Der Marktplatz Internet hat keinen Ladenschluss … ??


Diese Erkenntnis entstammt einem für uns wahrhaft „historischen Dokument“.  🙂 Wir haben es im Zuge von Aufräumarbeiten in unserem Papier-Archiv gefunden und gerettet.
Es handelt sich um einen der ersten WorNet Flyer.  Unsere „Ältesten“ haben dieses Dokument auf etwa 1996 datiert, als WorNet seinen Sitz noch in Christian Eichs kleiner Wohnung unterm Dach hatte. Mit einer Hand voll ISDN-Router und Modems, sowie ein paar Servern älteren Semesters war WorNet damals einer der ersten Internet-Provider hierzulande. Denn die „Großen“ hatten damals noch kein Interesse an dieser „Guru-Technik“ und so musste/durfte man sich das Internet noch selbst „holen“, wenn man eines haben wollte.

„WorNet betreibt Ihren ‚Stand‘ im Internet“

Kaum zu glauben, dass man vor gerade mal 15 Jahren Begriffe wie „Internet“ und „Webseite“ noch mit „Marktplatz“ bzw. „Stand“ umschreiben musste, um verstanden zu werden.

Der abgebildete  alte Netscape-Browser hat überdies mehr von einer Steintafel, denn von einem High-Tech Programm:

Internet Nostalgie mit Web 0.0

Antike Texte dieser Art zeigen die rasante Entwicklung in der IT!
…  oder einfach nur,  dass wir schnell alt werden … ??

Wir sind auf jeden Fall stolz darauf von Anfang an dabei gewesen zu sein!

In diesem Sinne, viele Grüße vom Hannes Wilhelm.

IT bleibt rasant!

G wie Groupware und Giraffe


Was haben Giraffen mit Groupware-Systemen gemein?

Der „Vernetzte Welt Cast“ verrät es!

Es war einmal  in einem Land vor unserer Zeit – das übrigens heute Sudan heißt – ein Vize-König namens Muhammad Ali Pascha. Dieser wollte seinem Freund, dem Karl X, seines Zeichens König von Frankreich, eine Freude bereiten und ließ eine junge Giraffe einfangen und nach Europa bringen. Dort wurde sie von ihrem glücklichen Besitzer in Empfang genommen und nach dem arabischen Wort für Giraffe benannt:  „Zarafa“.

Zarafa lebte in Paris ein erfülltes Leben und starb mit 20 Jahren an Altersschwäche.  Das war damals im Januar 1845.

Gut 150 Jahre später waren ein paar Holländer von der gängigen Groupware von Microsoft derart genervt, dass sie kurzerhand beschlossen, eine Alternative dazu zu entwickelten. Diese Software ist heute eine ausgewachsene, fullfeatured Enterprise-Lösung für MAPI-basierte Groupware-Systeme und auch bekanntermaßen eine der wenigen, die problemlos einen Exchangeserver ersetzen kann.
Wie die Entwickler allerdings auf den Namen „Zarafa“  für Ihr Projekt gekommen sind, weiß kein Mensch.

Was wir an Zarafa mögen:

  • Lizenzierung ist ca. halb so teuer wie bei MS Exchange, bei sehr ähnlichem Funktionsumfang.
  • Zarafa ist Leistungsfähiger als Exchange und sehr gut skalierbar.
  • Zarafa ist ein offenes System, das auf Basis gängiger opensource Software entwickelt wird.
  • Es läuft auf Linux.

Deshalb ist WorNet jetzt „Certified Zarafa Partner“ und hilft aktiv mit beim Suchen und Ersetzen von geeigneten Exchangeservern.
Wir nehmen gerne jeden Hinweis entgegen.

Was ein Zarafa-Server alles außerdem noch kann, erfährt man am besten auf der Zarafa-Webseite.

IT bleibt spannend!
Hannes Wilhelm

Teambildung


Vorher

Vorher

Wie kann man in einem kleinem Unternehmen am besten Kooperationsbereitschaft und Teamgeist fördern, um Wohlfühlfaktor und Arbeitseffizienz des Teams zu steigern? Und das ohne dabei ein Vermögen zu investieren oder seine Mitarbeiter zu den üblichen und albernen Pseudo-Team-Kasperl Veranstaltungen zu verdonnern?

WorNet hat da einen ganz neuen Ansatz entwickelt:
Gemeinsam das eigene Büro renovieren!

Zehn Jahre nach dem Bezug der Büroräume war ein Lifting ohnehin längst fällig! Außerdem sollte die bisher eher unauffällige Gestaltung der Räumlichkeiten ein wenig mehr Pepp erhalten.

Nach einem gemeinsamen Brainstorming im Kickoff-Meeting haben wir einen Weißel-Projektplan erstellt und im Anschluß bei der BayWa die nötigen Betriebsmittel beschafft. Während der nächsten Wochen wurden Leerlaufzeiten konsequent genutzt, um die Arbeitsumgebung einzuhübschen. Alle Mitarbeiter haben sich (freiwillig) beteiligt – vom Boss bis zum Azubi.

 

Es funktioniert: Bürorenovierung als Teamevent!

Nachher

Nachher

 
Wir sind jetzt deutlich glücklicher als vorher und haben außerdem ein schöneres Büro!
🙂

 

Wir freuen uns auf Euren Besuch.

Handwerk bleibt spannend!

 

Viele Grüße
Euer Team WorNet

Die perfekte eMail-Archivierung


Wie bereits im letzten Artikel über rechtssichere eMail-Archivierung angedeutet, ist derzeit eines unserer erklärten Ziele, in unser eMail-Filtersystem SecuMail eine Archivierungsfunktion einzubauen. Jetzt haben wir die Lösung vor Augen..

Aufgrund der bestehenden rechtlichen Anforderungen, sowie vieler Kundennachfragen, möchten wir möglichst bald diesen Dienst zur Verfügung stellen und haben bereits einige Energie in die Suche nach der passenden Technik und Ausrichtung investiert.

Unsere ambitionierten Pläne sehen folgende Funktionen vor:

  • echte Rechtssicherheit (zertifiziert)
  • eMail-Signierung
  • beliebig lange Aufbewahrungsdauer
  • MX-basierte Zustellung oder durch Fetchmail/pop3-Connector
  • Volltextsuche und Versand direkt aus dem Archiv
  • Benutzerverwaltung
  • Synchronisierung mit Active Directory
  • im Outlook integriertes Benutzerfrontend für Suche und Versand

Make or buy?

Eine Überlegung, die wir immer gerne anstellen.

Zwar könnten wir unsere eMail-Server wohl problemlos so konfigurieren, dass sie jede eMail zusätzlich auf einen der zahlreichen Storageserver schieben würden. Das nötige Webfrontend wäre ebenfalls machbar.
Ein eMail-Archivierungs-System nach unseren Vorstellungen und denen der Gesetzgebung, ist jedoch wesentlich mehr  als lediglich die zusätzliche Ablage von eMails auf einer weiteren Festplatte. Rechtssichere eMail-Archivierung bedingt u.a. verbriefte Unveränderbarkeit. Außerdem möchte man auf das ein oder andere Feature aus Gründen der Benutzbarkeit nicht verzichten.
Also „Buy“. Aber welcher Anbieter ist der richtige?
Firmen, die eMail-Archivierung anbieten, gibt es in Deutschland wie Sand am Meer. Ein Großteil derer sind allerdings bei genauerer Betrachtung unbrauchbar, weil sie es zum Beispiel mit der geforderten Signierung nicht so ernst nehmen. Andere erweisen sich als unpraktische eMail-Gräber, welche, abgesehen von der Rechtssicherheit, wirklich keinerlei praktischen Nutzen mitbringen.
Unsere Meinung dazu: wenn wir uns mit dem Thema befassen, dann schon ordentlich. Wir möchten unseren Kunden einen Dienst anbieten, der nicht nur auf dem Papier einen Vorteil bringt!

Bisher war keine einzige der Software-Lösungen, die wir uns genauer angesehen haben, für den mandantenfähigen Betrieb für Service-Provider wie uns, tauglich.
Um trotzdem zu unserer favorisierten Lösung zu kommen, arbeiten wir derzeit mit einem unserer Partner, der Firma Com2 zusammen. Die Kollegen von Com2 bieten seit einigen Jahren eine Archivierungs-Appliance an, die ziemlich genau umsetzt, was wir uns vorgestellt haben, wenn auch derzeit noch ohne Mandantenfähigkeit. Damit wir unseren Kunden möglichst bald eine Archivierungslösung anbieten können, müssen noch also einige Features implementiert werden. „Wir haben großes Interesse daran, unser Produkt auch bei Service-Providern wie WorNet zum Einsatz zu bringen!“ so Herr Kleiböhmer, Geschäftsführer der com2 Communications & Security GmbH.


Einfache integration des Benutzermoduls in Outlook

Laut Anforderungsanalyse und Kundenfeedback gibt es im Wesentlichen zwei Anwendungsszenarien:

1. Die eigene email-Infrastruktur wird soweit belassen und nur die Archivierung zuschaltet, damit man vor dem „Gesetz“ nicht mit „heruntergelassenen Hosen“da steht.

2. Zusätzlich zum Erfüllen der rechtlichen Gebote, kann man auch einen Zusatz-Nutzen gewinnen indem das Archiv als Teil der eigenen Infrastruktur für eMail genutzt wird. Dies kann über das frei zugängliche Webfrontend oder, wenn MS Outlook eingesetzt wird, mittels eines kleinen Plugin realisiert werden, über das jeder Benutzerauf alle archiverten und voll indizierten eMails (lesend) zugreifen und ggf. wiederherstellen kann. Dadurch könnten die lokalen eMailpostfächer stark verkleinert werden. Denkbar z.B. wäre auch, lokale eMail generell nach einigen Monaten vom Server zu löschen. Kapazität wäre dann kein Thema mehr.

Beides wird mit der SecuMail-Archivierung möglich sein. Selbstverständlich wird das Archivierungs-Paket auch ohne Spamfilter zu haben sein.
Sprechen Sie mit uns!

Mehr Information zur SecuMail Onlinearchivierung

IT bleibt spannend!

Hannes Wilhelm

Lob der Redaktion



Positives Feedback macht immer Freude.
Aber wie holt man sich das Lob der Redaktion von Business For Business Oberbayern?
Indem man sich „nur dann zu Wort meldet, wenn wirklich etwas zu sagen ist.

Dieses Merkmal war ihnen immerhin einen Miniartikel über unseren Blog wert.

Viele Grüße
Die Vernetzte-Welt-Cast Redaktion 🙂

Quo vadis Nagios?


… geht der Platzhirsch des Opensource-Monitoring langsam in den altersbedingten Ruhestand?

Unter Opensource freundlichen Admins ist Nagios längst ein Synonym für Netzwerkmonitoring, so wie es die Marke Tesa für durchsichtige Kleberollen ist. So auch für uns bei WorNet. Unsere ersten Installationen haben wir vor ca. zehn Jahren betrieben, damals hießen sie noch „Netsaint“, bevor sich das Projekt wegen Markenrechts-Streitereien umbenennen musste. Der Netsaint überzeugte damals durch sein Featurereichtum, seine Zuverlässigkeit und das einfach zu verstehende Konzept. Man konnte sogar auf recht simple Weise eigene Check-Plugins schreiben und einbinden. Auch heute noch ist der Nagios die bekannteste und mit Abstand am häufigsten eingesetzte Monitoring-Lösung, die auch im Enterprise-Segment einen festen Platz innehält. Nagios stellt wohl den defakto Standard für Netzwerk-Monitoring-Systeme dar.

Wem ist nicht schon mal der Gedanke gekommen, dass Nagios nicht mehr State of the Art sein könnte? Denn leider ist seine Technik unter der Haube nicht annähernd so fulminant aufgestiegen, wie seine Popularität. Das Projekt ist anfangs schnell gewachsen und bald stellte sich heraus, dass die Architektur die benötigten Erweiterungen nicht tragen würde, weshalb neue Features nicht in den Code des Nagios-Core aufgenommen wurden, sondern über zahlreiche Schnittstellen als Plugins und externe Dienste beigelegt wurden. Als eine der letzten Core-Features wurden die Notification-Escalations implementiert, sie haben bis heute nicht den eigentlich erforderlichen Reifegrad erhalten. Aber auch modulbasierte Erweiterungen gerieten wenig später ins Stocken, so ist die Datenbankschnittstelle namens NDO-Utils seit dem Jahr 2005 nicht über das Beta Stadium hinaus gekommen.
Vor drei Jahren kam mit Nagios 3.0 die letzte nennenswerte Neuerung heraus. Seitdem hörte man hauptsächlich die entnervte Community darüber klagen, dass eingereichte Patches vom Nagios-Erfinder und einzigem Programmierer Ethan Galstad monatelang unbeachtet liegen gelassen werden, bevor es wenige von ihnen in den Quellcode schaffen. Der Herr des Nagios scheint nicht wirklich an einer Weiterentwicklung interessiert zu sein. Möglicherweise hängt das auch mit seiner kostenpflichtigen Enterprise-Lösung zusammen, die er vertreibt.

Alternativen
Aus heutiger Sicht muss man sich durchaus wundern, warum keines der zahlreichen neueren Monitoring-Projekte, wie z.B. Zenoss, OpenNMS oder Zabbix, die zum Teil deutlich moderner, performanter und einfacher zu handhaben sind, bisher in der Lage war, dem Nagios nenneswert Schneid abzukaufen. Sicherlich hat das mit der riesigen Benutzer- und Entwicklergemeinde zu tun, die sich über die Jahre um das System gebildet hat und unaufhörlich neue Plugins und Addons hervorbringt. Trotzdem finden sich Anzeichen für einen kommenden Umbruch, denn eine Erneuerung ist längst überfällig.

Dass es bald an der Zeit ist, auf eine weniger angestaubte Monitoring-Lösung umzusatteln, ist mir bewusst geworden, als ich letztes Jahr mehrere Anfragen von Kunden zum Thema Monitoring bekam und bei den Recherchen feststellen musste, dass sich die Technik seit nunmehr fünf Jahren kaum verändert hatte. Ich hatte einfach ein schlechtes Gefühl dabei, Technik bei Kunden einzuführen, die wenig weiterentwickelt zu werden scheint, obwohl es sich offensichtlich noch immer um das Standard Werkzeug handelte.
Die Suche nach Alternativen ergab schließlich eine Reihe moderner und lebendiger opensource Projekte. Darunter ein Projekt namens Icinga, das aus Frust über den Entwicklungsstau bei Nagios im Jahre 2009 aus einem Nagios Code-Fork hervorgegangen war. Sie konnten einige gute Entwickler ins Boot holen und der ganzen Angelegenheit neuen Schwung verleihen – Incinga kommt mit einer modernen Ajax-basierten Weboberfläche daher und hat den eigentlichen Nagios auch in anderen Belangen längst hinter sich gelassen. Es lässt sich mit weniger Aufwand installieren und betreiben, weil wichtige Module fester Bestandteil des Pakets geworden sind, die man bisher selbst „hinfrickeln“ musste. Die Konfiguration von Icinga ist derzeit noch zu 100% Nagios kompatibel. Sehr vielversprechend.
Woran aber letztlich auch Icinga krankt, ist der kaum wartbare, über zehn Jahre gewachsene Code und die nicht zeitgemäße Architektur. Auf lange Sicht ist damit nämlich kaum noch ein Blumentopf zu gewinnen. Es wäre längst ein Code-Rewrite fällig gewesen.

Code-Rewrite
Genau diesen Ansatz verfolgte der Franzose Jean Gabès, der vor eineinhalb Jahren als proof of concept eine komplette Neuimplementierung des Nagios in der modernen Scriptsprache Python programmiert hat. Ursprünglich wollte er damit den Nagios-Chef überzeugen, diesen Rewrite als neue Codebasis für kommende Nagios-Versionen zu verwenden. Die wesentlich kleinere Einstiegshürde für neue Entwickler durch den modernen Code und dessen Erweiterbarkeit wären von großem Vorteil gewesen. Ethan Galstad hat den Vorstoß wohl bis heute nicht kommentiert. Aus diesem Grunde hat Jean Gabès begonnen das Projekt unter dem Namen „Shinken“ selbst und als eigenständige Nagios Alternative weiter zu betreiben. Es ist seit Version 0.4 angeblich für den Enterprise Einsatz geeignet.

Shinken
Shinken ist kein monolithisches Tool mehr, sondern wurde in mehreren aufgabenbezogenen Prozessen programmiert. So gibt es mehrere Prozesse, die ohne sich gegenseitig zu blockieren, unabhängig voneinander arbeiten und nicht zwingend auf ein und dem selben Server laufen müssen. Diese Komponenten heißen Arbiter, Scheduler, Poller, Reactionner und Broker; Details kann man auf der Webseite nachlesen. Von Vorteil ist dabei die Möglichkeit auf einfache Weise ein verteiltes System einzurichten. Verteilte Konfigurationsdateien werden, im Gegensatz zum Nagios, von Shinken dann selbst synchronisiert. Als persönliches Monitoring Highlight sehe ich folgendes Feature, das es beim Shinken seit der letzten Release gibt: Zeitbasierte Escalations! Ein weiteres Killerfeature, und eines, das den geplagten Nagios-Escalation Benutzern als Frohe Botschaft präsentiert werden kann. Laut Webseite sind mittlerweile alle bisherigen Features des Nagios in Shinken implementert, was mich voll spannender Erwartung in die Zukunft blicken lässt.

Fazit
Wichtig für eine einfache Migration ist die Kompatibilität zu Nagios an gewissen Stellen. Die mühsam gesammelten, modifizierten oder selbst gestrickten Checkplugins stellen beispielsweise eine wichtige Grundlage dar. Ob die zahlreichen Peripherie-Tools wie zum Beispiel Nagstamon, Nagroid oder das Nagios-Plugin weiterhin einsetzbar bleiben, bleibt zu hoffen.
Vielleicht können wir mit Shinken jedoch endlich ein Ei über die altertümliche Nagiosproblematik schlagen. Zwar habe ich bisher noch keine praktischen Erfahrungen mit Shinken machen können, doch klingt die bisherige Information derart vielversprechend, dass ich die nächste Gelegenheit sicherlich nutzen werde, um diese Möglichkeit, unser Monitoring endlich wieder auf moderne Beine zu stellen, ausgiebig zu testen. Ich werde mich melden, wenn es dazu Erfahrungswerte gibt. Alles in allem ist und bleibt der Nagios jedoch einstweilen das Standard-Monitoring-Tool, auch wenn er früher oder später durch einen vielversprechenden, weil zukunftsträchtigen Shinken oder eines der anderen modernen Projekte verdrängt werden wird. Icinga ist jetzt bereits eine gute Alternative.

Wer übrigens darüber hinaus aufgeschlossen für komplett andere opensource Monitoring-Ansätze ist, der sollte sich eines der anderen beliebten Systeme wie Zenoss, Zabbix oder OpenNMS ansehen.

IT bleibt spannend!

Viele Grüße
Euer Hannes Wilhelm

Quellen:
http://en.wikipedia.org/wiki/Comparison_of_network_monitoring_systems
http://de.wikipedia.org/
http://www.icinga.org/
http://www.shinken-monitoring.org
http://www.linuxtechnicalreview.de/Foren/Monitoring/Shinken-neues-Nagios-Release-oder-Nagios-Nachfolger

eMail rechtssicher


Habe die Ehre

Die Rechtslage bezüglich geweblich genutzem eMail-Verkehr scheint in Deutschland unübersichtlich zu sein. Zwar sind Begriffe wie Privatmails oder revisionssichere Archivierung den meisten Administratoren und Verantwortlichen wohl ein Begriff, welche Maßnahmen jedoch gesetzlich vorgeschrieben sind und welche davon auch wirklich durchgeführt werden sollten, ist im allgemeinen nicht so klar. Zu allem Übel widersprechen sich einige der gesetzlichen Vorgaben auch noch.

Ich möchte auf folgende Fragen eine Antwort geben:

1. Muss ich zwingend eMails-Archivierung in meiner Firma betreiben?
Ja! Hier ist das Gesetz ausnahmsweise recht eindeutig. Jede Firma betreibt seit je her für sämtliche Geschäftsunterlagen in papierform Ablage und bewahrt die schweren Ordner jahrelang im Keller auf. Das gilt grundsätzlich auf für elektronisch übertragene Dokumente.

2. Welche eMails müssen archiviert werden?
Alle Dokumente, die man als Papierdokument in einen Ordner gepackt hätte, müssen auch als elektronisches Dokument archiviert werden. Im Detail sind das folgende Dokumente: Handelsbücher, Inventare, Jahresabschlüsse, Konzernabschlüsse und Konzernlageberichte sowie Arbeitsanweisungen und sonstigen Organisationsunterlagen,
empfangene und abgesandte Handelsbriefe oder Buchungsbelege.
Als „Handelsbrief“ kann auch jeder formlose eMail-Verkehr gelten, sobald er zur Vorbereitung, Durchführung und dem Abschluss oder der Rückgängigmachung eines Geschäfts dient. Darunter fallen wohl so gut wie alle geschäftlich versendeten und empfangenen eMails.

3. Wie lange muss archiviert werden?
Das ist vom Inhalt der eMaill abhängig. Analog zu Dokumenten in Papierform müssen Handelsbriefe sechs Jahre aufbewahrt werden und alle anderen (oben genannten) Dokumente sogar zehn Jahre.

4. Spielen private eMails eine Rolle?
Definitiv! Private eMails machen die Handhabung der Firmen-eMails wesentlich komplizierter. Soblad nicht vollkommen ausgeschlossen werden kann (!), dass sich private eMails unter den Firmen-eMails befinden, unterliegt das Unternehmen nach dem Telekommunikationsgesetz den Pflichten des Fernmeldegeheimnisses. Das Unternehmen darf dann nur noch zur Sicherung der technischen Bereitstellung auf die Mail-Postfächer zugreifen und selbst dafür müsste von den Mitarbeitern bzw. dem Betriebsrat die Einwilligung eingeholt werden. Die Mitarbeiter hätten aber in jedem Fall das Recht jederzeit private eMails aus dem Archiv holen oder löschen zu lassen.
Vielen ist dabei nicht bewusst, dass generell die gesamte Mailbox für jeden anderen Mitarbeiter absolut tabu ist, sobald private eMails im Spiel sein könnten. Dies ist schon bei der Handhabung einer Urlaubsvertretung problematisch.
Private eMails sollten also von jeglicher Archivierung ausgenommen werden, so heißt es offiziell. Wie das allerdings anzustellen ist, erklären sie nicht.
In größeren Unternehmen ist es daher wohl ratsam die private Nutzung des eMail-Systems gänzlich zu verbieten. Das müsste allerdings in schriftlicher Form vereinbart, sowie regelmäßig kontrolliert werden.

6. Welche Eigenschaften sind gesetzlich gefordert

  • Die rückholbare Abspeicherung der dazu vorgesehenen eMails
  • Die Unveränderbarkeit aller archivierten eMails.
  • Die Herausgabe von relevanten Daten an das Finanzamt, wenn diese angefordert werden
  • Die Löschung von gesetzeswiedrigen Inhalten
  • Die Möglichkeit nur ausgewählte eMails zu archivieren(z.B. wegen Datenschutz)
  • Die Signatur der eMails mit dem S-MIME-Standard.

7. Welche Technik ist vorgeschrieben?
Die eingesetzte Technik selbst ist nicht geregelt. Man ist frei in der Auswahl des Systems und deren Anbieter. Für den Gesetzgeber spielt es auch keine Rolle, ob die Archivierung inhouse oder extern z.B. zusammen mit einem Spamfilter betrieben wird, solange die Handhabung regelkonform ist.

8. Gibt es auch Vorteile?
Kein Nachteil, wo nicht auch ein Vorteil wäre! Neben der rechtlichen Komponente gibt es nämlich auch ein paar praktische.

  • Alle eMails sind gebackupt.
  • eMails bleiben über mindestens sechs Jahre verfügbar
  • In der Regel sind solche eMail-Archive komplett indiziert und ermöglichen eine Volltext-Suche
  • Mailboxen können verkleinert werden, indem ältere eMails früher ins Archiv wandern. Das kann Infrastruktur und Last einsparen.
  • Interne Geschäftsabläufe und Prozesse können durch solche Maßnahamen an Transparenz gewinnen.

9. Wo ist das Problem?
Es gibt einige Widersprüche, die sich nicht vereinbaren lassen und somit einer 100%igen Rechtssicherheit im Weg stehen.
So müssen die archivierten Inhalte sowohl unveränderbar, als auch löschbar sein. Eine kniffelige Angelegenheit!
In der Praxis sähe das dann beispielsweise so aus, wenn man wirklich alles richtig machen will:
Ein Mitarbeiter verlässt die Firma im Streit und möchte ihr schaden zufügen. Er macht seinen Anspruch auf Freigabe und Löschung seiner privaten eMails im Firmenaccount geltend. Da das Versenden von privaten eMails nicht wirksam verboten war, kann er die Forderung gerichtlich durchsetzen und die Staasanwaltschaft fordert die Firma auf die betreffenden eMails zu löschen oder das gesamte Archiv zu vernichten.
Nachdem die Unveränderbarkeit des Archivs gegeben ist, kann die Firma das Dilemma nicht selbst lösen. Als nächstes wird mit dem Hersteller der eingesetzten Archivierungs-Software vereinbart, dass der Veränderungsschutz für eine Dauer von ca. 30 Minuten aufgehoben wird. In dieser Zeit hätte die Firma nun die Möglichkeit zusammen mit einem einem Anwalt zur verbrieften Dokumentation und ggf. einem Datenschutzbeauftragten, die Löschung vorzunehmen …
Viele kleinere Unternehmen wären wohl spätestens jetzt pleite! 😦

Fazit:
Garnichts tun ist zu wenig – wasserdicht bekommt man es jedoch sehr schwer. Um eMail-Archivierung kommt man daher nicht mehr herum. Denn da ist die Regelung eindeutig und einleuchtend. Im Detail ist das Wirrwar an Regelungen aber nicht praktikabel umsetzbar.
Unsere Admins sind aus diesen Gründen derzeit beauftragt eine passende Lösung für uns und unsere Kunden zu schaffen. Voraussichtlich wird der Spamfilter SecuMail um eine entsprechende Funktion erweitert.

Nachtrag am 30.5.2011:
Wir bieten eine passende Lösung!

IT bleibt spannend!

Euer Hannes Wilhelm

Quellen:
http://www.e-mail-archivierung-wissen.de
http://www.searchstorage.de/themenbereiche/management/compilance/articles/265753/index.html
http://www.searchstorage.de/themenbereiche/archivierung/e-mail/articles/256037/
http://de.wikipedia.org/wiki/E-Mail-Archivierung

Dünne Klienten


oder Thin-Clients sind doch eigentlich schon immer zu langsam, wenig effizient, zu eingeschränkt, kaum komfortabel, irgendwie ätzend und letztendlich doch nicht signifikant billiger als die üblichen Arbeitsplatz-PCs gewesen oder?!

Dass das heutzutage ganz anders ist habe ich selbst erst kürzlich am eigenen Leib erfahren.
Nachdem ich zwei Tage lang bei einem Kunden an einem PC gesessen und ein Monitoring System eingerichtet hatte, fiel mir erst dieses Zigarrettenschachtel großes schwarze Kistchen auf meinem Schreibtisch auf, an das sowohl mein Monitor, als auch Tastatur und Maus angesteckt zu sein schienen. Wie jetzt …? Hatte ich etwa die ganze Zeit auf einem Thin Client Terminal gearbeitet und es nicht bemerkt? Als Informatiker? Das war mir anfangs fast peinlich! Muss es aber nicht! Weil es dafür einfach zu gut funktioniert.

Wie funktioniert es?
Die kleinen Kistchen sind Thin-Clients und sprechen Remote-Desktop-Protokoll (RDP) mit einem MS-Terminalserver. Jeder Mitarbeiter hat also seine eigene Windows-Session auf dem Terminalserver. Dort läuft die Software und alle Daten liegen auf den Storage-Devices des Servers. Der Thin-Client stellt lediglich die Kommunikation mit den Geräten am Arbeitsplatz (Maus, Tastatur und Monitor) zur Verfügung. Dabei ist sogar eine Hardware Grafikbeschleunigung eingebaut, welche die flüssige Darstellung von 2D-Inhalten wie Fenstern auf den Clients ermöglicht. Selbstverständlich kommt man jedoch nicht umhin darauf hinzuweisen, dass zunächst keine optischen Laufwerke oder USB-Geräte zur Verfügung stehen. Viele Thin-Client Terminals besitzen zwar USB-Anschlüsse, die man aber vermutlich nicht „scharf“ schalten möchte, so dass mit jedem angesteckten Gerät ein weiterer Treiber auf dem zentralen Server installiert wird. Sowas macht eine Windows-Maschine erfahrungsgemäß nicht lange mit, selbst wenn es sich um den Server 2008 handelt.

Spart es wirklich Aufwand und Geld?
Wir glauben schon!
Natürlich spart man zuerst mal an Hardware. Ein Areitsplatz-PC kostet ca. 500€ (ohne Software und Peripherie) während man für ein Terminal, z.B. von „Axel“, nicht mehr als 200€ löhnen muss. Demgegenüber stehen Mehrkosten für einen etwas leistungsstärkeren und ggf. redundant ausgelegten Terminalserver.
Software würde nicht mehr verteilt, sondern einmal für alle auf dem Server installiert werden. Bei den Softwarelizenzen selbst kann man kaum sparen, da sowohl Terminallizenzen selbst, als auch Office-Pakete für Terminalserver ebenfalls pro User lizenziert werden müssen und in etwa genauso kostspielig sind wie solche für den gewöhnlichen Arbeitsplatz-PC.
Für den laufenden Betrieb ist zu erwarten, dass sich der Aufwand für den Betrieb der Hardware gravierend reduziert, da sich in den kleinen Terminal-Gehäusen ohnehin wenig Innenleben und vor allem keinerlei mechanisch bewegliche Bauteile befinden. Ähnlich sieht es bei der Instandhaltung und Wartung der Software aus. In welchem Umfang allerdings eine Zentrale Installation weniger Arbeit macht, als viele Kleine, muss sich für uns erst noch im Langzeitbetrieb herausstellen.
Übrigens spart der geringe Stromverbrauch der Terminals von nur 3 Watt, mindestens 25€ pro Jahr und Arbeitsplatz. :-).
Alles in allem gibt es also durchaus Potential für eine Renaissance des Thin Clients.

Wenn es wirklich so toll funktioniert, warum machen es dann nicht schon lange alle so?
Gute Frage! Thin-Clients gibt es schon lange. Allerdings konnte erst der Windows 2003 Enterprise Server (oder Win 2000 Datacenter Server 🙂 ) genügend RAM adressieren, damit auch nennenswert Terminal-Clients auf dem Server versorgt werden können. Spätestens mit dem 2008er Server ist der RAM-Ausbau aber kein Thema mehr. So kann man an einem Terminalserver mit 32GB RAM angeblich leicht an die hundert Clients betreiben. Auf einem Terminalserver eines unserer Kunden verbraten ca. 30 laufende Thin-Clients insgesamt lediglich ca. 10GB RAM auf dem Terminal-Server. Andere Gründe für die zurückhaltende Verbreitung könnten auch mangelndes Vertrauen in diese Technik oder einfach schlechte Erfahrungen der IT-Mitarbeiter sein. Letztere könnten den derzeitigen Stand dieser Technik jedoch gerne nocheinmal zum Beispiel im Zuge einer Server-Virtualisierung als günstige Kombination überprüfen.

Wir sind jedenfalls zuversichtlich, dass man in Zukunft wieder etwas mehr zum Thema „Thin Client“ zu hören bekommt.

Axel Thin Clients
Igel Thin Clients
Epatec Thin Clients

Unser Exemplar war übrigens ein Terminal von Axel.

Beste Grüße
Hannes Wilhelm

Endlich neues Webstatistik Tool


WorNet stellt allen Kunden ein neues Webstatistik-Tool zur Verfügung. Nachdem unser altes „Webstats“ bereits arg in die Jahre gekommen ist, haben wir uns nach neuer Technik umgesehen und sind fündig geworden.
Das Tool heiß Piwik und ist für jeden Webserver-Kunden kostenlos benutzbar.

Das mit Google-Analytics vergleichbare Piwik ist sehr modern und umfangreich, trotzdem intuitiv bedienbar. Damit es auch Ihre Webseite erfassen kann, lassen Sie sich von uns ein Codefragment zusenden, dass Sie in Ihre Seite einfügen. Zusätzlich bekommen Sie einen Account auf dem Piwik-Server wo Sie die Daten ausführlich auswerten können.

Mehr Information zu Piwik.

DDOS-Attacke Teil III – Auswirkung und Abhilfe


Letzter Teil der DDOS-Story:

wie gut hat der böse Plan funktioniert und was konnten wir dagegen tun?

Selbstverständlich haben wir unsere Spamfilter nicht abschalten müssen! 🙂 Trotzdem hat die Attacke für etwas Aufregung gesorgt.

Es zeigte sich ein seltsames Bild auf den SecuMail-Servern:
Kaum Maildurchsatz, ein größer immer werdender Mail-Stau aber nahezu keine Last.
Erst nach einigem Grübeln und einem sehr nützlichem Tool namens TCP-Dump, war es uns dann gelungen die Ursache fest zu stellen:
Die Maschinen langweilten sich untätig, während sie vergeblich auf DNS-Antworten der russischen Fake-Domains warteten.
Nach sehr kurzer Zeit waren alle SecuMail-Prozesse auf diese Weise mit „nichts tun“ beschäftigt, so dass kaum noch eMails ausgeliefert werden konnten.


Kann denn eine DNS-Abfrage den kompletten Betrieb aufhalten?

Nein, so einfach ist das nicht möglich. Aber Kleinvieh macht auch Mist und erst recht haufenweise davon!
Was passierte also genau:

Beim Versuch, alle im Mail-Text enthaltenen Linkurls per DNS aufzulösen, haben die SecuMail Prozesse
nie eine Antwort erhalten und nach ca. 3 Sekunden aufgegeben. Wenn jedoch nicht einmal Fehlermeldungen von DNS-Server zurück kommen, wird dieser als „unerreichbar“ eingestuft und anschließend das Glück beim nächsten, im System eingetragenen DNS-Server versucht, was in diesem Falle natürlich ebenfalls keine Aussichten auf Erfolg haben konnte.
In der Regel sind auf unseren Servern drei DNS-Server eingetragen.

~~~
http://keineantwort.russischedomain.ru
http://auchkeineantwort.russischedomain.ru
http://nieantwort.andere-russischedomain.ru
http://stumm.andere-russischedomain.ru
http://sagkeinwort.andere-russischedomain.ru

~~~

Nach Adam Riese wären das insgesamt:
(durchschnittlich) fünf Link-URLs im Text (siehe oben), für die jeweils drei Nameserver mindestens drei Sekunden lang auf DNS-Antworten warten.
Macht ganze 45 Sekunden Wartezeit pro Mail (!). Damit wäre der langsame Maildurchsatz bei geringer Last erklärt.

Wie haben wir dieses Ungemach bekämpft?
Als erste Sofortmaßnahme haben wir die Anzahl der eingetragenen DNS-Server auf einen reduziert und damit die Wartezeit pro Mail
deutlich reduzieren können. Danach wurde es schwieriger weitere Maßnahmen zu finden. Blacklists oder manuelle Domain-Einträge auf unserem DNS-Server scheideten wegen der großen Anzahl an Einträgen, die nötig gewesen wären, aus. Den „Url-Resolver“ komplett zu deaktivieren kam für uns nicht in Frage, da er als wichtiger Bestandteil der Spam-Erkennung kaum entbehrlich ist.

Die Lösung heißt „negative caching“.
Dabei sollen die Ergebnisse der DNS-Abfragen einfach zwischen gespeichert werden, so dass pro Link-Url nur genau einmal abgefragt werden muss. Leider zeigte sich dabei, dass unsere Nameserver (Bind) trotz aktiviertem negative caching nicht in der Lage waren, durch Timeout abgebrochene Anfragen zu cachen. Das chaching funktioniert nur für regulär erhaltene DNS-Antworten, nicht aber, wenn der DNS-Server nicht antwortet.
Es gibt da auf Linux Systemen jedoch noch einen unscheinbaren Dienst namens nscd (Name Service Caching Daemon), welcher bisher kaum jemals unsere Aufmerksamkeit erregt hatte. Und dieser ist auch in der Lage sich eine zeitlang zu merken, ob ein Server überhaupt antwortet. Weil die Menge der im Text verlinkten Urls nicht unendlich groß sein kann, haben sich selbige nach kurzer Zeit fast vollständig in den NSCD-Caches eingefunden und damit einen Scanvorgang in normaler Geschwindigkeit ermöglicht.

Wenig später waren alle eMails in der Warteschlange abgearbeitet. Abgesehen von der verzögerten Auslieferung haben unsere Kunden nichts von alledem mitbekommen.

Fazit:
Die Bekämpfung von Spam bleibt ein mühsames „Katz und Maus Spiel“.
Mit einem flexiblen und offenen Filter-System in der eigenen Hand, das man zeitig anpassen und erweitern kann, ist man allerdings gut für den Kampf gerüstet.

Viele Grüße
Hannes Wilhelm