VirtualBox nutze ich wegen der relativ guten Grafikperformance gerne für meine Windows-VM unter Fedora 24. Bei ersten Start schlug mir eine Fehlermeldung entgegen: Das notwendige “vboxdrv”-Kernelmodul sei noch nicht geladen, daher könne die VM nicht gestartet werden. Gut - das lässt sich ja lösen:
sudo modprobe vbxdrv
… doch damit war es nicht getan: Das Modul ließ sich nicht in den Kernel einbinden, weil es für das aktive SecureBoot nicht mit einem passenden MOK (Machine Owner Key) signiert worden war. Andere geladene Kernelmodule sind bereits von Fedora signiert - bei den VirtualBox Modulen war das nicht der Fall. Warum das so ist, konnte ich noch nicht herausfinden. (=>siehe Notiz unten)
Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene Authentifizierungsverfahren. Nach dem ich mir einen Yubikey Neo zugelegt hatte, fiel es mir schwer, zwischen den Betriebsmodi zu unterscheiden. Mit diesem Beitrag will ich neuen Usern einen Überblick über die möglichen Authentifizierungsverfahren geben, sie erklären und die Vor- und Nachteile nennen.
Vorgestellt werden hier die folgenden Yubikey-Modi:
- HOTP
- TOTP
- Challenge-Response via HID
- Yubico OTP
- U2F
HOTP
HOPT steht für “HMAC-based one time password”.
Manchmal ist es sinnvoll, E-Mails von einem Server aus nicht direkt in das Internet zu verschicken, sondern ein E-Mail Gateway / einen Postfix-Relayserver zu nutzen. Der absendende Server funktioniert dann wie ein normaler E-Mail Client und schickt seine E-Mail zuerst an einen zentralen Mailserver, der diese dann an das Ziel weiterleitet. Das kann z.B. aus folgenden Gründen sinnvoll sein:
- Ein Server an einem DSL-Anschluss soll E-Mails versenden. Ein direkter Versand wird aus verschiedenen Gründen nicht empfohlen (Dynamische IP-Adresse, kein passendes Reverse DNS, …)
- Mehrere Server werden betrieben. Um nur einen einzigen Mailserver mit seinen Komponenten warten zu müssen, soll ein zentrales E-Mail Gateway genutzt werden. DKIM müsste dann z.B. nur für das Gateway eingerichtet werden, und nicht für jeden sendenden Server einzeln.
Ich beschreibe hier im folgenden, wie ihr einen bereits bestehenden Postfix-Mailserver zu einem Gateway erweitern könnt, und wie ihr Postfix auf allen anderen Servern einrichtet. Den bereits eingerichteten Postfix-Server nenne ich “Gateway”; alle anderen Server werden “Clients” genannt (da sie hier nur eine Rolle als Mailclients spielen").
Wer erst seit kurzem einen eigenen Mailserver betreibt, wird vielleicht schon festgestellt haben, dass die eigenen E-Mails von anderen Server nicht immer akzeptiert werden und schnell im Spamverdachts-Ordner landen. Tatsächlich gibt es einige Dinge zu beachten, wenn man in die Liga der seriösen Mailprovider aufgenommen werden will. Um bei fremden System einen guten Ruf zu erreichen, sollten die folgenden Merkmale erfüllt sein:
- Statische IP-Adresse - möglichst nicht aus einem Netz für Privathaushalte
- Hostnamen im DNS (z.B. mail.mysystems.tld)
- PTR (Reverse DNS) -Record von IP-Adresse auf Hostnamen
- SPF-Eintrag im DNS
- DKIM-Signierung für ausgehende E-Mails
Nicht alle großen Mailprovider verlangen alle Merkmale - allerdings werden von den meisten Providern mindestens eine statische IP, ein gültiger Hostname und ein PTR Record verlangt. SPF und DKIM erhöhen die Chancen, dass der eigene Mailserver als seriöser Sender eingestuft wird. Versendete Mails landen dann weniger oft im Spam-Ordner bzw. werden nicht mehr komplett abgelehnt. Aber wieso überhaupt der ganze Aufwand? Der Grund ist folgender: