2018 ist cyon diesem nicht unterstellt, weshalb wir lediglich verpflichtet sind, Daten im Zusammenhang mit einer Editionsverfügung der zuständigen Staatsanwaltschaft herauszugeben.

Anfragen zu unzulässigen Inhalten

Anfragen zu unzulässigen Inhalten stammen in der Regel von Privatpersonen und Unternehmen und werden von uns nach dem Code of Conduct Hosting der simsa – Swiss Internet Industry Association behandelt. Wir haben im Zeitraum 01.01.2017 – 31.12.2017 13 Anfragen zu unzulässigen Inhalten erhalten:

Anfragesteller

Anfragesteller Anzahl Anfragen
Privatperson 5
Unternehmen 8

Land des Anfragestellers

Land Anzahl Anfragen
Schweiz 7
Deutschland 1
USA 2
Grossbritannien 1
Italien 1
Kosovo 1

Grund der Anfrage

Rechtsgebiet Anzahl Anfragen
Urheberrecht 3
Markenrecht 2
Persönlichkeitsrecht 3
Spam 2
Phishing 2
Unlauterer Wettbewerb 1

Verfahren nach Code of Conduct

Verfahren Anzahl Anfragen
Notice-and-Notice 9
Notice-and-Takedown 4

Fazit

Im Vergleich zu 2016 haben Auskunftsersuchen von Behörden deutlich zugenommen. Wir erwarten, dass dieser Trend auch 2018 anhalten wird. Zum einen wird immer mehr Kommunikation online abgewickelt, zum anderen werden Behörden versierter im Umgang mit digitaler Kommunikation. Anfragen, die wir nach dem Code of Conduct Hosting behandeln, sind praktisch konstant geblieben.

Sie haben Fragen zu diesem Bericht? Hinterlassen Sie uns einen Kommentar.

Meltdown und Spectre: cyon-Server gepatcht

Am 04. Januar 2018 sind zwei schwerwiegende Sicherheitslücken in Computer-Prozessoren bekannt geworden. Meltdown und Spectre machen es für Angreifer möglich, Daten anderer Prozesse auszulesen. Während sich mit Meltdown Prozessoren des Marktführers Intel angreifen lassen, sind von der Spectre genannten Lücke fast alle modernen Chip-Architekturen betroffen, die z.B. auch in Smartphones eingesetzt werden.

Wir setzen in unserer Infrastruktur auf Server mit Intel-Prozessoren und sind deshalb von beiden Lücken betroffen. Aufgrund der Schwere der Lücken haben wir vergangene Nacht sämtliche Webhosting-, Agency- und Speedserver mit Patches versorgt. Hostings von cyon-Kunden sind damit bereits immun gegen die bisher bekannten Angriffsvektoren von Meltdown und Spectre.

Meltdown und Spectre: cyon-Server gepatcht

Schützen Sie sich

Von Meltdown und Spectre sind aber nicht nur Server-Systeme betroffen. Auch Windows- und Apple-Computer sowie Android- und iOS-Geräte können durch die beiden Schwachstellen angegriffen werden. Selbst über einen Browser und JavaScript soll die Lücke ausgenutzt werden können.

Die Browser-Hersteller haben Updates angekündigt und zum Teil bereits neue Versionen bereitgestellt.

Firefox

Firefox wehrt ab Version 57.0.4 zwei bekannte Meltdown-Angriffe ab. Die Version steht auf der offiziellen Firefox-Seite zum Download bereit.

Google Chrome

Voraussichtlich am 23. Januar wird Chrome in Version 64 erscheinen und eine eingebaute Schutzfunktion mitbringen. Chrome-Nutzer können sich aber bereits jetzt mit der sogenannten «Site Isolation»-Funktion besser schützen. Sie aktivieren die Funktion folgendermassen:

  1. Öffnen Sie die URL chrome://flags/#enable-site-per-process in Chrome
  2. Aktivieren Sie die Option «Strict site isolation».
  3. Starten Sie Chrome neu, damit die Option aktiv wird.
«Site Isolation» in Chrome aktivieren.

«Site Isolation» in Chrome aktivieren.

Apple Safari

Für Safari wurde ein Update angekündigt, das in den kommenden Tagen erscheinen wird. Erste Gegenmassnahmen sind bereits in den aktuellen macOS- (10.13.2) und iOS-Versionen (11.2) eingebaut.

Aktuell bleiben

Generell empfehlen wir, dass Sie alle Ihre Geräte regelmässig aktualisieren. Die meisten Hersteller bieten automatisierte Updates an. Eine praktische Übersicht zu den verbreitetsten Geräten haben die Kollegen vom Newsportal watson zusammengestellt.

Sie haben Fragen zu Meltdown und Spectre? Hinterlassen Sie uns einen Kommentar.

Das war das cyon-Jahr 2017

Die Zeit rennt und 2017 ist schon bald Geschichte. Wir wagen den traditionellen Blick zurück und küren unsere Highlights des vergangenen Jahres.

Rückblick 2017

Neue Infrastruktur und noch mehr Speed

Bereits 2016 hatten wir damit begonnen, unsere Infrastruktur komplett zu erneuern. Im ersten Halbjahr 2017 ging die grosse Umzugsaktion dann so richtig über die Bühne. Mehr als 60’000 Webhostings fanden auf neuen, schnelleren Servern eine neue Heimat. Und seit Ende Oktober laufen alle diese Webhostings auf superschnellen SSD-Laufwerken.

Performance stand dieses Jahr im Mittelpunkt unserer Arbeiten. Und auch wenn die schnellen SSD-Laufwerke das Tüpfelchen auf dem «i» sind: Wir haben auch an allen anderen Ecken und Enden für noch mehr Speed getüftelt, geschraubt und gefeilt. Dank LiteSpeed Cache landen Inhalte blitzschnell beim Besucher, ohne dass die angeforderte Seite bei jedem Aufruf neu berechnet werden muss. Und wenn doch PHP zum Einsatz kommt, hilft APCu als zusätzlicher Cache. Damit auch statische Dateien noch effizienter verkleinert werden, ist auf unseren Servern der Google-Algorithmus Brotli aktiv und unsere Server unterstützen die von vielen sehnsüchtig erwartetete HTTP/2-Funktion «Server Push». Nicht zuletzt dank dem hochmodernen Übertragungsprotokoll QUIC sausen die Datenpakete jetzt auch noch schneller über das Netz.

cyon in Zahlen

Wir haben unsere Statistik-Server angeworfen und einige eindrückliche Zahlen finden können. Aber sehen Sie selbst:

  • 2017 haben wir 18’399 Support-Anrufe geführt und 49’260 E-Mail-Antworten geschrieben.
  • 4’219’450-mal hat sich jemand ins cyon-Webmail eingeloggt.
  • 617’725 Logins ins my.cyon haben stattgefunden.
  • 1 Milliarde Logins haben unsere E-Mail-Server verarbeitet.
  • 45’000 kostenlose SSL-Zertifikate von Let’s Encrypt sind aktiv und die darin aufgeführten Websites damit verschlüsselt erreichbar.
  • 364 Zertifikate stellen wir jeden Tag neu aus oder verlängern bereits bestehende.
  • 188’000 kWh Strom aus regionaler Wasserkraft und Solaranlagen hat cyon in diesem Jahr verbraucht, davon 96% im Rechenzentrum.
  • 1.09 Millionen E-Mails werden pro Tag von unseren Servern abgewiesen, sind also offensichtlich Spam.
  • 2.77 PB Datenverkehr haben unsere Server insgesamt bewältigt, was 7’000’000 CDs entspricht (für die, die das Medium noch kennen ;)).
  • 700’000 Mal haben wir Sicherheitslücken geschlossen und Website-Besitzer vor grösserem Unheil bewahrt.
  • 12 neue Gesichter begrüssten wir in unserem Team, 2 davon als Lernende Applikationsentwicklung.

Was bringt 2018?

Auch im neuen Jahr stehen wir nicht still. Als erstes winkt der Umzug in ein grösseres Büro. Die heutigen 4 Wände sind mit mittlerweile 38 Teammitgliedern schlichtweg zu klein. Wir arbeiten ausserdem an noch schnelleren Antwortzeiten für Ihre Support-Anfragen, an einer neuen Website und einem komplett überarbeiteten my.cyon, um nur einen Auszug an Projekten zu nennen.

Wir danken herzlich für Ihr Vertrauen und freuen uns auf ein ereignisreiches Jahr 2018. Frohe Weihnachten und einen guten Rutsch!

10 WP-CLI-Befehle, die das WordPress-Leben einfacher machen

WordPress-Profis schwören auf das Tool: Mit WP-CLI lassen sich WordPress-Installationen auf der Kommandozeile verwalten und wiederkehrende Aufgaben automatisieren. WP-CLI bietet schon in der Grundversion jede Menge Funktionen, die das eine oder andere WordPress-Plugin überflüssig machen. Zudem lässt sich WP-CLI auch mit eigenen Befehlen erweitern. Wir haben 10 WP-CLI-Befehle gesammelt, auf die wir nicht mehr verzichten möchten.

WP-CLI-Befehle, die das WordPress-Leben einfacher machen

Unverzichtbare Standardbefehle

WP-CLI bietet eine ganze Liste von Standardbefehlen, die mit der Grundinstallation des Tools mitgeliefert wird. Wir finden, dass für die tägliche Arbeit mit WordPress die folgenden Befehle ganz besonders wertvoll sind:

1. Medien importieren und regenerieren

Die Befehlsgruppe «wp media» bietet zurzeit 3 Befehle. 2 davon können wir nicht mehr aus unserem Alltag wegdenken.

Mit wp media regenerate generieren wir Beitragsbilder neu. Das ist praktisch, wenn für eine Installation zu einem Theme gewechselt wird, das andere Bildgrössen hinterlegt hat. Möchten wir nur die Beitragsbilder für Seiten neu generieren lassen, nutzen wir den Befehl von GitHub-User ernilambar, der sich ausserdem den Befehl wp db query zu Nutze macht:

wp media regenerate $(wp post list --post_type=page --format=ids | xargs -d ' ' -I % wp db query 'SELECT meta_value FROM wp_postmeta WHERE post_id=% AND meta_key="_thumbnail_id"' --skip-column-names)

Mit dem Befehl wp media import VerzeichnismitMedien/* importieren wir auf einen Schlag sämtliche Medien aus dem Verzeichnis VerzeichnismitMedien und sparen uns damit das Plugin Add From Server. Perfekt für den Import von Bildersammlungen, die man von Dritten auf einem Datenträger erhält.

2. Kommentare freigeben

Die Gruppe «wp comment» bietet eine ganze Menge Befehle im Zusammenhang mit Kommentaren. Der von uns am häufigsten genutzte Befehl lautet

wp comment approve $(wp comment list --status=hold --format=ids)

mit dem alle zurückgehaltenen Kommentare in einem Rutsch freigegeben werden.

3. Inhalte leeren

Die Gruppe «wp site» ist vor allem auf Multisite-Installation ausgelegt und gewisse Befehle funktionieren nur mit einer Multisite-Installation. Dennoch bietet die Befehlsgruppe auch Aktionen, die in einer herkömmlichen WordPress-Installation nützlich sein können. Eine davon heisst wp site empty, mit der sich sämtliche Beiträge, Kommentare und Schlagworte leeren lassen. Damit eignet sich der Befehl hervorragend dazu, ein Projekt auf den Anfangszustand zu setzen ohne dabei Einstellungen zu verlieren. Grundkonfiguration und Benutzer bleiben vom Befehl unberührt.

4. Website mit Beispielinhalten füllen

Schnell eine WordPress-Website mit Dummy-Inhalten füllen? Nichts einfacher als das mit WP-CLI und dem Dienst loripsum.net. loripsum.net stellt Blindtext per API zur Verfügung. Und das machen wir uns mit einem Befehl aus der Gruppe «wp post» zu Nutze. Mit dem Befehl

curl https://loripsum.net/api/5 | wp post generate --post_content --count=10

holen wir uns den Dummy-Text von loripsum.net und füllen diesen in 10 neue Artikel ab.

5. Child-Theme erstellen

Wer Änderungen an einem Theme vornehmen möchte, erstellt idealerweise zuerst ein Child-Theme. Damit können ungestört Änderungen am Theme vorgenommen werden, die später nicht durch Updates des ursprünglichen Themes überschrieben werden. Während die manuelle Erstellung eines Child-Themes recht aufwendig sein kann, bietet die Gruppe «wp scaffold» den passenden Befehl. Mit wp scaffold child-theme wird die notwendige Struktur eines Child-Themes automatisch erstellt.

6. Einträge in der Datenbank ersetzen

Bereits in unserem Einführungsbeitrag zum Thema WP-CLI erwähnt, gehört wp search-replace zu den Befehlen, die wir am meisten nutzen. Soll die Domain einer Installation geändert werden oder kommt neu eine verschlüsselte Verbindung zum Einsatz, ist der Befehl essentiell. Und auch beim Umzug einer WordPress-Website liefert die Funktion wertvolle Dienste.

7. Informationen zur Installation auslesen

Ein weiterer praktischer Befehl im Alltag nennt sich wp config get. Damit lassen sich die in der Konfigurationsdatei wp-config.php eingestellten Werte übersichtlich in einer Tabelle anzeigen. Ideal, um kurz das Datenbankpasswort oder die Sprache der Installation zu prüfen.

Befehle aus der Community & Plugins

Neben den in WP-CLI eingebauten Befehlen lassen sich auch eigene Anweisungen kreieren. Die Indexierung dieser sogenannten Packages befindet sich im Umbruch. Die nicht mehr gepflegte Liste von Community-Packages ist aber weiterhin eine wertvolle Anlaufstelle, um neue Befehle zu entdecken.

8. Logins ohne Passwort

Mit dem Befehl «wp login» lassen sich Links erstellen, mit denen Sie sich direkt und ohne Eingabe des Passworts in WP-Admin einloggen können. So lässt sich kurz eine Einstellung in der grafischen Oberfläche tätigen, bevor die Arbeit auf der Kommandozeile weitergeht ;)

9. Core, Plugins und Themes auf Sicherheitslücken prüfen

Dank dem Befehl «wp wp-sec» bleiben Administratoren immer auf dem aktuellen Stand, was die Sicherheit der installierten Plugins und Themes angeht. Und selbst der WordPress-Core lässt sich auf bekannte Sicherheitslücken überprüfen. Während die manuelle Überprüfung mit dem Befehl schon gute Dienste leistet, entfaltet sich die Nützlichkeit des Tools erst richtig in Kombination mit einem Cronjob. So ist mit wenigen Befehlen ein regelmässiger Check eingerichtet, der Sie über die Sicherheit einer WordPress-Installation auf dem Laufenden hält.

10. LiteSpeed Cache

Viele Plugins bringen bereits eigene WP-CLI-Befehle mit. Eines dieser Plugins ist LiteSpeed Cache für WordPress, die umfangreiche Caching-Erweiterung mit vielen tollen Funktionen. Per WP-CLI lassen sich die Optionen des Plugins auslesen und verändern oder bestimmte Teile des Caches leeren. Mit dem simplen Befehl wp lscache-purge all ist der komplette Cache geleert, selbstverständlich lassen sich aber auch nur gewisse Bereiche des Caches löschen. Eine aktuelle Übersicht der WP-CLI-Funktionen finden Sie jederzeit in der offiziellen Dokumentation.

Ihre Favoriten?

Das waren sie also, die 10 WP-CLI-Befehle, auf die wir nicht mehr verzichten möchten. Nutzen Sie WP-CLI bereits zur Verwaltung von WordPress-Installationen? Welche Befehle möchten Sie nicht mehr missen? Schreiben Sie uns Ihre Tipps in den Kommentaren. Wir freuen uns auf Ihr Feedback.

Seite 3 von 10912345...102030...Letzte »