 Gut, gut. Herzlich willkommen zum E-Mail, hässlich aber es funktioniert, behauptet der Martin. Das ist der Leirer. Grüß euch. Ich mache jetzt schon ein bisschen länger E-Mail, seit Anfang Mitte der 90er. Da hatte ich noch so langes wallendes Haar, das hat sich dann mal auch für der Zeit verflüchtigt. Mit verschiedensten Teams, verschiedensten Protokollen, verschiedensten Produkten, ich will eigentlich gar nicht mehr drüber nachdenken. Also wenn ihr mehr Wallstories holen wollt, nachher bei einem Bier oder sonstigen Alkohol, viel Alkohol. Drunk, alles fein. Ja also, wir haben jetzt ein bisschen, darf man das sagen? Wir glauben ja, dass der Dschung ausgehen wird. Wir glauben ja, dass wir Dschung-Kalypse schaffen, also strengt sich an. Ja, bitte? Nein, weil Wetten nicht um Geld hätte. Der Beppi hat es schon kurz angedeutet, ich bin so der von den Zweien hier auf der Bühne, der eher so fein von E-Mail ist. Da haben sie noch ganz viele Plätze, kommt drüber. Ganz vorn in der Mitte auch, wenn wer will. Wir peißen nur von uns. Nur ja, aber dann. Wie gesagt, ich bin der, der ein Fan von E-Mail ist, ein Fan von E-Mail ist doch super. Das ist ein Produkt, ein Container, da habe ich alles drinnen, meine Passwörter, meine Kommunikation, meine Dokumente. Das ist ein Ration-Management, weil ich habe die endgültig letzte, finale Version des Abgabetokuments drinnen und dann noch die Revision dazu. Die mit den Zip-Fehlern, die ausgebessert wurden. Ich bin an und für sich ein Freund von E-Mail, nein ganz ernsthaft, weil welches andere Protokoll, welches andere Produkt haben wir, mit dem wir föderiert ohne einer zentralen Stelle miteinander kommunizieren können, da haben wir nicht viel. Ja, aber wie viele Leute haben Java und durch wie viele Firewalls geht Java durch? Mit einer E-Mail komme ich im Normalfall überall hin. Ich muss vielleicht das Exe zuerst in einen Charbacken, das dann wieder in einen ... Dass es durchkommt, aber irgendwie geht es dann durch. Es ist super, es ist fein, ich bin ein totaler Fan von ... Und überleg's mal, ihr könnt's im Prinzip jeden Menschen auf dieser Welt eine E-Mail schicken, wenn's weißt, wie die Namen aufgebaut sind normalerweise. Also E-Mail ist wirklich super und ein total kommunikatives Tool. Das ist, links von mir ist da mein Klemmern, der sieht das ein bisschen anders. Ja, ich bin auch schon alt. Ich mach auch schon seit über 20 Jahren E-Mail und länger als mir lieb ist. Ich fürchte, ich werde das auch noch ein bisschen länger machen und das ist mir auch nicht so lieb. Ich bin persönlich der Meinung, dass E-Mail irreparable kaputt ist. Und im Übrigen bin ich der Meinung, dass E-Mail zerstört werden müsste. Und wenn ihr jetzt noch der Meinung seid, dass E-Mail ja so praktisch ist, hoffentlich in zwei Stunden seid ihr dann auch meiner Meinung. Überlegt mal, warum wir zwei Stunden brauchen. Genau. Also das war mal so eine Schätzung. Hoffentlich werden wir fertig. Gut, eine Abgrenzung kurz, damit wir wissen, wo überreden wir mal nicht, dass das klar ist. UUCP, wer weiß noch, was das bedeutet? Oh, sehr gut, sehr gut, sehr gut. Gut. Unix-to-unix-Copy für unsere jüngeren Zuseherinnen und Zuseher. Genau, obwohl UUCP wäre eigentlich neuer und jünger als E-Mail. 1986, ne? Ja, haben wir vergeigt. X25, lass mal auch links liegen, wir reden über IP. Genau, ja. Wurde abgelöst, X400. Ja, wenn du im Simmelsumfeld bist, oder so, leinst du noch ab und zu über den Weg. So, sehr legacy. Wertarbeit, genau. Darum ist es ja fast ein bisschen schade. Wer fährt denn noch eine Fido-Box? Gibt es noch wen? Kein Fido-Night-Menschen. Wer hatte mal eine Fido-Box? Jawoll. Da stehen ganz viele Leute bei der Tür, könnten mal die, die noch einen Platz nehmen, sich an die Hand heben. Wir haben, glaube ich, noch ganz viele Plätze, ja. Kommt. Danke. Ja, bitte. Ihr kennt das Prozedere. Und was wir auch nicht mehr machen, Telefax Simile, außer... Ja, das ist Punkt 1, da musst du mal ins Technische Museum geben, um noch ein Gerät zu finden. Oder aufs Postam. Oder aufs Postam. Ja, was ist das? Wie in einem Postam? Ja, ja. Ja. Genau. Die einzig coole Betriebsart, da ist einfach Funkermatörerinnen, Funkermatörer, ja. Die 3Fax, da geht das noch, da macht das noch Spaß. Und worüber wir natürlich auch nicht reden, das ist der Kernreaktor im Keller von MetaLab. Wir reden über Internet-Email. Das Schöne ist, das ist eine Sportfunktion für euch. Wenn ihr Fragen habt, müsst ihr aufzeigen. Wenn wir Fragen haben, müsst ihr auch aufzeigen. Und ihr dürft jederzeit fragen, also nicht erst am Ende, ihr dürft uns jederzeit total unterbrechen. Bitte keine harten Gegenstände werfen. Wie machen wir das mit den Fragen? Sollen wir es wiederholen? Wir wiederholen die Fragen. Gut. Wer verwendet denn noch E-Mail von euch? Die anderen sind schon eingeschlafen oder lügner. Martin, der funke dann dich. Also wer nicht glaubt. Genau. Dieses Theaterstück hat mehrere Akte. Das ist der Null-Teakt. Wir fangen natürlich korrekt zu zählen an. Wie funktioniert E-Mail heutzutage eigentlich? Wer weiß, wie E-Mail funktioniert? Wer glaubt? Martin heutzutage im Telefon. Ein zweites Telefon. Man schickt aufs Senden. Und dazwischen ist Magic. Also das war keine Fax mehr. Etwas moderner. Also man hat da so ein Mobiltelefon. Magic. Und ein anderes Mobiltelefon. Da steht dann drauf. Ich hab unendlich viele neue E-Mails. Ich hab auch viele neue E-Mails. Das geht doch total schnell. Du schreibst deine Mail und dann schickst du den Fax nach. Dann rufst du noch an. Und schickst der SMS nach oben. Dann kriegst du deine Mail schon bekommen. Vielleicht etwas zu sehr vereinfacht. Sollen wir ein bisschen mehr ins Detail gehen? Probieren wir es. Das ist noch zu vereinfacht. Wir haben hier zu linken, zu eurer linken. Und dazwischen ist wieder Magic. Da gibt es, wenn wir von links beginnen, als erstes Autorin schreibt, verfasst eine Nachricht, wird überreicht an den Mail Submission Agent. Schönes E-Mail. Reicht es an den nächsten Mail Transfer Agent weiter? Dann können wir da noch viel. Moa Mail Transfer Agent. Die älteren unter euch erinnern Sie, vielleicht noch dann so 20 Hops für eine E-Mail. Das ist eine E-Mail. Man stellt dauernd so ein Tag, zwei Tage von einer Mail von Wien nach Wien oder Salzburg nach Salzburg. Damals hat man sich auch noch gefreut über E-Mails. Irgendwann kommt dann noch so ein Mail Transfer Agent. Dann gibt es diesen Mail Delivery Agent, den MDA. Von dem holt sich die Empfängerin und das E-Mail auch wieder ab. Wichtig, es gibt kein MDMA. Noch ein bisschen detaillierter. Zwei kleine Erinnerungen. Ganz links zu Beginn gibt es den AMTA, das ist der Authoring MTA, Authoring Mail Transfer Agent. D.h. der, der weggeschickt. Auf der rechten Seite gibt es den Receiving MTA. D.h. der, der die Mail empfängt. Immer noch genau mehr. Dazwischen ist ... Magik. Ich wusste, das war zu sehr schnell. Immer noch Magik. Ja, M.U.A., der Authoring Mail User Agent. Das ist das Marcel da unten. Oder das Stickfigur. Geschlechtsagnostische Stickfigurs. Ich könnte mal eigentlich eine Umfrage machen. Was könnte man eigentlich auch wie der Audience Participation machen? Strich Persönchen. Ja, Persönchen. Was fallen euch so für Mail User Agents ein? Telnet. Da war jemand in Graz letztes Jahr. Telnet? Ich komme gleich mit mir an. Was ist noch? Matt und Pein. Ja, Mehlprogramme. Kurz muss ab, sonst sitzen wir noch länger da. Matt und Pein und der wahrentlichen Mail-Programm. Ein Webserver könnte das sein. Kontaktformulare. Monitoringlösungen. Die letzte Mail-Wert, die ihr euch eingefangen habt. Die spammt. mit NetBSD, ein Kalendersystem, Ticketsysteme, Mailing-Systeme. Ja, ganz, ganz, ganz viel. Türschlösser, Webcams oder Honipods. Auch die schicken E-Mails. Die empfangen manchmal auch E-Mails. Können wir noch einmal das Händespielchen machen? Da stehen schon wieder ganz viele Leute bei der Tür. Wer hat denn noch einen Platz frei? Wir haben noch ganz viele Sitzplätze. Kommt's, wir Bessen. Und wenn sich's nicht ausgeht, vergeben wir Schoßkarten. Wir haben auch nach oben noch zwei Plätze. Ja, ich hab auch noch eine Hand. Ihr seid halt dann im Videostream, aber das müsst ihr aushalten. Gut. So, das heißt, jetzt sind wir eigentlich schon fertig, oder? Naja, brauchen sich die Europe noch hinsetzen? Ja, genau. Bissi, bissi geht's ja noch. Gut, wenn das jetzt halt dieser Authoring Mail Transfer Agent ist, so, woher weiß der, wohin mit dem Mail? Vorschläge? Ja, er schaut sich die Mail an, ne? Er schaut sich das Mail an. Und zwar schaut er sich einen Header an und zwar um ganz korrekt zu sein, den Envelope Header. Genau. Weil so eine Message besteht ja jetzt nicht nur aus der Pilot, also aus der Mail, die wir da verschicken wollen, sondern auch aus einem sogenannten Umschlag, Envelope. Und die beiden zusammen ergeben dann die gesamte Message, die der Message Transfer Agent herumschickt. Aber der kleine Unterschied ist, auch wenn wir jetzt sagen, auch wenn wir jetzt von Umschlag und Brief reden, da hat das nichts mit dem Brief zu tun, wie wir in so Landläufig halt so aus dem Snowmail, Papier und toter Baum und so kennen, sondern das Ganze ist eben wiederum nur vergleichbar mit der klassischen Ansichtskarte. Da haben wir ja schon, glaube ich, als Alles schon bis zum Abwinken gehört. Es gibt und gilt hier nicht das Briefgeheimnis bei der E-Mail, weil es ist im Prinzip alles plaintext und mittelisbar, ohne irgendeinem Hindernis. Wenn wir jetzt von einem Envelope Header reden, dann reden wir eigentlich von diesem Teil hier, also einer Postkarte, eine Brief, nämlich der Adresse. Also der Zustellinformation eigentlich, nicht? Das heißt, die MTAs sehen sich nur an, das Minimum an Information, was ich brauche, um diese E-Mail von A nach B zu ruten oder weiterzuleiten. Das kann eben direkt sein, so wie es heutzutage eigentlich üblich ist, oder so wie es früher war, das sagt, nein, ich weiß zwar nicht, wohin es geht, aber ich gebe das dem da drüben, weil der weiß, wie er das dann weiter ruten muss. Das Ganze ist relativ einfach, relativ schnell. Aber das, was ich in die Message selbst hineinschreibe, die ganzen absende Adressen, mail, bccs, ccs, also copy an und blind copy an, heißt das auf Deutsch, das schaut das sich für das Routing nicht an. Hier zählt nur das, was in den Envelope hineingeschrieben wird. Das heißt, der Mail-User-Agent, das Mail-Programm langläufig benannt, setzt mir mein, das, was ich in diese Absende und Zustelladresseneintrage in entsprechende SMTP-Kommandos und damit dann auch Envelope-Headersum. Das heißt, meine Absendeadresse gebe ich an mit dem SMTP-Kommando MailFrom. Und daraus wird dann mein SMTP-Envelope-Header generiert, den dann der MTA zum Routing verwendet. Dasselbe gibt es dann für die Empfänger, das heißt, alle Empfänger, egal ob ich die ins cc oder ins bcc, so eine blind copy hineinschreibe, werden es SMTP-technisch dann wieder auf ein RezipTo-Kommando umgesetzt. Und das nimmt der Mail-Server, der MTA her, um das Ding dann weiter in die Welt hinauszufrieden. Ich habe jetzt da noch was vergessen, aber das war so im Prinzip der ganz grobe... Im Wesentlichen sollte das genügen. Theoretisch weiß jetzt ein MTA, was mit dem Mail zu passieren ist und wo das hingehört. Das Ende des 0.Aktes. Akt++? Der Ausflug zu den Envelope-Headern war quasi so der technische Anriss, wie das Ganze funktionieren muss. Grundbegriffe mal wiederholen, ihr kennt das natürlich alle, ist aber auch schon wieder lange her. Für den einen Gast nicht das Ausbeteilende, die man macht. Was braucht man jetzt so? Damit diese Schrumschickerei funktioniert, die MTAs müssen ja irgendwie untereinander kommunizieren und tun sie über Protokolle. Standardisierte Protokolle. Genau. Da wäre zunächst einmal das Simple Mail Transfer Protocol. Das ist, wer weiß, das Jahr zufällig. Wann hat das angefangen? Davor war es nämlich nicht mal simple, sondern es ist einfach nur Mail-Transfer. Grobe Schätzungen? 87er? Mehr weniger? Fast. 1982. Ihr müsst jetzt nicht aufzeigen, wenn ihr später geboren seid. Ihr könnt natürlich. Wollt da niemanden... Wofür verwende ich das jetzt? Naja, also in diesem Soziotop-Gemisch der Software, die sich da in diesem Internet bewegt, wird SMTP für den Transfer von E-Mails oder Nachrichten zwischen MTA und MTA und zwar ausschließlich dafür verwendet. Also von Mail Server zu Mail Server Landseifig. Das Ideal-Bild und MTAs dürfen an sich nur Nachrichten annehmen, für deren Domains sie auch zuständig sind. Ansonsten wäre sein sogenanntes Open Relay. Spammer's Delight. Nein, nicht reppen. Nein, nein, nein. Auf SMTP reimt sich auch nichts. Das heißt, ein Authoring-Mail-User-Agent, der jetzt mit einem Mail-Submission-Agent SMTP reden wollte, konjunktiv. Nein, das geht so gar nicht, das hat da nichts verloren. Es gibt immer noch ein paar Produkte, die der Meinung sind, dass das cool ist. Es funktioniert einem normal verlauch immer, weil die meisten ihre Mail Server nicht so aber konfigurieren. Ja, da gibt es Netzbetreiber, die das nicht zu gut schaffen. Outlooking at U-Microsoft, da gibt es ganz schreckliche Sachen. Was du jetzt vergessen hast, was mich jetzt sehr wundert ist, du hast vorhin SMTP gesagt, was ist mit TLS, also was ist mit verschlüsselten SMTP? Naja, das Protokoll ist so alt, das gibt es an sich nicht wirklich verschlüsselt. Sehr straurig, sage ich kaputt. SMTP-S, so mit Implicit im TLS, gibt es eigentlich nicht wirklich, ist nicht wirklich definiert. Manche missbrauchen der Port für 65. Der ist von der IANA gar nicht dafür vorgesehen. Nicht mehr? Nicht mehr, ja, war auch irgendwie, ist auch über 10 Jahre her. Im Wesentlichen kommt auch heutzutage hoffentlich Star-TLS zum Einsatz. Sehen wir dann später noch. Was wäre der korrekte Weg, wie so ein Mail-User-Agent mit dem Mail-Submission-Agent redet? Submission. Submission hat nichts mit BDSM Unix zu tun, sondern ist eine leicht abgewandelte Form von SMTP-Protokoll, die eben zwischen User-Agent und Submission-Agent verwendet wird. Der Peppi mag das deswegen, weil bei dem Protokoll ist es zum Beispiel kein zwingender Fallback zu Plaintext-Kommunikation. Genau, also wenn ich serverseite gesagt bitte hier ist Star-TLS und damit verschlüsselte Übertragung zu verwenden, dann ist das zu verwenden. Sonst passiert mit diesem E-Mail nämlich gar nichts. Welcher Port ist das? Das ist auch 587 TCP. 587 TCP. Ja, genau. Gelegentlich gibt es Leute, die wollen ihre E-Mails auch abholen. Völlig unverständliches Konzept für mich. Es ist zugestellt und damit danke, Widerschauend. Halt, stopp, Frage. Frage, ja. Die Frage war, was ein Beispiel eines Mail-Submission-Agent wäre. Bitte. Ein Beispiel-Produkt. Ein Beispiel-Produkt. Postfix, Ex-Im, Mail-Submission-Agent. So, nein. Ja, jeder, Entschuldigung, ich... De facto jeder Mail-Server. Jeder Mail-Server. Der Mail-Submission-Agent annimmt und nicht nur rein E-Mails relate von server-to-server. Also Postfix, Ex-Im, Send-Mail. Du hast... Nein! Nein, nein, nein, nein. Alle Programme entwickeln sich so weit, bis sie Mail senden können, außer Microsoft Exchange. Aber das ist eine... Nein, um deine Frage jetzt ernsthaft zu beantworten. Im Prinzip, jeder Mail-Server, das meint das Problem, dass das bei der Default-Konfiguration der meisten Mail-Server Submission-Port per Default nicht aufgetreten ist. Das heißt, wenn du dir einen Mail-Server aufsetzen oder konfigurierst, musst du dir den Port dann noch dazu konfigurieren, zusätzlich zum 25er. Und dann halt bei der User-Authentication. Das heißt, weil da wir da nur Mail-Server mit nach einer folgten Anmeldung entgegennehmen wollen, musst du dann halt auch noch die User-Authentication. Nein, E-Map ist nur holen. E-Map, E-Map ist nur holen. Nicht senden. Genau, E-Map gibt es in der schönen Variante mit Implicit im TLS, also mit Implicit der Transportverschlüsselung für Port 99. Auf 143 gibt es das Ganze in Plantix. Das will natürlich heutzutage niemand mehr. Außer drei Buchstabenbehörden, die sehr neugierig sind. Dort könnten wir prinzipiell auch Start-TLS einsetzen, aber da ist es uns lieber, Implicit des TLS zu verwenden. Aber das Schönste, dann sind meine E-Mails... Das ist der Einwurf? Ja. Also, der Einwurf... Nein, nein, nein, nein. Ja. Wiederholst du es? Wiederholst du es noch? Ja, also, standardkonform wäre nur die Start-TLS-Variante. Der Einwurf ist richtig, dass der Explicit der Port ist, wäre deprikated. Kann man vortrefflich darüber streiten, ob das eine gute oder schlechte Idee ist. Genau, wollen wir genau wissen, was Mail-Client tun, wenn sie auf einmal kein Start-TLS mehr sehen. Ja, genau. Genau, ja, ja. Das Schöne ist, ist wirklich kaputt, und zwar in allen Ecken und hinten. Jetzt tun wir doch was so weiter. Das Schöne am Einmap ist, dass meine E-Mails überall konsistent in den Ordnern drinnen liegen, wenn ich sie irgendwo hineinsortiere. Egal, ob das der Laptop, das Mobiltelefon, der Kühlschrank oder sonst irgendein Gerät ist. Genau, das synchronisiert theoretisch wunderbar miteinander. Also Mail-Delivery-Agent nach Receiving-Mail-User-Agent, ne? Sehr schön, auch aus den 80er-Jahres-Klumpen. Pop-3 gab's auch interessiert, eigentlich. Nein, kein Pop, okay. War auch schon eine komische Musikrichtung, ja. Okay, lass mal das. Auch da gibt's wieder Supports. TLS, über Start-TLS, ganz wichtig heutzutage, da könnten wir eigene wochenlange Vorträge darüber halten. Nicht den Peppi auf TLS anreden, ganz schlechte Idee. Nicht mich ohne TLS anreden. Dann nimmst du ja gar keine Mail-Sment gegen, das ist ja dein Mail-Service ja sehr restriktiv. Mein Ziel, mein Ziel. Bei TLS, wir machen das mit einer ganz schnellen Ampel. Ihr wollt TLS 1.2 verwenden und an sich nicht Schlechteres mehr, da es immer noch ein paar Mealserver da draußen gibt und ein paar Mail-Clients, die kein TLS 1.2 können, sondern nur 1.0, OS 10, IOS, kann alles nur TLS 1.0. Bleibt uns leider nichts anderes übrig, als zumindest auch ein bisschen misere Krypto zu unterstützen. SSL 2 und V3 scheiden ganz aus, da ist nicht mehr darüber zu verhandeln. Nein, SSL ist vorbei. Was machen wir noch? Jetzt werden Meals transportiert. Technisch sind wir durch, weil die Mail ist von A nach B gewandert. Wir haben Meals, können wir transportieren. Wer kriegt denn jetzt Meals? Niemand hat den Mail-Server, also dem Receiving Mail Transport Agent gesagt, wo an wen jetzt Mail-Adressen gehen. Wir haben Mail-Adressen. Ja, du hast welche. Ich hab Mail-Adressen, ich will ja gar nicht. Da gibt es das RFC 2142, das definiert so Standard-Adressen, die euer Mail-Server kennen sollte, so ihr ihn denn selbst administriert. Ist es ein Shut, oder ist es ein Must? Das ist RFC 19. Das ist definiert. Postmaster sollte es geben, wenn ihr SMTP-Services anbietet, was bei Mealservern gelingentlich vorkommt. Postmaster, das ist die Person, die schuld dran ist, wenn die DNS-Einträge nicht richtig sind. Das heißt, wenn ihr einen Server im Internet hängen habt. Ganz super ist es, wenn die DNS-Einträge auf den Mealservern nicht richtig sind, dann ergreicht ihr die Postmaster trotzdem nicht. Und wenn ihr einen Web-Server dazu habt, Webmaster ist auch immer eine gute Idee. Der Punkt ist, die Adressen sollten nicht nur eingerichtet sein, die sollten auch von jemandem gelesen werden. Derzeit noch von einer Person oder von mehreren Personen vorzugsweise, in ein paar Jahren können wir dann über KIs reden. Und auch in einer gewissen Frequenz, die deutlich nicht so im Jahresintervall, sondern schon mal öfter reinschauen. Probier's aus. Schau doch mal in deine Postmasteradresse hinein, was da so daherkommt. Auf meinen Mealsern erstaunlich wenig, aber ich will sie ja auch nicht haben. Das Thema behandeln wir jetzt ja dann auch noch ein bisschen. Genau, da kommt noch was dazu. Du brauchst nicht zu hudeln. Wir haben jetzt eine halbe Stunde, entspann dich. Ja, ja, aber ich weiß jetzt nicht, wie viel Glied wir sind, aber wir haben über 200 davon. Dezimal, Dezimal, keine Sorgen. Kein Hex. Abuse sollts geben. Nock. Ganz wichtig Security-Ad, solltet ihr wirklich haben und auch lesen. Für den Fall, dass irgendwelche Menschen oder Bots oder so mal zufällig auf irgendwelche Sicherheitslücken bei euch stoßen, macht es ihnen wenigstens leicht, dass sie es euch mitteilen können. Es gibt, und das meine Leute tun das. Wir meinen das ganz, ganz, ganz ernst. Da gibt's ganz tolle und liebe Leute in den verschiedensten Zerts, die da sitzen und wenn die durch irgendeine Aktion draufkommen, bei euch ist ein Problem, die schicken euch wirklich eine E-Mail und sagen, fix das doch, bitte. Wir helfen euch auch gern dabei. Da sind Infos. Wirklich, wirklich so hilfreicher Leute, so wie es damals in den Ende der 80er-Jahre war. Da war man hilfsbereit und hat den anderen Leuten nur noch geholfen. Wir haben die Leute noch zusammengehalten. Also Security-Ad einrichten, wenn ihr ganz super drauf seid, GPG-Kider zu publishen und den Private Keygut-Backgarten aufheben, damit ihr die E-Mails nachher auch lesen könnt. Marketing, dafür gibt's auch... Wenn ihr als Sales-Marketing und auf der First-Lever-Support-Center beschäftigen wollt, gibt's auch eine RFC, was man da so haben sollte. Woher weiß so ein Mail-Transfer Agent, wie er den anderen Mail-Transfer Agent findet? Das hast du doch gemacht. Das war Magic. Na ja, wir gehen ein bisschen ins Detail. Da gibt's dieses Wegweißersystem im Internet. Das kleine Server mit blauen Arbeiten... Das Telefon bucht das Internet. Nein, das... keine Telefone mehr. DNS... Da braucht man sinnvollerweise machen wir zumindest einen Eintrag im DNS, damit die anderen Mail-Server unseren Mail-Server finden können. Aber was machst du jetzt, um einem Mail-User-Agent zu sagen, mit welchem Mail-Transfer Agent er sprechen soll? Das sag ich der Userin oder dem User. Sie sollen bitte beim Support anrufen. Da gibt es keine DNS eintritt. Keine, die vorgesehen sind. Es gibt es nur Mail-Server zu Mail-Server. Für alles andere sieht das DNS keinen expliziten Typ vor, wo ich einfach so mal blau-äugig nachschlagen könnte. Das wäre der Sat-Mission-Server benutzt denn doch? Genau. Wissen oder steht in der Dokumentation? Doktoku, kennt das jemand? Kennt jemand jemanden von der Sendung? Kennte jemand, der schon mal Doku geschrieben hat? Genau. Aber das ist... Auto-Discovery-Dinge? Ja, aber nichts RFC-mäßiges. Das heißt aber, für die Kommunikation zwischen den MTAs, das heißt, jetzt kommen wir ja langsam durcheinander. Mein Sat-Mission, nein, mein... Offering-Mail-Transfer Agent, den wollte ich auch sagen. Wir haben das geübt. Irgendwann schwirrt dann der Kopf. Wenn mein AMTA wissen will, an welchen Mail-Server jetzt denn die E-Mail, die jetzt gerade bekommen hat, zustellen soll, dann schaut er im sogenannten MX-Record nach. Genau. Der Mail-X-Changer, weil praktischerweise werden im DNS-MTAs als MX bezeichnet. Hilft auch nicht wirklich. Aber es funktioniert prinzipiell. Kann man dann nachschauen? Kamell, großer Fund. host-tmx für easterheck.eu host-namen, der sich dafür zuständig fühlen sollte, E-Mails anzunehmen für diese Domäne. Das ist sehr schön. Achievement unlocked. Ihr könnt jetzt Spam- und Fishing-E-Mails empfangen. Aus biologisch abbaubaren, recycelten Elektronen. Aus Bodenhaltung. Und ihr könnt natürlich solchen Spam auch senden. Toll. Fertig. Schönen Namen noch. Ende des ersten Aktes. Wie geht es weiter? Zweitakt. Korrekt. Das müssen wir noch üben. Organisatorische Infrastruktur-Dinge. Wir waren beim DNS, wir bleiben dabei. Bleiben wir noch beim DNS. Mit DNS kann man noch viel mehr machen. Viel, viel praktische Dinge. Komplizierte Dinge fallen. Der MTA wird vom MX bezeichnet. Wenn ich den abfrage, schaut das dann so aus. Das heißt die Domäne für die sich jemand zuständig fühlen sollte. Der Domäne-Part in der E-Mail-Adresse ist das nach dem Klamat. Das Leute dürfte gerne für eure nächste Management-Präsentation klauen. Da geht es darum, da wird irgendwas mit E-Mail gemacht. Und dieser Hostname sollte dafür zuständig sein und E-Mails annehmen. Und der hat eine Priorität, nämlich 10. So. Priorität 10. Was wäre jetzt eine höher gewichtige Priorität? Wäre jetzt 20 eine höhere Priorität oder wäre 5 eine höhere Priorität? Wer wäre für 20? Wir sind unnötig da. Wir hören uns den ganzen Tag, die wissen was da ist. Die Kleine, die Zahl ist umso wichtiger, fühlt sich der Mail-Transfer-Agent und Authoring-Mail-Transfer-Agent versuchen diese Gewichtung auch zu respektieren und quasi von der kleinsten Zahl anfangen zu senden und schauen, wann sie das Lumpert loswerden. Wenn ich jetzt mehrere habe mit gleicher Priorität und dann nach gut dünken Round Robin wird mal da mal dort versucht. Hängt von der Implementierung ab. Da habe ich auch schon böse, böse Dinge erlebt. Hätte du auch eine Frage? Nein, ja, aber nicht da. Nicht bei Mx-Priorität. Und du kannst auch nicht trell verantragen. Genau. Dazu haben wir auch eine War-Story. Genau. Das Schöne ist, das muss ein Hostname sein. Keine IP-Nummer. Also, wer jetzt zufällig mal mit Bein rumgespielt hat, so ein DNS-Server, so ein Wegweiserding, da könnt ihr nachschauen, da steht dann halt in Mx so ein Internet-Eintrag, Mx-Mail-Exchanger mit der Priorität 10 der Hostname und dann gibt es für den Hostnamen ein E-Eintrag, der auf die IP-Nummer zeigt. Das ist richtig. Schön, dann funktioniert das. Die Time-to-Live-Einträge ignorieren mal, da so breit ist der Beamer nicht. Das wäre an sich ungültig. Weil, prinzipiell, zeigt der Mx-Eintrag zwar auf einen Hostname, der Hostname hat aber keinen Quad-E-Record, sondern einen Zee-Name, einen Canonical-Name. Also quasi so ein Alias-Name, der eigentlich wieder woanders hin zeigt. Das ist nicht zulässig. Funktioniert dann auch nur gelegentlich. Das ist nachschaut. Gelegentlich schaut doch dort mal rein. Wenn das die Ende so ausschaut, hast du Probleme. Kannst du Probleme haben. Wir sind nicht ganz sicher, wann du Probleme kriegst. Problem ist nicht, dass du kriegst Probleme. Die Frage ist nur, wann und wann kommst du drauf? Ganz schlimm wäre das. Mx direkt auf die IP-Nummer zeigen, dann könnte die eigentlich... Diesen obskuren Sonderfall waren das? Nein, überhaupt nicht. Das funktioniert aber sehr wohl. Das funktioniert schon. Sollte noch jemand Legacy IP einsetzen? Ja, lacht nicht. Also IPv4? Ja, genau. Ja, lacht nicht. Legacy IP. Es gibt ein draft RFC, das IPv4 als Legacy IP einstuft und der Default ist IPv6. Ergo. Wenn ihr noch Legacy IP einsetzt. Auch damit funktioniert E-Mail noch ein Authoring-MTA sprechen kann. Also aus Österreich werdet ihr prinzipiell nur Legacy IP bekommen. In fast allen Fällen gibt es noch ganz wenig IPv6 schon. Die suchen sich dann das aus, was sie lieber haben und werden heute wahrscheinlich meistens IP bevorzogen und nicht Legacy IP nehmen. Wenn ich jetzt den Mx-Eintrag weglasse. Ganz fies. Was ist, wenn ich gar keinen Mx-Eintrag habe? Kann ich jetzt immer noch E-Mails kriegen? Wer ist für ja? 20%. Wer ist für nein? Wer ist noch im Entscheidungswindungsprozess? Wer möchte noch eine Mate? Bringt mir eine mit. Okay. Also so funktioniert das nicht. War natürlich gemein. Was darf nicht funktionieren? Nein. Nein, das wird... 5,821 im Zweifelsfall. Das würde nicht funktionieren. Das würde nicht funktionieren. Das würde schon funktionieren. Für etiesterheg.eu Denn SMTP sieht nämlich vor, wenn es keinen Mx-Eintrag findet, dann schauen wir mal nach und machen den Fallback auf Quad A oder A. Das heißt, ich krieg trotzdem E-Mails. Ich will doch gar keine E-Mails haben. Du bist so arm. Wenn ich jetzt wenige E-Mails haben will, dann nehme ich den... Wenn ich jetzt wenige E-Mails haben will, dann nehme ich den Legacy IP-Eintrag raus. Nur mehr mit Fallback und IPv6. Sehr schön. Ja. Geht auch, ne? Geht auch. Aber genau. Damit das Ganze aber sauber funktioniert, brauchen wir auch den sogenannten Reverse Lookup. Genau, den Pointe-Eintrag. Wer weiß, was ein Pointe ist? Dennis? Okay. Für die Leute, die... Nicht die C. Ein Hostname, ein Quad A oder A-Eintrag im DNS zeigt von einem Namen auf eine IP-Adresse und der Pointe der PTR der zeigt in die verkehrte Richtung. Der zeigt zurück. Den DNS-Eintrag würde du das dann so ausschauen. Von der IP-Adresse zum Hostname. Das ist für Legacy IP. Abfragen kann ich das Ganze... Das hatten wir schon. Das kann man nachlesen. Wenn ich jetzt V4 und V6-Adresse bekomme, V4 den Reverse Lookup machen, kriege ich den Hostname zurück. Das ist super. Bei IPv6 funktioniert das auch, schaut dann auch so aus. Ein bisschen länger, aber... Wie mir nicht ganz sicher, aber irgendjemand hat am Freitag nachmittag da noch drum konfiguriert, kriege ich mir ein. Das heißt, wenn ich jetzt den Manager jetzt wieder mal beschäftigen wollte, dann bringt's ihm bei, wie man Lookup und Reverse Lookup macht und dann ist er den ganzen Tag beschäftigt, ganz schön. Ja, stundenlang beschäftigt. Und wenn das dann in beide Richtungen funktioniert für V4 und V6... Wichtig, wichtig. Für A und Triple. Und in beide Richtungen halt. Sonst habt ihr ganz viel Spaß am Gerät beim Debaggen. Weil dann geht das manchmal nicht, manchmal trotzdem und wenn ja, warum nicht. Ja, das kriegst du aber erst ungefähr sechs bis acht Stunden später, die Ignorance sind beim Zustellen mit dem Gerät. Dazu kommen wir noch. Also, wenn das alles zusammenpasst, habt ihr einen FQDN, einen Fully Qualified Domain nehmen. Super schön, da war eine Frage. Also, der Ordnung so los. Gut. Ich mag aber keine E-Mails. Und seit 2015 gibt es dafür eine Lösung. Im DNS... Ich finde das super. Das Problem ist allerdings, SMTP sieht ja einen Quad-E und E-Fallback vor. Das heißt, ich kann es nicht einfach sagen, ich mache keinen MX, dann kriege ich keine E-Mails mehr. Nein. Die Schweine machen ja dann immer noch über Quad-E oder E eine Zustellungversuch. Es gibt jetzt Zero MX. Die Entlösung für alle E-Mails. Priorität Null. Weniger als Null geht nicht. Und Punkt ist kein gültiger Hostname. Das heißt, selbst wenn ein Mails aber das Null versteht, das kommt nicht an. Ja, aber da bringst du wahrscheinlich wieder Alex Exchange selber zum Absturz. Das ist mir egal. Also, darf ich da dann mehrere MXen haben? Solang es alles MX Null sind, ja. Sollte es natürlich nicht einen MX Null Eintrag machen und dann noch irgend einen anderen dazu, weil das gibt irgendwie wenig Sinn. Wenn man sowas abfragt, dann sieht das dann wirklich so aus. Handelt bei Zero mit Punkt. Ich habe heute eine halbe Stunde psychologische Betreuung machen müssen, weil er kein Beispiel online gefunden hat. Das setzt anscheinend kaum noch jemand ein. Danke an the security. Ich habe keine Ahnung, ob die Person da ist oder sonst so. Ich habe meinen Schrei auf Twitter gesehen und hat das auf einer Domäne eingerichtet. Heute Nachmittag. Sonst hätte man das jetzt nicht gehabt. Der DNS-Eintrag ist frisch aus dem Ofen. Das ist das Achievement unlocked in Box Zero. Forever. Ja, das ist schön. Seit 2000 ganz neu. Wunderschön. Du willst die Milch haben, oder? Ja, es ist immer noch... Was gibt es noch? Wir bleiben beim DNS, da kann man viel Spaß damit haben. Send a Policy Framework. Schon mal gehört? Wer hat's denn schon im Einsatz? Oder kennt jemanden das im Einsatz? Das Raunen sagt mir, der ist mit dem DNS macht Spaß. Wir hätten einfach nur den DNS-Talk machen sollen. Ja, genau. Send a Policy Framework ist dazu da, dass ein ReceivingMTA eine Hilfestellung bekommt. Welche AuthoringMTAs denn für eine bestimmte Domäne überhaupt das wegschicken dürfen? Das heißt, wenn ihr so ein Eintrag macht, macht ihr das nicht für euch selber, sondern eigentlich für alle anderen, bzw. dass alle anderen eure E-Mails lieber haben. Dabei werden die Envelope-Header überprüft und so ein Eintrag sieht dann ungefähr so aus. Das ist wie deinem TXT, der Text-Record hinterlegt. Der DNS-Eintrag. Das ist der DNS, der Text-Eintrag im DNS, so ein Beispiel. Ist relativ einfach aufgebaut. Geht um e-mailsfürdedomainexample.com das handelt sich um einen Text-Record. Es ist die Version 1 von SPF das ist auch die einzige Version von SPF, die es gibt. Ein zukunftssicheres Protokoll. Dann gibt es z.B. einen Netzblock IPv4 also Legacy IP oder einen einzelnen IPv4-Eintrag. Einen IP-Eintrag und Mx bedeutet für diese IPnummern muss es einen gültigen Mx DNS-Record geben und wenn das nicht von dort kommt, dann gelten sie trotzdem, weil da steht all und der Qualifier davor, das minus, wenn die Qualifier sagen, die Tilde ist im Soft-Fail, das heißt, wenn das jetzt beim Überprüfen nicht stimmt, dann mach mal weiter. Dann überlegt ihr das mal, macht vielleicht einen Spam-Punkt drauf oder so, aber prinzipiell ist es immer noch okay. Hard-Fail heißt, darfst du es jetzt eigentlich auch zurück hauen und abweisen und No-Policy, so rein informativ, steht das mal da, aber eigentlich ist es wurscht. Kannst du ignorieren auch. Also plus davor schreiben oder mal prinzipiell so, ich habe noch nie einen DNS-Eintrag geändert, ich mache das mal mit plus, weil dann ist nichts kaputt nachher. Bei den Typen, die ich noch angeben kann, wenn vorher das Mx gehabt, ich kann auch sagen, für diese Einträge für die IPnummern muss es einen Quad-A oder A-Record geben, gemeinerweise steht da nur ein A, impliziert aber trotzdem auch ein Quad-A gemeint, also für IP. Mx muss einen gültigen Mx-Eintrag dafür geben heißt, gilt auf jeden Fall, wurscht, ob es da andere Records dafür gibt. Ist schön. Geht eigentlich jetzt sind wir schon fertig mit dem Konfigurieren. Genau, das Schöne am SPF ist bereits über 50% alle Domänen verwenden. Es ist jetzt nicht wirklich der große Aufwand, dass er den DNS-Eintrag machen, bringt man im Normalfall zusammen, auch wenn man nur ein Web-Interface hat, um auf das DNS zuzugreifen. Gibt es so Web-Generatoren, dann kann man Copy-Pesten. Sehr komfortabel. Es dient aber eigentlich nur dazu, dass der Receiving-MTA, also der RMTA, überprüfen kann, ob der Authoring-MTA dafür berechtigt war, diese E-Mail überhaupt auszustellen. Dürfen die denn das überhaupt? Dürfen sie das überhaupt? Ist das dann, zeigt dann der SPF-Record auf den Mx? Der SPF-Record ist erstens ein Text-Record und der zeigt nur auf den Text. Ja, aber steht in dem Text dann der Mx drinnen? Nicht zwingend. Ein Mx ist ja nur ein Receiving-MTA, aber kein Authoring-MTA an. Nicht zwingend. Ist oft die gleiche Box, manchmal sogar die selbe Box, oder zumindest eine Vm auf dem gleichen Cloud-Anbieter, aber können prinzipiell auch verschiedene Maschinen sein. Was gibt es da noch? Gegen den nächsten Punkt habe ich mich gewährt. Den mache ich ganz gut. SenderID. Ganz komisch. Die haben da so eine Idee von einer Purported Responsible Address. Hat irgendwie so einen Versuch gegeben, die Probleme, die SPF hat, weil das ja nur Envelope-Header beachtet, zu verbessern. Da gibt es dann quasi auch wieder einen Texteintrag im DNS. Der heißt sinnloserweise SPF 2.0. Obwohl es kein SPF 2.0 gibt, das hat auch nichts mit SPF 1.0 zu tun. Weil es heißt SenderID, aber aufgrund irgendeines Fails wurde das dann so genannt. Das kann entweder die erste Zeile sein, SPF 2.0 M-From, das geht dann so Envelope-From, das ist das gleiche wie der SPF-Record, also der SPF 1-Record. Dafür bräuchte ich das gar nicht. Dann kann ich noch sagen, ich will diese Purported Responsible Address mitüberprüfen. Dann müssen beide stimmen. Oder ich will eben nur diese, aber dafür sind wir die Envelope-Header, Sender egal. Irgendwie verwendet das kaum jemand. Die Versuchungen mit SPF 1 sind sehr groß. Und das verwenden auch nicht wirklich viele Leute. Also ja, komisch. Lass mal das. Wir haben es wieder der Folter. Wir haben es versucht, ja. Wenn euch das begegnet, verwechselt nicht SPF 2.0 mit 1.0. Das hat nichts miteinander zu tun. Dann haben wir das Problem, dass ja sehr gerne Mail-Absende-Adressen gefälscht werden. Da schreibt halt irgendwas in die Absende-Adresse hinein und meint dann damit, kommt er durch, wenn er uns eine Mail schickt. Dagegen gibt es auch was. Das nennt sich Dekim, Domainkey Identified Mail. Danke. Hummelzettel sind groß. Ist auch wieder sehr angenehm. Weil für mich als Sender kann ich damit definieren, ob eine E-Mail tatsächlich vom eigenen Mail-Server gekommen ist oder nicht. Das wird daher auch wieder disabuse aufkommen auf der Empfängerseite. Genau, auch auf der Senderseite für sich empfangende MTAs darüber beschweren, dass man ihnen ein Spam schickt. Immer schön ist auch, wenn man Spam von der eigenen E-Mail-Adresse bekommt und sich diesen Spam nicht selbst geschickt hat. Damit lässt sich so was erkennen. Das behauptest du immer. In dem Fall ist es so, dass der Authoring-MTA einen sogenannten Dekim Signature-Header hinzufügt. Der Signature-Header kann bestehen meistens im Normalfall aus dem From-Feld. Man kann aber auch noch andere Felder hinzufügen. From-Header ist zwingend. Da reden wir jetzt nicht von den Envelope-Headern, sondern von den normalen Mail-Headern. Das heißt, der Authoring-MTA definiert, was signiert wird, signiert das Ganze dann kryptografisch und stellt sogar ein Hesch über den Body, wenn es jetzt richtig im Kopf hat. Das haben wir noch. Und schickt das Ganze dann bei der Mail mit. Und dann kann man dann auf der Empfängerseite überprüfen, ob das alles eine Richtigkeit gehabt hat. Und das Schönste, diese Signaturen überlegen wir auch, dass wir relayen über mehrere MTAs. Das heißt, wir hatten vorhin einen MTA-Mta. Dann komme ich mit dem Ding auch darüber. Genau, das war mit einfach mit. Nachdem wir hier auch wieder Public Private Key Encryption haben, hinterleg ich den Signing Key, mit dem das Ganze in DNS. Genau. Wir sind noch immer nicht bei der Konfiguration mit der Signature. Das ist der Signing Algorithm. Sie fing Mail Transfer Agent. Der checkt jetzt eben diesen From-Header und diese Signature, die da mitgekommen ist, ob das zusammenpasst und ob das aufgeht. So, Signature schaut dann so aus. So grob. Das kann man jetzt da in der Ecke wahrscheinlich etwas wenig lesen. Es ist immer noch grün und kryptografisch. Grob überschaubar heißt das ungefähr so viel wie es handelt sich um eine Decim-Signature. Danke. Der Signing Algorithm ist in dem Fall RSA mit SHA256, also RSA für die Keys und SHA256 für das Hashing. Es geht um kreativerweise example.net als Domain. Und dort kommt das E-Mail an, gebe ich her. Der sogenannte Selektor heißt halt Brisbane, das ist einfach ein Name. Das ist der Selektor, mit dem das Ganze im DNS gefunden werden kann. Wo quasi der Receiving MTA zum Überprüfen dieser Signature nachschauen muss, um sich das anzuschauen. Und dann gibt es den so genannten Canonicalization Algorithm. Dankeschön. Und zwar einmal für den Header, dann einen Schrittstich und dann für den Body. Da gibt es zwei Einträge dafür, relaxed und simple, relaxed heißt, dass der Receiving MTA das Mail ein bisschen umformatieren darf. Leerzeichen zusammenfassen oder Zellenbrüche und solche Sachen. Weil manchmal werden E-Mails ein bisschen verwurscht. Und nach dem Motto wenn ich das jetzt diese Verwurschtung zurückmache dann müsste ich ja eigentlich aufs Gleiche kommen. Und wenn dort steht relaxed, dann darf ein Receiving MTA das quasi versuchen zurückzuformatieren um auf den gleichen Wert zu kommen. Bei simple heißt es so, ist nicht zulässig, du nimmst es so wie es kommt auf Gedei und Verderb. Dann haben wir die Query Method. Wo kriegt jetzt so ein Receiving MTA überhaupt raus? Den Key und zum Überprüfen in dem Fall DNS und da gibt es einen Text record. Genau, das ist so der Body Part. So viele Bites sind es theoretisch. Dann gibt es eine Timestamp. Wann wurde denn das erstellt? Und wie lange gilt das? Eine Liste der Header. Da gebe ich jetzt an, was jetzt wirklich in dieser Header Signature verwurschtet wurde. In dem Fall haben wir eben mehr. Da haben wir nicht nur das From, sondern noch das Zu, das Subject, State und Keyboard Felder. Der nimmt ein bisschen mehr dazu. Aber Authoring MTA sucht sich aus, was da mit hinein kommt und sagt halt auch, was da drinnen ist, damit der Receiving MTA sich das auch überprüfen kann. Dann gibt es noch einen Body Hash, das heißt über den Mail Body den Hash und die Signature dazu, die mit dem Private Key vom Sending, also vom Authoring MTA gemacht wurde in dem Fall bis 64 encoded. Können wir alle das im Kopf jetzt quasi? Ja. Und so weiter klar? Also der Mail Server signiert da etwas. Und der andere Mail Server kann das dann checken. Mail Programme, also Mail User Agents zeigen euch das im Normalfall nicht an, weil interessiert euch auch nicht wirklich, könnt ihr aber im Quelltex zum E-Mail nachschauen. Show Header, Gestaltung U. Apfel U. Apfel U. Gut, jetzt ist aber ein bisschen mehr notwendig, als nur den DNS Eintrag zu machen, Entschuldigung, Frage? Ja, bitte. Ja. So, ich habe diese Explanations und den Brisbane, was diese Idee war und nachdem wie wir den Body Hash und Signature brauchen, ist das Signature signiert. Also die Frage war, was dieses Brisbane ist, das ist einfach nur der Name von dem Text-Record im DNS. Das haben wir noch ein Beispiel dazu, glaube ich. Also das heißt einfach nur, Brisbane kann genauso gut Popokate-Bettel darin stehen oder Orchkaetzelschwarf oder Osterhase. Es muss halt nur dann der gleiche Name auch im DNS drinnen liegen und damit zu finden sein. Direktisch könnte ich mehrere haben und genau. Und die andere Frage war nach dem, ich hoffe, ich habe ich das jetzt richtig. Was ist das, was die Signature über die Header und Body Hash und Signature über die Header? Im H-Eintrag steht drinnen, was in den Hash hineingekommen ist. Also from to, in dem Fall Subject Date Keywords. Diese E-Mail-Header wurden dort verwendet. Damit eben dann der Empfänger das zurückgerechen kann. Genau. Also die signierte Hash dazu. Also quasi die Signature zu diesem Hash. Also Standard Verfahren zum Signieren eigentlich. Also nix, nix, wirklich sehr Spezielles. Ja, das ist aber dann auch schon egal. Kryptografisch ist das jetzt nicht so aufwendig. Gut. Das Zeug muss ich jetzt natürlich auf der Senderseite noch irgendwie also ja, tschö. Ein X-Google-D-Keym-Header zu Headern haben wir da noch. Die sehen wir nie. Warum werden wir dann gleich später gehen? Also nein, ich weiß jetzt auch nicht, was ein X-Google-D-Keym-Header genau tut und wie sich der das ist vielleicht irgendein Hinting für Gmail oder so, Google macht seltsame Dinge. Oder sie waren wieder mal früher dran und haben es zuerst mit X-Headern gemacht? Ja, who knows. Aber klingt interessant, kann man sich anschauen. Setup. Setup. Der Mailserver muss das Ganze natürlich auch irgendwo einmal in die Mail hineinbekommen. Damit der Mailserver der Authoring-MTA weiß, wie signiert das jetzt eigentlich und womit und wieso. Und der D-Band installiere ich mir dazu den Decam-Filter. Überschaubere Komplexität. Bring mal gerade noch zusammen. Dann muss ich mir natürlich einen Key generieren. Das ist jetzt auch einmal ein Kies erstellen, haben wir ja die letzten Monate, Wochen, Jahre ja durchaus öfter geübt, ne? Ja, genau so. Schon. Wer hat der Hard-Bit ein bisschen Kies erstellt nachher? Wer hat nur das Zertifikat erneuert, ohne neue Kies zu erstellen? Wer kennt jemanden, der noch nie was von Hard-Bit kennt? Bienwerk, Gott der T-Shirt. Genau, also, wir haben einen Key. Aus dem Key brauchen wir dann den Public Key, den müssen wir uns selber noch ein bisschen Schrott vorne und hinten dran schreibt. Und das Ganze müssen wir, und da sind wir jetzt beim DNS-Eintrag, dann auch dort hineinschreiben. Genau, und das kommt jetzt da ins DNS-Eintrag. Da hätten wir jetzt natürlich Brisbane hineinschreiben können, ja. Das wäre jetzt das, also default 2016, 03, 25 ist jetzt Brisbane. Das wird den Menschen nie sehen, genau. Nein, nicht BDSM Unix. Wir haben jetzt für die ganzen Beispiele postfix genommen, weil das ist der, mit dem wir uns am wenigsten schlecht auskennen, hat der Pepe gemeint. Du machst ja nicht mal postfix. Aber darüber sprechen wir nicht. Wir nehmen unseren Dollar-Editor und editieren die Main-CF und fügen dort einen SMTPD-Milter hinzu. Das ist es ungefähr und dann können wir diesen Filter auch schon konfigurieren. Das Wichtige bei dem Filter ist eben, dass wir ihm dann unten den Key angeben, das heißt, die letzte Zeile, wenn ihr das aus den Slides später rauskopiert, müsst ihr bitte anpassen. Passt aber zumindest zu dem Key, den wir vorher generiert haben, mit dem Namen. Und damit, also nach einem Reload bzw. Neustart des Mailservers, des MTAs, Entschuldigung, sollte der dann automatisch die Signaturen an jede E-Mail anhängern. Der Auffahrt ist relativ überschaubar, sage ich jetzt. Und ihr habt gerade allen Leuten, die von euch E-Mails empfangen, etwas Gutes getan, die können nämlich überprüfen, dass sie wirklich von euch kommen. Schön. Was hab ich davon? Du kriegst dir keine Mails. Das Schöne ist, Decim und SPF vertragen sich miteinander sehr gut. Das ist wunderschön. Beides Sets of DNS Records hat natürlich auch ein bisschen Schwachpunkte. Ich hab noch Fragen. Die Codebeispiele jetzt gerade waren für Postfix, ja. Aber das Zeug funktioniert nicht mit Exim-Sendmail. Ne, du musst das sagen. Nein, aber vom Konzept, der funktioniert es dort genauso. Wir haben uns jetzt mal auf Postfix konzentriert, weil damit kenne ich mich am wenigsten schlecht aus. Und Postfix verwenden doch gelegentlich zwei, drei Leute auch. Und für die Exim-Konflikt reicht der Konzentriert mit den hinteren Reihen nicht mehr lesen. Gut. Problem ist dabei wiederum, wir setzen da auf DNS noch immer auf. Schön ist aber, das Ganze funktioniert mit DNS-Sack auch. Wer verwendet DNS-Sack von euch? Wer von euch kennt jemanden, der schon mal seine Domäne verschrottet hat aufgrund von falschen DNS-Rackets mit DNS-Sack? Gibt es einen eigenen Ticker im Internet, der die Ausfalls-Zeiten-Protokolli ist? Wer zu dem Thema mehr wissen will, schnappt sich irgendwie den Rap-Ein-Mbio oder zwei? Genau. Der kann ich über DNS-Sack mehr erzählen. Die kommt zum Laboring von E-Mails und zur besseren Bewertung. Legitimer E-Mails bei Receiving MTAs. Und ihr tut da was Gutes, wenn ihr was wegschickt. Und wir sind noch immer nicht mit der DNS-Konfiguration. DNS geht doch mehr. Das kann man alles reintun. Jetzt haben wir zwar schon SPF und DECIM aufgesetzt und konfiguriert. Und das pfeift doch schon schön. Was dem ganzen fehlt, ist natürlich noch ein schönes Reporting-Feature. Wir brauchen auch Reports und Excel-Auswertungen und Statistiken. Wir müssen unseren Management reportieren, dass wir was gegen den Spam tun. Die besten Kurven, die steil nach oben gehen. Pretty Graphs. In Farbe und Bund. Dafür gibt es einen guten Tag. Ihr seht ja nicht meine Schummelzettel. Domain-Based Message Authentication, Reporting & Conformance klingt ungefähr so sperrig, wie es sich da noch anfühlt. Das Ganze setzt praktischerweise auf SPF und DECIM auf. Dass wenn ihr die zwei habt, das wäre der nächste logische Schritt, wenn ihr mal ein verringtes Wochenende mit eurem Mails über verbringen wollt. Ich würde da schon ein langes Wochenende einplanen. Im Prinzip, was ich mit DEMAG mache, ist, ich sage dem Receiving MTA, also den RMTA, wie er mit SPF oder DECIM-Fählern umgehen soll. Was soll er damit machen? Soll er die Fehler ignorieren? Soll er die Mails in Quarantäne stecken? Oder soll er die Mails Rejecten aufgrund dieser Fehler? Genau. Und das zweite Schöne, das ist eben dann dieses Reporting & Conformance. Ob und wie ich Fehler reported bekommen haben möchte. Das heißt, ich bekomme dann den Report zurück, dass bei einem anderen Mailserver eine Mail mit meinem Absender aufgeschlagen ist, die aber nicht den SPF und DECIM-Angaben entspricht. Der Spam, den nicht du geschickt hast? Genau. Wer möchte raten, wo diese Polices, was da zu passieren ist und was empfohlen wird, publiziert werden? Magic, ne? RFC, nein. Das ist das richtige Wort, viel schon. Wir sind immer noch im DNS, und zwar praktischerweise in einem Text-Record. Er kennt dir langsam ein Schema. Wie schaut denn so ein D-Mark-DNS- Text-Resource-Record aus? Ich habe ein D-Shavu. Die schauen alle gleich aus. Das D-Shavu hatte ich auch schon mal. Also, Version D-Mark 1, bisher sind uns wie so oft keine weiteren Versionen bekannt. Und da gibt es auch kein Protokoll, dass D-Mark 2 heißt, ob nicht D-Mark ist. Es gibt eine Policy, die kann einen von drei Werten enthalten, nämlich NAN, wenn die D-Mark-Verification falsch liegt, dann mache einfach weiter. Das ist schön, vor allem, wenn man noch nicht ganz sicher ist, ob die Konfiguration richtig ist. Quarantine, so, nehmt das E-Mail und sei mal ein bisschen vorsichtig, damit Behandler es etwas suspekt. Das ist so dieser mittlere Grund, wo man sich bewegen kann. Damit E-Mails nicht verloren gehen, was man davon hat. Oder eben, Beinhard zu sagen, reject. Wenn die Verification falsch liegt, dann hau das zurück. Ich bin sicher, ich habe meine ganzen Rackards und Sachen richtig konfiguriert. Also, so wie ihr das jetzt macht, wenn ihr aus dem Talk rausgeht, holt sich ein Junk, konfiguriert die E-Mails, reject. Und wundert euch am Dienstag nicht, warum ihr uns keine E-Mails habt. Don't drink and root, sage ich nicht. Das andere ist, das klar ist, wo sie herkommen und wenn mal eins verloren geht, dieses auchwurscht, dann ist reject auch so. Ein schöner Eintrag, den man nehmen kann. Dann gibt es den RUA, ein Parameter, das ist optional und gibt eine E-Mail-Adresse an, wohin die D-Mark-Aggregate-Reports hingeschickt werden. Das heißt, andere E-Mails ... Jetzt atmest du mal kurz durch und jetzt lasst euch das einmal durch den Kopf gehen. Ich gebe eine E-Mail-Adresse an, wo Reports drin sind, wer meine E-Mails falsch bekommen hat. Genau. Ja. Der hat dann hoffentlich auch einen Dick im Eintrag und einen D-Mark-Aggregat. Dass ihr sicher sein könnt, dass der Report, den ihr bekommt, auch echt ist und von dort kommt, wo ihr herkommen soll. Und wenn irgendwas nicht funktioniert habt, wenigstens eine Postmaster-Adresse, wo man sagt, da stimmt was nicht. Theoretisch könnte das auch eine Internet-Adresse sein. Kann ich bitte einen Engel haben, der dem Martin eine auflegt? Ja, es muss nicht eine E-Mail-Adresse sein, da kann auch eine Web-Adresse stehen, wo das dann hingepostet wird und wenn da nichts drinsteht, dann bekommt ihr keine Reports, dann ist es allerdings ziemlich sinnlos, die Mark einzusetzen. Zumindest der RMTA kann noch mal sagen, ja, SPF und so hat es funktioniert. Ja, nur FPS und nichts davon, da gibt es den RUF-Parameter, der ist für D-Mark Forensic Reports. Das sind so richtig detaillierte Infos über fehlgeschlagene Verifikationen und da steht dann genau drin so, was und warum da schief gegangen ist und warum jemand andere glaubt, dass das E-Mail, das da von deiner Domäne vorgegeben hat, zu kommen, nicht dort von dort war. Eine Frage. Ich verbinde dich zur Beantwortung der Frage, warum will ich das überhaupt haben mit meinem Bankberater? Domäns, die sehr viel unter Fishing leiden, die sind schon daran interessiert, zu erfahren, wer den Absehendeadressen fälscht, zum Beispiel, um dann potenziell gegen solche Leute vorgehen zu können. Oder du bist einfach nur neugierig oder du betreibst den Milchsäuber einer Uni. Das ist schon sehr interessant teilweise. Also sonst erfährst du halt einfach nicht, wer mit deiner Domäne blödsinn treibt, außer du kriegst irgendwie einen großen Haufen Backscatter-E-Mails von nicht zustellbaren, gefälschten E-Mails. Ungefähr beantwortet? Gut. Wer es nicht gesehen hat, der hätte hat Kekse und er hat nicht genug für alle mitgebracht. Ihr wisst, was zu tun ist. Da ist noch eine Frage. Es kommt darauf, also der Input war, dass es mir auch hilft, den eigenen Milchsäuber zu debacken. Ja, wenn die Reports dann Zeit nachkommen. Und wenn du die Reports überhaupt empfangen kannst. Aber das wäre schon eine grobe Fehlkonfiguration, aber sonst halt. Das wird dann interessant, ja. Also ich weiß jetzt nicht aus, ob du dann eine E-Mail-Adresse in einer fremden Domäne dort eintragen kannst. Ich glaube aber, ja. Du bist ja dem RFC. Wir lesen das noch nach. Interessante. Da war noch eine Frage, oder? Ja. Der Punkt ist, in diesen Reports kommt ganz, ganz, ganz viel Information. Das will man sich sehr gut überlegen, ob man das wirklich haben will, weil da zum Teil privacyrelevante Informationen drinstehen. Das ganze macht auch massive Probleme. Macht, wenn man es nicht wirklich super, super gut konfiguriert, massive Probleme mit Mailing-Listen. Spaß am Gerät. Nein, das hat mit Spaß nicht mehr viel zu tun. Genau. Ja, also da könnt ihr dann wirklich debacken, woher kommen E-Mails, die vorgeben von meiner eigenen Domäne zu sein, obwohl sie es gar nicht sind. Was steht da noch drin? Da gibt es einen FO-Parameter. Vier mögliche Werte. Null. Gib mir einen Report, wenn DKIM und SPF fehlen. Eins, wenn DKIM oder SPF fehlt. Oder S, wenn nur SPF, nur einen Report, wenn SPF fehlt. Oder D, gibt mir einen Report, wenn DKIM fehlt. Ich kann mir auch aussuchen, was für Reports möchte ich von anderen MTAs eigentlich bekommen. Dann habe ich noch den ADKIM-Eintrag. Der sagt, ich kann diese Verifikationen zu interpretieren. Das kann entweder sein S für Strict oder R für Relaxed. Und wenn ich ihn nicht angebe, ist der Default Relaxed. Dann gibt es noch den ASPF, der steuert das Gleiche für wie Strictsäulen meine SPF-Checks interpretiert werden. Da gibt es auch wieder Strict und Relaxed. Percent der PCT-Eintrag. Zwischen 0 und 100% kann ich da angeben, dass viele der E-Mails, die vorgeben von meiner Domäne zu kommen, sollen verifiziert werden. Irgendwo zwischen 0 und 100%. Default ist 100%. Es ist vor allem dann interessant, weil das erzeugt natürlich auch Last bei den empfangenden Mail-Server. Und wenn ich jetzt da Millionen von E-Mails verschick, will ich nicht für alle Millionen ein E-Mail sein Report haben, sondern da reichen wir wahrscheinlich 3% oder 10%. Und ich kriege trotzdem schon ein gutes Bild heraus, was da genau schief geht. Da war noch eine Frage. Das ist der, da kommen wir dann nachher auch noch mal dazu. Das ist jetzt im Prinzip die Info für den Receiving-MTA. Wie er reagieren soll, wenn da was schief geht? Genau. Noch eine Frage. Ja. Reports bekommst du nur von Receiving-MTAs, die Decim auch auswerten. Weil sonst ist das halt so noch ein Header. Ich habe dann noch ein paar Beispiele für Header. Dann wirst du ... Jetzt D-Mark selber? Gute Frage. Ja. Betreibt jemand einen großen TNS? Man könnte schauen, was da so für Textrecords angefragt werden. Ich weiß es leider nicht. Yahoo glaube, Yahoo. Yahoo anzunehmen. Der ganze Diskussion mit den Yahoo-Gruppen und so weiter, weil dann ziemlich viel gebroken ist. Interessanterweise Decim von Yahoo also. Oder war das SPF? Ich glaube, du meinst, ich kümmer mich auch von Yahoo. Es tut sich so viel. Sehr schön. Wenn wir euch nicht hätten, hätten wir uns vorbereiten müssen. Wir waren bei den Prozenten. Dann gibt es noch einen optionalen RF-Eintrag, der das Reporting-Format definiert. Da gibt es den wunderschönen Klingeln AFRF Default. Das Authentication Failure Reporting Format. Dann gibt es noch das AODEF Accident Object Description Exchange Format. Ich habe keine Ahnung, was der Unterschied ist, aber es klingt toll. Ich weiß es wirklich, ich muss jetzt nachschauen. Dann gibt es noch das Reporting-Interval. Das heißt, wie oft möchte ich jetzt Reports bekommen? Default ist so ungefähr ein Tag. Und nach Demax-Back kann ich da bis zustündlich runtergehen, nimmt Rücksicht auf die Mail server der anderen Leute. Ihr müsst das ja dann auch auswerten. Und es gibt noch einen optionalen Parameter SP für die Subdomain Policy. Den haben wir da jetzt gar nicht mehr drauf. Und der sagt aus, wie sich diese DMARC Policy auf Subdomains weiter vererben lässt. Das heißt, wenn ich sage, ich habe Subdomains von denen, dann kann ich zum Beispiel diese Subdomains mit einem DMARC Eintrag of Reject stellen. Von da kommt nichts, da kann nichts sein. Ja, genau. Reports auswerten ist schön, wenn man Emails kriegt. Man kann aber auch eben auch eine Webadresse hintun. Wenn ihr euch Gedanken darüber gemacht habt, wie ihr das mit der Privacy und so weiter Hand habt, könnt ihr von Postmark einen kostenlosen Service verwenden. Dann könnt ihr die Reports dorthin schicken lassen. Das gibt dann so Pretty Graphs und so. Ganz hübsche, bunte Bilder und sagen, wann und warum und wie oft diese ganzen Dinge gefehlt sind. Das ist ja eine Zeit, wenn man nachzuschauen, ob es nicht andere Schicken selbst hostbaren Free and open source Gratis Libre und Song Freedom Versionen gibt. Die mit den Daten einfach an einen Marketingmenschen schicken und das soll das in's Excel rein spielen. Ja, die machen ein Crystal Reports draus. Da gibt's noch eine Frage. Richtig. Genau. Die Reports sind natürlich nicht direkt authentifiziert und das, was passiert ist, sondern du kriegst einfach nur einen Report. Der ist ein echter Report, der irgendwo herkommt, aber die Zahlen, die drinnen stehen, können natürlich kompletter. Syntaktisch korrekt. Inhaltlich fragwürdig. In Österreich würde man sagen, in Deutschland wäre das Quark. Ist natürlich korrekt. Aber Pretty Graphs, hallo! Marketing hat was zu spielen. Das ist das Wichtigste. Manager sind beschäftigt. Ja, die Mark. Die Mark, also ist plurus sinnvoll, das Ganze einzusetzen, ist sehr interessant. Kommen eben per E-Mail meistens. Fremd gehostet gibt's. Selbst gehostet, wie gesagt. Wenn ihr was kennt, kennt jemand selbst gehostete Die Mark Reporting-Auswerte? Nicht. Hausübung. Ich schick's mir in E-Mail, wenn ich eins gefunden hab. Aber die Mark ist eben wirklich praktisch. Um rauszukriegen, Spam und Fishing, verschickt werden, aber nicht von mir sind, rauszukriegen und das zu reduzieren, ist allerdings halt ein bisschen komplexer zu konfigurieren und erfordert etwas Planung. Ist auch dann interessant, wenn man draufkommt, oh, da gibt es noch einen Webserver, der legitime E-Mails von mir schickt, an den habe ich jetzt nicht gedacht. Das kriegt ihr dann damit raus. Du kommt ja nie vor. Nein, nein, nein. Und wenn man es richtig falsch einstellt, dann nehmen die anderen halt keine E-Mails mehr von euch. Also bitte, stelle alles falsch ein. Sehr schön. Gut, das heißt im Prinzip Fazit, Fazit heißt natürlich, ja. Mailing-Listens sind generell ein eigener Fetisch, der damit ganz besonders viel Aufmerksamkeit bekommt. Also Header-Rewriting, Sender-Rewriting und so Dinge, wo das ein legitimes E-Mail ist. Da kannst du ganz viel Spaß im Gerät haben damit, ja. Ich weiß es, die Mailman-Version nicht auswendig, aber Mailman hat inzwischen eigene Konfigurationsoptionen, wie denn mit solchen Domains umzugehen wäre, um dann bestimmte Re-Writes nicht zu machen, damit, ja. Du hast Mailing-Listen gesagt, da hast du ins Westennes gestochen. Ich hab's dir gesagt, ich wollte sie nicht haben. Hanno, es bricht die Mailing-Listen, die wir seit Ende der 80er verwenden. Erzähl uns nachher mehr davon. Das heißt Hausübung für die Anwesenden und Zuhörenden, ARK nachlesen. ARK nachlesen soll das Problem mit den Mailing-Listen beheben und ja, Mailing-Listen werden durch dieses System zwangsläufe gebrochen, zumindest wenn ihr einen harten Rejecte eintragt. Das ist einer der Gründe, warum ich sagen soll. Denkt in Ruhe drüber nach, bevor er das aufdreht. Genau, Soft-Fail oder Nann und Reporting ist mein guter Anfang. Wenn ein bisschen spielen will, damit es für Thunderbird gibt, z.B. der Plug-in, mit dem, man selber zuschauen kann, SPF und Mailing-Listen. Da sind man wie viele Mailing-Listen mit Problemen. Ja, alle. Sehr schön. Weißt du, wie das Plug-in für Thunderbird heißt? Also, wenn ihr nach D-Kim oder SPF bei Thunderbird Plug-ins sucht, da gibt's etwas, was euch diese Fails und Probleme mit Mailing-Listen dann direkt im Thunderbird anzeigen kann. Danke. Tut das noch eine Frage? Ob Schleuder, das ist auch das ist ein Mailing-Listen-Management-Tool der neueren Generation. Ich hab da ein Bookmark, um mir das mal anzuschauen, aber ich hab mich damit noch nicht zu schäfigen. Ich weiß, Schleuder ist primär eher so eine Verschlüsselte Mailing-Listen, und nachdem du da mit den Hättern agierst. Ja, ja. Ja, es ist ein Prinz, ja, ja, es ist... Ich sag ja, E-Mail ist ein Problem. Es erreicht den Rechten, also man muss die Mailing-Listen in den Hättern begleiten. Ja, also gut überlegen, bevor ihr da Haart-Fails macht. Fangt mal an mit der SPF, macht mal ein bisschen D-Kim und demark langsam und nicht gleich mit Haart-Fails ein. Und wenn ihr Mailing-Listen auf allen Servern habt, googelt mal und lest ein bisschen nach, das ist dann so ein ganz eigenes Thema. Wenn ihr das gelöst habt, ich freue mich auf euren Talk beim Congress oder auf der Easterhack oder bei einem anderen Event. Das würde mich mich auch interessieren. Und schickt mir eine Mail, dass er da noch kommt. Schickt mir einen Reminder. Genau. Ja, DNS, da geht noch mehr. Wir sind noch immer nicht mit DNS. Den DNS, jetzt fangen die richtigen Schmerzen an. Den. Segliert. Oh, danke. Du bist so ein guter Dankes. Einen Applaus für den Red Planet, bitte. Hallo, hallo. Ja, und immer Finger weg vom Alkohol. Sehr schön, danke. Danke. Den DNS-Based Authentication of Named Entities. Ja, wir haben ja ganz viel im DNS jetzt hinterlegt und eigentlich können wir dem DNS ja nicht wirklich vertrauen, weil das DNS nicht signiert ist. Für die Neigungsgruppe DNS Sec Fetish gibt es einen eigenen Workshop auf dieser Easter Egg und zwar am Tag 3, der Konventionelle und Legacy Calender Version verwendet, 2016, 0, 3, 7 und 20 wäre das um 19.30. T-19.30, wenn es schon in so Format verwendet, dann ordentlich, ja. Da muss immer noch Z in der Zeit zuhören dazu, ja, Local Time. Ist da angegeben mit 3 Stunden 15, also top die Quälerei hier ganz locker. Und ansonsten können wir natürlich noch auf die diversen Talks von Ray verweisen, die ihr sicher irgendwo auf Media CCCD finden könnt. Auch da gibt es zu DNS Sec noch Sachen. Ich habe noch keine Domains, die DNS Sec können, deswegen. Und ihr braucht jetzt nicht glauben, dass wir jetzt damit schon fertig sind, genau. Denn? Ja, wir müssen anzuhören. Ja, es geht schon, es geht schon. Der dritte Akt. Magic. Ja, es wird, es wird, ja, ja, mehr davon. Genau. Das ganze Thema ist so absurd. Erst haben wir einen, diesen ganzen Mailsetter konfiguriert, damit wir Mails bekommen können und jetzt verbringen wir Stunden damit, um irgendwie zu verhindern, dass uns irgendjemand irgendwelche E-Mails schickt. Stunden, Tage, Wochen, Monate, also. Ja, genau. Das heißt, bis jetzt sind wir eher auf der DNS Seite unterwegs gewesen, Konfiguration eher so DNS und halt ein bisschen Mailserver. Jetzt sind wir bei den Aktionen, die wirklich auf dem, auf dem Receiving MTA basieren, das heißt auf dem MX. Genau. Erste Aktion, Blacklisting. Ich habe die Möglichkeit auf dem Server eine oder mehrere Blacklisten zu definieren, die schon einfach nach, das heißt, nein, eigentlich muss man anders anfangen. Wir wollen ja so früh wie möglich, so viel Spam wie möglich ausfiltern, damit wir unseren Server möglichst wenig belasten. Koste Zeit, Geld, Energie. Eigentlich kann er ja was anderes machen. Aber ich weiß schon nicht was, aber... Bitcoins rechnen. Das heißt, wir wollen eigentlich so schnell und so einfach wie möglichstmöglichst viel Spam loswerden. Einfachste Methode ist, darf die IP, die sich da jetzt mit meinem Mailserver, meinem MTA verbindet, eigentlich überhaupt meine Mailserver eine E-Mail zustellen. Das kann ich über Blacklist abfackeln. Das heißt, der schaut nach, ist das ein bekannter Spammer? Und wenn ja, dann lehne ich die Verbindung gleich ab, nehmt die Mail gar nicht entgegen, Verbindung wird abgebrochen, danke erledigt. Passiert das, das Ganze passiert auch wiederum auf DNS, also ganz wenn wir es noch nicht los. Zum Beispiel DNS, ich könnte auch einfach Textarteien auf meinem eigenen Mailserver hinterlegen, wenn ich ganz gezielt bestimmte IP-Nummern diskriminieren möchte. Hat ja niemand behauptet, dass E-Mailer Demokratie ist. Also wenn ich sage, die IP mag ich nicht, die gefällt mir nicht. Da ist die Quersumme irgendwie schräg oder nicht fängt Schuhe. Einfach mal blocken. Gibt es verschiedene Möglichkeiten. Die Auswahl der Blacklist ist eine Vertrauenssache. Da wird viel Schindl oder Getriebe. Es gibt Blacklist, da kommt nur gegen Abschlagszahlungen runter. Es gibt andere Blacklist, da komme ich runter, weil einfach der Eintrag automatisch veraltet und rausfliegt. Das sind die Angenehmeren. Zahlt sich auch immer wieder mal auszustand, steht mein Mailserver irgendwo auf einer Blacklist, habe ich irgendwo was falsch konfiguriert. Für den deutschsprachigen Raum bietet der Heiseverlag zusammen mit Manitou einen brauchbaren Blacklist-Server an, wo man auch automatisch wieder runterfällt. Genau, das sogenannte Nixspam-Projekt hat sich bei den Mailservern, die ich administriere, sehr bewährt. Speziell für den deutschsprachigen Raum, sehr viele Blacklist behandeln nur so viel US und so. Das funktioniert da wirklich gut und die Einträge altern dort automatisch wieder raus. Das heißt, wenn dort jemand drauf kommt, kommen die von alleine auch wieder runter. Das geht in ein paar Stunden. Funktioniert im deutschsprachigen Raum wirklich sehr, sehr gut, kann ich empfehlen. Nicht zu viele, mehr hilft viel. Super 34 Blacklist, die trage ich alle ein. Jetzt macht euer Mailserver erst mal 34 DNS-Abfragen, um diese DNS-basierten Blacklists abzufragen. Das heißt erst mal relativ lange damit beschäftigt, da die Blacklist zu checken. Nehmt darauf Rücksicht, so viel bringt das auch wieder nicht. Beschränkt euch auch vielleicht zwei oder so, damit es noch einen sinnvollen Performance-Impact hat. Ansonsten tut ihr euch damit nicht wirklich was Gutes. Jetzt ist aber dieses harte Ablehn von Mailservern oder von zustellenden IP-Adressen nicht unbedingt das, was man haben will, vor allem wenn man irgendwie auch von der E-Mail-Kommunikation noch immer abhängig ist, nicht so wie der Beppet, der kriegt nur noch Faxe. Das heißt, ich möchte vielleicht doch irgendwie so einen Zwischenschritt haben zwischen annehmen und ablehnen. Und da hat sich in den letzten Jahren zumindest unserer Erfahrung nach des Graylistings sehr bewährt. Das heißt, die eingehende E-Mail wird zunächst einmal temporär abgewiesen mit einem SMTP R451, so nach dem Motor probiert es später nochmal. Weil davon ausgegangen wird, dass ein klassischer Spammer Fire ein Foggetter versucht, das einfach hinzuschmeißen. Wenn ich es nicht annehme, kommt er nicht wieder. Hat sich mittlerweile auch ein bisschen geändert, aber im Normalfall ist das so. Das heißt, ein Legitimer Absender probiert es einfach eine halbe Stunde, eine Stunde, 15 Minuten später. Das hängt vom MTA ab. Also wir haben, wenn es wenig interessiert, der Ex-SIM probiert es nach 15 Minuten wieder, Exchange nach einer, zwei, 22, 42, 62 Minuten. Also hängt ein bisschen von dem Absender ab. Das Postfix nach 16,6 Minuten. Also das ist, da kann man Lotto spielen damit. Die Gewinnchancen sind bescheinend, aber ein besserer Zufallsgenerator als Ray, oder? Ja, ja. Gut, wie gesagt, und dann probiert es halt der Sende, der MTA einfach nochmal und mein Empfänger hat sich halt inzwischen den Absender und den Intended, also den Recipient Meal. Ja, was heißt Intended auf Deutsch? Den beabsichtigen Empfänger gemerkt und wenn der jetzt nach einer halben Stunde wieder kommt, sagt er, ah, das ist ein Legitimer Absender und nimmt die Mehl an und stellt sie dann entsprechend zu. Funktioniert eigentlich wirklich, wirklich fein. Ja, ist eigentlich erstaunlich, dass es immer noch so gut funktioniert. Der einzige Nachteil ist, man muss wahrscheinlich dann am Anfang mal seinen Manager wieder mal erklären, dass E-Mail kein Chat ist und dass eine E-Mail auch einmal verzögert ankommen kann. Halbe Stunde, Stunde, zwei Stunden, zwei Tage. Ja, weiß man nicht. Im Normalfall sind es wirklich nur ein paar Minuten, das erste Mal, wenn von dieser E-Mail-Adresse, von diesem Authoring-MTA ein Mail kommt, dann kriegen die halt ein Muzzle, die nächsten E-Mails, da haben die schon ein Muzzle und sind bekannt dieses Pärchen und dann geht das auch sofort durch. Ab dann kann das Management wieder über E-Mail chatten. Nur das initiale erste E-Mail kann ein paar Minuten verzögert sein. Wenn sich der Authoring-MTA nicht besonders RFC-konform verhält, dann kann es auch mal sein, dass die jetzt ein bisschen Ping-Punk spielen für ein paar Stunden. Google ist da auch sehr spaßig mit diesen Dingen. Da hinten gibt es eine Frage. Genau, also Google ist da ein bekannter Problem-Partner. Es heißt ja nicht, dass Sie verhalten sich ja konform. Es heißt ja nicht, dass die E-Mail immer vom selben Sending-MTA kommen muss. Das ist ja durchaus legitim. Da bin ich jetzt nicht ganz sicher, ob du quasi mit einem Temporary-Check nicht vom selben probieren müsstest. Ja. Müsste ich auch jetzt nachlesen, aber das Problem ist halt, Google hat nicht nur einen Mailserver, die haben ganz viele davon und probieren es halt mal vom ersten, der wird gegraylisted. Paar Minuten später kommen sie von einer anderen IP, die hat natürlich jetzt kein Pärchen mit Muzzle, wird wieder gegraylisted und das geht halt so bis im Cluster einmal durch die Schleife durch. Das ist bei meinen Mailservern da so vier bis sechs Stunden für Google und dann geht es. Und wenn ihr das Problem habt und die Baggen wollt und nicht ganz sicher seid, ob ihr jetzt einen fully qualified Domain nehmt für IP und Legacy IP habt, ganz viel Spaß beim die Baggen. Langes Wochenende. Ja. Aber das kann man ja auch umgehen oder mitmitieren, indem wir da auf das sogenannte Wide Listing setzen. Das heißt, ich habe natürlich auch die Möglichkeit zu sagen, das ist ein vertrauenswürdiger Kommunikationspartner mit mir. Den setze ich auf die sogenannte Weistliste. Das heißt, der wird von dem ganzen Black und Gray Listing ausgenommen und darf direkt mit mir kommunizieren. Das heißt, Google könnte man da auf diese Liste setzen oder wenn ich weiß, ich kommuniziere da mit Peppi, wenn er einen funktionierenden Mailserver hätte, dann könnte Peppi's Mailserver auch auf diese Weistliste draufsetzen. Genau. Das Schöne ist, dass man auch, dass man Authoring MTAs einfach komplett white-listen kann, so nehme ich immer und dass man sie auch vom Gray Listing white-listen kann. So nehme ich jetzt nicht prinzipiell immer, aber sie werden mal nicht gegraylisted. Also ich kann sie eine white-liste machen, die sie aus der Gray List ausnimmt. Es ist halt nicht alles schwarz und weiß bei E-Mails, ja. Und nachdem wir alle auch ein bisschen boff sind. Wer weiß, was boff heißt? Für alle, die nicht aufzeigen, theregister.co.uk lesebefehl, das ist Kulturbildung. Was da operator vom Held, das heißt, wir wollen den Spammer noch das Leben ein bisschen schwer machen. Das heißt, ich habe prinzipiell auch die Möglichkeit zum Beispiel beim Postfix Tapeting aufzutrehen. Das heißt, ich kann durch geschicktes Antworten auf den SMTP-Connect, durch langsames Antworten oder relativ sinnlose Antworten, die Kommunikation mit dem Spammer möglichst lange hinziehen, damit der in der Zwischenzeit nicht 15 andere Leute mit Spams versorgen kann. Also das ist so ähnlich wie diese Counter Scripts für die Telefonanrufe, wo man einfach den Agent so lange beschäftigt, bis er genervt aufgibt. Wenn man der Welt ein bisschen was Gutes tun will, dann könnte man mit Tapeting da ein bisschen... Ja, der Nachteil ist, dass Spammer ihre Ressourcen halt wunderbar über diverse Botnetze verteilen können, ob das jetzt eigentlich Video-Rekorder sind, Füllschränke... Die sind drei Pübbenern, Pübbenern fast... Pübbenern sind ganz neu im Kommen, ja. Poste noch immer nicht, weil dort läuft nur net BSD und diese Leute wissen, was sie tun. Was gibt es sonst noch für... Dein Lieblingsthema? Genau, sogenannte Early Talker. Wenn jetzt ein Server schlecht erzogen wurde, von der Systemadministration, prinzipiell ist es so, beim SMTP-Protokoll wird man artig gegrüßt, dann kommt so Helo und dann einen Hostname, also oder ein Helo mit Hostname, und dann muss quasi der Receiving MTA die Zeit bekommen, auch zu grüßen und sich vorzustellen und sagen, ich bin's. Wenn jetzt der sendende Mail server einfach sofort Mail from, Data und gleich mal schicken, sagt man sich einen Moment mal, erst mal artig grüßen oder nach Hause gehen, sogenannte Early Talker, fängt schon zum Reden an und wurde noch nicht das Wort erteilt. Gibt's dann so schöne Fehlermeldungen, die man zurückschicken kann, wie I can't be RFC Ignorant 2? Der Hintergrund da ist natürlich auch wieder, Spammer wollen so schnell wie möglich schicken können und Durchsatz, Durchsatz, Durchsatz generieren. Nur manche von diesen Spam-Schleudern sind halt wirklich cruder, mystiger Code, sind wir froh darüber, daran erkennen wir sie und da können wir sie auch loswerden. Es gibt halt auch ein paar kommerzielle Mail-Server, die sich auch so ähnlich verhalten, vor allem ältere Modelle, die nicht abgedätet wurden. Ja, ja, das muss man bis sie aufpassen, aber prinzipiell gute Sache. Eudora Internet Mail Server betreibt ja niemand mehr. Hat sogar die TU Wien jetzt abgedreht? Nein, doch. Die Postfix ist ganz einfach. SMTPD Halo Required auf Yes setzen und ihr seid die ganzen Erletalker los. Das ist richtig schön. Dann gibt es noch so Themen wie amoklaufende Mail-Server, die halt einfach irgendwie meinen, so irgendein Start-up, das jetzt meint, sie müssen ihren Mail, ihre E-Mails an alle Mitarbeiter im Unternehmen schicken. Habe ich die Möglichkeit, das auch wieder einzutämmen? Von Postfix habe ich den Enwil, da kann ich dann sogenanntes Rate-Limiting einführen. Das ist einfach die Anzahl der E-Mails, die ich von einem Host entgegenimitieren. Wenn ich Netzwerkatmik auch bin, könnte ich es auf IP eben auch schon machen. Ja, da frage ich uns lustige Dinge. Enwil ist mehr dazu gedacht, als Notbremse für wild gewordene Clients, bevor die zu viel Schaden anrichten und Ressourcen hoggen. Es ist jetzt nicht dazu gedacht, um wirklich schönes Ressourcen-Management damit zu machen. Was können wir noch machen? Header-Check. Es hatten schon ganz viele Header heute. E-Mail-Header sind, der gemischt war ein Laden der Metadaten. Man findet in den in diesen Headern sowohl Envelope-Headern als auch normalen Headern unglaubliches, unglaubliches Zeug. Von Deck-Im-Signaturen die haben wir heute schon gehabt. Mail-Programmen, List-IDs, you name it. Ich habe mal so eine kleine Sammlung an Mail-Headern, die in den letzten Jahren bei mir vorbeigekommen. Ist nicht comprehensive, also da gibt es noch mehr. Ich weiß, das kann man jetzt ab der ersten Reihe nicht mehr lesen. Das sind über 3.800 verschiedene Dinge. Schaut es euch das mal bei euch am Mail-Server oder im eigenen Mail-Programm an. Header, die so mit X-Binde-Stich anfangen. So Custom-Header, da ist unglaublich viel Zeug dabei. Ganz viel Spaß damit. Das heißt, ich kann jetzt auf dieser Header auch wieder nachdem wir uns in der Post-Fix-Welt bewegen. Auf dieser Header-Filter habe ich eine Möglichkeit, einfach Perl-Regex. Ich kann mir eine Regex schreiben, die einfach gewisse Mails mit gewissen Headern auf eine bestimmte Art und Weise behandelt. Das heißt, ich trage in meinen Post-Fix-Konfig wieder ein ... In diesem Fall stehen meine Regeln drinnen und dort schreibe ich meine Regexen und die Anweisung hinein, was passieren soll. Also zum Beispiel, wenn ich mir aus 1995 eine E-Mail schreibe, dann nehme ich die einfach im Jahr 2016 nicht mehr an. Man kann dann auch hilfreiche Fehlermeldungen zurückliefern. So kauf dir doch mal eine Echtzeit-Uhr für deinen Computer. Das ist das Beispiel vom österreichischen Parlament. Die Raspberry Pies haben ja keine Real-Time-Pierre. Auch sehr praktisch zum Beispiel, falls euch jemand in sein professionelles Business-Netzwerk aufnehmen möchte, das ist einer von vier LinkedIn-Headern, auf die ihr reagieren könnt, um das zurückzuweisen. Wenn ihr freundlich seid, schreibt ihr go away. Da geht mir, da kann man lange Texte reinschreiben. Wir haben jetzt natürlich ein bisschen gelungen, es geht nicht nur auf die Header, man kann das Ganze zumindest im Post-Fix auch auf die Bodies anwenden. Genau, also wenn ihr mit den 3000 Header da nicht auskommt, das Level-Upgrade kaufen, Bodychecks, da kommen dann die L-Bogen vom Post-Fix raus. Wenn ihr den gleichen Schmäh könnt ihr auch den wirklichen Inhalt der E-Mail genauso verarbeiten. Das geht auch mit so einer sehr kreativen Zeile Bodychecks eintragen. Auch dort wieder Regular Expressions nehmen. Das sind immer noch nur Regular Expressions. Das ist zwar schon mächtig genug, aber das sind eigentlich immer noch relativ billige Methoden, Sachen zu filtern. Einzelne E-Mail-Kleins, die ihr nicht mögt, einfach mal abweilen. Das mag ich nicht. Das war jetzt alles noch relativ am Anfang des MTAs. Es ist ziemlich an der Front des MTAs. Jetzt kommen wir dann zu dem Punkt, wo der MTA dann schon Hilfe braucht. Das heißt, das mache ich jetzt nicht mehr mit nativen Portmitteln des MTAs meines Vertrauens, also in unserem Beispiel, in der Zeile Post-Fix. Da brauche ich jetzt Hilfe. Ein klassisches Programm, das man hier dann hinzuzieht, ist das BMSS-In oder kurz SA. Da wird es jetzt schon teuer. Der ist primär in Pearl geschrieben, die EU dann schon ein bisschen was zu tun. Wird schön warm im Rechenzentrum, ist auch fein. Das Schöne an dem BMSS-In ist, der schaut sich jede E-Mail an, analysiert sie, bewertet sie, die mich das auch nicht klopfen. Ja, ist das schön. Bewertet sie, ob sie BMSS-In oder nicht, und vergibt dann entsprechend seiner Bewertung Punkte. Das heißt, einen Punkt, wenn es ein SPF-Record gibt und der stimmt, dann wird von dem Score wieder was abgezogen. Das heißt, der geht wieder Richtung Null. Wenn ich keinen oder einen falschen SPF-Record habe, dann geht der Score nach oben auf 2, 3, 4, 5. Und ich kann dann eben einstellen, ab welchem Schwellwert eine Mail als Spam markiert wird. Also mit einem Score von 5 Hausnummer ist die Mail als Spam anzusehen. Was das Spam-Sesse nicht macht, ist diese E-Mail dann irgendwie zu löschen oder in einen Ordner zu verschieben oder sonst was. Das macht schon darauf. Ganz viele und bunte. Jemand anderer kann dann entscheiden, was damit passieren soll. Zum Einsatz kommen der BIS Filter, Keywords, ich kann noch einmal Blacklisten einsetzen und das schauen wir uns jetzt dann im Detail ein bisschen an. SPF, Decim, Domainkeys und so weiter hier einsetzen. Jetzt sind wir jetzt auf der anderen Seite. Das ist jetzt quasi die Receiving MTA Seite. Hier wertet ihr die SPF von anderen E-Mails und anderen Mail-Domains aus. Damit da überprüft ihr jetzt die Sachen selber. Dazu wird der Transport in der Master-CF in Postfix eingehängt und definiert. Das praktische ist, ich glaube, das ist in den meisten Distros schon vorgeschrieben und vielleicht auskommentiert. Das heißt, das kann man relativ leicht konfigurieren und wie man ein paar Hashes wegtut. Dann muss ich noch einmal über die Spam-Assessing-Config drübergeben. Ich muss ihm eben ansagen, dass der Score ist, um eine Message als Spam zu markieren und ich muss ihm dann sagen, wie diese E-Mail zu markieren ist. Es gibt leider ganz viele Mail-User-Agenz, die nicht auf Mail-Header filtern können, sondern nur auf Betreff und sonstiges Zeug. Das heißt, die Standard-Option ist eigentlich immer, dass ich im Spam-Assessing in den Header oben hineinschaue. Spam! Lovely Spam! Nicht singen! Ich kann aber für die Mail-User-Agenz, die das Ganze etwas eleganter machen können, auch einen zusätzlichen Mail-Header in die E-Mail hineinschreiben und da bekomme ich dann noch mehr Informationen. Welche Filter haben jetzt beim Spam-Assessing angeschlagen, wie ist der Score zustande gekommen und noch ein paar andere Dinge, was er halt so an Dingen gemacht hat. Wenn wir das aussehen, da war der Spam-Assessing der Meinung, kein Spam hat minus 1,9 Punkte akquiriert, also kein High-Score. Ab 3,5, werden wir geneigt zu sagen, es sieht nach Spam aus und bei den Tests steht auch noch drinnen, welche der verschiedensten Sub-Tests, die der Spam-Assessing anwendet, angeschlagen haben und was dabei rausgekommen ist. Das kann auch sehr, sehr viel länger sein, je nach E-Mail. Es ist best durchgelaufen. Es passt. Und der BS-Filter hat auch noch gelernt, dass das Ganze eine gute Mail ist. Genau, also gibt es auch schon Spam-Punkte für HTML-E-Mails und so weiter. Ich stelle mir das sehr interessant von Spam-Assessing konfigurieren bei Pfeiser. Wer jetzt noch nicht gelacht hat, Pfeiser sind die, die Viagra machen. Da die Guten und die Schlechten da auseinander. Du, das ist ein Pharma-Kernzern, die kommunizieren nur noch Verschluss. Die können sich das jedenfalls leisten. Wie gesagt, SPF, das Ganze funktioniert dann natürlich auch mit T-Kim. Da ist es dann so, ich kann hier schon die E-Mails dann komplett weitlisten, wenn die T-Kim Signature passt, das heißt, ich sag dem Spam-Assessing, wenn die T-Kim Signature passt, dann brauchst du jetzt gar nicht noch einen Hacken drunter. Dann kann ich die wirklich teuren Analysen einfach bleiben lassen und sagen, das ist signiert, das kommt von der richtigen Domäne von einem Server, der das darf und so weiter. Dann spare ich mir den Rest, das wird schon passen. Kannst natürlich auch ein signiertes Spam-Mail bekommen werden. Ein signiertes, legitimes Spam-Mail ist dann eine philosophische Grundsatzdiskussion. Ob das jetzt noch technisch Spam ist oder nur unsolicited Email. Aber prinzipiell, die andere Geschichte ist, man will beim Spam-Assessing einfach auch immer schauen, dass die Tests so kurz und billig wie möglich sind. Wenn ich es wirklich ganz hart treiben will, habe ich beim Spam-Assessing auch noch die Möglichkeit zu sagen, nimm doch dieses PDF-Attachment, lass es durch die OCR laufen und kontrolliere den Text, der dabei rauskommt auf Spam. Aber da hat er dann schon ein bisschen was zu tun. Wenn bei euch so pro Stunde eine Million E-Mails durchgeht, dann kann man sich das auszahlen. Aber technisch nussbar. Ich hätte auch ein Hardware-Händler bei der Hand, der euch dann gerne ein Angebot unterbreitet. Minimum Abnahme, 19 Zoll-Rick. Bestückt. Ja. Gut. Jetzt gibt es nicht nur Spam. Wir haben das Ganze natürlich dann auch noch mit Antivirus, Mailware-Fishing und sonstigen Dingen. Da greift jetzt nicht wirklich das Spam-Assessing. Da haben wir dann andere Lösungen. Die Einheit, um das zu machen, es zu sein. Aber die Art, wenn man nicht immer von daher oder sonstiger Kommaizelle wie ein Scanner hineinhängen kann. Genau. Klemavv, das ist so ein bisschen Klem-D, wer die Dimon-Variante, die nicht jedes Mal gestartet wird, sondern halt ein bisschen performanter ist, aber ansonsten das Gleiche tut. Update sich üblicherweise, wenn man an der Konfig nichts endest täglich, was er okay ist. in eurem E-Mail-Cluster habt, damit könnt ihr sie wunderbar verbraten, ohne wirklich viel dafür zu bekommen. Und wenn ihr noch Geld ausgeben wollt, dann holt euch noch einen Konsultant, der euch berät, welcher von diesen 20 Viren-Scannen am Markt noch unterschiedliche In-Engines im Backend verwendet und dann schaut's, dass ihr unterschiedliche Backend-Engines bekommt. Das wird mittlerweile sehr, sehr interessant schon. Genau. Dann eine andere Möglichkeit, wir haben schon gesagt, ich kann hineinhängen den PISA, das ist eine Python-Inventation eines BAM-Blocking-Networks, die tauschen Signaturen von BAMs auseinander. Genau. Google oder United Internet oder GMX oder sehr, sehr große Anbieter, die sehr viel E-Mail reinkommt, haben den Vorteil, die sehen so viel E-Mail, dass es wenn irgendwo 10.000 gleiche E-Mails reinkommen, fällt denen das auf, weil sie einfach selber so viel davon sehen. Und können daraus wieder schließen, das schaut jetzt entweder nach einem wirklich miesen Newsletter aus oder ist es BAM. Und können daraus ihre Filter optimieren. Als kleiner Mail-Anbieter oder für euer eigene Domain habt ihr die Möglichkeit nicht, weil ihr kriegt wahrscheinlich nicht so viel E-Mail und PISA ist eine Möglichkeit, wo eben ihr ein Federated-Netzwerk habt, wo eure Mail selber mit anderen Mailselbern reden können und diese Sachen, die sie sehen, miteinander austauschen und vergleichen und sozusagen miteinander diese Gleiche schwarren. Soll ich jetzt ... Ja, Intelligenz will ich jetzt nicht sagen. Aufbauen können. Gibt es eine Frage von Paul? Ja. Unterschiedliche, legitimen Newsletter und BAM, ja. Darüber kannst du Diplomarbeiten schreiben. Das ist ein sehr feiner Grad und das ist teilweise sehr, sehr schwierig zu unterscheiden. Also beide haben einfach sehr ähnliche Eigenschaften. Das ist ja hohe Kunst, eben dann den BAM Filter genauso zu konfigurieren, dass er die Dinge auseinanderhalten kann. Also für die ältere Generation oder wenn man Python nicht am Mail server haben will, z.B. statt dem PISA auch noch den Razor, der macht im Prinzip dasselbe in Grünen. Aber halt mit Perl. Mit Perl, genau. Und Perl habt ihr ja sowieso schon am Mail server für Spam-Assassin für die Regular Expressions und alles Mögliche andere. Perl kommt in diesen Bereichen wirklich massiv zum Einsatz, das heißt, das werdet ihr nicht los. Aber Python ist halt optional und die beiden vertragen sich, glaube ich, auch miteinander durchaus, wenn man möchte. Ja. Wie gesagt, Razor und PISA kann man in den Spam-Assassin direkt hineinhängen. Ich kann jetzt den Clam-AVD z.B. auch wieder in meinen Postfix direkt hinein konfigurieren über irgendeine Filter und sonstige Roles. Für das Ganze gibt es aber eigentlich eine angenehmere Lösung, das ist der AMA WSD. Das ist sozusagen die Drehscheibe um all diese Demons in meinen Mail server, in meinen Postfix hinein zu integrieren. Der setzt, der braucht z.B. den Spam-Assassin zwar installiert, benutzt aber nicht den Spam-Assassin-Konfig und den Spam-Assassin-Demon, sondern startet sich das alles selber und eigen. Über den kann ich dann auch meinen Clam-AV hinein konfigurieren und somit habe ich eine zentrale Stelle, wo ich das alles konfiguriere und ... Genau, das ist so die große Schnittstelle, wo ich andocken kann mit allen möglichen anderen Dingen, die ich dann auch hineinhängen will. Ist euch was aufgefallen in der Zwischenzeit? Gibt es noch eine Frage? Ja. Normalerweise ja. Ja? Ja, das ist etwas, was der AMA WSD dann machen kann. Der sortiert auch noch? Der sortiert dann auch auch aus. Bisher haben wir noch immer kein E-Mail zugestellt. Nach ein dreiviertel Stunden. Wir müssen jetzt ansonsten, wir werden eben fertig. Ach, das geht jetzt flott. Genau. Also wir haben immer noch inbox zero. Großartig. Also Moment, wir fahren eigentlich immer noch in Postfix zu spazieren mit unseren E-Mails. Die B-Partys jetzt soweit geschafft haben. Das heißt, jetzt übergibt im Prinzip mein Postfix oder mein MTA, mein Receiving-MTA die E-Mail an das Local Delivery, an meinen so genannten Local Message Delivery Agents. Ja. Wir wären so reich, wenn wir für jedes diese Abkürzungs-Dinke da eben so gehen. Das ist heutzutage unsere Empfehlung nach und was wir auch so sehen im Umfeld eigentlich üblicherweise der DAF-Cod. Ja. Das ist sehr hübsch. Das ist super, super befein. Der DAF-Cod stellt mir für Postfix, Exem und wie sie alle heißen, einen entsprechenden Mail Delivery Agent zur Verfügung. Das heißt, mein Postfix kann dem DAF-Cod das ganze relativ anspensiv billig einfach schnell über ein Socket oder Pipe überschieben. Stuft das da einfach über? Stellt das doch mal zu. Ich weiß ja jetzt nicht, wo der User seine Mail hin haben will. Vielleicht will er es in einer Datenbank, vielleicht will es ins Filesystem. Genau. Das ist das erste, was der DAF-Cod macht mit dem E-Mail. Also, da gibt es diese schöne Konfigurationszeile, also die vorliegste Zeile vor der geschlossenen Klammer. Erst mal die Quota checken. Haben wir überhaupt Platz für das E-Mail. Seit Stunden langdringliche Filter gequält und gedrückt wurden. Und dann sagt der DAF-Cod, das ist Mailbox-over-Quota-vollkeit. Das ist so nicht geht. Sehr schön. Wenn da ein Daft-Code ist, dann ist das ein Daft-Code. Sehr schön. Wenn da zufällig Platz ist und nicht irgendwer die Plattefolie gemüllt hat schon, dann kann man da immer noch filtern und sortieren. Das Schöne ist, da gibt es diese schöne Sprachsief. Da können jetzt eure Userinnen und ihre User selber anfangen, Mails zu filtern. Was man abdrehen sollte, ist, dass er sich die Mails weiterleiten, sonst nimmt er es nie in Ende. Da war wieder was mit den Mailing-Listen. Das Schöne am Safe ist, es ist mittlerweile in einer RFC spezifiziert. Es ist eine einfache Methode, um Regeln zu definieren. Das so schaut sowas aus. Das heißt, wir hier im Raum können sowas wahrscheinlich schreiben. Unsere End-User, die wir alle kennen und lieben, wahrscheinlich nicht. Das Schöne ist, aber ich habe hier wieder verschiedenste Möglichkeiten, Aktionen zu setzen. Ich kann die Mail in einen Ordner legen, ich kann die Mail löschen, ich kann die Mail weiterleiten. Automatisch darauf antworten. Genau, Autoresponder für Urlaub etc. lässt sich z.B. alles so über diesen Safe machen. Ich giss noch eines zurück. Ich kann da auch z.B. sagen, wenn hier mein Spam-Assassin in den Hände hineingeschrieben hat, dass ich Spam dann lösche, ich sehe oder schiebe es in einen Spam-Ordner oder was auch immer. Das Ding ist wirklich fein und praktisch. Ich kann das Ganze die Regeln auf Systemebene angeben. Ich kann sie auf User-Ebene. Der User kann sich das selber definieren. Der Nachteil ist, diese Safe-Konfiguration liegt in einem File. Das heißt, ich muss meinem User eine Möglichkeit geben, ein Safe-File, das syntaktisch korrekt ist, noch, noch, auf den Server zu stellen. Damit fällt er mal aus. Ein Falsche auf den Mail-Server bekommt er nicht. Ein FDP-Zugang bekommt er nicht, weil dann schlägt mich der Beppe. Das heißt, es bleibt eigentlich nur noch übrig, dass ein User einen SCB-Zugang auf den Mail-Server bekommt. Nein. Das geht besser. Das geht besser. Dafür gibt es dann das Manage-Safe-Protokoll, mit dem kann ich dann dem User die Möglichkeit geben, kontrolliert, Safe-Regeln auf den Server zu buschen mit entsprechenden Safe-Kleien. Genau. Und damit fängt die Katastrophe an. Genau. Das ist eine Möglichkeit, den Userinnen und User einen Tool in die Hand zu drücken, mit dem sie selber Regeln schreiben können, um sich dann ins Knie zu schießen. Das garantiert nur die syntaktische Korrektheit und die Managebarkeit. Nicht, dass diese Regeln noch irgendeine Art von Sinn ergeben. Wenn Sie überhaupt eine Regel schreiben können, weil die Editoren schon nämlich aus wie das. Genau. Es gibt einen Plug-in für den Thunderbird. Ich wollte euch ja einen Screenshot ersparen. Das ist im Prinzip ein Editelement, das in den Thunderbird hinein geplatscht wurde. Das heißt, ich habe einen Notpad im Thunderbird, mit dem ich dann händisch meine Regeln schreiben kann. Hat aber eine Textbundmachfunktion? Ja, okay, es ist Notpad++. Kein Syntax-Coloring, bitte. Bundmachen ist das. Das ist wirklich schlimm und das wird unter Linung auch nicht hübscher. Es wird fast nirgends hübsch. Das heißt, ich habe die Wettmehl-Clines und Mobile-Telefone eine Geschichte voller Missverständnis. Ganz, ganz schrecklich. Das heißt, die einzige Option, die ich habe, um eine Siefregel Hypix-U-Benutzer freundlich zu formulieren, sind eigentlich die ganzen Sief-Plug-Ins für die Wettmehl-Clines. Genau. Damit beenden wir diese Tragödie. Und es kommt. Ja, genau. Hoffentlich funktioniert es in unseren Talks übermorgen besser. Genau. Es ist Wettmehl. Ein Ding, das für viele von uns ein relativ unverständliches Mysterium bleiben wird. Weil wir rufen mit unseren Mails alle mit Telefone-Trage. Keine Schleifen. Nur if den. Darf ich die Frage so interpretieren? Nein. Nein. Musst du leider immer noch im Postskript lösen. Da gibt es noch eine Frage. Wenn ich jetzt ... Also, das RFC, das ich jetzt im Kopf habe, da steht zumindest drin, dass Start-TLS unterstützt wird. Ich glaube, dass es einfach viele nicht konfigurieren. Aber es sollte eigentlich über TLS gehen. Nein. Muss du leider immer noch im Postskript lösen. Aber es sollte eigentlich über TLS gehen. Ja. Also, ihr wollt Managessiv an sich nicht wirklich exponieren. Man weiß ja auch nicht genau, was die Clients dann wirklich tun und ob die da Dinge tun. Deswegen, die Notlösung wäre ein Wettmehl-Interface. Da ist noch eine Frage. Die Frage war, wie die Suche funktioniert, wenn ich meine Einmails verbindungen Thunderbird habe und danach einen Begriff suche. Wenn die Mails lokal liegen, sucht der lokal. Wenn ich es jetzt richtig im Kopf habe, dann geht die Suche an den Duff-Cod. Der hat einen Index auf die Mails, aber nicht auf den gesamten Body-Nurfen, Header und Subject und so. Was du machen kannst, das haben wir ... Ich habe dir gesagt, wir sollen es machen. Du hast gesagt, wir nehmen es raus. Du kannst dann an den Duff-Cod noch den Solar-Such-Index dranhängen. Der machte dann Volltex-Index über den Body, über die Attachment und alles. Und dann hast du wirklich Volltex-Zuche ... So wie man das richtig macht. Aber ... Wir haben ja nur zwei Stunden bekommen. Genau. Und da haben wir so viel gestrichen. So, mach dein Webmail fertig. Genau. So ein Ding, das nachdem ja Squirrel Mail nicht mehr so in ist. Auch optisch, speziell auf Mobiltelefonen. RoundCube ist ganz nett. Ich hatte zwar mal eine Userin, die sich darüber beschwert hat, dass das auf ihrem Sony ... Erdixen? Nein, nur Sony irgendwas von vor sechs Jahren nicht mehr so wirklich gut geht. Und der Browser dürfte irgendwie mit HTML-Probleme haben. Und Peter, ich möchte fürs Protokoll jetzt noch einmal unterstechen. Der Beppe hat eine Lösung, die in PHP programmiert wurde, als net bezeichnet. Können wir das bitte jetzt ... Kann das jemand als OH-Twittern? Nicht alle gleich. Gut. Ja. Wenn du sie mitnimmst, ist sie mobil, ja. Also ... Nein. RoundCube, ja, wirklich. Und so was ist einigermaßen hübsch für gewisse Definitionen von hübsch. Unterstützt stapelweise Plugins, ist GPLv3, Nachteil ist halt PHP. Und unterstützt optional eine Datenbank, falls das irgendwie in größeren Usermengen konfrontiert würde. Da gibt's irgendwie so MariaDB, Postgres und andere Dinge, die wir jetzt nicht nennen wollen, die da auch unterstützt sind. Sieht so grob ungefähr so aus. Inbox Zero, ja. Richtig darauf hinweisen. Entweder ist das responsive, oder das hat dann Mobile View. Ja, oder es ist halt relativ klein. Auf dem Helden, ja. Das ist aber super performant mit Inbox Zero. Ja, ist auch sonst relativ performant. Eigentlich recht brauchbar. Und RoundCube.net findet man das ganze Projekt. Der Source Code ist letztend auf GitHub umgezogen, was ich mitbekommen hab. Es gibt die tolle Subdomin Plugins.roundCube.net und da hätte ich ein paar nette Empfehlungen für Plugins, mit denen ihr so den Standard RoundCube mal so hinbekommt, dass eure User euch dann auch lieb haben, wenn ihr das macht. Sieve Rules. Da kriegt ihr jetzt dann ein clicky-bunty-Interface, mit dem die Leute Sieve Rules machen können, die dann auch was tun. Und es gibt eine Sieve Rule, wo für die Userinnen alles machen. Das ist nämlich der Vacation Responder, wenn sie auf Urlaub fahren. Das sind die Sachen, die dann auf Mailing-Listen immer sehr schön sind, wenn sie dort reinkommen. Ich finde das relativ zumutbar. Ihr könnt das nicht lesen. Ich stelle euch das. Funktioniert auch. Kann auch so ziemlich alles, was man aus dem Squirrel Mail kennt, nur in Hübsch. Card DAF. Wer Adressbücher über Card DAF synchronisieren kann und möchte, das kann man damit integrieren. Da kann ich da so ein Card DAF-Server reinhängen. Die Autodescary-Funktion, die mehr oder weniger funktioniert. Das heißt, die Leute haben dann in ihrem Mail-Klein, in dem Adressbuch und vielleicht am Mobile-Telefon auch noch die gleichen Adressen. Und wenn Sie da was hinzufügen, dann sehen Sie das auf den anderen. Sehr schön. Die Nachfolge in Talks verzögern sich an dieser Stelle. Es geht sich aus. Wer in der Firma ein großes Elder-Verzeichnis hat für die Mitarbeiterinnen, kann man auch reinhängen. Manchmal gibt es Menschen, die wollen Bilder verschicken und dann nicht irgendwie so Datei anhängen, Fallselekt-Dialog und durch 17 Unterordner. Kann man einfach per Dragon Drop machen mit einem halbwegs modernen Browser. Da kann man dann auf der rechten Seite einfach so Dinge hineintragen, geht auch. Und für die Leute, die ein Marketing- und Branding- zentriertes Unternehmen haben mit dem Customizer, könnt ihr da auch noch die ganzen Farben und Logos und so weiter anpassen und das Ganze branden, die in Box Zero haben. Soll ja Leute geben, die das gelegentlich mal nicht hinkriegen, gibt es auch noch das Checkbox-Plugin, wo ich dann mehrfach Selektionen machen kann und einfach 27 E-Mails gleichzeitig wegwerfen kann. Auch sehr praktisch. Also einfach alles markieren und wegwerfen habt ihr auch in Box Zero. Und so macht man das ja nach dem Urlaub. Genau. Wenn es wichtig war, kommt sie wieder. Richtig. Und für die Leute, die eigentlich nur noch Webmehl verwenden ob Skuren gründen und aber trotzdem einen modernen Browser dafür verwenden, die so Desktop Notifications können, dafür geht es auch ein Plugin, dann kann man den Browser irgendwo im Hintergrund lassen und dann poppen diese Bubbles am Desktop auf. Jetzt heißt aber, Webmehl hat meistens, dass wir das Ganze dann auch nach außen in das böse Internet hinausexposen. Und da ist ja dann Anmeldung an dem ganzen Webmehl-Interface mit Benutzernahme Passwort mittlerweile, das ist nicht mehr wirklich die optimale Lösung. Das heißt, wir brauchen auch Zufakta-Authentication. Wir brauchen für alle mal HTTPS. Ordentliches CLD-Fold. Da gibt es dann einen weiteren Talk von uns über Apache und EngineX, dieser Stelle ein schämles Plug. Da gehen wir darauf genauer ein. Genau. Aber in dem Fall wollen wir Zufakta-Authentication. Wenn ihr jetzt über Thunderbird oder sonst was um Zufakta-Authentication nachdenken wollt, tut es nicht. Wir reden jetzt hier von Webmehl, von Roundcube. Da gibt es einen Plug-in für Ubiqui, gibt es einen Plug-in für OpenOTB, für Google Authenticator. Das heißt, da kann man das schon schön machen. Gibt es irgendwas mit FaceRecord-Mission, dass man Überleitung zum nächsten Talk hat? Ich weiß nicht, was könnte jemand schreiben? Genau. Und falls ihr irgendwelche Menschen mit Upregereten habt, die so unglaublich auf Push-Notifications stehen, ich will ja gar keine E-Mails, sondern andere freuen sich darüber, wenn es die ganze Bing macht. OS Tense aber hat diese seltsame Funktion, direkt Push-Notifications verschicken zu können. Da macht das wirklich das Server. Aber niemand sollte OS Tense-Server als Mehl-Server im Internet betreiben. Tut das nicht. Aber es gibt Möglichkeiten, das auch mit einem Postfix und einem Open-Source Plug-in zu machen, wo sich dann der Mehl-Server selber direkt mit dem Apple-Push-Notifications-Server verbindet. Und wenn der Duff-Card ein Mehl reinkriegt, da eine Push-Notification schicken kann und wenn ihr das iOS-Mail-App oder Mail-App unter OS Tense verwendet, dann können die das mit den Push-Notifications auch empfangen und zeigen, das an. Das ist schon richtig schick. Also nicht die Microsoft-Lösung, wo dann dein Mail-Passwort in der Cloud hinterlegt wird, damit die dann sich auf deinen Mail-Server über einmal verbinden können, um nachzuschauen, ob eine neue Mail da ist. Also Microsoft cloudt euch euer Plaintext-Passwort, polt eure Mailbox, um euch dann zu sagen, ihr hättet jetzt ein Mail bekommen, schaut's doch mal nach. Also falls ihr Outlook auf iOS verwendet, überlegt euch, ob das mit eurer Filmenpolis sich zusammenpasst. Genau. Wenn ihr das mit habt, lässt sich relativ brauchbar konfigurieren und ich glaube, damit haben wir die Schmerzen in der Zeit geschafft. Das Ende des vierten Aktes. Das war's. Nein, das ist noch nicht. Es gibt noch... Das ist wirklich magic. Wir haben euch jetzt zwei Stunden voll getextet mit Dingen, die man tun sollte und das ist alles relativ mühsam und relativ aufwendig. Das wollt ihr eigentlich haben? Es gibt was. Magic. Nicht mehr Menschen im Internet haben da was vorbereitet. Und zwar eigentlich eine richtig schicke Lösung. Das Ganze nennt sich iRedMail und ist im Prinzip ein riesiges Installer-Monstrum, das Packages installiert und für euch vorkonfiguriert, wo diese ganzen coolen Dinge, die ihr gesehen habt, drinnen sind und recht brauchbar konfigurierbar sogar rausfallen. Das Ganze ist open source, da gibt's unter Debian Ubuntu, Red Hat, CentOS, FreeBSD, Mitjails, OpenBSD, wie wer mag und hat diese ganzen Kailhauf, Kartdorf, Synchronisations-Dinge alles vorinstalliert drinnen. Das Schöne ist, das Ding konfiguriert euch die Pakete. Es sind die Standard-Pakete der jeweiligen Distribution, die dann vernünftig konfiguriert werden. Also nicht in der Docker-Container, wo eine Gelib C von vor drei Jahren drinnen ist oder so, sondern... wenn ihr das Betriebssystem aktuell haltet, ist auch die Software aktuell und das Ding nimmt euch diesen Konfigurationswahnsinn ab. Damit kommt ein endlicher Zeitzel im Ergebnis, dass ihr dann wirklich verwenden könnt und wo das dann auch Spaß macht. Punktlandung. Punktlandung. Die letzte Magic, falls ihr euch beschweren wollt, bringt Junk mit, twittert uns an. Wir sind ihr noch die ganze Zeit da. Vielen herzlichen Dank. Vielen herzlichen Dank.