Kerio Newsletter nach Produkten und chronologisch geordnet * älteste Einträge zuerst* © emNetworkX Kerio Connect Webmail: Deutsche Rechtschreibprüfung Kerio verwendet die Wörterbücher von OpenOffice, zu finden unter http://lingucomponent.openoffice.org/download_dictionary.html. Im MailserverVerzeichnis finden Sie ein /myspell Verzeichnis, kopieren Sie dort einfach die .dic und .aff hinein und schon kann jeder Benutzer in seinen Webmail-Einstellungen auch Deutsch auswählen (oder eine andere Sprache). Webmail: Schaltflächen umbenennen Editieren Sie mit einem Texteditor die de.def Datei im Verzeichnis ~Kerio\MailServer\Webmail\Translations. Suchen Sie bitte nach "mail-to" und editieren Sie die drei gefundenen Stellen anlog zu diesem Beispiel: <text id="mail-to">Bis</text> --> <text id="mail-to">An</text> Ohne Doppelpunkt und danach den MailServer bitte einmal stoppen und starten, damit er die neue Datei lädt. Bitte beachten Sie, dass bei einem Update diese Änderungen wieder überschrieben werden. Einrichten der direkten Mailübergabe per MX Record Es gibt verschiedene Möglichkeiten, mit dem Kerio Connect Mails abzuholen. Sie können ein Sammelpostfach bei Ihrem Provider benutzen, dieses abholen und verteilen, oder Sie nutzen die elegantere Möglichkeit per direkter MX Übergabe. Sie haben damit viel mehr Möglichkeiten, so können Sie bsp. Mails an nicht existierende Empfänger ablehnen, die sonst im Sammelpostfach Ihres Providers landen. Sie können Spams wesentlich besser eingrenzen. Voraussetzung dafür ist, dass Sie Ihre Maildomäne im Kerio Connect hinterlegt haben (nicht localhost) und dass Sie vollen Zugriff auf den Port 25 incoming besitzen. a. Testen Sie vorher einfach von außen per Telnet auf den Kerio Connect, ob der Port offen ist. Syntax ist "telnet IP-Adresse 25" für Port 25. Es sollte sich der Kerio Connect melden, QUIT zum Verlassen der Sitzung. Beim Kerio Connect müssen Sie nichts einstellen, außer dass der SMTP Dienst läuft. b. Im Internet müssen Sie für die Domäne Ihres Kunden den DNS Eintrag verändern. Dies können Sie ggf. selbst oder es macht der Provider für Sie. Sie hinterlegen einfach weitere MX Records mit kleineren Prioritätswerten, diese werden dann zuerst angesprochen. Wenn der Mailserver des Providers mit höheren Werten drin bleibt, fungiert er als Backup bei Leitungsproblemen, und stellt die Mails dann Ihrem Server zu sobald er wieder erreichbar ist. Die Existenz dieser Funktion sollten Sie allerdings mit dem Domain-Provider zur Vorsicht abklären. Beispiel: A record : mail 213.23.188.107 MX record: 10 mail.emnetworkx.de. Bitte beachten Sie, dass Änderungen an den Nameservern typ. einige Stunden benötigen, um im Internet verfügbar zu sein. Während dieser Zeit wird es einen Mix aus Zustellung an das alte Postfach und direkter Zustellung an den Mailserver geben. Löschen Sie die alten Postfächer erst nach dieser Zeit, damit nichts verloren geht. Active Directory und Kerberos Probleme Sie dürfen diese Beschreibung selbst nutzen oder weitergeben. Bei der Weitergabe ist bitte der Vermerk auf das Copyright "emNetworkX und Kerio 2007" anzubringen. www.emnetworkx.de/kerberos.doc Empfohlene Hardware für Kerio Connect 500 User Mich erreichen öfter Fragen, welche Hardwareausstattung für eine bestimmte Benutzerzahl notwendig ist. Natürlich hängt das von so vielen Faktoren ab, dass ich hier gerne Erfahrungsberichte anderer Kunden zu Rate ziehe. Es zeigt sich dabei, dass es weniger von der Prozessorleistung abhängt, als von ausreichend Arbeitsspeicher und einem schnellen Festplattenarray. Gerade das Array trägt schon ab 100 aktiven Usern deutlich zur Performancesteigerung bei, da jede Mail als einzelne Datei auf die Platte geschrieben wird und zumeist noch mehrfach repliziert wird bsp. beim Archivieren und beim Löschen (Papierkorbfunktion). Meine Empfehlung wären eine zeitgemäße CPU, ein Mainboard mit einem vernünftigen Chipsatz, 4 GB Arbeitsspeicher und ein SATA2 Raid5 Array. Dual- und Quad-CPUen sind nicht unbedingt nötig, aber nicht von Nachteil, wenn noch mehr auf der Maschine läuft. Eine virtuelle Umgebung für Kerio Connect ist ebenfalls denkbar, wenn sie genug Ressourcen hat. Kerio Connect Free-Busy-Informationen Sobald Sie einen Termin eintragen und diesen "Anzeigen lassen" veröffentlicht Kerio Connect automatisch Free-Busy-Informationen. Das bedeutet, jeder, der Ihnen eine Einladung sendet, erhält automatisch Ihre Termine in diesem Zeitraum angezeigt. Natürlich nur als "Gebucht, Mit Vorbehalt, Abwesend", aber vielleicht stört es Sie ja trotzdem. Dies ist eine Exchange Funktion, die Kerio genau so nachgebildet hat. Die Veröffentlichung geschieht dabei über das http Protokoll Port 80. Wenn Sie keine Free-Busy-Informationen veröffentlichen wollen, haben Sie folgende Möglichkeiten: 1. Setzen Sie diese erst gar nicht, im obigen Beispiel "Anzeigen als: Frei". 2. Verwenden Sie einen weiteren Kalender. Free-Busy wird nur für den Hauptkalender publiziert. 3. Schalten Sie den http Dienst ab (keine gute Lösung, denn dann haben Sie auch kein Webmail mehr) 4. Unter Outlook kann man die "Free-Busy-URL" verbiegen, aber das betrifft dann nur diesen Client Free-Busy und https Probleme Nachdem Microsoft die aktuellen Outlook Versionen auf https umgestellt hat, gibt es viele Rückfragen dazu. Sollte sich der KOC per "Bubble" melden, weil er keine Free-BusyInformationen abrufen kann, so können Sie folgendes tun: Sie können die gesicherte Verbindung ausschalten und Free-Busy über http beziehen. Sie finden diese Einstellung bsp. In Outlook unter "Extras - Optionen - Kalenderoptionen - Frei-Gebucht". Oder Sie Ändern die https Einstellung in den KOC Einstellungen, das hilft je nach Outlook Version ebenfalls. Oder die beste Lösung: Sie bleiben bei https und fügen das Zertifikat des Kerio Connect der Liste der vertrauenswürdigen Zertifikate im Internet Explorer hinzu. Dazu geben Sie einfach ein: https://[mailserver]. Es reicht aber nicht aus, dem Zertifikat zu vertrauen, Sie müssen auf "Erweitert" klicken und das Zertifikat explizit importieren! Damit das Zertifikat funktioniert, muss der Name des Mailservers mit dem Namen im Zertifikat übereinstimmen! Wenn Sie Ihren Server "mailserver" genannt haben, und die Domäne "test.de" ist, muss das Zertifikat auch für "mailserver.test.de" ausgestellt sein. Wenn der Name nur "mail.test.de" ist, ist das Zertifikat nicht gültig. Das gleiche gilt, wenn Sie die IP Adresse verwenden statt des Namens! Also auch im lokalen Netz immer den Mailservernamen im KOC verwenden, sonst haben Sie kein gültiges Zertifikat. Der Kerio Connect kann nur ein Zertifikat für einen Namen erstellen. Die X.509 SSL Zertifikatsnorm sieht allerdings vor, dass man über einen "Multiple SubjectAlternativName" weitere Namen oder IP-Adressen angeben kann, für die das Zertifikat gültig ist. So ein Zertifikat erstellen Sie beispielsweise mit http://sourceforge.net/projects/xca. Auf der zweiten Registerkarte können Sie mit dem Keyword DNS:[name] weitere Namen hinzufügen. Bitte ebenfalls "Copy email address from subject line" ankreuzen. Wenn es erstellt wurde, kopieren Sie es einfach zur Benutzung in das sslcert Verzeichnis auf dem Kerio Connect. Die beiden Dateien namensgleich mit einer gültigen Endung versehen, z.B. name.key, name.crt. Free-Busy funktioniert auf manchen Plätzen nicht, Outlook alle Versionen Hierzu hatte ich ein längeres Ticket, welches beschrieb, dass bei Einsatz eines Starfield Zertifikats Free-Busy auf manchen Plätzen nicht angezeigt wurde. Ein Test mit einem eigenen Zertifikat verlief hingegen erfolgreich. Der Grund ist hier in mangelnder Internetkonnektivität zu suchen (wenn sonst alles ausgeschlossen ist). Outlook muss zur Prüfung des Zertifikats und des Zwischenzertifikats einmal eine erfolgreiche Verbindung zur ausgebenden Stelle aufgebaut haben. Danach kann diese Verbindung wieder abgeschaltet werden. Wenn die Verbindung aus irgendwelchen Gründen nicht korrekt zustande kommt (hier war es ein Paketfilter der eigesetzten Sonicwall) funktioniert die Free-Busy-Anzeige nicht. Free-Busy zusammengefasst Da dies sozusagen ein Dauerthema ist, Free-Busy unter Outlook anzuzeigen, hier noch einmal die Haupt-Fehlerquellen. All dies sind aber Microsoft Sachen und eigentlich kein Kerio Support ... 1. free-busy wird nur für den Hauptkalender publiziert, ist es vielleicht ein Unterkalender? 2. haben Sie es mit http statt https probiert? --> Zertifikatsproblem (es muss auch zwingend eine Internetverbindung da sein um das Zertifikat zu prüfen!) 3. outlook.exe /cleanfreebusy (nicht clear...) 4. hat der Outlook Platz Internet ohne Einschränkung, keine Sonicwall installiert :) ? ... -> Zertifikatsproblem 5. Intervall überprüft? <variable name="OutlookFreeBusyInterval">2</variable> = 2 Monate Publikationszeitraum 6. In all Outlook versions, the option to publish free/busy information must be unchecked. By default, this option is already unchecked. (This option is located under Tools → Options → Preferences → Calendar Options → Free/Busy Options) 7. %temp% Ordner löschen, das gibt oft Probleme mit Outlook wenn der zu voll ist! 8. Internet Cache löschen! 9. Es können natürlich auch Sicherheitseinstellungen in der Domäne sein. Outlook muss einen ics file herunterladen können. Kerio Connect empfängt grössere Anhänge per SMTP extrem langsam Mich beschäftigte dieses Problem in einem Kundennetzwerk. Wenn man von Outlook 2003 eine größere Mail, z.B. 10 MB, an Kerio Connect (im internen Netz!) gesendet hat, dauerte die Übertragung dieser Mail fast 5 Minuten. Ich probierte es mit Outlook Express, und die gleiche Mail ging in 10 Sekunden zum Kerio Connect. Also dachte ich zuerst, ein Outlook 2003 Problem entdeckt zu haben. Nachdem ich mich aber ausgiebiger damit beschäftigte, musste ich feststellen, dass es ein Windows Problem ist, welches sowohl unter XP Professional wie auch unter Windows 2003 auftritt. Verantwortlich ist immer der Server, nicht der Client, und es ist ein Problem, welches zuerst in der Mac Welt auftrat. Der folgende Artikel hat mich auf die Lösung gebracht, die Lektüre kann ich nur empfehlen: http://www.stuartcheshire.org/papers/NagleDelayedAck/ Das Problem ist in der TCP Paketstruktur der Kommunikation zu suchen. Es gibt zwei Optimierungsroutinen, "Nagle´s Algorithm" und "Delayed ACK", die unter bestimmten Umständen miteinander kollidieren und die Kommunikation bis zum Faktor 30 verlangsamen können. Die eine Routine versucht, Pakete zusammenzufassen, die andere Routine versucht, Antworten zu koordinieren, und manchmal kommen dadurch Antworten nicht zurück, weil eben keine weiteren Pakete kommen, die die andere Routine zwecks Optimierung zurückhält :-) Das ganze löst sich nach einem Timeout von 200 ms wieder auf, aber wenn dieser Timeout alle paar Pakete geschieht, ist praktisch keine Kommunikation mehr möglich. Es scheint vom Protokoll und der gewählten Paketgrösse des übergeordneten Layers abzuhängen, ob dieser Fehler gehäuft auftritt oder nicht, und bei Outlook 2003 über SMTP tritt er leider sehr gehäuft auf. Probieren Sie es einmal, hängen Sie an eine Mail an sich selbst ein 10 MB Attachment an, klicken Sie auf Senden, und stoppen Sie die Zeit, bis die Mail den Postausgang verlassen hat. Wenn Sie betroffen sind, die Lösung: Auf dem Server, der ein aktuelles SP haben sollte, suchen Sie folgenden Registry Schlüssel: Unter dem Schlüssel "Interfaces" wählen Sie die ID des Interfaces, welches Ihr internes Netz mit den Clients verbindet. Dort fügen Sie einen neuen DWORD Wert hinzu: TcpAckFrequency mit dem Wert 1. Und den Server neu booten. Dann testen Sie noch einmal. Öffentliche Ordner und Rechte (status.fld) Ich hatte ein Szenario, in dem der Kunde sehr viele Unterordner im Öffentlichen Ordner hatte, und für diese Rechte vergeben wollte. Das ist ziemlich mühselig, manchmal geht es schneller, die status.fld Dateien in den Ordnern manuell zu verändern. Ganz wichtig: Der Kerio MailServer muss dabei gestoppt sein, sonst zertören Sie die Ordnerstruktur, was gerade bei öffentlichen Ordnern alle betreffen kann! Machen Sie unbedingt ein Backup des Ordners vorher! Die status.fld hat folgende Struktur: … N0 E0 S229639 O00000000 Z00000000 Aauthuser lr [email protected] lrswicda Die Rechte des Benutzers stehen dabei in der letzten Zeile. In diesem Beispiel lrswicda = lookup, read, keep seen/unseen, write, insert, create, delete, administration. Outlook 2007/2010/2013: Spam/No Spam-Buttons verschwunden Bitte prüfen Sie, ob unter Extras, Vertrauensstellungen, Addins der Kerio Outlook Connector eingeschaltet ist! Outlook tendiert dazu, im Fehlerfall/Absturz erst mal alle Plugins abzuschalten. Je nach Outlook Version auch unter „Deaktivierte Elemente“. Was tun bei einem kompletten Absturz der Firebird Datenbank im KOFF? Sie sollten unbedingt das Verzeichnis, in dem die Datenbank STORE.FDB liegt, vom Virenscan ausnehmen. Wenn ein AV den Zugriff auf einen Teil dieser Datenbank blockiert, stürzt Firebird komplett ab und die Reparatur wird schwierig. Bitte nehmen Sie darum die im folgenden beschriebenen Verzeichnisse unbedingt aus dem lokalen Virenscan heraus! Notfall-Reparatur des KOFF auf dem Client: 1. Das Konto in Outlook löschen 2. Den KOFF deinstallieren 3. Manuell das Verzeichnis unter C:\Programme\Kerio\[Name des aktuellen Offline Connectors] löschen 4. Manuell die Firebird DB unter C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Kerio\[hier alle Datenbanken] löschen Dazu müssen die versteckten Dateien angezeigt werden ;-) 5. Neu booten und KOFF wieder installieren, Konto einrichten, Erstsynchronisation abwarten (nicht vorher Outlook schliessen !!) Outlook zeigt eingebundene Grafiken nicht an Am eigenen Beispiel habe ich gesehen, dass folgender Nachtrag sinnvoll ist. Wenn Sie die eingebundenen Grafiken in meiner E-Mail in Ihrem Outlook nicht sehen können, und diese Grafiken stattdessen als Anhang empfangen wurden, so schalten Sie bitte die Option "Decodierung von winmail.dat" ein oder aus und probieren es erneut. Synchronisationsabbrüche bei verschiedenen Providern mit PDA´s / iPhone Von mehreren Seiten ist mir das folgende Phänomen berichtet worden: Mitarbeiter arbeiten sowohl mit ihrem Outlook in der Firma wie auch mit ihren Nokia PDA´s. Manchmal kommt es vor, dass die Nokia PDA´s (meist nach einigen Stunden Untätigkeit) keine Termin-Updates mehr empfangen. Eine manuelle Synchronisation oder auch ein Öffnen von Outlook auf dem entsprechenden Platz im Unternehmen stößt diese PDASynchronisation wieder an. Manchmal hilft auch der Wechsel zwischen http und https Protokoll auf dem PDA. Dieses Problem wird zur Zeit eingehend untersucht und es tritt offensichtlich nur bei einigen Mobilfunk-Anbietern auf. Die Vermutung liegt nahe, dass diese Anbieter offene Ports nach einiger Zeit ohne Daten automatisch schließen, womit der PDA erst wieder Daten empfangen kann, wenn dieser aktiv "angestossen" wird. Das passiert u.a. auch dadurch, dass eine Outlook Synchronisation durchgeführt wird, daher diese "merkwürdige Effekt". Workarround: Das "heartbeat" Intervall in der cfg so herabsetzen, dass der Provider die Ports nicht mehr schließen kann. Die Variable heißt "MaxHeartbeatInterval" und hat einen Standardwert von 2700 (Sekunden). Ich empfehle, diese zuerst auf 600 zu setzen, falls das nicht hilft auf 60. Bitte diese Veränderung nur bei gestopptem Mailserver vornehmen! Dies erhöht natürlich den Traffic zu Ihrem PDA. Wenn dies hilft, sollten Sie darum Ihren Provider kontaktieren und diesem mitteilen, dass seine Firewall "DirectPush-features" mobiler Geräte unnötigerweise blockt und um Abhilfe bitten! Ordner mit "." Bitte grundsätzlich keine Punkte in Ordnernamen unter Windows verwenden. Windows macht daraus Verzeichnisse, aber Outlook erlaubt Punkte auch in Verzeichnisnamen ... dies führt dazu, dass es hinterher Verzeichnisse gibt, die in Webmail da sind, aber im KOFF nicht, und umgekehrt ... Outlook 2007/2010 - MAPI_E not found Der Grund kann im Vorhandensein eines Ordners "Outbox" in jeweiligen Mailstore lVerzeichnis des Users liegen. Outlook hat diesen Ordner in einer früheren Version angelegt, wenn man eine lokale PST Datei und/oder ein IMAP Konto angelegt hatte. Dieser Ordner stört zumindest Outlook 2007/2010 jetzt massiv. Lösung: Bitte den Benutzer komplett von seinen E-Mails abmelden (Outlook / IMAP / Webmail). Dann den Ordner Outbox im Mailverzeichnis des Users auf dem Kerio Connect komplett löschen. Danach sollte es einwandfrei synchronisieren, aber der KOFF Cache muss geleert werden bzw. das Konto in Outlook gelöscht und neu angelegt werden. Leere Verteilerlisten in Webmail Wenn Sie aus einer lokalen PST Datei per Drag-Drop eine Verteilerliste in ein KOFF Konto ziehen, erscheint diese in Outlook ganz normal. In Webmail werden Sie jedoch u.U. feststellen, dass die Verteilerliste angeblich keine Kontakte enthält. Lösung: Nach dem Rüberziehen die Verteilerliste per Doppelklick in Outlook öffnen, "Jetzt Aktualisieren" und "Speichern" anklicken und alles ist in Ordnung. Filterregeln zurücksetzen Sollte es einmal vorkommen, dass die angelegten Filterregeln nicht korrekt funktionieren und der Fehler nicht zu finden ist, können Sie alle Filterregeln eines Postfaches wie folgt löschen: Stoppen Sie Kerio Connect und löschen Sie die filter.siv Datei des Benutzers. Ressourcen zeigen Termine nicht mit allen Feldern an Das ist kein Fehler, sondern eine gewünschte Eigenschaft. Eine Ressource wird von allen Benutzern verwendet, und viele der Kalendereinträge enthalten private Daten. Sie können die Anzeige aber auch freigeben. Dazu stoppen Sie Kerio Connect und ändern die folgende Variable in der mailserver.cfg auf 0: <variable name="ClearEventSubject">0</variable> Kerio Connect und AD Mapping Wenn Sie die User aus dem AD übernehmen, erhalten diese grundsätzlich Ihren Windows-Benutzernamen als primäre Email-Adresse (SAM account name). Sie können natürlich weitere Aliase hinzufügen. Wenn Sie dies nicht haben wollen, bleibt nur eine lokale Datenbank, oder ein Patch der ads.map Datei. Ich beschreibe Ihnen diese Prozedur einmal, muss aber deutlich darauf hinweisen, dass Sie damit weitgehend in die Verzeichnisstruktur des Connect eingreifen und diese Lösung nicht von der Technik supported wird. Auch vor jedem Upgrade müssen Sie zwingend die ads.map sichern, da diese durch ein Upgrade überschrieben wird! Also für die technisch Interessierten hier eine Vorgehensweise: Replace the following part in ../ldapmap/ads.map file: Name sAMAccountName by this: Name userPrincipalName ${Name}@active.directory.name where active.directory.name is your Active Directory name. Probleme mit Umlauten unter Outlook 2007 Falls Ihre Empfänger melden, dass Umlaute in Ihren Emails nicht richtig dargestellt werden, überprüfen Sie bitte die folgende Einstellung in Outlook 2007: Kerio Conect: Blacklists Es lohnt sich, gelegentlich zu prüfen, ob Ihr Server auf einer Blacklist steht, insbesondere wenn Sie Emails direkt versenden. Ein nützliches Tool ist hier http://www.mxtoolbox.com/SuperTool.aspx Tippen Sie ein: blacklist:[ip-adresse] also bsp. blacklist: 176.94.84.38 für meinen Mailserver. Es gibt hier allerdings eine Liste, die Sie nicht überbewerten sollten: Die uce-protect-l3Liste. Auf dieser stehen alle großen Providernetze, weil aus deren Netzen zwangsläufig ein Spamaufkommen zu verzeichnen ist. Sie gehören auch zu diesen Netzen, da auch Sie über einen Provider ins Internet verbinden und Ihre IP zwangsläufig zu bsp. Arcor oder Telekom gehört. Hier wird angeboten, sich mit seiner eigenen IP aus dieser Liste "freizukaufen", die Begründung klingt plausibel, vielleicht ist sogar der Grundgedanke gut. Nur schade, dass ich ihn nicht gehabt habe ... Ich gehe nicht davon aus, dass ein Provider ernsthaft diese Liste zu Rate zieht, insbesondere weil er immer selbst drauf stehen wird und sich jeder Spammer ebenso freikaufen kann. Ich vertraue lieber auf die bewährten Spamhaus und Spamcop, wenngleich auch ein gewisser China-Spam da durchkommt. Wenn Sie diesen bekämpfen wollen, können Sie Versuche mit www. backscatterer.org (DNS suffix = ips.backscatterer.org) oder blackholes.five-ten-sg.com starten. Ob diese Listen etwas taugen, müssen Sie ausprobieren, aber bedenken Sie immer, dass Ihre gesamte Email Kommunikation zusammenbricht, wenn es mal einen dieser Server nicht mehr geben sollte, was gelegentlich vorkommt! Hier ein Hinweis eines Anwenders, wie man Blacklists direkt auf dem Server pflegen kann. Mit Dank an Herrn Reinhold! vim /opt/kerio/mailserver/plugins/spamassassin/rules/local.cf #blacklist blacklist_to [email protected] blacklist_to [email protected] /etc/init.d/keriomailserver restart Autoresponder selbst angepasst Unter den Filterregeln können Sie auch einen Autoresponder mit besonderen Eigenschaften selbst programmieren. Bsp. wollen Sie keine automatischen Antworten an eine bestimmte Liste von Empfängern senden. Dazu erzeugen Sie einfach zwei eigene Regeln: Regel 1 ist eine Liste von E-Mail-Adressen, die einfach "keine weiteren Regeln ausführen" enthält. Regel 2 ist die eigene Autoresponder Regel. In der Voreinstellung wird an jeden Absender einmal in der Woche nur ein Autoresponder verschickt. In der eigenen Regel können Sie auch einstellen, dass jeden Tag oder nur einmal monatlich eine Abwesenheitsnachricht pro E-Mail-Adresse versendet wird, oder Null für jedes Mal. Kerio Connect unter Apple OS X Lion Server Unter Lion Server läuft standardmäßig ein Apache Server, der natürlich die Ports 80 und 443 blockiert. Diesen können Sie mit dem folgenden Befehl abschalten: sudo launchctl unload -w /System/Library/LaunchDaemons/org.apache.httpd.plist Connect: Leistung eines Atom Prozessors ausreichend? Gerade für kleinere Installationen stellt sich die Frage, wie leistungsfähig ein Mailserver für Connect sein muss. Ich habe es mit meinem eigenen Mailserver ausprobiert. Ich benötige nur fünf User für Koff und Webmail und habe meinen AMD 4200+ durch einen kleinen Acer Revo ersetzt, ein Mini-PC mit AMD Neo II Prozessor (ähnlich Intel Atom), 2 GB, Win 7 Home Premium. Für meine fünf User reicht es absolut aus, ist schnell und superleise, kein Unterschied zum bisherigen Webmail, und braucht statt 120W nur noch 18W, was immerhin bei 24x7 Betrieb im Jahr 200 € sind und die kleine Investition schnell amortisiert. Dies ist übrigens noch mein Stand per 12/2015 mit 8.5 64 Bit. Statusmeldungen im Mail Log von Kerio Connect Wie im Newsletter 11/2008 schon einmal festgehalten gibt es zwei wesentliche Statusmeldungen, wobei alle 2.x.x Meldungen eine erfolgreiche Zustellung bedeuten, und alle 4.x oder 5.x Meldungen einen Fehler. Status: 2.0.0 bedeutet, dass die Nachricht ordnungsgemäß in den Posteingang geliefert wurde Status: 2.1.5 bedeutet, dass die Nachricht durch ein Filter verschoben wurde Hier halten wir uns an die Standards RFC 821 und 1893. Den Standard RFC 1149 "Transmission of IP Datagrams on Avian Carriers" (also die Übertragung von IPDatagrammen durch Brieftauben) untertützen wir nicht, weil mit durchschnittlich 45 Minuten die Antwortzeit auf ein Ping zu lang ist. Der Social Connector funktioniert nicht in Outlook 2010 In dieser speziellen Ansicht werden verbundene Kontakte, Emails, Facebook Accounts etc. aufgelistet, sobald man eine Email anklickt. Wenn hier nichts angezeigt wird, erstellen Sie bitte eine lokale pst Datei, diese scheint Outlook für die Aktivierung des Social Connectors zu brauchen. KOFF Fehlersuche Sobald es Fehlfunktionen zwischen Outlook und Kerio Connect gibt, bitte für ein Ticket sinnvollerweise gleich die folgenden Protokolle gezippt mitliefern. Oft sehen Sie selbst auch bereits in diesen Protokollen die Fehlerursache. Installationsprobleme des KOFF: Aus dem %temp% Verzeichnis (meist Dokumente...\User\Lokale Einstellungen\Anwendungsdaten\Temp) kerio-connect-outlook-closer.setup.log kerio-connect-koff-7.3.2-6388-win[1].exe.log kerio-connect-koff.setup.win32.log Synchronisationsprobleme: Bitte vorher alle Logs löschen oder nur die entsprechenden Auszüge mailen! Im debug.log des Servers mit rechter Maustaste die "KOFF Offline Messages" aktivieren Das debug, error, warning und security Log nach einem Fehler Das KOFF debug.log des Clients oder der Clients (Dokumente...\User\Lokale Einstellungen\Anwendungsdaten\Kerio\Outlook Connector\Profil) Nicht vergessen die "KOFF Offline Messages" wieder abzuschalten Unter Windows 7 sind die Pfade etwas anders aber intuitiv zu erraten :) Ausserdem gibt es auf dem Client noch die Möglichkeit, im KOFF Konto ein erweitertes Logging einzuschalten („enable reporting“). Die Synchronisation zwischen dem KOFF und Kerio Connect wird alle paar Minuten durch einen dem Push-Email ähnlichen Mechanismus angestoßen, auch wenn nichts geändert wurde. Änderungen werden natürlich sofort repliziert. Diese Logs zeigen uns, ob es Kommunikationsprobleme gibt, und woran sie liegen. Connect: x-loop Variable Es gibt die Variable x-loop im Header, die insbesondere beim Autoreply einen Loop verhindern soll. In manchen Szenarios, kann dies dazu führen, dass interne Autoresponder innerhalb des Unternehmen nicht mehr ankommen. Sie können die x-loop Variable zwar nicht abschalten, aber die Prüfung derselben: Stoppen Sie den Mailserver und ändern Sie in der mailserver.cfg den folgenden Eintrag auf <"LoopDetectionEnabled">0</variable>. Beachten Sie aber bitte, dass damit generell keine Loops mehr ausgefiltert werden, was meist unerwünscht ist. MAPI_E Fehler bei freigegebenen Postfächern Falls Sie ein freigegebenes Postfach hinzufügen wollen, und einen MAPI_E Fehler erhalten, dann deinstallieren Sie am besten den KOFF einmal und installieren ihn neu. Sie sind dann auf ein Problem aus einem früheren Release gestossen, welches seit Jahren gelöst ist. Migration von Kerio Connect auf eine andere Maschine Sie installieren genau die gleiche Version von Connect auf der neuen Maschine und bereiten in der Firewall schon mal die Portregeln für den neuen PC vor. Zum Zeitpunkt der Portierung stoppen Sie beide Mailserver und kopieren das komplette Mailserver Verzeichnis rüber und fertig. Da sind ja alle Einstellungen drin, inklusive Stand der Spamfilter, Lizenzen, etc. Hinweis: Wenn Sie das store Verzeichnis auf einem getrennten Laufwerk haben und sich dieses nach dem Kopiervorgang ändern sollte, bitte vor dem Start des neuen Connect das Verzeichnis manuell in der mailserver.cfg anpassen. Die Portierung dauert also genau so lange wie ihr Kopiervorgang der Daten benötigt schneller kann es nicht gehen. Während der Downtime versuchen andere Mailserver sicherlich eine erneute Zustellung der zwischenzeitlichen Mails, so dass hier nichts verloren gehen wird. Falls es natürlich ein Riesendatenbestand von 500 GB ist, würde ich das so vorbereiten, dass ich im Betrieb einfach schon mal alles rüberkopiere, und in einem anschließenden Wartungslauf bei der Portierung eben nur die geänderten oder damals offenen Dateien dazu kopiere. Robocopy macht das hervorragend mit der mirror Funktion. So läßt sich die Portierung auch bei großem Datenbestand praktisch ohne Downtime machen. Migration / Umzug auf andere Plattform Wenn Sie beispielsweise von Windows nach Linux migirieren wollen, dann installieren Sie die gleiche Version von Connect auf dem neuen System. Kopieren Sie dann den kompletten Verzeichnisbaum an die analoge Stelle des neuen Betriebssystems. Ändern Sie dann die mailserver.cfg manuell auf die neuen Pfade. Mit Alt-F2 kommen Sie aufs Terminal. Loggen Sie sich als root ein, Passwort ist das Admin Passwort. Achtung: Hier sind meist Y-Z vertauscht wg. englischer Tastatur. Stoppen Sie Connect mit dem Befehl /etc/init.d/kerio-connect stop. Gehen Sie in das Verzeichnis mit der mailserver.cfg, bsp. /opt/kerio/mailserver und editieren Sie mit vi oder Ihrem bevorzugten Editor. Wichtig: Sie können das Backup erst einspielen, wenn der neue Server lizenziert ist, da er sich sonst noch im "Ersteinrichtungsmodus" befindet. Spamregel für kyrillische Schrift 4.1. Zeichensätze blockieren: Alle ISO-8859-* Zeichensätze sind immer erlaubt! - Kerio Connect stoppen - die Datei X:\Program Files (x86)\Kerio\MailServer\plugins\spamassassin\rules\local.cf editieren - Kerio Connect starten Beispiel: ok_locales all (alle Zeichensätze erlauben) ok_locales en (nur Englisch erlauben) ok_locales en ja zh (Englisch, Japanisch und Chinesisch erlauben) Hinweis: Nur die letzte Zeile "ok_locales" wird ausgewertet, falls mehrere Zeilen dort stehen. Also nur eine Zeile hineinschreiben! en - Western character sets in general ja - Japanese character sets ko - Korean character sets ru - Cyrillic character sets th - Thai character sets zh - Chinese (both simplified and traditional) character sets 4.2. Sprachen blockieren: - hier steht es in der X:\Program Files (x86)\Kerio\MailServer\plugins\spamassassin\rules\25_textcat.cf Beispiel: ok_languages all (alle erlauben) ok_languages en (nur Englisch) ok_languages en ja zh (Englisch, Japanisch und Chinesisch) Auch hier ist nur eine Zeile erlaubt. Siehe http://spamassassin.apache.org/full/3.2.x/doc/Mail_SpamAssassin_Plugin_TextCat.html Spamfilter auch auf ausgehende Mails anwenden Per Standard werden alle Spamfilter nur auf eingehende Mails angewendet, weil ausgehende Mails in aller Regel keinen Spam darstellen. Falls Sie hier aber eigene Filter und White/Blacklists anwenden wollen, können Sie die Spamfilter auch für ausgehende Mails aktivieren. Aktivieren Sie dazu die Option "Enable rating of messages send from trustworthy relay agent" in den Spameinstellungen. AD-Anbindung mit verschiedenen E-Mail Domains oder verschiedenen OU´s Wenn Sie Kerio Connect ans Active Directory anbinden, werden üblicherweise alle Benutzer und Gruppen aus allen organisatorischen Einheiten (OU´s) angezeigt, bei denen das Connect Postfach aktiviert wurde. In großen Unternehmen ist es manchmal gewünscht, nur Benutzer aus bestimmten OU´s abzubilden. Außerdem kommt es vor, dass Sie mehrere Domains haben, und bsp. die OU1 auf Domain1 und die OU2 auf Domain2 abbilden möchten, oder dass Domain1 und Domain2 auf verschiedenen Mailservern liegen und dort natürlich nur die Benutzer aus der zugehörigen OU (entsprechend E-Mail-Domain) angezeigt werden sollen und nicht alle Benutzer. Sie können dazu die mailserver.cfg editieren. Bitte beachten Sie, dass Sie zuerst das AD korrekt anbinden und testen müssen (alle Benutzer mit aktiviertem Postfach aus allen OU´s sind sichtbar). Danach stoppen Sie Connect und editieren die mailserver.cfg. Nach dem Start vom Connect sehen Sie nur noch die Benutzer aus der OU in der entsprechenden Domain. Wichtig: Diese Lösung ist undokumentiert, insbesondere erscheinen nach der Änderung "ungültige" Einträge in den AD-Domain-Eigenschaften, die Sie mit dem Admin Interface nicht bearbeiten und abspeichern dürfen, sonst sind die Änderungen wieder verloren. In der mailserver.cfg suchen Sie <list name="Ldap"> <listitem> <variable name="Domain">emnetworkx.de</variable> <variable name="ServerName">dc-01</variable> <variable name="ServerPort">389</variable> <variable name="BindDn">[email protected]</variable> <variable name="BindPassword"> </variable> <variable name="MapFile">ads.map</variable> <variable name="Filter"></variable> <variable name="UserBaseDn">OU=Altenbochum,OU=Bochum,DC=emnetworkx,DC=local</variable> <variable name="GroupBaseDn">OU=Altenbochum,OU=Bochum,DC=emnetworkx,DC=local</variable> Hier setzen Sie nun den Suchpfad im Active Directory auf den Container Altenbochum.Bochum.emnetworkx.local ... Zusätzlich werden immer alle Benutzer und Gruppen abgebildet, die im Hauptcontainer stehen, also emnetworkx.local, hier sollten also keine mehr stehen! Ordner auf dem iPhone sind weg Wenn Sie insbesondere mit dem neuen IOS6 auf einmal einen Ordner vermissen, bsp. den Papierkorb, ist irgendwas auf dem iPhone schief gegangen. Dann löschen Sie das ActiveSync Konto auf dem iPhone, entfernen das mobile Gerät unter Benutzer/mobile Geräte/Entfernen (Entfernen nicht Wipen sonst spricht der Benutzer nicht mehr mit Ihnen !!) und legen das Konto auf dem iPhone neu an. Damit werden alle Ordner vom iPhone aus erneut mit Connect synchronisiert. Langsames Senden in Webmail Es gibt das Phänomen, dass Sie grundsätzlich ein sehr schnelles Webmail haben, aber beim Erstellen einer neuen Nachricht nach dem Klicken auf "Senden" der Text "Nachricht wird gesendet" für 5-7 Sekunden auf dem Bildschirm stehen bleibt. Falls dies bei Ihnen der Fall ist, prüfen Sie bitte (bei gestoppter Engine!) ob in der mailserver.cfg die Variable ExtendedMailLog auf 1 steht. Wenn das der Fall ist, werden bei jeder Nachricht die ID und weitere Parameter dokumentiert, was je nach Netzwerkstruktur für Verzögerungen sorgen kann. Setzen Sie diese Variable auf 0, starten den Mailserver und testen erneut! Eine weitere Möglichkeit ist, mal "Log Hostnames of incoming connections" abzuschalten, in der Konsole unter Erweitert. Auch diese Einstellung sorgt manchmal für eine deutliche Verzögerung, weil Namen aufgelöst werden müssen. Log: Unknown error 11 Die Fehlermeldungen in der SMTP Kommunikation kommen überwiegend vom Socket und sind bsp. hier gut nachlesbar: http://www.barricane.com/c-error-codes-include-errno Error 11 heißt also lediglich "try again", was darauf hindeutet, dass die Verbindung vom sendenden Mailserver abgebrochen wurde. Outlook 2010 zeigt Anlagen sporadisch nicht an oder MAPI_E_Collision Fehler Das ist ein reines Outlook Problem. Oft hilft es, den %temp% Folder zu löschen, weil dieser zu voll ist. Falls das nichts bringt, das Konto löschen und ein neues Outlook Profil anlegen. Wie es schon in der Community heißt: "Ein Outlook-Profil ist leider relativ fehleranfällig und muss daher gegebenenfalls gereinigt, repariert oder im schlimmsten Fall neu angelegt werden. Ein defektes Outlook®-Profil macht sich meist durch ein merkwürdiges, nicht auf andere Weise lösbares Verhalten in Outlook® bemerkbar." Connect 8 LDAP: Auflistung der Benutzer fehlgeschlagen Dies kann bei großen AD´s vorkommen und ist ein kleiner Bug. Beheben Sie diesen, indem Sie in der mailserver.cfg die Variable "PagedResultSize" auf 0 setzen. Connect 8 Greylisting Firewall Ports Damit das Greylisting funktioniert, muss die Firewall den Port 8045 nach außen lassen. Hier ein Artikel zur Konfiguration: http://kb.kerio.com/product/kerioconnect/antispam/configuring-greylisting-1180.html Greylisting and how it works in Kerio Connect Allgemein: Entfernen einer ungültigen Installation Sie sollten immer zuerst versuchen, ein erneutes Setup zu durchlaufen, und hinterher das Produkt ordnungsgemäß zu deinstallieren. Wenn dies nach einem Absturz Ihres Systems überhaupt nicht mehr funktioniert, kann ich das Microsoft Cleanup Programm empfehlen, siehe folgender Link: http://support.microsoft.com/kb/290301/ CardDAV / CalDAV Konfiguration statt EAS Hier die Konfiguration für iPhone: http://kb.kerio.com/product/kerio-connect/mobiledevices-kerio-connect/how-to-configure-your-iphone-to-communicate-with-kerioconnect-251.html Und hier für Android: http://kb.kerio.com/product/kerio-connect/mobile-devices-kerioconnect/configuring-imap-carddav-and-caldav-on-android-based-devices-1329.html Und noch einmal eine andere Quelle: Switching users from EAS to IMAP/CalDAV/CardDAV in iOS is pretty simple but it needs to be done on the device itself. Instruct users to: 1. Launch Safari on their iOS device 2. Type in the URL of your Kerio Connect server, i.e. https://mail.mycompany.com 3. Click on the "Set up my phone", click on "Mail, Contacts, Calendars" and click "Continue" Windows 8 Mail Unterstützung In Windows 8 Mail muss zwingend zuerst ein Microsoft Konto angelegt werden, sonst sind weitere Konten nicht erlaubt. Microsoft setzt in allen neuen Versionen (auch Office 365) jetzt auf EAS statt MAPI, darum auch die ganzen Lizenzänderungen. Die neuen Click-toRun Versionen haben kein MAPI mehr und werden darum ab dem KOFF 8.1 per EAS unterstützt. Das geht nicht mit älteren Versionen des KOFF, die rein MAPI basiert sind. Update 32 --> 64 Bit Dieses Update ist einfach drüber zu installieren. Die Programmpfade werden automatisch ermittelt. Wenn vorher eine 32-Bit-Version unter einem 64-Bit-OS installiert war, befindet sich diese im x86 Verzeichnis. Das Update installiert dann auch die 64-BitVersion in diesem Verzeichnis, um nicht alles verlegen zu müssen. Das ist auch völlig egal, denn eine 64-Bit-Version darf überall installiert werden, nur 32-Bit-Versionen müssen zwingend in x86 installiert werden ;) Lohnt der Umstieg 32 --> 64 Bit? Gute Frage, kleinere Installationen werden sicher nicht schneller, sondern können aufgrund der komplexeren Programmarchitektur (größere Pointer) sogar langsamer werden. Wenn Sie 100 oder mehr Benutzer haben, lohnt es sich eher, um die 2 GB Grenze für den Core Process zu umgehen. Entscheidend ist hier die Frage, wieviel freigegebene Ordner es gibt, denn diese sind sehr speicherlastig! IM Server und Firewall Bitte die Ports TCP 5222 + TCP 5223 (SSL) freizugeben. Als Client funktioniert Jabber oder irgendein anderer. Connect 8: Die Suchfunktion findet nicht alle Einträge Hier ist davon auszugehen, dass durch Hard- oder Softwarefehler einer oder mehrere Benutzer-Indizes beschädigt wurden. Unter den Benutzereinstellungen haben Sie die bekannte Option, das komplette Postfach des Benutzers neu zu indizieren. Bitte lassen Sie den Benutzer vorher alle Anwendungen und Webmail schließen. Der Volltext Suchindex selbst ist in einer zusätzlichen Datenbank auf dem Server gespeichert. Diese Datenbank der Volltextsuche können Sie unter "Erweiterte Optionen" ebenfalls neu indizieren: Externer Virenscanner auf dem Connect Server ja oder nein Ich empfehle grundsätzlich, auf dem Mailserver keinen weiteren Virenscanner laufen zu lassen. Falls Sie es doch wollen, so schließen Sie bitte alle Kerio Connect Dateien und den Store komplett vom Scan aus. Die Folgen sind unabsehbar, wenn ein lokaler Virenscanner Dateien im Store verändert. Meine Gründe dafür sind: 1. Der Mailserver steht in der DMZ und hat natürlich keine Internetverbindung. Ständige Updates des Betriebssystems dort sind unnötig und störend. Wie soll ein Virus auf den Server kommen? Kerio Connect sendet und empfängt per SMTP/S und bedient HTTP/S Anfragen. Niemand sonst kommt auf den Server selbst. In Connect werden alle erforderlichen Updates aus dem Internet über den unter "Erweitert" eingetragenen Proxy geladen. Alle Viren, die Connect per Mail erreichen, werden vom eingebauten Sophos gelöscht oder landen schlimmstenfalls im Postfach des Benutzers. Nichts davon kann auf dem Server ausgeführt werden. Die Firewall muss aber aktiv und konfiguriert sein. 2. Wenn ein weiterer Virenscanner läuft, wird er ständig Alarm schlagen, denn Kerio Connect erzeugt in regelmäßigen Abständen Eicar Testviren zur Prüfung des eigenen Sophos. Wenn ein anderer Virenscanner die wegnimmt, stürzt der eingebaute Sophos ab und nichts wird mehr gescannt. 3. Kerio Connect hat bereits Sophos eingebaut. Falls Sie einen weiteren Scanner auf dem Server nutzen, darf dies nicht Sophos sein, denn zwei Instanzen von Sophos auf der gleichen Maschine vertragen sich nicht! Sie erkennen dies an Fehlermeldungen im Protokoll über ausgelassene Virenscans, und daran dass nichts mehr gescannt wird und alle Viren durchkommen :) Spam Einstellungen Nachfolgend liste ich meine empfohlenen Einstellungen auf. Das muss nicht allgemeingültig sein, bitte immer im Einzelfall prüfen und auch nach 24 Stunden einmal die Logs durchsehen (Security, Spam, Warning), ob etwas falsch positiv ausgefiltert wurde. Basics: Beginnen wir mit der Annahme von Mails. Kerio Connect muss die Mails direkt annehmen, sonst brauchen wir mit dem Spamfilter gar nicht erst weiterzumachen: - Wenn Emails zuerst beim Provider landen, unterliegen diese meist nicht kontrollierbaren Provider Filtern und werden verändert - Der Weg einer Email ist nicht mehr gut nachvollziehbar, nicht angekommene Mails zu finden ist ein Zeit- und Glücksspiel - Emails landen beim Provider und sind damit zugestellt, auch wenn diese später ausgefiltert werden, eine Garantie für Massenspams - Der Provider kann meist nicht prüfen, ob auch alle Empfänger valide sind, eine Garantie für weitere Harvest Attacks Außerdem sollte Connect als einziger MX eingetragen sein: - Spammer gehen oft auf den 2./3. MX, weil dieser meist schlechter geschützt ist - ... oder senden im Idealfall gleich an alle MX ... Wenn der Connect einmal ausfällt, werden die anderen Mailserver meist über Stunden versuchen, die Mails erneut zuzustellen. Schlimmstenfalls erhält der Absender eine Nachricht, dass der Mailserver im Moment nicht erreichbar ist. Es kann also nichts verloren gehen, es wird im Gegenteil transparent dokumentiert ob die Mail angekommen ist oder nicht. Wir erinnern uns: Zum Empfangen einfach die drei SMTP Dienste auf den Connect mappen (SMTP Port 25, SMTPS Port 465, SMTP Subm Port 587). Der Internet Hostname (unter Domains) muss mit dem MX Namen aus dem Internet übereinstimmen, bsp. mail.emnetworkx.de! Das DNS muss funktionieren! Also Connect Server --> DC --> Firewall --> Internet. Prüfen Sie den DNS Namen und die zugehörige IP von außerhalb, ist denn mail.emnetworkx.de wirklich die IP Adresse Ihrer DSL Leitung :) ? Hier reicht ein einfacher Ping. Zum direkten Versenden muss es auch anders herum funktionieren: Die IP muss auf den Namen des Mailservers auflösen. Also beim DSL Leitungsprovider (nicht im Domain DNS) diesen Eintrag setzen lassen. Das nennt sich Reverse Lookup oder Pointer (PTR). Außerdem müssen Sie in der Domain noch einen SPF Eintrag setzen, der angibt, welche IP denn Mails unter Ihrem Namen versenden darf. Die Syntax hängt vom Anbieter ab, bei mir sieht der erforderliche TXT Record wie folgt aus: @ "v=spf1 mx ip4:176.94.84.38 ~all" Siehe http://www.openspf.org/SPF_Record_Syntax Ein nettes Tool zur Überprüfung von MX, PTR etc. ist auch http://mxtoolbox.com/SuperTool.aspx Wenn diese Voraussetzungen vorliegen, können wir uns dem Spamfilter widmen: Hier sollten Sie alles aktivieren. DNS und PTR sind Standard, wer das nicht bringt, von dem wollen wir auch keine Mails. Die oberen Werte sind durchaus diskutierbar. Bitte immer Ihr internes Netz als Ausnahme hinterlegen, und bitte niemals die Internetdomain also bsp. emnetworkx.de im internen Netz auf dem DC verwenden. Die Domain heißt dort korrekt emnetworkx.local ... sonst stehen Sie vor einer Fülle von A und MX Einträgen auf dem AD DNS Server, damit Sie nicht Ihren eigenen Mailserver als Spammer ausfiltern ;) Ich setze immer einen Block und tagge keine Mails als Spam. Den Aufwand kann man sich sparen wenn der Spamfilter funktioniert. Ein Wert von 4.0 sollte ausreichen, um keine falsch positiven zu blocken. Es kommt schon mal vor, dass Mails aus Outlook in HTML mit komischen Bildern drin einen Spamwert von 1.0 erreichen, aber alles was 4.0 hat ist wirklich Spam. Bitte keine Mails an Spammer zurücksenden! Das ist die Garantie dafür, dass Ihre offensichtlich existierende Adresse in viele weitere Datenbanken kommt. Bitte tragen Sie Ihr internes Netz in die Whitelist ein! Interne Mails als Spam zu blocken ist uncool. Ich vertraue auf Spamhaus, Spamcop können Sie auch nehmen, von dem Rest halte ich nichts. Bitte nicht die Mails blocken, sondern die Bewertung um 4.0 erhöhen! Das hat den selben Effekt, aber wenn Sie Mails blocken wird die Verarbeitung abgebrochen und Ihre später kommenden Eigenen Regeln funktionieren nicht mehr! Hier schreiben Sie Newsletter oder anderes rein, die aufgrund ihrer Struktur vielleicht sonst ausgefiltert wurden. Oder lehnen bestimmte Domains etc. ab. Der SpamAssassin ist wichtig, da er die referenzierten Domains im Body der Mail prüft. Die Absender sind sowieso immer gefälscht. Caller ID gibt es aktuell nicht mehr, hat sich nicht durchgesetzt, nicht anhaken! Ja, SPF sollte wirklich jeder gesetzt haben. Greylisting ist ein schwieriges Thema. Einerseits ist es sehr effektiv, wenn sonst nichts mehr hilft vielleicht die einzige verbleibende Option. Aber Emails kommen beim Erstkontakt erst nach einer halben Stunde oder später an - kann man sich das in einer Kommunikation mit neuen Geschäftspartnern leisten? Die Email Adressen werden dazu auf dem Kerio Greylisting Server hinterlegt - ist das vereinbar mit deutschem Datenschutzrecht? Ich habe mich dazu entschlossen, Greylisting in meinen eigenen Installationen vorerst nicht zu nutzen. Hier die wichtigste Option überhaupt. Die Annahmeverzögerung funktioniert natürlich nur, wenn die Mail nicht bereits im Postfach eines Providers gelandet ist. Die recht komplexe Kommunikation und nicht zuletzt die Wartezeit überfordern fast alle Trojaner, was Ihnen allein 95% aller Spams ausfiltert. Sehen Sie sich mal nach einiger Zeit die abgebrochenen Verbindungen in der Statistik an :) Aus diesem Grund würde ich die auch nicht loggen. Und bitte Ihr internes Netz als Ausnahme eintragen, sonst gehen die Mails aus Outlook auch erst nach 15 Sekunden Wartezeit auf den Mailserver. Zum Schluss möchte ich noch allgemein auf die Domainsignaturen DKIM hinweisen, die Sie unter den Domaineinstellungen finden. Dieses neue Feature wird zukünftig wichtig werden, aber wie immer wird es dauern bis es sich weltweit durchgesetzt hat. Aus diesem Grund unterstützen wir auch erst einmal nur die Kennzeichnung unserer ausgehenden eigenen Domain. Mailumleitung und Umlaute Leider haben einige Kunden Domains mit Umlauten erworben, obwohl diese weltweit eher schlecht funktionieren. Kerio Connect unterstützt Umlaute bsp. in Mailumleitungen nicht direkt, aber Sie können hier ACE statt IDN verwenden, also übersetzt müller.de = xn--mller-kva.de, siehe dazu auch den Konverter der Denic: http://www.denic.de/domains/internationalized-domain-names/idn-konvertierung.html Am Beispiel Connect 8.2 - Geschwindigkeit optimieren Mit zunehmender Postfachgröße und Mailanzahl sind Optimierungen notwendig, um Outlook wieder flott zu bekommen. Darauf möchte ich hier eingehen: 1. Serveranforderung Storage: CPU Geschwindigkeit und RAM des Connect Servers sind eher unwichtig. Ich betreibe meinen eigenen Mailserver noch auf einer kleinen AMD Neo II Box mit 1.3 GHz, die ich mir vor Jahren mal als Testserver gekauft habe, und die kaum Strom braucht. Aber sie hat eine SSD. Der Trend geht natürlich zu VM´s, und hier ist Geschwindigkeit bei der Wahl des Storage geboten. Interne Raidsysteme oder 10 Gbit NAS/SAN sind prinzipiell gut, aber wenn man ein Dutzend Maschinen drauf hat bricht die Leistung schnell ein. Unter Linux erkennen Sie bsp. Storage-Probleme durch hohe wait Zeiten ... Beispiel: Cpu1:1.0%us, 1.0%sy, 0.0%ni, 0.0%id, 98.1%wa, 0.0%hi, 0.0%si, 0.0%st 2. Generell sollte die gesamte Anzahl der Elemente in einer Mailbox 20.000 nicht übersteigen. Archivieren Sie mal was. 3. Besonders wichtig sind Posteingang und Gesendete Objekte, in diesen beiden Ordnern sollten jeweils (inkl. aller Unterverzeichnissen) nicht mehr als 5.000 Elemente liegen. Hier hilft es, im root neue Ordner anzulegen und Objekte zu verschieben. Generell empfehle ich aber, Unterordner im Hauptverzeichnis mit Vorsicht anzulegen, da einige Namen von Outlook lokal verwendet werden (wie bsp. Outbox) und Umlaute und Sonderzeichen dort nicht erlaubt sind. 4. Hinzugefügte Mailboxen und Freigaben machen in der Überzahl das System sehr langsam. Auch bei Kalendereinträgen muss man etwas Maß halten, hunderte sind o.k., tausende nicht. 5. Beim Verschieben und Löschen von Objekten bitte nicht mehr als 200 gleichzeitig markieren. 6. Unter Outlook kann man einstellen, was synchronisiert werden soll. Beispielsweise arbeite ich viel mit Aufgaben, ich will sie aber nur lokal haben und möchte auf keinen Fall, dass bei meinem Webmail ein Dutzend Erinnerungen aufpoppen oder mein Handy ständig nervt. Darum benutze ich Aufgaben nur lokal und habe die Synchronisation mit dem Koff abgeschaltet: 7. Im neuen Webmail können Sie ebenfalls festlegen, welche Ordner auf Ihre mobilen Geräte übertragen werden! 8. Das Ganze ist aber kein Problem von Kerio Connect, sondern ein generelles Problem. Auch im social.technet von Microsoft gibt es die Empfehlung, nicht mehr als 10.000 Objekte zu haben, und gerade bei kritischen Ordnern wie Posteingang besonders knappe Maßstäbe anzulegen. Siehe bsp. http://social.technet.microsoft.com/Forums/exchange/en-US/3920d411-8cc3-4cc6-92d22c43a0451215/maximum-number-of-subfolders-in-amailbox?forum=exchangesvradminlegacy, Zitat "In combing through the responses, there's mention of no more than 10,000 items in Contacts and there is mention of items in a folder, but not specifically anything regarding subfolders." Obwohl sich Microsoft nicht deutlich festlegt, gibt es unter Exchange genau die gleichen Probleme, die eben ein generelles Problem sind. Outlook: Eine Minute Wartezeit bis zur ersten Mail Offensichtlich sind die Übermittlungsoptionen in den verschiedenen Outlook Versionen nicht alle gleich voreingestellt. Wenn Sie das Problem haben, nach dem Start von Outlook länger als 10 Sekunden auf die erste eingehende Mail warten zu müssen, prüfen Sie doch mal den Haken unter (versionsabhängig) Extras, Senden+Empfangen, Übermittlungsgruppen. Die automatische Übermittlung muss angehakt sein: Kerio Connect: Wie funktioniert der Passwort-Schutz Der Passwort-Schutz blockiert jede IP Adresse nach 5 Fehlversuchen (für das gleiche Konto) für 5 Minuten. Er blockiert die Adresse nicht, wenn verschiedene Konten bsp. alle nur einmal probiert werden. Kerio Connect: Welches Image unter Debian nehmen Oft erreicht mich die Frage, ob denn nun 32 Bit oder 64 Bit installiert ist: 32-BIT: Linux hostname1 2.6.32 #1 SMP Tue Oct 29 21:44:00 UTC 2013 i686 GNU/Linux 64-BIT: Linux hostname2 3.2.13 #1 SMP Thu Mar 29 09:48:59 UTC 2012 x86_64 GNU/Linux Outlook: Empfänger erhalten unvollständige Emails Dieses Problem ist mir gelegentlich berichtet worden. Outlook zeigt die gesendete Email vollständig an, beim Empfänger kommen aber nur Fragmente an. Das scheint bevorzugt nach längerem Bearbeiten und Speichern in Entwürfen aufzutreten und scheint ein Problem des IE11 zu sein. Was ist das beste Betriebssystem für Kerio Connect Im März 2014 habe ich in den USA mit Kerio ausführlich über die Umgebungen diskutiert. Die einhellige Meinung dort ist, dass Mac leider die einzige Plattform ist, auf der man nie mehr als 150 users implementieren sollte. Die Erfahrungen der letzten Jahre haben gezeigt, dass alle Probleme mit größeren Userzahlen nur auf Mac waren. Connect arbeitet dateiorientiert, und das MacOS scheint irgendwann (ziemlich schnell) out-ofhandles zu sein, was dazu führt, das auf einmal alle Verbindungen erschreckend langsam werden. Das ist bis zum aktuellen OS durchgängig und bisher trat es immer auf, wenn die Installation mehr als 150 users hatte, die auch alle aktiv waren ... Diese Probleme sind nie unter Linux und Windows beobachtet worden, darum ist aktuell meine klare Empfehlung für Server 1. Linux 2. Windows 3. Mac Öffentliche Ordner zwischen Windows und Apple Welt benutzen mit EAS Wenn Sie bsp. öffentliche Unterordner im Kalender anlegen, müssen Sie darauf achten, dass Sie alle Kalender mit dem Typ "Kalender" anlegen und nicht mit "Mail", sonst werden diese auf Apple Geräten nicht angezeigt. Bei EAS macht Kerio ein Workaround, da der Microsoft Standard öffentliche Ordner eigentlich gar nicht unterstützt. Sie haben also auch alle öffentlichen Ordner auf Ihren mobilen Geräten zur Verfügung. Sollten diese nicht angezeigt werden, so prüfen Sie bitte zuerst, ob sie überhaupt für EAS freigegeben wurden. Folgendes Dokument beschreibt es sehr gut: http://kb.kerio.com/product/kerio-connect/email-clients/kerio-connectclient/synchronizing-folders-with-mobile-devices-1507.html Backups zurückschreiben mit dem Kmsrecover Tool Im Programmverzeichnis des Mailservers gibt es das kmsrecover command line tool. http://manuals.kerio.com/kms/en/sect-kmsrecover.html Hiermit würden Sie bsp. die Gesendeten Objekte des Users Smith zurückschreiben (Domain und Pfade anzupassen): kmsrecover -v -d company.com -u smith -f "Sent Items" E:\backup\F20051009T220008Z.zip In alten Archiven suchen, die bereits komprimiert sind Wenn Sie die Email Archivierung aktiviert haben, wird jede eingehende Nachricht im Archiv abgelegt. Als Administrator sehen Sie diese Archive bsp. in Webmail. Wenn Kerio Connect so eingestellt ist, dass Archive automatisch als zip komprimiert werden, müssen Sie diese jedoch zuerst wieder auspacken, um auf länger zurückliegende Mails zugreifen zu können. Dazu packen Sie die Archivdatei des gesuchten Zeitraums auf dem Server einfach per Doppelklick in den Original Speicherort wieder aus. Danach müssen Sie den Connect Server einmal stoppen und wieder starten, damit die ausgepackten Emails in die Struktur aufgenommen und neu indiziert werden. Die Email Archivierung hat hier nur eine Basisfunktion, um den gesetzlichen Vorschriften gerecht zu werden. Sie können immerhin komfortabel darin suchen, aber wenn Sie eine richtige Archivierung brauchen, empfehle ich bsp. Mailstore, die eine API zu Kerio Connect haben. IMAP und Papierkorb Wenn Sie statt Outlook (mit KOFF) oder Smartphone (mit EAS) noch IMAP nutzen (bsp. Apple Mail), kommt es oft vor, dass verschiedenes von Gerät zu Gerät anders ist. Beispielsweise Ordnernamen oder auch der Papierkorb. Früher wurden gelöschte Objekte in IMAP sofort gelöscht, aktuell wandern sie oft nur in den Papierkorb und bleiben parallel im Posteingang bis bsp. Apple Mail beendet wird. Dieses Verhalten kann man über die folgende Variable in der mailserver.cfg beeinflussen (der Mailserver muss bei Änderungen der cfg immer gestoppt sein!): <table name="Imap"> <variable name="AutoExpungeOnDelete">0</variable> --> auf 1 setzen <variable name="AutoUnsubscribe">1</variable> <variable name="BreakFetchInfiniteLoop">1</variable> </table> DKIM richtig setzen "Domain Keys Identified Mail" wird zukünftig immer wichtiger werden. Setzen Sie gelegentlich einmal nicht nur Reverse-DNS und SPF, wenn Sie Mails direkt aus Ihrem Mailserver versenden, sondern veröffentlichen Sie auch Ihren DKIM Schlüssel. Dieser wird in Kerio unter den Domäneinstellungen erzeugt und angezeigt. Beispiel von mir, mein Mailserver heißt mail.emnetworkx.de: Dieser Schlüssel gehört in Ihren DNS Eintrag im Internet, und zwar in den TXT Record. Mit Tools wie bsp. http://dkimcore.org/c/keycheck testen Sie das dann hinterher: Der Eintrag im TXT kann etwas trickreich sein, denn von Haus aus unterstützen viele Provider nur 255 Zeichen pro TXT Eintrag, und der SPF steht ja auch dort drin und braucht schon Platz. Sie haben dann zwei Optionen: 1. Probieren Sie aus, ob der Provider aufgeteilte Zeichenketten und damit längere TXT Einträge unterstützt. Der DKIM Schlüssel "12345678901234567890" kann bsp. aufgeteilt als "1234567890" "1234567890" geschrieben werden, so dass jede Einzelkette unter 255 Zeichen liegt. 2. Verwenden Sie einfach einen kürzeren DKIM Schlüssel als die von Kerio vorgeschlagenen 2048 Bit :) ... hier der Link: http://kb.kerio.com/product/kerio-connect/server-configuration/security/configuring-dnsfor-dkim-1483.html Damit sieht mein TXT Record bsp. wie folgt aus: @ "v=spf1 mx ip4:176.94.84.38 ~all" mail._domainkey "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDO4NK6/3zEJr49xk6i0+..............F 3vk7lxwIDAQAB Im SSLCERT Verzeichnis steht der vollständige Schlüssel, privat + öffentlich, dann bsp wie folgt: -----BEGIN PUBLIC KEY----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDO4NK6/3zEJr49xk6i0+m7OteH J20FqP49la55Y9FTcUTYmsUTqH/CkVFmcjYZZBHrnv3WmlCn5wQlmRl9isB7LQNm uWgpcsOe0oRKy61MvLMMaN/zqrxaDeOpjGLA5K3Zxt5XbMy5PdC64PNGVkAtT5Rf z6eAWbpisgF3vk7lxwIDAQAB -----END PUBLIC KEY---------BEGIN RSA PRIVATE KEY----MIICXQIBAAKBgQDO4NK6/3zEJr49xk6i0+m7OteHJ20FqP49la55Y9FTcUTYmsUT ***geheim*** Jc9HgxutDd+jmEQkWfavbc/tcRpFg2dguex1csBwHMJTlsQx8J4SKh9XEZUCQGvI 92AL1am8A63W0VurBRJfaNtaWj+IzgfpT5E/wfC+ago5NvXxfeNZwzBBrEmuL+2R R6dl4keprOf7WQKm1RMCQQCrmH3l5Qd2KeOMCXs/BV+wpCpi70UoiaSyI9gnoKoE wkh5fyNqfFW2Vze5roq+Wxmw1RCTQMXmt9nigr4Q6V+G -----END RSA PRIVATE KEY----Benutzer statt lokal nun im AD verwalten Wenn Sie bisher die Benutzer lokal gepflegt haben, und nun auf die (gleichlautenden!) Namen im AD zur Authentifizierung umstellen wollen, ist das kein großes Problem. Installieren Sie die AD Extensions auf dem DC, aktivieren Sie das AD im Connect und schauen Sie ob die Benutzer da sind. Danach löschen Sie einfach alle lokalen Benutzer bis auf den Admin (ja wirklich), aber behalten die Postfächer bei! Legen Sie die Postfächer im AD neu an und fertig. Da die Namen gleich sind, bleibt die Ordnerstruktur auf dem Connect Server gleich, und schon haben Sie alles mit dem AD verbunden und müssen die Passwörter nur noch einmal pflegen. P.S. Umgekehrt genauso. Webmail reagiert nach 10 Minuten nicht mehr Das kann bei schlechten Verbindungen vorkommen. Als Abhilfe, wenn Sie oft in Internetcafes unterwegs sind, ist die Empfehlung von Kerio, den folgenden Parameter in der mailserver.cfg zu verändern (bei gestopptem Mailserver!): set value of variable LongPollTimeout to 0. Support für Sophos Live Protection ab Connect 8.4 Das aktuelle Update von Connect enthält bereits die erste Version von Sophos Live Protection. Hier wird ein Hashwert von Anhängen zum Sophos Server übertragen, um just-in-time festzustellen, ob es ein gemeldeter Virus ist. Diese höhere Sicherheit erkaufen Sie nicht mit weniger Datensicherheit, denn im Gegensatz zur Sophos Implementation für Firmen und Endkunden, die im Falle eines unbekannten Anhangs auch diesen selbst zum Sophos Server überträgt, hat Kerio diese Funktion bewusst herausgenommen. Es werden grundsätzlich nur Hashwerte übertragen! Übrigens ist die Sophos Live Protection auch abwählbar. Greylisting in Kerio Connect Aus diesem Anlaß noch einmal ein Hinweis zum Thema Greylisting: Auch dieses Filter überträgt grundsätzlich nur Hashwerte, niemals komplette Absender oder Empfängeradressen. Siehe dazu http://kb.kerio.com/article/configuring-greylisting- 1180.html. Dazu ist noch eine Whitelist bekannter IP Absender hinterlegt, allerdings stehen mittlerweile auch die großen Relays wie Vodafone Telekom etc. darauf, was die Funktion des Greylisting Filters etwas aufweicht. Meine Meinung ist allerdings weiterhin dazu, dass Email eine Echtzeitkommunikation ist, und man entscheiden muss, ob man ggf. auf eine Mail auch warten kann, wenn der Absender noch nicht mit seiner IP auf der Whitelist steht und demnach einen zweiten Zustellversuch nach vorgegebenen 15/30/60 Minuten je nach sendendem Server machen muss ... So sähe es dann in der Kommunikation aus (falls schon auf der Whitelist): [09/Mar/2015 16:56:24][1660] {greylist} Greylisting: testing mail from "[email protected]" to "[email protected]" sent by 145.253.3.205. [09/Mar/2015 16:56:24][1660] {greylist} Greylisting: Kerio Connect sent "GREYL 145.253.3.205 UqG/jT+CAh2RvvWyRfYrQg==" over TLS. [09/Mar/2015 16:56:24][1660] {greylist} Greylisting: service responded "211 Pass" over TLS. [09/Mar/2015 16:56:24][1660] {greylist} Greylisting is accepting mail, query finished in 174 ms with result "PASS". Autoresponder soll für jede Email eine Antwort senden Normalerweise sendet der Autoresponder in Kerio Connect an jeden Absender nur einmal in 7 Tagen eine Antwort, um die Absender nicht zu nerven. In manchen Fällen bsp. als "Eingangsbestätigung" ist jedoch gewünscht, dass für jede Email immer eine Antwort gesendet wird. Um dieses Verhalten zu erreichen, müssen Sie eine Systemdatei modifizieren: 1. 2. 3. 4. 5. Stop Kerio Connect; Go to .../kerio/mailserver/store/mail/DOMAIN.COM/USER/ Edit filter.siv change :days 7 to "days 0 Save changes Start Kerio Connect Alle IM Dienste vollständig stoppen Obwohl man IM in den Connect Diensten abschalten kann, laufen noch einige Java Prozesse weiter. Wenn das stört, kann man diese komplett abschalten. Bitte aber beachten, dass auch die Volltextsuche ein Java Prozeß ist, komplett bekommt man die also nicht weg: 1. 2. 3. 4. Stop Kerio Connect Edit the mailserver.cfg file Look for the section "InstantMessaging" Set "Enabled" to 0 and save that change Outlook KOFF Meldung "Objekt Keriostorage ... ist nicht vorhanden" Diese Meldung kommt sporadisch in größeren Installationen, der Grund ist oft ein Timingproblem oder zu langsame Hardware. Die Meldung kann ignoriert werden. Gruppenfreigaben funktionieren nicht (mehr) Wenn Kerio Connect ans AD angebunden ist, so ist es ab Version 8.5 notwendig, dass die Gruppe auch im AD unter "groups" angelegt wurde! Verhindern, dass alte mobile Geräte EAS 14.1 angeboten bekommen Bei alten Android Handys bsp. der Versionen 3.x führt die neue EAS Anbindung oft zu unbrauchbaren Ergebnissen, in denen Mails 10 Mal kommen oder gar nicht. Mit folgendem Eintrag in der mailserver.cfg kann man dies verhindern. <list name="LegacyDevices"> <listitem> <variable name="UserAgent">Apple-ipod/705.18</variable> </listitem> </list> http://kb.kerio.com/product/kerio-connect/email-clients/activesync/setting-acompatible-exchange-activesync-version-for-specific-mobile-devices-1799.html Outlook 2013 / Office 365 sendet max. 20 MB Anlagen Ja, das ist wohl so. https://support.microsoft.com/de-de/kb/2813269/de Kerio Connect: Spamfilter Einstellung für Reverse DNS Prüfung Da leider sehr viele Mailserver keinen oder einen falschen Reverse DNS Eintrag gesetzt haben, und die Provider teilweise ewig brauchen diese Reverse Einträge per DNS aufzulösen, werden hierdurch unnötig viele Email abgelehnt. Ich empfehle, diese Einstellung aktuell herauszunehmen: Manipulationen des Store - Datum und Uhrzeit von Emails falsch Falls Sie manuell Emails aus einer Datensicherung kopieren (ohne kmsrecover) und hinterher den zwingenden Reindex durchführen, sollten Sie bedenken dass die index.fld das Originaldatum und Uhrzeit jeder Email enthält. Wenn diese gelöscht wird, oder eben nicht alle Einträge enthält und neu aufgebaut wird, wird sie neu mit Datum und Uhrzeit der eml Dateien der Datensicherung aufgebaut. Das muss dann nicht mehr zwingend die Zeit sein zu der die Mail tatsächlich empfangen wurde. Also besser hier immer mit den Mitteln von Kerio arbeiten. Kerio Exchange Migration Tool (KEMT) - benötigte Ports Wenn Sie remote eine Migration durchführen wollen, so müssen die Ports 143 (TCP) and 44337 (TCP/UDP) auf dem Kerio Connect erreichbar sein. Kerio Connect Downgrade, bsp. von 9.0.1 auf 8.5.3 Die Installationsroutine der 8.5.3 weigert sich natürlich, über eine höhere Versionsnummer zu installieren. Gehen Sie also unter Programme und deinstallieren Sie Kerio Connect 9.0.1. Ganz wichtig: Die beiden Haken der Deinstallationsfrage müssen draussen bleiben, damit Sie sowohl den Store wie auch alle Konfigurationseinstellungen erhalten! Dann installieren Sie die Version 8.5.3 wieder und fertig. Ein beliebter Fehler ist, Connect 8.5.3 in der 64 Bit Variante dann unter Programme zu installieren, wenn es vorher unter Programme (x86) war, weil es bsp. durch jahrelange Updates einer 32 Bit Version eben in diesem Pfad installiert wurde. Also nicht verzweifeln, wenn das neu installierte Connect 8.5.3 auf einmal scheinbar keine Daten mehr hat :) Prüfen Sie, ob Sie den Fehler gemacht haben, dann deinstallieren Sie es wieder (hier können Sie natürlich den zweckfreien Nachrichtenspeicher und die Konfig entfernen) und installieren es noch einmal richtig im alten x86 Pfad. Kerio Connect – Mailbox does not exist, oder ein Benutzer kann einfach keine Mails mehr empfangen In diesem Fall hatte der User Probleme seine Mailbox aufzurufen. Der Grund lag in einer (warum auch immer) fehlenden status.fld Datei. Bitte prüfen Sie bei solchen Fehlern, ob im INBOX Verzeichnis eine status.fld ist. Falls nicht, legen Sie bitte eine leere mit Notepad an und lassen den Benutzer neu indizieren. Kerio Connect – Ressourcen zeigen nicht alle Informationen an Normalerweise werden in der Ressourcenplanung nur Benutzer und Ort angezeigt. Wenn Sie hier mehr sehen wollen wie Betreff und Inhalt, dann modifizieren Sie die mailserver.cfg (bei gestopptem Mailserver!) wie folgt: Setzen Sie die Variable "ClearEventSubject" auf 0. Kerio Connect – sehr langsame Kontaktliste auf dem Mac unter El Capitan 10.11 Dies scheint ein Mac Bug zu sein. Ich muss die Antwort in englisch belassen, da ich mich mit der Apple Terminologie nicht auskenne: If you have a customer reporting slow Contacts app on 10.11 then go to the KeyChain Access and edit the certificate for Kerio Connect. Select 'Always Trust'. Kerio Connect - hilfreiche kb´s Immer wieder erreichen mich Fragen, wie man einen Server auf eine andere Plattform migriert, wie man das Exchange Migration Tool einsetzt, und anderes was schon sehr oft beantwortet wurde. Außer meinem Newsletter, der zumindest als Sammel-WordDokument auf meiner Webseite verfügbar ist, gibt es eine sehr ausführliche Sammlung von technischen Tipps zu allen Themen unter kb.kerio.com Wenn Sie bsp. das Dokument zum Serverumzug suchen, das ist kb.kerio.com/360 und hätte auf fb schon 5000 likes :-D Oder kb.kerio.com/1141 für eine ausführliche Beschreibung von kmsrecover. Natürlich sind die kb´s auch für Control und Operator. Kerio Control Wie lange hält Kerio Control TCP Ports über NAT offen? Diese Frage stellte sich einem Kerio Control Benutzer, da manchmal Anfragen lange dauern und sichergestellt sein muss, dass der Port hinterher noch existiert. Die Standardwerte betragen für TCP Ports 40 Minuten ohne Kommunikation und für UDP Ports 8 Minuten. Sie können dies ändern, indem Sie die WinRoute Engine stoppen und folgende Werte in der winroute.cfg mit Notepad editieren: <variable name="DefaultTcpTimeout">40</variable> <variable name="DefaultUdpTimeout">8</variable> Gestörte Kommunikation mit Sondergeräten über TCP Meist hilft es, bei gestörter Kommunikation die Ursache zuerst im erweiterten Fehlerprotokoll zu dokumentieren, z.B. "packets dropped for some reason". Steht dort etwas über "3-way-handshake not completed" hilft es, den 3-way-handshake auszuschalten, dies geht durch setzen der Variable "require3WayHandshake" auf 0. Kerio Control-Probleme mit manchen Protokollen Es gibt bestimmte Anwendungen, die über die Kerio Control nicht einwandfrei funktionieren. Ursache sind meist alte oder fehlerhafte TCP Kommunikationsstrukturen. Ich hatte bei einem Kunden kürzlich selbst wieder so ein Problem, und zwar funktionierte der Borland Socket Server nicht richtig und trennte sporadisch eingehende Verbindungen. Für diese Fälle darf ich aus einem meiner älteren Newsletter noch einmal auf zwei Variablen in der winroute.cfg hinweisen, die praktisch selbsterklärend sind: "DiscardWrongBroadcasts" und "Require3WayHandshake" sollten Sie testhalber bei solchen Problemen einmal auf 0 setzen. Wichtig ist, Änderungen an der winroute.cfg ausschliesslich bei gestoppter Engine vorzunehmen! Wie authentifiziere ich die User, so dass diese in der StaR Statistik auftauchen? Die Kerio WinRoute Firewall unterstützt NTLM Authentifizierung. Das bedeutet, Sie müssen im Wesentlichen den Kerio Control Rechner in die Domäne aufnehmen und die "NT domain authentication" anhaken. Es ist nicht notwendig, alle User aus dem AD zu importieren. Details siehe http://support.kerio.com/kb/77. Die Alternative wäre, die User per Weblogin auf der Firewall zu authentifizieren. Bitte beachten Sie die Datenschutzbestimmungen, wenn Sie die Webnutzung auf einzelne User herunterbrechen, dies ist immer ein sensibles Thema. Kerio Control: Protocol Inspector Probleme Immer wenn Mailserver Kommunikation über die Kerio Control geht, beispielsweise wenn Kerio Control und Kerio Connect auf einer Maschine laufen, muss man darauf achten, die Protokolle nicht zu überfrachten. Von besonderer Bedeutung sind hier die ProtocolInspector-Programme der Kerio Control. Wenn Sie bsp. den SMTP Verkehr über die Kerio Control leiten und dazu innerhalb der Regel TCP 25 verwenden, unterscheidet sich das deutlich von dem vordefinierten Dienst "SMTP". Diesen beiden Regeln sind nicht gleich! Unter den Einstellungen des Dienstes SMTP ist in der Kerio Control nämlich der "ProtocolInspector SMTP" voreingestellt. D.h. alle Pakete gehen über einen weiteren Weg und werden leicht verändert, was dazu führen kann, dass der Kerio Connect Statusmeldungen nicht korrekt erhält. In meinem Beispiel erhielt einer meiner Kunden von einem Lieferanten, der Lotus Domino Mailserver hatte, ständig alle Mails mehrfach zugestellt. Nach langer Suche entdeckten wir eine Inkompatibilität zu seiner installierten AV-Lösung, die aber weg war, als wir unseren Kerio Control Protocol-Inspector bei SMTP einfach abgeschaltet haben ("None"). Natürlich kann bei abgeschaltetem Protocol-Inspector des jeweiligen Dienstes auch kein AV Scan durch Kerio Control stattfinden. Ich empfehle aber sowieso, nur HTTP+FTP zu scannen und den Email-Scan unbedingt auf den Mailserver zu legen! Wenn der Mailserver Emails einfach durch die Kerio Control weggenommen bekommt, kann dies zu Mehrfachsendungen oder Hängern in der Kommunikation führen. "SMTP protocol inspection by its design can not support certain communications between two email servers. It was mainly designed to check client access. The problem is that SMTP protocol inspection acts as transparent proxy and in server to server communication there are situations when transparent proxy must work as nontransparent proxy (what technically is not possible). Good example is 4xx error like greylisting. In such case the transparent proxy must keep email and take the responsibility for email delivery. Because it is transparent this is not possible." Zwangstrennung der Telekom Mir ist in einer eigenen Installation zumindest bei der Control Appliance unter Linux aufgefallen, dass die leider immer noch bestehende Zwangstrennung bei TelekomLeitungen alle 24 Stunden zu Problemen bei der Wiedereinwahl führen kann. Die Appliance ist wohl so schnell, dass die Zugangsdaten noch nicht freigegeben sind, was zu einem dauerhaften Problem bei der Wiedereinwahl führt. Sollten Sie also Telekom-Kunde sein, würde ich dringend raten, die Leitung nicht permanent aufgebaut zu lassen, sondern Zeiten zu definieren. So hilft bsp. eine "Bürozeit" von 00:10 - 23:59 und eine "Zwangstrennung" von 00:00 bis 00:09 über dieses Problem hinweg. Kerio Control Appliance und Änderung der winroute.cfg Ja, dies ist auch bei der Appliance unter Linux möglich, wenn man weiss wie: In the Kerio Control image, hold down ALT + F2 to get to Terminal. Log in as the Root user. - the password will be the same for the Admin account you created in Kerio WinRoute Firewall. Use this command to stop WinRoute: /etc/boxinit.d/60winroute stop Edit the winroute.cfg file using this command: vi /opt/kerio/winroute/winroute.cfg Use this command to start WinRoute: /etc/boxinit.d/60winroute start Kerio WinRoute / Control Appliance und deutsche Tastatur Bitte beachten Sie, dass die Appliance bei der Erstkonfiguration nicht immer das deutsche Tastaturlayout geladen hat. Sie legen in dieser Erstinstallation ein Passwort für die Appliance (Linux) und Kerio Control fest. Wenn dieses Passwort Y/Z oder Umlaute enthält, kann es Ihnen leider passieren, dass Sie sich nicht damit mehr anmelden können. Beispiel hierzu: Ich habe bei einem Kunden das Passwort "Layout" gewählt. Nachdem ich mich nicht mehr an der Installation anzumelden konnte, kam ich auf den Gedanken, mal "Lazout" zu probieren ... Control+Connect: POP3 Probleme Sollten Sie mit Kerio Connect POP3 Mailboxen abfragen und diese Abfrage läuft über einen Kerio Control Server, kann es vorkommen, dass POP3 Downloads fehlschlagen. Die Ursache ist in der Kommunikation mit manchen Mailservern begründet, die Abhilfe ist, den POP3 protocol inspector in Control abzuschalten. Wichtig: Der Virenscan der Firewall scannt damit POP3 nicht mehr. Dies ist aber auch die empfohlene Konfiguration: Sie sollten auf keinen Fall einen Virenscanner im Datenstrom zum Mailserver haben, der diesen manipuliert und unterbricht. Der Virenscan sollte nur vom Mailserver selbst gemacht werden, und ggf. später vom Mailclient. Kerio Control 7/8 - versteckte Funktionen (PPPoE, SSH, Network trace) Es gibt im Webinterface ein paar versteckte Funktionen für Servicezwecke. Sie können mit Left-Shift und Mausklick eine weitere PPPoE Verbindung erzeugen. Sie können unter Status -> System Health, mit Shift und Mausklick auf "Tasks" SSH einschalten. Und Sie können einen Wireshark vergleichbaren Network Trace erzeugen, wenn Sie im Debug Log Shift - rechte Maustaste benutzen, und dann Dump Expression auswählen. Regelwerk für WLAN (bevor es die Gastschnittstellen gab ) Abschließend noch ein kurzer Exkurs in die Firewall. Wenn Sie in einem Unternehmen WLAN zur Verfügung stellen, ist oft gewünscht, dass der Zugriff über WLAN auf das Firmennetz unterbunden ist. Sie realisieren dies einfach mit einer weiteren Netzwerkkarte in Kerio Control und dem folgenden Beispiel-Regelwerk: Am WLAN Interface hängt ein WLAN-Router mit der Adresse 192.168.2.1 auf der Internetseite (Gateway + DNS = 192.168.2.10), und einem anderen lokalen Netz auf der LAN-Seite, bsp. 192.168.3.0 und DHCP darin. Also kein Accesspoint-Modus! Einige optionale ICMP Regeln: Und der Auszug aus dem eigentlichen Regelwerk: Die Regel "TCP 81" ist in diesem Beispiel dazu da, den mobilen Geräten, die über WLAN angebunden sind, einen Zugriff auf den Port 81 des lokalen Mailservers zu ermöglichen. Mit diesem Regelwerk kann jemand den WLAN-Router hacken und umprogrammieren, und kommt trotzdem nicht ins Firmennetz. Web Filter Probleme mit der Telekom – Internet wird extrem langsam Im Newsletter 7/2011 hatte ich darauf hingewiesen, dass die DNS Anfragen des Web Filters im Netz der Telekom weitgehend blockiert werden, was dazu führt, dass Sie kaum noch Internetseiten zeitnah öffnen können, wenn das Web Filter aktiviert ist. Lösung ist hier einfach ein Custom DNS Forwarder, der Anfragen an esoft.com und zvelo.com auf einen OpenDNS Server leitet: Benutzeranmeldung durch Webbrowser Um die Benutzerauthentifizierung zu erzwingen, muss sie grundsätzlich erst mal eingeschaltet sein "Always require users to be authenticated". Damit wird ein User mit einer IP-Adresse verbunden. Im Falle eines Terminalservers muss der transparente Proxy verwendet werden und die Option "Force non-transparent proxy server authentication" aktiviert sein. Diese Option funktioniert allerdings nicht mit einer automatischen Browseranmeldung, da diese über NTLM geht. NTLM ist generell abgeschaltet, da es den Anmeldevorgang verlangsamt. Sie können aber NTLM für die Browserauthentifizierung einschalten, indem Sie Control stoppen und in der winroute.cfg die Variable "HttpProxyAlwaysAuthNTLM" auf 1 setzen. Bitte prüfen Sie danach aber die Geschwindigkeit des Anmeldevorgangs. VPN Client und Proxy Der Kerio VPN Client benutzt nicht die Proxy Einstellungen des Systems. Aufgrund der Architektur (virtuelle Netzwerkkarte) ist für den VPN Client keine Proxyserver Verwendung möglich. VDSL Einrichtung mit Kerio Control Mit Hilfe des VLAN Supports in Kerio Control bauen Sie einfach Ihre Verbindung ins VDSL Netz der Telekom auf. Wichtig ist hier, den ausgehenden PPPoE Paketen die VLAN ID 7 mitzugeben, sonst werden diese nicht als DSL Einwahl erkannt. Nehmen wir an, Sie verwenden den Port 1 Ihrer Firewall für VDSL und haben diesen LAN-DSL genannt. Erzeugen Sie nun ein VLAN nativ (nicht PPPoE) und nennen dies bsp. VLAN 7, binden Sie es an die Schnittstelle LAN-DSL. Verschieben Sie beide Schnittstellen unter "Sonstige", denn sie werden beide als Internetschnittstelle nicht physikalisch benötigt. Die LAN-DSL können Sie dort auch deaktieren, die VLAN 7 müssen Sie dort aktiviert lassen. Sie brauchen aber für beide keine ip4/ip6 Einträge, diese Haken können Sie rausnehmen. Jetzt stehen also zwei Schnittstellen unter "Sonstige": LAN-DSL und VLAN 7. Nur VLAN 7 ist aktiviert, ip4/ip6 ist kein Haken. Als letztes erzeugen Sie nun einen PPPoE Adapter mit den gewünschten Wähleinstellungen, speichern diesen unter "Internetschnittstellen", und binden ihn (= Wähleinstellungen: Schnittstelle) an VLAN 7. Fertig. Migration auf eine andere Plattform Generell gilt diese Vorgehensweise für jede Migration, ob Control für Windows auf die App, oder Windows zu Box, etc. Das Hauptproblem bei der Migration sind die Interfaces, die immer hardware-spezifische ID´s haben. Aus diesem Grund kann man die Konfiguration in der Gesamtheit nicht auf eine neue Hardware übernehmen. Folgende Vorgehensweise hat sich bewährt: Spielen Sie zuerst auf beiden Systemen die gleiche Version ein. Das ist wichtig, da es oft Unterschiede in den Konfigurationsdateien gibt! Also entweder zuerst ein Update des alten Systems machen, oder eben zuerst das neue System mit der bisherigen Version aufsetzen. Dann exportieren Sie die alte Konfiguration. Nun erstellen Sie idealerweise die Interfaces in der neuen Version mit den gleichen Namen und Einstellungen, das hilft sehr wenn irgendwas beim Import schief geht. Vorgehensweise 1: Dann starten Sie den Import und sehen folgendes Fenster: Wählen Sie hier immer den unteren Punkt aus, wenn es nicht die gleiche Hardware ist. Nun haben Sie die Möglichkeit, die Schnittstellen der alten Hardware mit denen der neuen Hardware in Übereinstimmung zu bringen. Wenn Sie an dieser Stelle aber noch den LAN-Switch der Box aufteilen müssen etc. ist das unglücklich, darum vorher einmal die Schnittstellen programmieren. Vorgehensweise 2: Eine Alternative Vorgehensweise besteht darin, alles einmal sauber neu anzulegen! Wenn Sie schon seit Jahren diverse Male die Hardware gewechselt haben, ist das nicht die schlechteste Idee. Sie können aber Teile der alten Konfiguration übernehmen, die viel Arbeit gemacht haben, wie bsp. das IP Regelwerk und die lokalen Benutzer. Dazu legen Sie die Interfaces auf dem neuen System genauso wie auf dem alten an und exportieren dann auf dem alten und dem neuen System die Konfiguration. Nun haben Sie eine config-alt.tgz und eine config-neu.tgz. Diese entpacken Sie in zwei Ordner. Kopieren Sie aus dem alt Ordner die userDB.cfg in den neu Ordner, damit haben Sie alle angelegten lokalen Benutzer und Passwörter. Öffnen Sie in beiden Ordnern die winroute.cfg und kopieren Sie Teile davon aus alt nach neu, bsp. das IP-Regelwerk, welches Sie unter <list name="TrafficRules_v2"> finden. Warnung! Sie können hier leicht was kaputt machen, bitte beschränken Sie sich auf die Teile des Regelwerks, die Sie genau zuordnen können, also möglichst wenige. Dann packen Sie den neu Ordner als tgz mit bsp. TUGZip, der Name ist egal, und importieren die Konfiguration in die neue Firewall. Ein Neuboot, und wenn die Firewall danach da ist, haben Sie alles richtig gemacht. Sonst hilft ein Komplett-Reset :) Ich vergleiche dann meist mit zwei nebeneinander geöffneten Browsern die alte und die neue Firewall und ergänze die noch fehlenden Daten. Zum Schluss noch das Update auf die aktuelle Version und fertig. IPsec Konfiguration IPsec wird wir folgt konfiguriert: http://kb.kerio.com/product/keriocontrol/vpn/configuring-ipsec-vpn-1281.html Wie wähle ich die ausgehende Leitung? Wenn Sie mehrere Internetleitungen haben, wählen Sie immer die Lastverteilung. Warum Backup, denn dann nutzen Sie ja nur eine Leitung. In den ausgehenden Regeln ist das Ziel immer die Gruppe "Internetschnittstellen". Dann setzen Sie NAT, und wählen dort das ausgehende Interface: Alternativ können Sie hier auch angeben, ob er immer dieses Interface nehmen soll, oder als Backup auch andere nehmen darf. Ausgehende PPPoE Leitung zeigt in der Lastverteilung Verbindungsproblem Dies kommt bei PPPoE vor, da einige Provider einen ständigen Ping zum Gateway unterbinden. Kerio Control denkt dann die Leitung sei offline und nimmt diese aus der Lastverteilung raus. Hier tragen Sie einfach andere Probe Hosts ein, bsp. Google DNS oder Open DNS. Control Box - USB Tools Falls Sie mal eine Box so konfiguriert haben, dass sie nicht mehr reagiert, können Sie diese resetten. Dabei einfach das entsprechende Script runterladen, auf einen USB Stick packen, und die Box damit booten. Nach dem Boot wird die Box resettet und das Script deaktiviert, damit es beim nächsten Boot nicht erneut ausgeführt wird. Sollte ein erneuter Reset notwendig sein, so muss das Script frisch wieder auf den Stick kopiert werden! http://download.kerio.com/dwn/control/control-8.2.1-1461/kerio-control-usbtools-en8.2.1-1461.pdf bzw. http://download.kerio.com/dwn/kerio-control-usbtools-en.pdf Ein Beispiel zur neuen Reverse Proxy Funktion ... und übersetzt in Kerio ... Kerio Control Gastschnittstellen ab Version 8.4 - Ein Gastnetzwerk, ideal um Gästen über WLAN einen Zugangspunkt bereitzustellen. Ohne Passwort und ohne Lizenzverbrauch! http://kb.kerio.com/product/kerio-control/server-configuration-kerio-control/configuringguest-network-1654.html Mit dem neuen WLAN Gastnetzwerk in Kerio Control können Sie in Ihrem Betrieb ein WLAN bereitstellen, welches zum einen keine Lizenzen braucht, und zum anderen von der voreingestellten Authentifizierung ausgenommen ist. Hier gibt es auf Wunsch eine eigene Startseite und ein eigenes einfaches Kennwort. Bisher musste man sich entscheiden, ob man die Auth. für die ganze Firewall einschaltet und dann damit lebt, dass sich auch die WLAN Besucher im AD authentifizieren müssen. Nun wird dieses Netzwerk auf Wunsch völlig getrennt behandelt. Kerio Control und ältere VPN Clients mit SSLv3 Es gibt immer noch viele Industriegeräte oder auch private PCs die Windows XP haben. Wenn Sie auf eine aktuelle Version der Firewall updaten müssen Sie prinzipiell auch einen aktuellen VPN Client zur Verbindung benutzen. Nachteil ist, Sie müssen diesen überall updaten, er ist nicht immer stressfrei auf alten Geräten, und die Verbindung wird durch die höhere Verschlüsselung bei schlechten Leitungen oft unzuverlässiger. Es geht aber auch noch mit dem alten Client! Der Grund dass der alte Client bsp. 6.4.2 nicht mehr geht, ist dass in den neuen Connect Versionen das SSLv3 Protokoll abgeschaltet ist. Es läßt sich aber wie folgt wieder aktivieren: In der winroute.cfg einfach den markierten Eintrag samt vorstehendem Komma löschen: <variable name="DisabledProtocols">SSLv2,SSLv3</variable> Kerio Control Box – winroute.cfg ändern Hier gibt es mehrere Wege. Man kann natürlich die Konfiguration exportieren, entpacken, ändern, packen und zurückspielen. Das ist der aufwendigste Weg. Leichter geht es per SSH, bsp. mit Putty unter Windows. Sie möchten im folgenden Beispiel die Variable DisabledProtocols ändern. Diese steht in der Tabelle mit der Überschrift SSL (table name="SSL"). Hierzu müssen Sie Control nicht einmal stoppen. Nutzen Sie den eingebauten tinydbclient: cd /opt/kerio/winroute ./tinydbclient "update SSL set DisabledProtocols=SSLv2" Mit tinydbclient ist es nicht notwendig, die Box neu zu starten! Das geht allerdings nicht, wenn Sie neue Variablen hinzufügen möchten. Dann benutzen Sie den normalen Editor "vi" und ändern die Kopie in /var. Danach müssen Sie sofort rebooten, ohne weitere Befehle auszuführen, damit die Konfiguration erfolgreich gespeichert und aktiv wird! vi /var/winroute/winroute.cfg … Änderungen durchführen … Speichern: wq Neu booten: reboot Kerio Control: Zertifikat Gültigkeit Bitte beachten Sie, dass Zertifikate irgendwann ablaufen und erstellen Sie rechtzeitig neue. Ansonsten werden sich Tunnel und VPN Clients nur nach ständiger Bestätigung neu verbinden. Erstellen Sie einfach eigene Zertifikate für 5 oder 10 Jahre. Achten Sie auch darauf, dass Zertifikate nie länger ausgestellt werden können, als das Zertifikat für die lokale Zertifizierungsstelle gültig ist. Dieses muss also zuerst erneuert werden. Ich nehme meist nur 3 Zertifikate: - "Lokale Zertifizierungsstelle" - "Standard" für die Anmeldung an der Firewall, Reverse Proxy (oben und unten setzen) - "VPN" für IPsec und Kerio VPN Server Kerio Control – zusätzliche IPsec Einstellungen Grundsätzlich sind wir so kompatibel zum Standard, dass alle Einstellungen des folgenden Wikis auch in der winroute.cfg angewendet werden können: https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection Sie müssen dabei nur das folgende Format einhalten, Bsp.: <variable name="CustomOptions">ikelifetime=3h</variable> <variable name="CustomOptions">lifebytes=123456</variable> Kerio Workspace Kerio Workspace und SSLv3 Falls Sie Kerio Workspace im Einsatz haben und gelesen haben, dass Firefox jetzt dieses unsichere Protokoll blockieren wird, hier der Workaround: Edit server.xml located in %install path%/tomcat/conf/ Below the lines (there are two) starting with "SSLCipherSuite", insert a new line with the following text: SSLProtocol="TLSv1" Restart the server Kerio Operator Kerio Operator und sipgate.de Auch wenn Kerio Operator hinter einer Firewall läuft, sollte die NAT Option nicht aktiviert sein. Tragen Sie außerdem in der Konfiguration des Interfaces die sipgate Telefonnummer im internationalen Format sein, also bsp. nicht 0211789000 sondern 49211789000! Falls Sie das nationale Format verwenden, wird es vorkommen, dass zwar ausgehende Gespräche funktionieren, aber eingehende nach kurzer Zeit unterbrochen werden. Kerio Operator: Eigene Begüßungsansagen und Rootzugriff Die Begrüßungsansagen des Anrufbeantworters sind in einer Datei gespeichert ("voiceprompt set"). Diese heißt followme/pls-hold-while-try. Eine geänderte Datei kann unter "advanced options", "default phone language", "configure" wieder aufgespielt werden. Diese Prozedur wird allerdings nicht offiziell unterstützt. Sie können sich in die Konsole von Operator auch per SSH verbinden, genauso wie in Control. Halten Sie dazu einfach Shift gedrückt und klicken Sie unter "System Health" auf "Tasks". Dort können Sie SSH einschalten und sich danach mit bsp. Putty oder WinSCP als "root" einloggen. Hinweis: In manchen Versionen von Firefox müssen Sie Alt statt Shift drücken. Kerio Operator und Konfigurationsdateien Die Konfigurationsdateien der Telefone extensions.conf finden Sie unter /var/etc/asterisk/. Die Firmware Dateien liegen unter /opt/kerio/operator/firmware/xxx.cfg. Wenn Sie abgeänderte Konfigurationen auf alle Telefone verteilen wollen, ändern Sie diese cfg Dateien. Dazu müssen Sie das System schreibend mounten "mount -o remount,rw /" und nachher das folgende PHP Beispielscript abändern und ausführen, um die Änderungen in die Datenbank zu übernehmen: http://www.emnetworkx.de/downloads/updatePhone.php Bitte beachten Sie auch, dass viele Telefone nur neu booten, wenn sich die Konfiguration auch geändert hat. Es hat also nichts zu bedeuten, wenn ein Neustartbefehl an einigen Telefonen scheinbar nichts bewirkt. Mit ganz herzlichem Dank an Herrn Florian Strassen! Kerio Operator und Siemens Gigaset C610ip Zur Anbindung ist es notwendig, unter dem Punkt "Domäne" die VoIP Domäne oder IPAdresse des Operator einzutragen, nicht die AD Domäne. Kerio Operator – Angriffe auf die automatische Telefonkonfiguration Achten Sie darauf, den TFTP Server (Auto Provisioning) von Operator vor Angriffen zu schützen. Es gibt aktuell Trojaner die bevorzugt nach TFTP Servern scannen und versuchen eine SIP Nebenstelle dort zu bekommen ... danach können diese beliebige 0900 Rufnummern auf Ihre Kosten wählen :-o Also die Voreinstellung in der Firewall von Operator belassen, dass Automatic Provisioning niemals fürs Internet geöffnet werden sollte. Bitte prüfen Sie darum welche IP Adressen hier zugreifen dürfen. Die nächste Version von Operator wird darum keine Möglichkeit mehr bieten, dies für alle IP Adressen zuzulassen, sondern es automatisch auf das interne Netz und VPN Verbindungen beschränken. Aktuell zielen diese Angriffe nur auf Linksys/Cisco Telefone ab, aber die Angreifer werden sicher besser werden! Stand: 28.03.2016