Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene Authentifizierungsverfahren. Nach dem ich mir einen Yubikey Neo zugelegt hatte, fiel es mir schwer, zwischen den Betriebsmodi zu unterscheiden. Mit diesem Beitrag will ich neuen Usern einen Überblick über die möglichen Authentifizierungsverfahren geben, sie erklären und die Vor- und Nachteile nennen.
Vorgestellt werden hier die folgenden Yubikey-Modi:
- HOTP
- TOTP
- Challenge-Response via HID
- Yubico OTP
- U2F
HOTP
HOPT steht für “HMAC-based one time password”.
Manchmal ist es sinnvoll, E-Mails von einem Server aus nicht direkt in das Internet zu verschicken, sondern ein E-Mail Gateway / einen Postfix-Relayserver zu nutzen. Der absendende Server funktioniert dann wie ein normaler E-Mail Client und schickt seine E-Mail zuerst an einen zentralen Mailserver, der diese dann an das Ziel weiterleitet. Das kann z.B. aus folgenden Gründen sinnvoll sein:
- Ein Server an einem DSL-Anschluss soll E-Mails versenden. Ein direkter Versand wird aus verschiedenen Gründen nicht empfohlen (Dynamische IP-Adresse, kein passendes Reverse DNS, …)
- Mehrere Server werden betrieben. Um nur einen einzigen Mailserver mit seinen Komponenten warten zu müssen, soll ein zentrales E-Mail Gateway genutzt werden. DKIM müsste dann z.B. nur für das Gateway eingerichtet werden, und nicht für jeden sendenden Server einzeln.
Ich beschreibe hier im folgenden, wie ihr einen bereits bestehenden Postfix-Mailserver zu einem Gateway erweitern könnt, und wie ihr Postfix auf allen anderen Servern einrichtet. Den bereits eingerichteten Postfix-Server nenne ich “Gateway”; alle anderen Server werden “Clients” genannt (da sie hier nur eine Rolle als Mailclients spielen").
Wer erst seit kurzem einen eigenen Mailserver betreibt, wird vielleicht schon festgestellt haben, dass die eigenen E-Mails von anderen Server nicht immer akzeptiert werden und schnell im Spamverdachts-Ordner landen. Tatsächlich gibt es einige Dinge zu beachten, wenn man in die Liga der seriösen Mailprovider aufgenommen werden will. Um bei fremden System einen guten Ruf zu erreichen, sollten die folgenden Merkmale erfüllt sein:
- Statische IP-Adresse - möglichst nicht aus einem Netz für Privathaushalte
- Hostnamen im DNS (z.B. mail.mysystems.tld)
- PTR (Reverse DNS) -Record von IP-Adresse auf Hostnamen
- SPF-Eintrag im DNS
- DKIM-Signierung für ausgehende E-Mails
Nicht alle großen Mailprovider verlangen alle Merkmale - allerdings werden von den meisten Providern mindestens eine statische IP, ein gültiger Hostname und ein PTR Record verlangt. SPF und DKIM erhöhen die Chancen, dass der eigene Mailserver als seriöser Sender eingestuft wird. Versendete Mails landen dann weniger oft im Spam-Ordner bzw. werden nicht mehr komplett abgelehnt. Aber wieso überhaupt der ganze Aufwand? Der Grund ist folgender:
Der ein oder andere überlegt sich vielleicht, auch seinen eigenen Mailserver zu betreiben. Wann ist das überhaupt sinnvoll? Was spricht dagegen? In diesem Beitrag will ich auf diese Fragen eingehen und erklären, warum ich hauptsächlich, aber nicht nur auf eigene Mailserver setze.
Vorteile
Privates auf privater Infrastruktur
Wer einen eigenen Mailserver betreibt, tut das oft aus einem ganz bestimmten Grund: Große Mailanbieter oder Internetkonzerne sollen nicht in den persönlichen Daten schnüffeln können. Die Kommunikation mit anderen Menschen soll möglichst privat bleiben. Leider kann ein eigener Mailserver dazu aber nur bedingt beitragen: Damit E-Mails tatsächlich privat bleiben, ist es notwendig, dass beide Kommunikationspartner private Mailserver einsetzen. Wenn mein Zielkontakt seine E.Mails von Google hosten lässt, hilft mein privater Mailserver diesbezüglich nichts.