How to secure your Octoprint installation

The community of makers using 3D printers is growing. So does the community of Octoprint users. Of course these users want to access their printers interface from remote.

The ISC was mentioning lots of insecure Octoprint installation in one of their posts. 

In return there was another blog post at Octoprint.org telling about more or less secure practices to gain remote access to Octoprint installations. Here is my take on this.

The mentioned blog post tell about how insecure it is to just open a port for forwarding on your router. Do never forget: once you enable the port forwarding, your Octoprint installation is visible to the world, and bad guys could possibly hijack your installation, and turn your heatbed and nozzle to „5 million degrees“, burn your house, and more. So it might be a good idea to add some security to our installation.

„How to secure your Octoprint installation“ weiterlesen

Postfix – Empfang verhindern, wenn Fake-Mails von meinen Domains eintreffen – smtpd_sender_restrictions

Immer wieder treffen Emails hier ein, die als Absender meine eigene Emailadresse haben, oder eben auch Emailadressen meiner User. Wie verhindert man das mit Postfix, und wie hilft uns smtpd_sender_restrictions dabei?

Lösungsansatz

Es gibt einige Wege, und auch Fallstricke. Dieser Weg hier ist zumindest einfach nachzuvollziehen. Dazu schauen wir uns die main.cf in /etc/postfix an. „Postfix – Empfang verhindern, wenn Fake-Mails von meinen Domains eintreffen – smtpd_sender_restrictions“ weiterlesen

TLS – Transport Layer Security für eingehende und abgehende Emails

TLS aka Transport Layer Security – Verschlüsselung

Wir wollen dafür sorgen, dass unsere Mails auf verschlüsselten Wegen gesendet und empfangen werden. Immer mehr Provider warnen, wenn Emails über SMTP ohne TLS (ohne Verschlüsselung) empfangen wurden. GMail sagt dann z.B.:

Ohne Verschlüsselung bzw TLS
Ohne Verschlüsselung bzw TLS

 

Wir wollen aber lieber das hier sehen

Mit Verschlüsselung bzw TLS
Mit Verschlüsselung bzw TLS

„TLS – Transport Layer Security für eingehende und abgehende Emails“ weiterlesen

SPF aka Sender Policy Framework für abgehende Mails nutzen mit Postfix

SPF aka Sender Policy Framework

SPF besteht aus einem Eintrag im für unsere Domain zuständigen DNS-Server. Dieser Eintrag enthält Regeln. Anhand dieser Regeln kann ein empfangender Mailserver prüfen, ob die Quelle der Mail für die Domain von deren Verwalter zugelassen wurde. Anlaufstelle für die Dokumentation ist http://www.openspf.org/, es gibt aber gute deutsche Seiten und sogar Generatoren für SPF-Einträge. Man muss sich einfach nur Gedanken machen, welche Server im eigenen Namen Mails versenden dürfen, und was passieren soll, wenn der absendende Server nicht im SPF-Record enthalten ist.

Ein sehr einfacher Eintrag: „SPF aka Sender Policy Framework für abgehende Mails nutzen mit Postfix“ weiterlesen

DKIM für den Mailversand einrichten

DKIM aka Domain Keys Identified Mail

Bei DKIM werden aus Teilen der Mailheader Signaturen gebildet. Der private Schlüssel zum Signieren liegt dabei auf dem absendenden Mailserver, und der empfangende Mailserver holt sich den öffentlichen Schlüssel aus dem für die Absenderdomain verantwortlichen DNS-Server. Damit kann der absendende Mailserver bestätigen, dass er der richtige Mailserver ist und für das Versenden der Mail auch zuständig ist. Anders als bei Verfahren wie S/Mime, PGP oder GPG muss im Mailclient nichts konfiguriert werden, denn jegliche Verarbeitung findet am Mailserver statt. Im Gegenzug kann DKIM den Absender einer Mail nicht sicher belegen.

„DKIM für den Mailversand einrichten“ weiterlesen

Warum Spamrobin von dvo.at eine schlechte Idee ist

Warum sollte ein Postmaster eine korrekt zugestellte und verlangte Email eines Spamrobin-Kunden noch einmal bestätigen müssen? (Picture-Credit: Flickr, brownpau, CC-BY-2.0)

In einem Bounce-Postfach habe ich kürzlich das hier gesehen:

Sehr geehrter Absender (xxx@yyyy.de)!
Sie haben am 17.xx.2016 15:xx:15 an xxx@zzz.at ein E-Mail mit dem Betreff „unwichtig“ gesandt.
Der Empfänger Ihrer Nachricht hat sich aufgrund der ständig wachsenden Flut an Spam-Mails für SPAMRobin zur Abwehr von unerwünschten E-Mails entschieden.
Damit dem Empfänger Ihr aktuelles E-Mail und jede weitere Nachricht in Zukunft erfolgreich zugestellt werden kann, werden Sie ersucht sich einmalig zu autorisieren. So erkennt SPAMRobin, dass hinter Ihren E-Mails ein tatsächlicher Absender mit ernsthaften Absichten steckt und es sich nicht um Spam-Mails handelt.
„Warum Spamrobin von dvo.at eine schlechte Idee ist“ weiterlesen