„Hafnium“ Exchange-Vulnerability

(Stand dieser Information: 10. März 2021, 10:30 – laufende Updates werden folgen, je nach dem wie sich die Situation entwickelt.)

„Hafnium“

Microsoft hat sich gezwungen gesehen, einen Patch ausserhalb der normalen Patchzyklen für alle zur Zeit unterstützten Versionen des Exchange-Servers zu veröffentlichen. Eine neue Bedrohung wurde bereits von Angreifern ausgenutzt, um Exchange-Server zu kompromittieren. Die Information von Microsoft finden Sie hier.

Noch bevor die Patches grossflächig ausgerollt werden konnten, wurden offensichtlich zehntausende von Exchange-Umgebungen kompromittiert. Wie ein Partner es ausdrückte: „Wir haben kaum einen Kunden, der nicht kompromittiert wurde.“

Als erste Massnahme (nach dem Aufspielen der Patches, natürlich) empfehlen wir, den Exchange auf Netzwerk-Ebene zu isolieren. Lassen Sie nur noch SMTP-Verkehr von Cleanmail her zu, falls noch nicht geschehen. Die IP-Ranges des Cleanmail Domain Gateways finden Sie hier. Falls Sie auch den Outbound Scanner nutzen, empfehlen wir zudem auch den ausgehenden Netzverkehr nur noch zu den IP-Ranges von Cleanmail zuzulassen (jeweils Port 25). Zudem sollten Sie überprüfen, welche Dienste aus dem Internet zumindest temporär unterbunden werden sollten (IMAP, ActiveSync?).

Bei einer Kompromittierung besteht die Gefahr, dass auch Passwörter abgefangen wurden. Eine Änderung der Passwörter wäre daher sinnvoll, um den Impact von Folgeaktionen der Angreifer zu minimieren. Bei der Gelegenheit kann man die Benutzer auch wieder an die Grundlagen der Passworthygiene erinnern (nicht das gleiche Passwort für verschiedene Dienste nutzen, Passwort-Manager einsetzen).

Impact auf Cleanmail-Dienste

Sowohl unser eigenes ExchangeInCloud.ch als auch das ältere Hosted Exchange bei Appriver sind gepatcht. Die Umgebungen wurden auf möglich Kompromittierungen geprüft, und es wurden keine gefunden. Es werden weitere Prüfungen stattfinden, um auf allenfalls zuvor unbekannte Kompromittierungswege zu prüfen.

Die anderen Cleanmail Dienste (Domain Gateway, Outbound Scanner, Sign+Encrypt, Mail Archive, Emergency Webmail, IncaMail Connector, …) sind von dieser Vulnerability nicht betroffen. Der Verbreitungsweg der Vulnerability ist HTTP(S) – insofern sind E-Mail-Dienste nur indirekt betroffen.

Wir werden sowohl im Domain Gateway wie auch auf dem Outbound Scanner den Mailverkehr verstärkt beobachten, um allenfalls irreguläre Verkehrsströme zu identifizieren und zu unterbinden. Wir rechnen damit, dass kompromittierte Umgebungen bald u.a. auch für den Versand von Spam missbraucht werden.

Disaster Recovery – Wie Cleanmail unterstützen kann

Falls Sie oder Ihre Kunden eine Kompromittierung der Exchange-Umgebung feststellen, werden Massnahmen nötig sein. Welche Massnahmen notwendig und sinnvoll sind, ist von Fall zu Fall (und je nach Art der Kompromittierung) unterschiedlich. Im Rahmen des Disaster Recoverys kann Cleanmail kurzfristig in folgenden Bereichen unterstützen:

  • Emergency Webmail: Falls die Exchange-Umgebung isoliert werden soll, kann mit dem Emergency Webmail die grundlegende Erreichbarkeit über Mail sichergestellt werden. Das Produkt ist auf unserer Webseite noch nicht im Detail dokumentiert, aber hier finden Sie die wichtigsten Informationen. Dieser Dienst kann auch erst nach dem Disaster-Fall aktiviert werden (aber hat dann natürlich nur die Nachrichten ab Aktivierung des Dienstes).
  • Auslieferung deaktivieren: Im Domain Gateway können Sie die Auslieferung von Nachrichten an den (deaktivierten) Exchange temporär ausschalten. Das ist auch sinnvoll, wenn der Exchange aktuell ausgeschaltet oder auf Netzwerkebene getrennt ist: falls der Exchange versehentlich „halbfertig“ erreichbar wird, können unter Umständen legitime Nachrichten zurückgewiesen werden, oder sie können im Exchange verloren gehen. Bei deaktivierter Auslieferung werden die Nachrichten standardmässig 5 Tage in der Warteschlange gehalten. Bitte informieren Sie uns über support@cleanmail.ch, um diese Frist zu verlängern.
  • ExchangeInCloud.ch: Wir können kurzfristig neue Domains bei ExchangeInCloud.ch aufschalten und Daten dorthin migrieren. Details finden Sie hier.
  • Sign+Encrypt und HIN: Falls im Zuge einer deaktivierten Exchange-Umgebung ein lokales HIN Mailgateway nicht mehr in den Mailfluss integriert werden kann, können wir die HIN-Funktionalität auf unserem Sign+Encrypt (basierend auf Seppmail) aktivieren.
  • Sign+Encrypt und IncaMail: Falls im Zuge einer deaktivierten Exchange-Umgebung die bestehende IncaMail-Integration nicht mehr genutzt werden kann, können wir das über unseren IncaMail-Connector zur Verfügung stellen. Dieses Produkt steht technisch bereits zur Verfügung, ist aber noch nicht vollständig dokumentiert. Für einen DR-Fall kann es bereits produktiv eingesetzt werden.
  • Mail Archive: Das Cleanmail Mail Archive ist komplett unabhängig von Exchange (on-premise oder MS365). Als DR-Massnahme können Benutzer alle Mails finden, unabhängig vom Zustand einer Exchange-Umgebung. Es ist auch in einer DR-Situation möglich, das Mail Archive mit einem Import über IMAP oder EWS aufzubauen (der Exchange-Server muss dafür natürlich vom Mail Archive her erreichbar gemacht werden).

Weitere Fragen?

Für weitere Fragen stehen wir Ihnen unter sales@cleanmail.ch oder über den Chat rechts unten auf dieser Seite jederzeit gerne zur Verfügung.

ExchangeInCloud.ch – IMAP, POP und SMTP

Die folgenden Angaben gelten für Kunden mit dem Dienst ExchangeInCloud.ch, die IMAP-, POP- und/oder SMTP-Konten für Benutzermailboxen einrichten möchten.

Benutzername für alle Dienste: gleich wie die (primäre) Mailadresse, mit dem dazugehörigen Passwort.

Servername für alle Dienste: mail.exchangeincloud.ch

Port und Verschlüsselungseinstellungen:

  • IMAP: Port 143 mit STARTTLS oder Port 993 mit SSL (Outlook: Port 993 mit Verschlüsselung „Auto“)
  • POP3: Port 110 mit STARTTLS oder Port 995 mit SSL (Outlook: Port 995 mit Verschlüsselung „Auto“)
  • SMTP: Port 587 mit STARTTLS oder Port 465 mit SSL

Kurzanleitung Sign+Encrypt für Endbenutzer

Die folgende Kurzanleitung sollte Endbenutzern die notwendigen Schritte für die Verschlüsselung mit dem Cleanmail Sign+Encrypt aufzeigen: Kurzanleitung Sign + Encrypt

Für die meisten Kunden werden ausgehende Nachrichten automatisch signiert. Die Benutzer müssen hier keine besonderen Vorkehrungen treffen.

Für die Verschlüsselung mit PGP gibt es noch eine zusätzliche Anleitung zum Schlüsseltausch: Kurzanleitung Sign + Encrypt PGP

Endbenutzer sollten sich für weitere Fragen an Ihren IT-Support wenden.

 

 

Cleanmail Newsletter für Partner und Reseller, August/September 2018

Im letzten Jahr hat sich bei Cleanmail vieles verändert – und gleichzeitig sind wir unserem Anspruch an Qualität und Kundenorientierung treu geblieben. In diesem Newsletter für Partner und Reseller möchten wir Sie über unser neues Produkt zur E-Mail-Verschlüsselung informieren, sowie über anstehende oder erfolgte Produktänderungen.

Ihr Feedback nehmen wir sehr gerne entgegen, am besten per E-Mail: sales@cleanmail.ch.

Freundliche Grüsse,
Philippe Gilbert, Verwaltungsrat   Matthias Leisi, Business Area Manager

PS: Für kurze Anfragen von Kunden, Partnern und Resellern haben wir auf unserer Webseite neu einen Chat integriert. Probieren Sie es aus!


Partner- und Reseller Event 2018

Am 12. Juli 2018 durften wir einen weiteren Event geniessen, diesmal auf der Kart-Bahn Rümlang. Nach einem, dank des warmen Wetters sehr willkommenen Apéro, folgte eine kure Einweisung auf der Kart-Bahn, gefolgt von einer Trainingsfahrt. Danach wurde es ernst und drei spannende Rennen wurde gefahren.

Das Siegerpodest wurde von Data Quest (Platz 1 und 2) und Cleanmail (Platz 3) besetzt.

Wir freuen uns jetzt schon auf den nächsten Reseller- und Partnerevent im 2019!

 


Unser Neues Produkt: Sign + Encrypt

Verschlüsselt per E-Mail kommunizieren!

Cleanmail Sign + Encrypt ist inzwischen offiziell freigegeben und kann über die Webseite bestellt werden. Die Lösung auf Basis von SEPPmail, dem Marktführer in der Schweiz für Verschlüsslungsprodukte, ist in den Spam- und Virenfilter von Cleanmail integriert.

 

Sie ist verfügbar in einer Variante für Benutzer des Health Info Network (HIN) aus dem Gesundheitswesen mit speziellen HIN-Zertifikaten sowie als allgemeine Lösung mit globalen Zertifikaten.

Über die nächsten Monate werden wir diesen Dienst pushen, um das Momentum rund um Datenschutz (EU-DSGVO) und IT-Sicherheit (Hacking, Phishing, Betrug) für unsere Partner/Reseller und für uns zu nutzen. Gerne beraten wir Sie für Fragen rund um Ihre Marktbearbeitung, für Ihre Kundenprojekte, oder für Ihren Eigenbedarf.

Unter den ersten Kunden befindet sich eine Klinik mit 130 Benutzern (mit HIN-Zertifikat) sowie eine Beratungsfirma mit S/MIME-Verschlüsselung (gut 20 Benutzer). Die Beratungsfirma hatte vorher einen eigenen Exchange-Server und eine eigene SEPPmail-Appliance. Im Zuge des Migrationsprojekts mit dem Partner eqipe wurde die bestehende Konfiguration der Kunden-eigenen SEPPmail übernommen, inklusive der noch laufenden Zertifikate.

Weitere Informationen zu unserem neuen Dienst finden Sie auf unserer Webseite unter https://support.cleanmail.ch/signatur-und-verschluesselung-fuer-e-mail/?lang=de


Änderung beim Cleanmail Archiving Service

Wir haben den Dienst weiter gepflegt. Die Infrastruktur hat eine bessere Redundanz in einer besser skalierbaren Umgebung, und sie ist operativ wieder an einem Punkt, an dem wir den Dienst wieder aktiv im Verkauf haben. Die Preisstruktur basiert neu auf der Anzahl archivierter Gbyte statt der Anzahl Benutzer. Damit werden Personalwechsel, die bei langfristiger Archivierung unabwendbar sind, besser berücksichtigt.

Weitere Informationen dazu finden Sie auf unserer Webseite unter https://support.cleanmail.ch/produkte/e-mail-archiv/?lang=de.

 


Cleanmail und Datenschutz

Datenschutz ist ein aktuelles Thema für manche Kunden, besonders für grössere und solche in exponierten Branchen. In diesem Zusammenhang haben wir das Datenschutz-Statement von Cleanmail leicht überarbeitet. Sie finden den aktualisierten Text auf unserer Webseite (Link ganz unten im Footer): https://support.cleanmail.ch/contact-us/schutz-der-privatsphaere/?lang=de.

Wir verfolgen die Situation rund um die Überarbeitung des Schweizer Datenschutzgesetzes aufmerksam. Es ist wahrscheinlich, dass sich das überarbeitete CH-DSG stark an der EU-DSGVO orientieren wird. Im Rahmen unserer Mitgliedschaft im Branchenverband Swico bringen wir auch die Sicht der E-Mail-Anbieter in die Diskussion ein.

 


Ausblick auf Cleanmail 4

Die aktuelle Architektur des Spam- und Virenfilters bezeichnen wir intern als „Cleanmail 3“. Die neue Version, ohne viel Fantasie „Cleanmail 4“ genannt, ist seit einiger Zeit in der Entwicklung. Grösste Änderungen sind eine neue Hardware-Plattform, verbessertes Logging, und insgesamt eine Vereinfachung der Prozesse. Die Überarbeitung der Architektur ist auch die Grundlage für kommende Weiterentwicklungen.

Über die nächsten Monate werden wir sukzessive Cleanmail 4 in Betrieb nehmen. Es wird auf Seite der Kunden keine Anpassungen an DNS-Einträgen oder ähnlichem brauchen.

 

Wie kann ich beim Umstieg auf Cleanmail die bestehende weisse Liste des vorherigen Spamfilters importieren?

Wir raten unseren Kunden von prophylaktischen Einträgen in die weisse Liste ab. In fast allen Fällen besteht für unsere Kunden nicht nur keine Notwendigkeit für solche Einträge, sondern sie können sogar unerwünschte Nebenwirkungen haben.

Mehr „Wie kann ich beim Umstieg auf Cleanmail die bestehende weisse Liste des vorherigen Spamfilters importieren?“

Spearphishing

In unseren Protokollen und in Kundengesprächen sehen wir aktuell gehäuft Spearphishing-Versuche gegen Schweizerische KMUs. Eine Spearphishing-Attacke beginnt normalerweise mit auf die Empfängerfirma abgestimmten Mails. Diese Mails haben eine gefälschte Absenderadresse (für den ungeübten Benutzer manchmal schwer erkennbar). Darin gibt sich der Angreifer als CEO oder Geschäftsleiter aus und verlangt die Überweisung einer bestimmten Summe für ein dringendes Geschäft auf ein Empfängerkonto.

Es gibt Variationen dieses Musters: einmal geht es um vertrauliche Kundendaten statt einer Überweisung, ein anderes mal ist die Vorgehensweise subtil an das Ziel angepasst, oder es werden unterschiedliche Geschichten gesponnen, um das ganze glaubwürdiger zu machen. Die Angreifer verwenden öffentlich zugängliche Informationen (Handelsregister, Firmenwebseite, Social-Media-Profile) um sich ein Bild von der Unternehmung und den involvierten Personen zu machen, wodurch häufig eine hohe Glaubwürdigkeit erzielt wird.

Da solche Mails vom Absender von Hand verfasst werden und keine „gefährlichen“ Attachments enthalten, können sie mit technischen Mitteln nur teilweise erkannt werden. Wir empfehlen, die Mitarbeiter auf solche Attacken zu schulen, und bei verdächtigen Anfragen von Mitarbeitern/Vorgesetzten ggf. telefonisch Rücksprache zu nehmen.

Wenn Sie von Spearphishing-Angriffen betroffen sind, wenden Sie sich bitte an unseren Support, um sich zu weiteren Massnahmen (Spearphishing-Filterset und SPF) beraten zu lassen.

Alle Server in Betrieb

Alle Server in Betrieb
220321: Probleme mit Sign+Encrypt. Seit einem Update des Anbieters am 21. März hatten wir Probleme mit dem Versand von SMS an Empfänger. Dieses Problem wurde mit einem Update am Morgen des 23. März behoben.
Ein zweites Problem betraf das per SMS verschickte Passwort, das es derzeit nicht erlaubt, sich einzuloggen, um die verschlüsselte E-Mail abzurufen. Am Mittwoch, den 23. März, wurde erneut eine Supportanfrage an den Herausgeber der Software geschickt.
Wir werden dich informieren, sobald das Problem behoben ist.