E-Mail Verschlüsselung unter Lotus Notes – Fortsetzung

Ein wenig probieren, auch mit anderen Adressaten, und die Tatsache, dass einige Mails richtig ankamen, brachte mich die letzten Tage einer Lösung der Frage näher, warum in kmail nicht alle s/mime verschlüsselten Mails automatische entschlüsselt werden (siehe hier).

Auf einigen Wegen kamen die Mails richtig an, auf anderen falsch. Im Thunderbird wurden sie immer entschlüsselt. Dies veranlasste mich im RfC 2633 nachzulesen. In Kapitel 3.8 ist beschrieben, wie ein Client einen s/mime Anhang erkennen soll. Siehe da, kmail müsste den Anhang auch anhand des Dateinamens und der Endung p7m, p7s oder p7c erkennen. Der RfC berücksichtigt bereits, dass es Gateways gibt, die mit s/mime nichts anfangen können und aus pkcs7-mime einfach octet-stream machen. Vermutlich ist der Lotus Notes Client nicht der Verursacher, denn er würde es jedes Mal falsch machen, sondern ein nicht richtig konfiguriertes Gateway, das auf dem Weg der Mail durch den Dschungel des Netzes steht.

Eine Prüfung meiner /etc/mime.types ergab: Hier fehlte für application/pkcs7-mime der Eintrag einer Dateinamenserweiterungen. Zufügen half nicht (ich hatte keine Lust auf einen Neustart, der Linuy-untypisch wäre.) Eine Kontrolle der Dateizuordnungen im konqueror zeigte: Auch hier war apllication/pkcs7-mime keine Erweiterung zugeordnet. Eine einfacher Eintrag half nur bedingt, weil jetzt kleopatra nicht damit umgehen konnte. Die Dame hielt die Datei für ein Zertifikat. Nun, dem konnte ich mit dem parameter –decrypt-verify statt –import abhelfen. Nur leider wird damit die Datei in kmail nicht in-line dargestellt, sondern nur entschlüsselt auf der Platte abgelegt. Da blieb mir nur, einen Bug Report (282882) bei Kde zu erzeugen.

So kann man auch den Abend verbringen.

Ein wunderbares Beispiel für das verzwickte Zusammenspiel von Rechnern und Protokollen.

Gute Nacht.

PS: Thunderbird macht es richtig. Evolution muss ich nochmal ausprobieren.

Update: Ich sollte nicht so müde und spät Artikel schreiben. Hoffe, nach dem Korrekturlesen sind jetzt weniger Fehler drin und die Sätze flüssiger.

Facebook Spam

Schade Elaina, ich heiße nicht Dennis und auch nicht Georg. Die Emfängeradresse gehört mir nicht. Ein Blick den Quellcode zeigt: Ich bin mit einer GMX-Adresse unter den blind copy Adressen, die ich seit über sechs Jahren nicht zum Senden benutze, auch wüsste ich nicht, wer an diese Mail Adresse sendet – außer gmx oder deren „Kunden“.

Facebook ? Ein paar Abfragen über whois zeigen, Facemail.de hat nichts mit Facebook.com zu tun; und wahrscheinlich nichts mit dieser Spam, denn kein Link führt zu deren Seiten. Da sich auf der Seite www.facemail.de kein nennenswerter Inhalt befindet, ist diese Domain wohl nur reserviert, damit facebook vielleicht mal ganz viel Geld dafür zahlt, oder einfach nur mit einer horrenden Summe auf Unterlassung klagt. Mein Mitleid mit dem Domaininhaber hält sich in Grenzen. Den Bauernfänger dürfte es gleich sein.

„Facebook Spam“ weiterlesen

WordPress Plugins

In den letzten Tagen habe ich mich etwas mit der Erstellung von Spam in WordPress und der Erstellung von WP-Plugins beschäftigt. Neben einem Fortune shortcode Plugin ist auch ein Plugin zur Erstellung einer Liste der IP-Adressen der als Spam markierten Rechner entstanden. Ein erstes des SPAM Plugins ist angehängt. Die Beschreibung des Plugins folgt später. Da die Liste aus der Datenbank generiert wird, ist sie immer aktuell!

„WordPress Plugins“ weiterlesen

SSH Angriffe blockieren

Thema: Verteidigung gegen brute force ssh attacks / ssh-Angriffe abwehren

Thomas Arend, 21. März 2008
Update: 21. September 2011

Schon seit über zehn Jahren wird über zunehmende Angriffe auf den Dienst Secure Shell (ssh) berichtet [7,8]. Mittels brute force (brutaler Gewalt) versuchen einige Zeitgenossen Rechner mit Nutzerkonten zu finden, für die ein schwaches Kennwort vergeben wurde, und diese dann für ihre Zwecke zu nutzen. Bei einer brute force attack wird versucht mit Listen häufiger Kontennamen und trivialer Passwörter Zugang zu einem Rechner zu erhalten. Mit steigender Verbreitung virtueller Server oder über DSL ständig am Internet hängender Rechner, die über ssh verwaltet werden, werden diese Angriffe in Zukunft sicher nicht abnehmen. Trotz zahlreicher Hinweise, wie man seinen Rechner gegn solche Angriffe schützt,finden sich offensichtlich noch ausreichend Opfer, sonst würden diese Angriffe lohnenderen Methoden weichen. Mein VServer und mein über DSL am Internet hängender Rechner erhält jedenfalls mehrmals täglich Besuch.

„SSH Angriffe blockieren“ weiterlesen

Disclaimer oder Angstklauseln

E-Mail Disclaimer erfreuen sich einer wachsenden Beliebtheit. Automatisch als Signatur angehängt muss man sich keine Gedanken mehr darüber machen. Sie beruhigen das eigene Gewissen und vergeuden unnötig Speicherplatz. In einem großen Unternehmen mit Millionen Mails pro Tag kommen schnell einige Hundert Megabyte pro Tag zusammen. Oft sind die Disclaimer länger als der eigentliche Inhalt. Gelesen und beachtet werden Disclaimer nie, weil sich alle dran gewöhnt haben. Verbindlich für den Empfänger sind sie auch nicht. Heute erhielt ich eine Mail, aus deren Inhalt (z.B. Anrede) nicht hervorging, ob ich der richtige Empfänger bin, was mich zu folgender, leicht verfremdeter Antwort veranlasste.

Sehr geehrter Herr Meier-Müller,

ich habe heute die anliegende Mail erhalten. Aus dem Disclaimer geht hervor, dass Sie annehmen, ich könnte nicht der richtige Adressat Ihrer Mail sein oder diese Mail irrtümlich erhalten haben.

Aus Ihrer Mail geht nicht hervor, ob einer dieser Fälle zutreffen könnte. Zwar habe ich einen entsprechenden Antrag gestellt, allerdings könnte dies auch für andere Antragssteller zutreffen.

Falls ich der falsche Adressat bin oder die anliegende Mail – aus welchen Gründen auch immer – mir irrtümlich zugestellt wurde, bitte ich um Mitteilung.

Mit freundlichen Grüßen

Thomas Arend
[Schnipp – Schnapp]

************************************************************
Dieses Dokument wurde elektronisch erstellt und trägt daher
keine Unterschrift.
************************************************************
Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren
sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
[Schnipp – Schnapp]
************************************************************

Ich frage mich, ob es sich lohne könnte auf derartige Disclaimer mit einer automatischen Anfrage an den Absender zu generieren.

Dies ist eine automatische Anfrage und ohne Unterschrift gültig.
Anliegende Mail wurde von mir empfangen. Sollte ich diese Mail irrtümlich erhalten haben oder nicht der richtige Adressat sein, bitte ich um Rückruf, da eine Mail einen unendlichen Regress erzeugen könnte.

Sollten sie nicht der ursprüngliche Absender sein, fühlen Sie sich bitte an Ihren eigenen Disclaimer gebunden. Ach, der stammt ja nicht von Ihnen. Tun Sie es trotzdem.

Mit freundlichen Grüßen

Der automatische Mailbeantworter

Aber ob’s hilft?


Links

http://www.angstklauseln.de/

E-Mail Verschlüsselung unter Lotus Notes

Neben der in Lotus Notes eigenen Verschlüsselung der Dokumente / Mails kann man auch die S/MIME Verschlüsselung mit dem cryptovision Plugin cv act s/mail nutzen – wenn man die Software denn hat. Vorteil ist, dass nicht nur Lotus Notes Empfänger in den Genuss der Verschlüsselung kommen.

Nachdem sich Outlook oder K-Mail nutzende Empfänger meiner aus Lotus Notes 7.0.3 verschickten Mails beklagt haben, dass nur eine Datei smime.p7m als Anhang angezeigt wird, bin ich am Wochenende der Ursache auf den Grund gegangen. Schicke ich eine mit cv act s/mail S/MIME verschlüsselte Lotus Notes an eine Internet Adresse, dann wird die Mail unter K-Mail nicht als S/MIME verschlüsselt erkannt. Ein Vergleich mit einer erkannten Mail zeigte, dass dies Ursache ein falscher Content-Type ist. Irgendwo bei der SMTP Konvertierung setzt Lotus Notes (oder das cv act plugin) folgenden Content-Type:


Content-type: application/octet-stream;
  name="smime.p7m"

Richtig ist der folgende Eintrag:


Content-type: application/pkcs7-mime;
  smime-type=enveloped-data;
  name="smime.p7m"

Eine Korrektur des Content-Type bestätigt den Verdacht. Da es mühsam ist die Mails zu speichern, im Editor zu korrigieren und wieder in K-Mail zu importieren, habe ich einen kleinen Filter mit sed geschrieben, der die Korrektur auf Knopfdruck erledigt. Als Filterregeln bieten sich an:

  1. X-Mailer enthält: Lotus Notes Release 7.0.3 September 26, 2007
  2. Der Nachrichtenvorstand enthält: smime.p7m
  3. Der Nachrichtenvorstand enthält nicht: pkcs7-mime

Installation:

  1. Zip-Archiv herunter laden
  2. In ~/bin oder /usr/local/bin extrahieren
  3. Neuen Filter in K-Mail einrichten

Wer es nützlich findet, spendiere mir bei Gelegenheit einen Latte Macchiato.


Downloads:

  1. Patch-SMIME.zip

WP socialshareprivacy – Anpassungen

Da mir das Erscheinungsbild der Buttonleiste nicht ganz zusagt, habe ich ein paar Anpassungen für dieses Blog vorgenommen.

  • Hintergrund-Farbe grau
  • Vergrößern der Box
  • Buttons über statt unter dem Inhalt

Für Hintergrundfarbe habe ich in wp-socialshareprivacy/socialshareprivacy.css unter .social_share_privacy_area die Zeile background-color: #dddddd; eingefügt. Dann hängen die Buttons jedoch direk unter der oberen Kante. Also zusätzlich ein padding-top: 5px !important; einfügen und die Höhe von 25px auf 30px ändern.

Um die Buttons nun oberhalb des Inhaltes zu plazieren muss in wp-socialshareprivacy/wp-socialshareprivacy.php in der Funktion add_content die Zeile

$content .= ‚<div id=“socialshareprivacy“></div>‘;

in

$content = ‚<div id=“socialshareprivacy“></div>‘ . $content ;

geändert werden. Fertig!

Facebook, Twitter und Co

Das bisherige Script für die Facebook, Twitter und Co Buttons habe ich durch ein Datenschutz freundlicheres Script von heise.de ersetzt. Die Buttons müssen jetzt mit einem Klick aktiviert werden, bevor sie Daten an Facebook, Twitter und Co senden.

Für WordPress gibt es zwei Versionen zur Auswahl:

  • „XSD socialshareprivacy“
  • „WP socialshareprivacy“

Nach einem kurzen Test habe ich mich für „WP socialshareprivacy“ entschieden. „XSD socialshareprivacy“ zeigte keinen Facebook-Like-Button an und in der Plugin-Übersicht fehlt ein Link zur Konfiguration. Auch den Programm-Code finde ich bei „WP socialshareprivacy“ übersichtlicher und strukturierter.

In beiden Fällen erscheinen die Button jedoch nur unter den Artikeln und nur in der Einzelansicht der Artikel. Ich hätte die Buttons lieber unter dem Titel. Mal sehen, was sich da machen lässt.

Fehler beim Aufruf der man-Seiten unter openSuSE 11.4

Auf einem neuen Rechner mit nackter Festplatte habe ich vor Wochen openSUSE 11.4 installiert. Seit dem wundere ich mich, dass die man-Seiten nicht gefunden werden. So lieferte man bash die Meldung: No manual entry for bash.

Heute bin ich dem Fehler auf die Spur gekommen. Während meine eigenen man-Seiten aus ~/bin/man funktionierten, scheiterten die System-Seiten unter /usr/share/man. Auf einem von 11.3 auf 11.4 hochgezogenen Rechner lief alles ohne Probleme. Eine Neuinstallation der Pakete brachte keine Abhilfe. Übergangsweise hab ich mich mit ssh auf dem zweiten Rechner angemeldet und dort die man-Seiten genutzt.

Heute habe ich nochmal versucht, dem Fehler auf den Grund zu gehen und mich näher mit dem man Befehl befasst. Nach ersten Versuchen mit dem MANPATH brachte mich der Parameter „-d“ für „Debug“ der Lösung näher. Unter den Fehlermeldungen fiel folgende auf:


update_directory_cache /usr/share/man/mang: miss
can't open directory /usr/share/man/mang: Keine Berechtigung
directory cache update failed

Das Verzeichnis /usr/share/man hatte die Attribute „rw-r–r–“ und konnte nicht geöffnet werden – auch nicht wenn root man aufrief. Ein Vergleich mit dem funktionierenden Rechner zeigte, dass offensichtlich die Attribute verkehrt gesetzt waren. Nach einem „sudo chmod +x /usr/share/man“ war alles in Ordnung.

Ich frage mich: Wieso sind die „Ausführen“ Bits umgekippt?

Froschrettung

Frosch Als ich nach dem Einkauf den O-Saft in den Keller brachte, wunderte ich mich über ein seltsames, gesprenkeltes Blatt im Kellerfenster. Bei näherer Betrachtung zeigten sich zwei schwarze Augen und das Blatt begann sich zu bewegen. Es war ein Frosch! Mit Hilfe eines 5-Liter Eimers und vereinten Kräften wurde er sogleich gerettet und musste zum Dank als Model herhalten.