Newsletter

Kerio Newsletter nach Produkten und chronologisch geordnet
* älteste Einträge zuerst*
© emNetworkX
Kerio Connect
Webmail: Deutsche Rechtschreibprüfung
Kerio verwendet die Wörterbücher von OpenOffice, zu finden unter
http://lingucomponent.openoffice.org/download_dictionary.html. Im MailserverVerzeichnis finden Sie ein /myspell Verzeichnis, kopieren Sie dort einfach die .dic und .aff
hinein und schon kann jeder Benutzer in seinen Webmail-Einstellungen auch Deutsch
auswählen (oder eine andere Sprache).
Webmail: Schaltflächen umbenennen
Editieren Sie mit einem Texteditor die de.def Datei im
Verzeichnis ~Kerio\MailServer\Webmail\Translations. Suchen Sie bitte nach "mail-to" und
editieren Sie die drei gefundenen Stellen anlog zu diesem Beispiel:
<text id="mail-to">Bis</text> --> <text id="mail-to">An</text>
Ohne Doppelpunkt und danach den MailServer bitte einmal stoppen und starten, damit er
die neue Datei lädt. Bitte beachten Sie, dass bei einem Update diese Änderungen wieder
überschrieben werden.
Einrichten der direkten Mailübergabe per MX Record
Es gibt verschiedene Möglichkeiten, mit dem Kerio Connect Mails abzuholen. Sie können
ein Sammelpostfach bei Ihrem Provider benutzen, dieses abholen und verteilen, oder Sie
nutzen die elegantere Möglichkeit per direkter MX Übergabe. Sie haben damit viel mehr
Möglichkeiten, so können Sie bsp. Mails an nicht existierende Empfänger ablehnen, die
sonst im Sammelpostfach Ihres Providers landen. Sie können Spams wesentlich besser
eingrenzen. Voraussetzung dafür ist, dass Sie Ihre Maildomäne im Kerio Connect
hinterlegt haben (nicht localhost) und dass Sie vollen Zugriff auf den Port 25 incoming
besitzen.
a. Testen Sie vorher einfach von außen per Telnet auf den Kerio Connect, ob der Port
offen ist. Syntax ist "telnet IP-Adresse 25" für Port 25. Es sollte sich der Kerio Connect
melden, QUIT zum Verlassen der Sitzung. Beim Kerio Connect müssen Sie nichts
einstellen, außer dass der SMTP Dienst läuft.
b. Im Internet müssen Sie für die Domäne Ihres Kunden den DNS Eintrag verändern.
Dies können Sie ggf. selbst oder es macht der Provider für Sie. Sie hinterlegen einfach
weitere MX Records mit kleineren Prioritätswerten, diese werden dann zuerst
angesprochen. Wenn der Mailserver des Providers mit höheren Werten drin bleibt,
fungiert er als Backup bei Leitungsproblemen, und stellt die Mails dann Ihrem Server zu
sobald er wieder erreichbar ist. Die Existenz dieser Funktion sollten Sie allerdings mit
dem Domain-Provider zur Vorsicht abklären.
Beispiel:
A record : mail 213.23.188.107
MX record: 10 mail.emnetworkx.de.
Bitte beachten Sie, dass Änderungen an den Nameservern typ. einige Stunden
benötigen, um im Internet verfügbar zu sein. Während dieser Zeit wird es einen Mix aus
Zustellung an das alte Postfach und direkter Zustellung an den Mailserver geben.
Löschen Sie die alten Postfächer erst nach dieser Zeit, damit nichts verloren geht.
Active Directory und Kerberos Probleme
Sie dürfen diese Beschreibung selbst nutzen oder weitergeben. Bei der Weitergabe ist
bitte der Vermerk auf das Copyright "emNetworkX und Kerio 2007" anzubringen.
www.emnetworkx.de/kerberos.doc
Empfohlene Hardware für Kerio Connect 500 User
Mich erreichen öfter Fragen, welche Hardwareausstattung für eine bestimmte
Benutzerzahl notwendig ist. Natürlich hängt das von so vielen Faktoren ab, dass ich hier
gerne Erfahrungsberichte anderer Kunden zu Rate ziehe. Es zeigt sich dabei, dass es
weniger von der Prozessorleistung abhängt, als von ausreichend Arbeitsspeicher und
einem schnellen Festplattenarray. Gerade das Array trägt schon ab 100 aktiven Usern
deutlich zur Performancesteigerung bei, da jede Mail als einzelne Datei auf die Platte
geschrieben wird und zumeist noch mehrfach repliziert wird bsp. beim Archivieren und
beim Löschen (Papierkorbfunktion). Meine Empfehlung wären eine zeitgemäße CPU, ein
Mainboard mit einem vernünftigen Chipsatz, 4 GB Arbeitsspeicher und ein SATA2 Raid5
Array. Dual- und Quad-CPUen sind nicht unbedingt nötig, aber nicht von Nachteil, wenn
noch mehr auf der Maschine läuft. Eine virtuelle Umgebung für Kerio Connect ist
ebenfalls denkbar, wenn sie genug Ressourcen hat.
Kerio Connect Free-Busy-Informationen
Sobald Sie einen Termin eintragen und diesen "Anzeigen lassen" veröffentlicht Kerio
Connect automatisch Free-Busy-Informationen.
Das bedeutet, jeder, der Ihnen eine Einladung sendet, erhält automatisch Ihre Termine
in diesem Zeitraum angezeigt. Natürlich nur als "Gebucht, Mit Vorbehalt, Abwesend",
aber vielleicht stört es Sie ja trotzdem. Dies ist eine Exchange Funktion, die Kerio genau
so nachgebildet hat. Die Veröffentlichung geschieht dabei über das http Protokoll Port 80.
Wenn Sie keine Free-Busy-Informationen veröffentlichen wollen, haben Sie folgende
Möglichkeiten:
1. Setzen Sie diese erst gar nicht, im obigen Beispiel "Anzeigen als: Frei".
2. Verwenden Sie einen weiteren Kalender. Free-Busy wird nur für den Hauptkalender
publiziert.
3. Schalten Sie den http Dienst ab (keine gute Lösung, denn dann haben Sie auch kein
Webmail mehr)
4. Unter Outlook kann man die "Free-Busy-URL" verbiegen, aber das betrifft dann nur
diesen Client
Free-Busy und https Probleme
Nachdem Microsoft die aktuellen Outlook Versionen auf https umgestellt hat, gibt es viele
Rückfragen dazu. Sollte sich der KOC per "Bubble" melden, weil er keine Free-BusyInformationen abrufen kann, so können Sie folgendes tun: Sie können die gesicherte
Verbindung ausschalten und Free-Busy über http beziehen. Sie finden diese Einstellung
bsp. In Outlook unter "Extras - Optionen - Kalenderoptionen - Frei-Gebucht". Oder Sie
Ändern die https Einstellung in den KOC Einstellungen, das hilft je nach Outlook Version
ebenfalls. Oder die beste Lösung: Sie bleiben bei https und fügen das Zertifikat des Kerio
Connect der Liste der vertrauenswürdigen Zertifikate im Internet Explorer hinzu. Dazu
geben Sie einfach ein: https://[mailserver]. Es reicht aber nicht aus, dem Zertifikat zu
vertrauen, Sie müssen auf "Erweitert" klicken und das Zertifikat explizit importieren!
Damit das Zertifikat funktioniert, muss der Name des Mailservers mit dem Namen im
Zertifikat übereinstimmen! Wenn Sie Ihren Server "mailserver" genannt haben, und die
Domäne "test.de" ist, muss das Zertifikat auch für "mailserver.test.de" ausgestellt sein.
Wenn der Name nur "mail.test.de" ist, ist das Zertifikat nicht gültig. Das gleiche gilt,
wenn Sie die IP Adresse verwenden statt des Namens! Also auch im lokalen Netz immer
den Mailservernamen im KOC verwenden, sonst haben Sie kein gültiges Zertifikat.
Der Kerio Connect kann nur ein Zertifikat für einen Namen erstellen. Die X.509 SSL
Zertifikatsnorm sieht allerdings vor, dass man über einen "Multiple
SubjectAlternativName" weitere Namen oder IP-Adressen angeben kann, für die das
Zertifikat gültig ist. So ein Zertifikat erstellen Sie beispielsweise mit
http://sourceforge.net/projects/xca. Auf der zweiten Registerkarte können Sie mit dem
Keyword DNS:[name] weitere Namen hinzufügen. Bitte ebenfalls "Copy email address
from subject line" ankreuzen. Wenn es erstellt wurde, kopieren Sie es einfach zur
Benutzung in das sslcert Verzeichnis auf dem Kerio Connect. Die beiden Dateien
namensgleich mit einer gültigen Endung versehen, z.B. name.key, name.crt.
Free-Busy funktioniert auf manchen Plätzen nicht, Outlook alle Versionen
Hierzu hatte ich ein längeres Ticket, welches beschrieb, dass bei Einsatz eines Starfield
Zertifikats Free-Busy auf manchen Plätzen nicht angezeigt wurde. Ein Test mit einem
eigenen Zertifikat verlief hingegen erfolgreich.
Der Grund ist hier in mangelnder Internetkonnektivität zu suchen (wenn sonst alles
ausgeschlossen ist). Outlook muss zur Prüfung des Zertifikats und des
Zwischenzertifikats einmal eine erfolgreiche Verbindung zur ausgebenden Stelle
aufgebaut haben. Danach kann diese Verbindung wieder abgeschaltet werden. Wenn die
Verbindung aus irgendwelchen Gründen nicht korrekt zustande kommt (hier war es ein
Paketfilter der eigesetzten Sonicwall) funktioniert die Free-Busy-Anzeige nicht.
Free-Busy zusammengefasst 
Da dies sozusagen ein Dauerthema ist, Free-Busy unter Outlook anzuzeigen, hier noch
einmal die Haupt-Fehlerquellen. All dies sind aber Microsoft Sachen und eigentlich kein
Kerio Support ...
1. free-busy wird nur für den Hauptkalender publiziert, ist es vielleicht ein
Unterkalender?
2. haben Sie es mit http statt https probiert? --> Zertifikatsproblem
(es muss auch zwingend eine Internetverbindung da sein um das Zertifikat zu prüfen!)
3. outlook.exe /cleanfreebusy (nicht clear...)
4. hat der Outlook Platz Internet ohne Einschränkung, keine Sonicwall installiert :) ? ... -> Zertifikatsproblem
5. Intervall überprüft? <variable name="OutlookFreeBusyInterval">2</variable> = 2
Monate Publikationszeitraum
6. In all Outlook versions, the option to publish free/busy information must be
unchecked. By default, this option is already unchecked.
(This option is located under Tools → Options → Preferences → Calendar Options →
Free/Busy Options)
7. %temp% Ordner löschen, das gibt oft Probleme mit Outlook wenn der zu voll ist!
8. Internet Cache löschen!
9. Es können natürlich auch Sicherheitseinstellungen in der Domäne sein. Outlook muss
einen ics file herunterladen können.
Kerio Connect empfängt grössere Anhänge per SMTP extrem langsam
Mich beschäftigte dieses Problem in einem Kundennetzwerk. Wenn man von Outlook
2003 eine größere Mail, z.B. 10 MB, an Kerio Connect (im internen Netz!) gesendet hat,
dauerte die Übertragung dieser Mail fast 5 Minuten. Ich probierte es mit Outlook Express,
und die gleiche Mail ging in 10 Sekunden zum Kerio Connect. Also dachte ich zuerst, ein
Outlook 2003 Problem entdeckt zu haben. Nachdem ich mich aber ausgiebiger damit
beschäftigte, musste ich feststellen, dass es ein Windows Problem ist, welches sowohl
unter XP Professional wie auch unter Windows 2003 auftritt. Verantwortlich ist immer der
Server, nicht der Client, und es ist ein Problem, welches zuerst in der Mac Welt auftrat.
Der folgende Artikel hat mich auf die Lösung gebracht, die Lektüre kann ich nur
empfehlen: http://www.stuartcheshire.org/papers/NagleDelayedAck/
Das Problem ist in der TCP Paketstruktur der Kommunikation zu suchen. Es gibt zwei
Optimierungsroutinen, "Nagle´s Algorithm" und "Delayed ACK", die unter bestimmten
Umständen miteinander kollidieren und die Kommunikation bis zum Faktor 30
verlangsamen können. Die eine Routine versucht, Pakete zusammenzufassen, die andere
Routine versucht, Antworten zu koordinieren, und manchmal kommen dadurch
Antworten nicht zurück, weil eben keine weiteren Pakete kommen, die die andere
Routine zwecks Optimierung zurückhält :-) Das ganze löst sich nach einem Timeout von
200 ms wieder auf, aber wenn dieser Timeout alle paar Pakete geschieht, ist praktisch
keine Kommunikation mehr möglich. Es scheint vom Protokoll und der gewählten
Paketgrösse des übergeordneten Layers abzuhängen, ob dieser Fehler gehäuft auftritt
oder nicht, und bei Outlook 2003 über SMTP tritt er leider sehr gehäuft auf. Probieren Sie
es einmal, hängen Sie an eine Mail an sich selbst ein 10 MB Attachment an, klicken Sie
auf Senden, und stoppen Sie die Zeit, bis die Mail den Postausgang verlassen hat.
Wenn Sie betroffen sind, die Lösung: Auf dem Server, der ein aktuelles SP haben sollte,
suchen Sie folgenden Registry Schlüssel:
Unter dem Schlüssel "Interfaces" wählen Sie die ID des Interfaces, welches Ihr internes
Netz mit den Clients verbindet. Dort fügen Sie einen neuen DWORD Wert hinzu:
TcpAckFrequency mit dem Wert 1. Und den Server neu booten. Dann testen Sie noch
einmal.
Öffentliche Ordner und Rechte (status.fld)
Ich hatte ein Szenario, in dem der Kunde sehr viele Unterordner im Öffentlichen Ordner
hatte, und für diese Rechte vergeben wollte. Das ist ziemlich mühselig, manchmal geht
es schneller, die status.fld Dateien in den Ordnern manuell zu verändern.
Ganz wichtig: Der Kerio MailServer muss dabei gestoppt sein, sonst zertören Sie die
Ordnerstruktur, was gerade bei öffentlichen Ordnern alle betreffen kann! Machen Sie
unbedingt ein Backup des Ordners vorher! Die status.fld hat folgende Struktur:
…
N0
E0
S229639
O00000000
Z00000000
Aauthuser lr
[email protected] lrswicda
Die Rechte des Benutzers stehen dabei in der letzten Zeile. In diesem Beispiel lrswicda =
lookup, read, keep seen/unseen, write, insert, create, delete, administration.
Outlook 2007/2010/2013: Spam/No Spam-Buttons verschwunden
Bitte prüfen Sie, ob unter Extras, Vertrauensstellungen, Addins der Kerio Outlook
Connector eingeschaltet ist! Outlook tendiert dazu, im Fehlerfall/Absturz erst mal alle
Plugins abzuschalten. Je nach Outlook Version auch unter „Deaktivierte Elemente“.
Was tun bei einem kompletten Absturz der Firebird Datenbank im KOFF?
Sie sollten unbedingt das Verzeichnis, in dem die Datenbank STORE.FDB liegt, vom
Virenscan ausnehmen. Wenn ein AV den Zugriff auf einen Teil dieser Datenbank
blockiert, stürzt Firebird komplett ab und die Reparatur wird schwierig. Bitte nehmen Sie
darum die im folgenden beschriebenen Verzeichnisse unbedingt aus dem lokalen
Virenscan heraus!
Notfall-Reparatur des KOFF auf dem Client:
1. Das Konto in Outlook löschen
2. Den KOFF deinstallieren
3. Manuell das Verzeichnis unter C:\Programme\Kerio\[Name des aktuellen Offline
Connectors] löschen
4. Manuell die Firebird DB unter C:\Dokumente und Einstellungen\Lokale
Einstellungen\Anwendungsdaten\Kerio\[hier alle Datenbanken] löschen
Dazu müssen die versteckten Dateien angezeigt werden ;-)
5. Neu booten und KOFF wieder installieren, Konto einrichten, Erstsynchronisation
abwarten (nicht vorher Outlook schliessen !!)
Outlook zeigt eingebundene Grafiken nicht an
Am eigenen Beispiel habe ich gesehen, dass folgender Nachtrag sinnvoll ist. Wenn Sie die
eingebundenen Grafiken in meiner E-Mail in Ihrem Outlook nicht sehen können, und
diese Grafiken stattdessen als Anhang empfangen wurden, so schalten Sie bitte die
Option "Decodierung von winmail.dat" ein oder aus und probieren es erneut.
Synchronisationsabbrüche bei verschiedenen Providern mit PDA´s / iPhone
Von mehreren Seiten ist mir das folgende Phänomen berichtet worden: Mitarbeiter
arbeiten sowohl mit ihrem Outlook in der Firma wie auch mit ihren Nokia PDA´s.
Manchmal kommt es vor, dass die Nokia PDA´s (meist nach einigen Stunden Untätigkeit)
keine Termin-Updates mehr empfangen. Eine manuelle Synchronisation oder auch ein
Öffnen von Outlook auf dem entsprechenden Platz im Unternehmen stößt diese PDASynchronisation wieder an. Manchmal hilft auch der Wechsel zwischen http und https
Protokoll auf dem PDA.
Dieses Problem wird zur Zeit eingehend untersucht und es tritt offensichtlich nur bei
einigen Mobilfunk-Anbietern auf. Die Vermutung liegt nahe, dass diese Anbieter offene
Ports nach einiger Zeit ohne Daten automatisch schließen, womit der PDA erst wieder
Daten empfangen kann, wenn dieser aktiv "angestossen" wird. Das passiert u.a. auch
dadurch, dass eine Outlook Synchronisation durchgeführt wird, daher diese
"merkwürdige Effekt".
Workarround: Das "heartbeat" Intervall in der cfg so herabsetzen, dass der Provider die
Ports nicht mehr schließen kann. Die Variable heißt "MaxHeartbeatInterval" und hat einen
Standardwert von 2700 (Sekunden). Ich empfehle, diese zuerst auf 600 zu setzen, falls
das nicht hilft auf 60. Bitte diese Veränderung nur bei gestopptem Mailserver vornehmen!
Dies erhöht natürlich den Traffic zu Ihrem PDA. Wenn dies hilft, sollten Sie darum Ihren
Provider kontaktieren und diesem mitteilen, dass seine Firewall "DirectPush-features"
mobiler Geräte unnötigerweise blockt und um Abhilfe bitten!
Ordner mit "."
Bitte grundsätzlich keine Punkte in Ordnernamen unter Windows verwenden. Windows
macht daraus Verzeichnisse, aber Outlook erlaubt Punkte auch in Verzeichnisnamen ...
dies führt dazu, dass es hinterher Verzeichnisse gibt, die in Webmail da sind, aber im
KOFF nicht, und umgekehrt ...
Outlook 2007/2010 - MAPI_E not found
Der Grund kann im Vorhandensein eines Ordners "Outbox" in jeweiligen Mailstore
lVerzeichnis des Users liegen. Outlook hat diesen Ordner in einer früheren Version
angelegt, wenn man eine lokale PST Datei und/oder ein IMAP Konto angelegt hatte.
Dieser Ordner stört zumindest Outlook 2007/2010 jetzt massiv.
Lösung: Bitte den Benutzer komplett von seinen E-Mails abmelden (Outlook / IMAP /
Webmail). Dann den Ordner Outbox im Mailverzeichnis des Users auf dem Kerio Connect
komplett löschen. Danach sollte es einwandfrei synchronisieren, aber der KOFF Cache
muss geleert werden bzw. das Konto in Outlook gelöscht und neu angelegt werden.
Leere Verteilerlisten in Webmail
Wenn Sie aus einer lokalen PST Datei per Drag-Drop eine Verteilerliste in ein KOFF Konto
ziehen, erscheint diese in Outlook ganz normal. In Webmail werden Sie jedoch u.U.
feststellen, dass die Verteilerliste angeblich keine Kontakte enthält. Lösung: Nach dem
Rüberziehen die Verteilerliste per Doppelklick in Outlook öffnen, "Jetzt Aktualisieren" und
"Speichern" anklicken und alles ist in Ordnung.
Filterregeln zurücksetzen
Sollte es einmal vorkommen, dass die angelegten Filterregeln nicht korrekt funktionieren
und der Fehler nicht zu finden ist, können Sie alle Filterregeln eines Postfaches wie folgt
löschen: Stoppen Sie Kerio Connect und löschen Sie die filter.siv Datei des Benutzers.
Ressourcen zeigen Termine nicht mit allen Feldern an
Das ist kein Fehler, sondern eine gewünschte Eigenschaft. Eine Ressource wird von allen
Benutzern verwendet, und viele der Kalendereinträge enthalten private Daten. Sie
können die Anzeige aber auch freigeben. Dazu stoppen Sie Kerio Connect und ändern die
folgende Variable in der mailserver.cfg auf 0:
<variable name="ClearEventSubject">0</variable>
Kerio Connect und AD Mapping
Wenn Sie die User aus dem AD übernehmen, erhalten diese grundsätzlich Ihren
Windows-Benutzernamen als primäre Email-Adresse (SAM account name). Sie können
natürlich weitere Aliase hinzufügen. Wenn Sie dies nicht haben wollen, bleibt nur eine
lokale Datenbank, oder ein Patch der ads.map Datei. Ich beschreibe Ihnen diese
Prozedur einmal, muss aber deutlich darauf hinweisen, dass Sie damit weitgehend in die
Verzeichnisstruktur des Connect eingreifen und diese Lösung nicht von der Technik
supported wird.
Auch vor jedem Upgrade müssen Sie zwingend die ads.map sichern, da diese durch ein
Upgrade überschrieben wird! Also für die technisch Interessierten hier eine
Vorgehensweise:
Replace the following part in ../ldapmap/ads.map file:
Name
sAMAccountName
by this:
Name
userPrincipalName
${Name}@active.directory.name
where active.directory.name is your Active Directory name.
Probleme mit Umlauten unter Outlook 2007
Falls Ihre Empfänger melden, dass Umlaute in Ihren Emails nicht richtig dargestellt
werden, überprüfen Sie bitte die folgende Einstellung in Outlook 2007:
Kerio Conect: Blacklists
Es lohnt sich, gelegentlich zu prüfen, ob Ihr Server auf einer Blacklist steht, insbesondere
wenn Sie Emails direkt versenden. Ein nützliches Tool ist hier
http://www.mxtoolbox.com/SuperTool.aspx
Tippen Sie ein: blacklist:[ip-adresse] also bsp. blacklist: 176.94.84.38 für meinen
Mailserver.
Es gibt hier allerdings eine Liste, die Sie nicht überbewerten sollten: Die uce-protect-l3Liste. Auf dieser stehen alle großen Providernetze, weil aus deren Netzen zwangsläufig
ein Spamaufkommen zu verzeichnen ist. Sie gehören auch zu diesen Netzen, da auch Sie
über einen Provider ins Internet verbinden und Ihre IP zwangsläufig zu bsp. Arcor oder
Telekom gehört. Hier wird angeboten, sich mit seiner eigenen IP aus dieser Liste
"freizukaufen", die Begründung klingt plausibel, vielleicht ist sogar der Grundgedanke
gut. Nur schade, dass ich ihn nicht gehabt habe ... Ich gehe nicht davon aus, dass ein
Provider ernsthaft diese Liste zu Rate zieht, insbesondere weil er immer selbst drauf
stehen wird und sich jeder Spammer ebenso freikaufen kann.
Ich vertraue lieber auf die bewährten Spamhaus und Spamcop, wenngleich auch ein
gewisser China-Spam da durchkommt. Wenn Sie diesen bekämpfen wollen, können Sie
Versuche mit www. backscatterer.org (DNS suffix = ips.backscatterer.org) oder
blackholes.five-ten-sg.com starten. Ob diese Listen etwas taugen, müssen Sie
ausprobieren, aber bedenken Sie immer, dass Ihre gesamte Email Kommunikation
zusammenbricht, wenn es mal einen dieser Server nicht mehr geben sollte, was
gelegentlich vorkommt!
Hier ein Hinweis eines Anwenders, wie man Blacklists direkt auf dem Server pflegen
kann. Mit Dank an Herrn Reinhold!
vim /opt/kerio/mailserver/plugins/spamassassin/rules/local.cf
#blacklist
blacklist_to [email protected]
blacklist_to [email protected]
/etc/init.d/keriomailserver restart
Autoresponder selbst angepasst
Unter den Filterregeln können Sie auch einen Autoresponder mit besonderen
Eigenschaften selbst programmieren. Bsp. wollen Sie keine automatischen Antworten an
eine bestimmte Liste von Empfängern senden. Dazu erzeugen Sie einfach zwei eigene
Regeln: Regel 1 ist eine Liste von E-Mail-Adressen, die einfach "keine weiteren Regeln
ausführen" enthält. Regel 2 ist die eigene Autoresponder Regel.
In der Voreinstellung wird an jeden Absender einmal in der Woche nur ein Autoresponder
verschickt. In der eigenen Regel können Sie auch einstellen, dass jeden Tag oder nur
einmal monatlich eine Abwesenheitsnachricht pro E-Mail-Adresse versendet wird, oder
Null für jedes Mal.
Kerio Connect unter Apple OS X Lion Server
Unter Lion Server läuft standardmäßig ein Apache Server, der natürlich die Ports 80 und
443 blockiert. Diesen können Sie mit dem folgenden Befehl abschalten:
sudo launchctl unload -w /System/Library/LaunchDaemons/org.apache.httpd.plist
Connect: Leistung eines Atom Prozessors ausreichend?
Gerade für kleinere Installationen stellt sich die Frage, wie leistungsfähig ein Mailserver
für Connect sein muss. Ich habe es mit meinem eigenen Mailserver ausprobiert. Ich
benötige nur fünf User für Koff und Webmail und habe meinen AMD 4200+ durch einen
kleinen Acer Revo ersetzt, ein Mini-PC mit AMD Neo II Prozessor (ähnlich Intel Atom), 2
GB, Win 7 Home Premium. Für meine fünf User reicht es absolut aus, ist schnell und
superleise, kein Unterschied zum bisherigen Webmail, und braucht statt 120W nur noch
18W, was immerhin bei 24x7 Betrieb im Jahr 200 € sind und die kleine Investition schnell
amortisiert. Dies ist übrigens noch mein Stand per 12/2015 mit 8.5 64 Bit.
Statusmeldungen im Mail Log von Kerio Connect
Wie im Newsletter 11/2008 schon einmal festgehalten gibt es zwei wesentliche
Statusmeldungen, wobei alle 2.x.x Meldungen eine erfolgreiche Zustellung bedeuten, und
alle 4.x oder 5.x Meldungen einen Fehler.
Status: 2.0.0 bedeutet, dass die Nachricht ordnungsgemäß in den Posteingang geliefert
wurde
Status: 2.1.5 bedeutet, dass die Nachricht durch ein Filter verschoben wurde
Hier halten wir uns an die Standards RFC 821 und 1893. Den Standard RFC 1149
"Transmission of IP Datagrams on Avian Carriers" (also die Übertragung von IPDatagrammen durch Brieftauben) untertützen wir nicht, weil mit durchschnittlich 45
Minuten die Antwortzeit auf ein Ping zu lang ist.
Der Social Connector funktioniert nicht in Outlook 2010
In dieser speziellen Ansicht werden verbundene Kontakte, Emails, Facebook Accounts
etc. aufgelistet, sobald man eine Email anklickt. Wenn hier nichts angezeigt wird,
erstellen Sie bitte eine lokale pst Datei, diese scheint Outlook für die Aktivierung des
Social Connectors zu brauchen.
KOFF Fehlersuche
Sobald es Fehlfunktionen zwischen Outlook und Kerio Connect gibt, bitte für ein Ticket
sinnvollerweise gleich die folgenden Protokolle gezippt mitliefern. Oft sehen Sie selbst
auch bereits in diesen Protokollen die Fehlerursache.
Installationsprobleme des KOFF:
Aus dem %temp% Verzeichnis (meist Dokumente...\User\Lokale
Einstellungen\Anwendungsdaten\Temp)
kerio-connect-outlook-closer.setup.log
kerio-connect-koff-7.3.2-6388-win[1].exe.log
kerio-connect-koff.setup.win32.log
Synchronisationsprobleme:
Bitte vorher alle Logs löschen oder nur die entsprechenden Auszüge mailen!
Im debug.log des Servers mit rechter Maustaste die "KOFF Offline Messages" aktivieren
Das debug, error, warning und security Log nach einem Fehler
Das KOFF debug.log des Clients oder der Clients (Dokumente...\User\Lokale
Einstellungen\Anwendungsdaten\Kerio\Outlook Connector\Profil)
Nicht vergessen die "KOFF Offline Messages" wieder abzuschalten
Unter Windows 7 sind die Pfade etwas anders aber intuitiv zu erraten :)
Ausserdem gibt es auf dem Client noch die Möglichkeit, im KOFF Konto ein erweitertes
Logging einzuschalten („enable reporting“).
Die Synchronisation zwischen dem KOFF und Kerio Connect wird alle paar Minuten durch
einen dem Push-Email ähnlichen Mechanismus angestoßen, auch wenn nichts geändert
wurde. Änderungen werden natürlich sofort repliziert. Diese Logs zeigen uns, ob es
Kommunikationsprobleme gibt, und woran sie liegen.
Connect: x-loop Variable
Es gibt die Variable x-loop im Header, die insbesondere beim Autoreply einen Loop
verhindern soll. In manchen Szenarios, kann dies dazu führen, dass interne
Autoresponder innerhalb des Unternehmen nicht mehr ankommen. Sie können die x-loop
Variable zwar nicht abschalten, aber die Prüfung derselben: Stoppen Sie den Mailserver
und ändern Sie in der mailserver.cfg den folgenden Eintrag auf
<"LoopDetectionEnabled">0</variable>. Beachten Sie aber bitte, dass damit generell
keine Loops mehr ausgefiltert werden, was meist unerwünscht ist.
MAPI_E Fehler bei freigegebenen Postfächern
Falls Sie ein freigegebenes Postfach hinzufügen wollen, und einen MAPI_E Fehler
erhalten, dann deinstallieren Sie am besten den KOFF einmal und installieren ihn neu. Sie
sind dann auf ein Problem aus einem früheren Release gestossen, welches seit Jahren
gelöst ist.
Migration von Kerio Connect auf eine andere Maschine
Sie installieren genau die gleiche Version von Connect auf der neuen Maschine und
bereiten in der Firewall schon mal die Portregeln für den neuen PC vor. Zum Zeitpunkt
der Portierung stoppen Sie beide Mailserver und kopieren das komplette Mailserver
Verzeichnis rüber und fertig. Da sind ja alle Einstellungen drin, inklusive Stand der
Spamfilter, Lizenzen, etc. Hinweis: Wenn Sie das store Verzeichnis auf einem getrennten
Laufwerk haben und sich dieses nach dem Kopiervorgang ändern sollte, bitte vor dem
Start des neuen Connect das Verzeichnis manuell in der mailserver.cfg anpassen.
Die Portierung dauert also genau so lange wie ihr Kopiervorgang der Daten benötigt schneller kann es nicht gehen.
Während der Downtime versuchen andere Mailserver sicherlich eine erneute Zustellung
der zwischenzeitlichen Mails, so dass hier nichts verloren gehen wird.
Falls es natürlich ein Riesendatenbestand von 500 GB ist, würde ich das so vorbereiten,
dass ich im Betrieb einfach schon mal alles rüberkopiere, und in einem anschließenden
Wartungslauf bei der Portierung eben nur die geänderten oder damals offenen Dateien
dazu kopiere. Robocopy macht das hervorragend mit der mirror Funktion. So läßt sich die
Portierung auch bei großem Datenbestand praktisch ohne Downtime machen.
Migration / Umzug auf andere Plattform
Wenn Sie beispielsweise von Windows nach Linux migirieren wollen, dann installieren Sie
die gleiche Version von Connect auf dem neuen System. Kopieren Sie dann den
kompletten Verzeichnisbaum an die analoge Stelle des neuen Betriebssystems. Ändern
Sie dann die mailserver.cfg manuell auf die neuen Pfade.
Mit Alt-F2 kommen Sie aufs Terminal. Loggen Sie sich als root ein, Passwort ist das
Admin Passwort. Achtung: Hier sind meist Y-Z vertauscht wg. englischer Tastatur.
Stoppen Sie Connect mit dem Befehl /etc/init.d/kerio-connect stop. Gehen Sie in das
Verzeichnis mit der mailserver.cfg, bsp. /opt/kerio/mailserver und editieren Sie mit vi
oder Ihrem bevorzugten Editor.
Wichtig: Sie können das Backup erst einspielen, wenn der neue Server lizenziert ist, da
er sich sonst noch im "Ersteinrichtungsmodus" befindet.
Spamregel für kyrillische Schrift
4.1. Zeichensätze blockieren:
Alle ISO-8859-* Zeichensätze sind immer erlaubt!
- Kerio Connect stoppen
- die Datei X:\Program Files (x86)\Kerio\MailServer\plugins\spamassassin\rules\local.cf
editieren
- Kerio Connect starten
Beispiel:
ok_locales all (alle Zeichensätze erlauben)
ok_locales en (nur Englisch erlauben)
ok_locales en ja zh (Englisch, Japanisch und Chinesisch erlauben)
Hinweis: Nur die letzte Zeile "ok_locales" wird ausgewertet, falls mehrere Zeilen dort
stehen. Also nur eine Zeile hineinschreiben!
en - Western character sets in general
ja - Japanese character sets
ko - Korean character sets
ru - Cyrillic character sets
th - Thai character sets
zh - Chinese (both simplified and traditional) character sets
4.2. Sprachen blockieren:
- hier steht es in der X:\Program Files
(x86)\Kerio\MailServer\plugins\spamassassin\rules\25_textcat.cf
Beispiel:
ok_languages all (alle erlauben)
ok_languages en (nur Englisch)
ok_languages en ja zh (Englisch, Japanisch und Chinesisch)
Auch hier ist nur eine Zeile erlaubt.
Siehe
http://spamassassin.apache.org/full/3.2.x/doc/Mail_SpamAssassin_Plugin_TextCat.html
Spamfilter auch auf ausgehende Mails anwenden
Per Standard werden alle Spamfilter nur auf eingehende Mails angewendet, weil
ausgehende Mails in aller Regel keinen Spam darstellen. Falls Sie hier aber eigene Filter
und White/Blacklists anwenden wollen, können Sie die Spamfilter auch für ausgehende
Mails aktivieren. Aktivieren Sie dazu die Option "Enable rating of messages send from
trustworthy relay agent" in den Spameinstellungen.
AD-Anbindung mit verschiedenen E-Mail Domains oder verschiedenen OU´s
Wenn Sie Kerio Connect ans Active Directory anbinden, werden üblicherweise
alle Benutzer und Gruppen aus allen organisatorischen Einheiten (OU´s) angezeigt, bei
denen das Connect Postfach aktiviert wurde. In großen Unternehmen ist es manchmal
gewünscht, nur Benutzer aus bestimmten OU´s abzubilden. Außerdem kommt es vor,
dass Sie mehrere Domains haben, und bsp. die OU1 auf Domain1 und die OU2 auf
Domain2 abbilden möchten, oder dass Domain1 und Domain2 auf verschiedenen
Mailservern liegen und dort natürlich nur die Benutzer aus der zugehörigen OU
(entsprechend E-Mail-Domain) angezeigt werden sollen und nicht alle Benutzer.
Sie können dazu die mailserver.cfg editieren. Bitte beachten Sie, dass Sie zuerst das AD
korrekt anbinden und testen müssen (alle Benutzer mit aktiviertem Postfach aus allen
OU´s sind sichtbar). Danach stoppen Sie Connect und editieren die mailserver.cfg. Nach
dem Start vom Connect sehen Sie nur noch die Benutzer aus der OU in der
entsprechenden Domain. Wichtig: Diese Lösung ist undokumentiert, insbesondere
erscheinen nach der Änderung "ungültige" Einträge in den AD-Domain-Eigenschaften, die
Sie mit dem Admin Interface nicht bearbeiten und abspeichern dürfen, sonst sind die
Änderungen wieder verloren.
In der mailserver.cfg suchen Sie
<list name="Ldap">
<listitem>
<variable name="Domain">emnetworkx.de</variable>
<variable name="ServerName">dc-01</variable>
<variable name="ServerPort">389</variable>
<variable name="BindDn">[email protected]</variable>
<variable name="BindPassword"> </variable>
<variable name="MapFile">ads.map</variable>
<variable name="Filter"></variable>
<variable name="UserBaseDn">OU=Altenbochum,OU=Bochum,DC=emnetworkx,DC=local</variable>
<variable name="GroupBaseDn">OU=Altenbochum,OU=Bochum,DC=emnetworkx,DC=local</variable>
Hier setzen Sie nun den Suchpfad im Active Directory auf den Container
Altenbochum.Bochum.emnetworkx.local ... Zusätzlich werden immer alle Benutzer und
Gruppen abgebildet, die im Hauptcontainer stehen, also emnetworkx.local, hier sollten
also keine mehr stehen!
Ordner auf dem iPhone sind weg
Wenn Sie insbesondere mit dem neuen IOS6 auf einmal einen Ordner vermissen, bsp.
den Papierkorb, ist irgendwas auf dem iPhone schief gegangen. Dann löschen Sie das
ActiveSync Konto auf dem iPhone, entfernen das mobile Gerät unter Benutzer/mobile
Geräte/Entfernen (Entfernen nicht Wipen sonst spricht der Benutzer nicht mehr mit
Ihnen !!) und legen das Konto auf dem iPhone neu an. Damit werden alle Ordner vom
iPhone aus erneut mit Connect synchronisiert.
Langsames Senden in Webmail
Es gibt das Phänomen, dass Sie grundsätzlich ein sehr schnelles Webmail haben, aber
beim Erstellen einer neuen Nachricht nach dem Klicken auf "Senden" der Text "Nachricht
wird gesendet" für 5-7 Sekunden auf dem Bildschirm stehen bleibt. Falls dies bei Ihnen
der Fall ist, prüfen Sie bitte (bei gestoppter Engine!) ob in der mailserver.cfg die Variable
ExtendedMailLog auf 1 steht. Wenn das der Fall ist, werden bei jeder Nachricht die ID
und weitere Parameter dokumentiert, was je nach Netzwerkstruktur für Verzögerungen
sorgen kann. Setzen Sie diese Variable auf 0, starten den Mailserver und testen erneut!
Eine weitere Möglichkeit ist, mal "Log Hostnames of incoming connections" abzuschalten,
in der Konsole unter Erweitert. Auch diese Einstellung sorgt manchmal für eine deutliche
Verzögerung, weil Namen aufgelöst werden müssen.
Log: Unknown error 11
Die Fehlermeldungen in der SMTP Kommunikation kommen überwiegend vom Socket und
sind bsp. hier gut nachlesbar: http://www.barricane.com/c-error-codes-include-errno
Error 11 heißt also lediglich "try again", was darauf hindeutet, dass die Verbindung vom
sendenden Mailserver abgebrochen wurde.
Outlook 2010 zeigt Anlagen sporadisch nicht an oder MAPI_E_Collision Fehler
Das ist ein reines Outlook Problem. Oft hilft es, den %temp% Folder zu löschen, weil
dieser zu voll ist.
Falls das nichts bringt, das Konto löschen und ein neues Outlook Profil anlegen. Wie es
schon in der Community heißt: "Ein Outlook-Profil ist leider relativ fehleranfällig und
muss daher gegebenenfalls gereinigt, repariert oder im schlimmsten Fall neu angelegt
werden. Ein defektes Outlook®-Profil macht sich meist durch ein merkwürdiges, nicht auf
andere Weise lösbares Verhalten in Outlook® bemerkbar."
Connect 8 LDAP: Auflistung der Benutzer fehlgeschlagen
Dies kann bei großen AD´s vorkommen und ist ein kleiner Bug. Beheben Sie diesen,
indem Sie in der mailserver.cfg die Variable "PagedResultSize" auf 0 setzen.
Connect 8 Greylisting Firewall Ports
Damit das Greylisting funktioniert, muss die Firewall den Port 8045 nach außen lassen.
Hier ein Artikel zur Konfiguration: http://kb.kerio.com/product/kerioconnect/antispam/configuring-greylisting-1180.html
Greylisting and how it works in Kerio Connect
Allgemein: Entfernen einer ungültigen Installation
Sie sollten immer zuerst versuchen, ein erneutes Setup zu durchlaufen, und hinterher
das Produkt ordnungsgemäß zu deinstallieren. Wenn dies nach einem Absturz Ihres
Systems überhaupt nicht mehr funktioniert, kann ich das Microsoft Cleanup Programm
empfehlen, siehe folgender Link: http://support.microsoft.com/kb/290301/
CardDAV / CalDAV Konfiguration statt EAS
Hier die Konfiguration für iPhone: http://kb.kerio.com/product/kerio-connect/mobiledevices-kerio-connect/how-to-configure-your-iphone-to-communicate-with-kerioconnect-251.html
Und hier für Android: http://kb.kerio.com/product/kerio-connect/mobile-devices-kerioconnect/configuring-imap-carddav-and-caldav-on-android-based-devices-1329.html
Und noch einmal eine andere Quelle:
Switching users from EAS to IMAP/CalDAV/CardDAV in iOS is pretty simple but it needs
to be done on the device itself. Instruct users to:
1. Launch Safari on their iOS device
2. Type in the URL of your Kerio Connect server, i.e. https://mail.mycompany.com
3. Click on the "Set up my phone", click on "Mail, Contacts, Calendars" and click
"Continue"
Windows 8 Mail Unterstützung
In Windows 8 Mail muss zwingend zuerst ein Microsoft Konto angelegt werden, sonst sind
weitere Konten nicht erlaubt. Microsoft setzt in allen neuen Versionen (auch Office 365)
jetzt auf EAS statt MAPI, darum auch die ganzen Lizenzänderungen. Die neuen Click-toRun Versionen haben kein MAPI mehr und werden darum ab dem KOFF 8.1 per EAS
unterstützt. Das geht nicht mit älteren Versionen des KOFF, die rein MAPI basiert sind.
Update 32 --> 64 Bit
Dieses Update ist einfach drüber zu installieren. Die Programmpfade werden automatisch
ermittelt. Wenn vorher eine 32-Bit-Version unter einem 64-Bit-OS installiert war,
befindet sich diese im x86 Verzeichnis. Das Update installiert dann auch die 64-BitVersion in diesem Verzeichnis, um nicht alles verlegen zu müssen. Das ist auch völlig
egal, denn eine 64-Bit-Version darf überall installiert werden, nur 32-Bit-Versionen
müssen zwingend in x86 installiert werden ;)
Lohnt der Umstieg 32 --> 64 Bit? Gute Frage, kleinere Installationen werden sicher nicht
schneller, sondern können aufgrund der komplexeren Programmarchitektur (größere
Pointer) sogar langsamer werden. Wenn Sie 100 oder mehr Benutzer haben, lohnt es
sich eher, um die 2 GB Grenze für den Core Process zu umgehen. Entscheidend ist hier
die Frage, wieviel freigegebene Ordner es gibt, denn diese sind sehr speicherlastig!
IM Server und Firewall
Bitte die Ports TCP 5222 + TCP 5223 (SSL) freizugeben. Als Client funktioniert Jabber
oder irgendein anderer.
Connect 8: Die Suchfunktion findet nicht alle Einträge
Hier ist davon auszugehen, dass durch Hard- oder Softwarefehler einer oder mehrere
Benutzer-Indizes beschädigt wurden. Unter den Benutzereinstellungen haben Sie die
bekannte Option, das komplette Postfach des Benutzers neu zu indizieren. Bitte lassen
Sie den Benutzer vorher alle Anwendungen und Webmail schließen. Der Volltext
Suchindex selbst ist in einer zusätzlichen Datenbank auf dem Server gespeichert. Diese
Datenbank der Volltextsuche können Sie unter "Erweiterte Optionen" ebenfalls neu
indizieren:
Externer Virenscanner auf dem Connect Server ja oder nein
Ich empfehle grundsätzlich, auf dem Mailserver keinen weiteren Virenscanner laufen zu
lassen. Falls Sie es doch wollen, so schließen Sie bitte alle Kerio Connect Dateien und den
Store komplett vom Scan aus. Die Folgen sind unabsehbar, wenn ein lokaler
Virenscanner Dateien im Store verändert. Meine Gründe dafür sind:
1. Der Mailserver steht in der DMZ und hat natürlich keine Internetverbindung. Ständige
Updates des Betriebssystems dort sind unnötig und störend. Wie soll ein Virus auf den
Server kommen? Kerio Connect sendet und empfängt per SMTP/S und bedient HTTP/S
Anfragen. Niemand sonst kommt auf den Server selbst. In Connect werden alle
erforderlichen Updates aus dem Internet über den unter "Erweitert" eingetragenen Proxy
geladen. Alle Viren, die Connect per Mail erreichen, werden vom eingebauten Sophos
gelöscht oder landen schlimmstenfalls im Postfach des Benutzers. Nichts davon kann auf
dem Server ausgeführt werden. Die Firewall muss aber aktiv und konfiguriert sein.
2. Wenn ein weiterer Virenscanner läuft, wird er ständig Alarm schlagen, denn Kerio
Connect erzeugt in regelmäßigen Abständen Eicar Testviren zur Prüfung des eigenen
Sophos. Wenn ein anderer Virenscanner die wegnimmt, stürzt der eingebaute Sophos ab
und nichts wird mehr gescannt.
3. Kerio Connect hat bereits Sophos eingebaut. Falls Sie einen weiteren Scanner auf dem
Server nutzen, darf dies nicht Sophos sein, denn zwei Instanzen von Sophos auf der
gleichen Maschine vertragen sich nicht! Sie erkennen dies an Fehlermeldungen im
Protokoll über ausgelassene Virenscans, und daran dass nichts mehr gescannt wird und
alle Viren durchkommen :)
Spam Einstellungen
Nachfolgend liste ich meine empfohlenen Einstellungen auf. Das muss nicht
allgemeingültig sein, bitte immer im Einzelfall prüfen und auch nach 24 Stunden einmal
die Logs durchsehen (Security, Spam, Warning), ob etwas falsch positiv ausgefiltert
wurde.
Basics: Beginnen wir mit der Annahme von Mails. Kerio Connect muss die Mails direkt
annehmen, sonst brauchen wir mit dem Spamfilter gar nicht erst weiterzumachen:
- Wenn Emails zuerst beim Provider landen, unterliegen diese meist nicht
kontrollierbaren Provider Filtern und werden verändert
- Der Weg einer Email ist nicht mehr gut nachvollziehbar, nicht angekommene Mails zu
finden ist ein Zeit- und Glücksspiel
- Emails landen beim Provider und sind damit zugestellt, auch wenn diese später
ausgefiltert werden, eine Garantie für Massenspams
- Der Provider kann meist nicht prüfen, ob auch alle Empfänger valide sind, eine Garantie
für weitere Harvest Attacks
Außerdem sollte Connect als einziger MX eingetragen sein:
- Spammer gehen oft auf den 2./3. MX, weil dieser meist schlechter geschützt ist
- ... oder senden im Idealfall gleich an alle MX ...
Wenn der Connect einmal ausfällt, werden die anderen Mailserver meist über Stunden
versuchen, die Mails erneut zuzustellen. Schlimmstenfalls erhält der Absender eine
Nachricht, dass der Mailserver im Moment nicht erreichbar ist. Es kann also nichts
verloren gehen, es wird im Gegenteil transparent dokumentiert ob die Mail angekommen
ist oder nicht.
Wir erinnern uns: Zum Empfangen einfach die drei SMTP Dienste auf den Connect
mappen (SMTP Port 25, SMTPS Port 465, SMTP Subm Port 587). Der Internet Hostname
(unter Domains) muss mit dem MX Namen aus dem Internet übereinstimmen, bsp.
mail.emnetworkx.de! Das DNS muss funktionieren! Also Connect Server --> DC -->
Firewall --> Internet. Prüfen Sie den DNS Namen und die zugehörige IP von außerhalb,
ist denn mail.emnetworkx.de wirklich die IP Adresse Ihrer DSL Leitung :) ? Hier reicht ein
einfacher Ping.
Zum direkten Versenden muss es auch anders herum funktionieren: Die IP muss auf den
Namen des Mailservers auflösen. Also beim DSL Leitungsprovider (nicht im Domain DNS)
diesen Eintrag setzen lassen. Das nennt sich Reverse Lookup oder Pointer (PTR).
Außerdem müssen Sie in der Domain noch einen SPF Eintrag setzen, der angibt, welche
IP denn Mails unter Ihrem Namen versenden darf. Die Syntax hängt vom Anbieter ab, bei
mir sieht der erforderliche TXT Record wie folgt aus: @ "v=spf1 mx ip4:176.94.84.38
~all" Siehe http://www.openspf.org/SPF_Record_Syntax
Ein nettes Tool zur Überprüfung von MX, PTR etc. ist auch
http://mxtoolbox.com/SuperTool.aspx
Wenn diese Voraussetzungen vorliegen, können wir uns dem Spamfilter widmen:
Hier sollten Sie alles aktivieren. DNS und PTR sind Standard, wer das nicht bringt, von
dem wollen wir auch keine Mails. Die oberen Werte sind durchaus diskutierbar. Bitte
immer Ihr internes Netz als Ausnahme hinterlegen, und bitte niemals die Internetdomain
also bsp. emnetworkx.de im internen Netz auf dem DC verwenden. Die Domain heißt
dort korrekt emnetworkx.local ... sonst stehen Sie vor einer Fülle von A und MX
Einträgen auf dem AD DNS Server, damit Sie nicht Ihren eigenen Mailserver als
Spammer ausfiltern ;)
Ich setze immer einen Block und tagge keine Mails als Spam. Den Aufwand kann man
sich sparen wenn der Spamfilter funktioniert. Ein Wert von 4.0 sollte ausreichen, um
keine falsch positiven zu blocken. Es kommt schon mal vor, dass Mails aus Outlook in
HTML mit komischen Bildern drin einen Spamwert von 1.0 erreichen, aber alles was 4.0
hat ist wirklich Spam.
Bitte keine Mails an Spammer zurücksenden! Das ist die Garantie dafür, dass Ihre
offensichtlich existierende Adresse in viele weitere Datenbanken kommt.
Bitte tragen Sie Ihr internes Netz in die Whitelist ein! Interne Mails als Spam zu blocken
ist uncool.
Ich vertraue auf Spamhaus, Spamcop können Sie auch nehmen, von dem Rest halte ich
nichts. Bitte nicht die Mails blocken, sondern die Bewertung um 4.0 erhöhen! Das hat den
selben Effekt, aber wenn Sie Mails blocken wird die Verarbeitung abgebrochen und Ihre
später kommenden Eigenen Regeln funktionieren nicht mehr!
Hier schreiben Sie Newsletter oder anderes rein, die aufgrund ihrer Struktur vielleicht
sonst ausgefiltert wurden. Oder lehnen bestimmte Domains etc. ab.
Der SpamAssassin ist wichtig, da er die referenzierten Domains im Body der Mail prüft.
Die Absender sind sowieso immer gefälscht.
Caller ID gibt es aktuell nicht mehr, hat sich nicht durchgesetzt, nicht anhaken!
Ja, SPF sollte wirklich jeder gesetzt haben.
Greylisting ist ein schwieriges Thema. Einerseits ist es sehr effektiv, wenn sonst nichts
mehr hilft vielleicht die einzige verbleibende Option. Aber Emails kommen beim
Erstkontakt erst nach einer halben Stunde oder später an - kann man sich das in einer
Kommunikation mit neuen Geschäftspartnern leisten? Die Email Adressen werden dazu
auf dem Kerio Greylisting Server hinterlegt - ist das vereinbar mit deutschem
Datenschutzrecht?
Ich habe mich dazu entschlossen, Greylisting in meinen eigenen Installationen vorerst
nicht zu nutzen.
Hier die wichtigste Option überhaupt. Die Annahmeverzögerung funktioniert natürlich
nur, wenn die Mail nicht bereits im Postfach eines Providers gelandet ist. Die recht
komplexe Kommunikation und nicht zuletzt die Wartezeit überfordern fast alle Trojaner,
was Ihnen allein 95% aller Spams ausfiltert. Sehen Sie sich mal nach einiger Zeit die
abgebrochenen Verbindungen in der Statistik an :) Aus diesem Grund würde ich die auch
nicht loggen.
Und bitte Ihr internes Netz als Ausnahme eintragen, sonst gehen die Mails aus Outlook
auch erst nach 15 Sekunden Wartezeit auf den Mailserver.
Zum Schluss möchte ich noch allgemein auf die Domainsignaturen DKIM hinweisen, die
Sie unter den Domaineinstellungen finden. Dieses neue Feature wird zukünftig wichtig
werden, aber wie immer wird es dauern bis es sich weltweit durchgesetzt hat. Aus
diesem Grund unterstützen wir auch erst einmal nur die Kennzeichnung unserer
ausgehenden eigenen Domain.
Mailumleitung und Umlaute
Leider haben einige Kunden Domains mit Umlauten erworben, obwohl diese weltweit
eher schlecht funktionieren. Kerio Connect unterstützt Umlaute bsp. in Mailumleitungen
nicht direkt, aber Sie können hier ACE statt IDN verwenden, also übersetzt müller.de =
xn--mller-kva.de, siehe dazu auch den Konverter der Denic:
http://www.denic.de/domains/internationalized-domain-names/idn-konvertierung.html
Am Beispiel Connect 8.2 - Geschwindigkeit optimieren
Mit zunehmender Postfachgröße und Mailanzahl sind Optimierungen notwendig, um
Outlook wieder flott zu bekommen. Darauf möchte ich hier eingehen:
1. Serveranforderung Storage: CPU Geschwindigkeit und RAM des Connect Servers sind
eher unwichtig. Ich betreibe meinen eigenen Mailserver noch auf einer kleinen AMD Neo
II Box mit 1.3 GHz, die ich mir vor Jahren mal als Testserver gekauft habe, und die kaum
Strom braucht. Aber sie hat eine SSD. Der Trend geht natürlich zu VM´s, und hier ist
Geschwindigkeit bei der Wahl des Storage geboten. Interne Raidsysteme oder 10
Gbit NAS/SAN sind prinzipiell gut, aber wenn man ein Dutzend Maschinen drauf hat
bricht die Leistung schnell ein. Unter Linux erkennen Sie bsp. Storage-Probleme durch
hohe wait Zeiten ... Beispiel: Cpu1:1.0%us, 1.0%sy, 0.0%ni, 0.0%id,
98.1%wa, 0.0%hi, 0.0%si, 0.0%st
2. Generell sollte die gesamte Anzahl der Elemente in einer Mailbox 20.000 nicht
übersteigen. Archivieren Sie mal was.
3. Besonders wichtig sind Posteingang und Gesendete Objekte, in diesen beiden Ordnern
sollten jeweils (inkl. aller Unterverzeichnissen) nicht mehr als 5.000 Elemente liegen.
Hier hilft es, im root neue Ordner anzulegen und Objekte zu verschieben. Generell
empfehle ich aber, Unterordner im Hauptverzeichnis mit Vorsicht anzulegen, da einige
Namen von Outlook lokal verwendet werden (wie bsp. Outbox) und Umlaute und
Sonderzeichen dort nicht erlaubt sind.
4. Hinzugefügte Mailboxen und Freigaben machen in der Überzahl das System sehr
langsam. Auch bei Kalendereinträgen muss man etwas Maß halten, hunderte sind o.k.,
tausende nicht.
5. Beim Verschieben und Löschen von Objekten bitte nicht mehr als 200 gleichzeitig
markieren.
6. Unter Outlook kann man einstellen, was synchronisiert werden soll. Beispielsweise
arbeite ich viel mit Aufgaben, ich will sie aber nur lokal haben und möchte auf keinen
Fall, dass bei meinem Webmail ein Dutzend Erinnerungen aufpoppen oder mein Handy
ständig nervt. Darum benutze ich Aufgaben nur lokal und habe die Synchronisation mit
dem Koff abgeschaltet:
7. Im neuen Webmail können Sie ebenfalls festlegen, welche Ordner auf Ihre mobilen
Geräte übertragen werden!
8. Das Ganze ist aber kein Problem von Kerio Connect, sondern ein generelles Problem.
Auch im social.technet von Microsoft gibt es die Empfehlung, nicht mehr als 10.000
Objekte zu haben, und gerade bei kritischen Ordnern wie Posteingang besonders knappe
Maßstäbe anzulegen. Siehe bsp.
http://social.technet.microsoft.com/Forums/exchange/en-US/3920d411-8cc3-4cc6-92d22c43a0451215/maximum-number-of-subfolders-in-amailbox?forum=exchangesvradminlegacy,
Zitat "In combing through the responses, there's mention of no more than 10,000 items
in Contacts and there is mention of items in a folder, but not specifically anything
regarding subfolders."
Obwohl sich Microsoft nicht deutlich festlegt, gibt es unter Exchange genau die gleichen
Probleme, die eben ein generelles Problem sind.
Outlook: Eine Minute Wartezeit bis zur ersten Mail
Offensichtlich sind die Übermittlungsoptionen in den verschiedenen Outlook Versionen
nicht alle gleich voreingestellt. Wenn Sie das Problem haben, nach dem Start von Outlook
länger als 10 Sekunden auf die erste eingehende Mail warten zu müssen, prüfen Sie doch
mal den Haken unter (versionsabhängig) Extras, Senden+Empfangen,
Übermittlungsgruppen. Die automatische Übermittlung muss angehakt sein:
Kerio Connect: Wie funktioniert der Passwort-Schutz
Der Passwort-Schutz blockiert jede IP Adresse nach 5 Fehlversuchen (für das gleiche
Konto) für 5 Minuten. Er blockiert die Adresse nicht, wenn verschiedene Konten bsp. alle
nur einmal probiert werden.
Kerio Connect: Welches Image unter Debian nehmen
Oft erreicht mich die Frage, ob denn nun 32 Bit oder 64 Bit installiert ist:
32-BIT: Linux hostname1 2.6.32 #1 SMP Tue Oct 29 21:44:00 UTC 2013 i686 GNU/Linux
64-BIT: Linux hostname2 3.2.13 #1 SMP Thu Mar 29 09:48:59 UTC 2012 x86_64
GNU/Linux
Outlook: Empfänger erhalten unvollständige Emails
Dieses Problem ist mir gelegentlich berichtet worden. Outlook zeigt die gesendete Email
vollständig an, beim Empfänger kommen aber nur Fragmente an. Das scheint bevorzugt
nach längerem Bearbeiten und Speichern in Entwürfen aufzutreten und scheint ein
Problem des IE11 zu sein.
Was ist das beste Betriebssystem für Kerio Connect
Im März 2014 habe ich in den USA mit Kerio ausführlich über die Umgebungen diskutiert.
Die einhellige Meinung dort ist, dass Mac leider die einzige Plattform ist, auf der man nie
mehr als 150 users implementieren sollte. Die Erfahrungen der letzten Jahre haben
gezeigt, dass alle Probleme mit größeren Userzahlen nur auf Mac waren. Connect
arbeitet dateiorientiert, und das MacOS scheint irgendwann (ziemlich schnell) out-ofhandles zu sein, was dazu führt, das auf einmal alle Verbindungen erschreckend langsam
werden. Das ist bis zum aktuellen OS durchgängig und bisher trat es immer auf, wenn
die Installation mehr als 150 users hatte, die auch alle aktiv waren ... Diese Probleme
sind nie unter Linux und Windows beobachtet worden, darum ist aktuell meine klare
Empfehlung für Server
1. Linux
2. Windows
3. Mac
Öffentliche Ordner zwischen Windows und Apple Welt benutzen mit EAS
Wenn Sie bsp. öffentliche Unterordner im Kalender anlegen, müssen Sie darauf achten,
dass Sie alle Kalender mit dem Typ "Kalender" anlegen und nicht mit "Mail", sonst
werden diese auf Apple Geräten nicht angezeigt.
Bei EAS macht Kerio ein Workaround, da der Microsoft Standard öffentliche Ordner
eigentlich gar nicht unterstützt. Sie haben also auch alle öffentlichen Ordner auf Ihren
mobilen Geräten zur Verfügung. Sollten diese nicht angezeigt werden, so prüfen Sie bitte
zuerst, ob sie überhaupt für EAS freigegeben wurden. Folgendes Dokument beschreibt es
sehr gut:
http://kb.kerio.com/product/kerio-connect/email-clients/kerio-connectclient/synchronizing-folders-with-mobile-devices-1507.html
Backups zurückschreiben mit dem Kmsrecover Tool
Im Programmverzeichnis des Mailservers gibt es das kmsrecover command line tool.
http://manuals.kerio.com/kms/en/sect-kmsrecover.html
Hiermit würden Sie bsp. die Gesendeten Objekte des Users Smith zurückschreiben
(Domain und Pfade anzupassen):
kmsrecover -v -d company.com -u smith -f "Sent Items"
E:\backup\F20051009T220008Z.zip
In alten Archiven suchen, die bereits komprimiert sind
Wenn Sie die Email Archivierung aktiviert haben, wird jede eingehende Nachricht im
Archiv abgelegt. Als Administrator sehen Sie diese Archive bsp. in Webmail. Wenn Kerio
Connect so eingestellt ist, dass Archive automatisch als zip komprimiert werden, müssen
Sie diese jedoch zuerst wieder auspacken, um auf länger zurückliegende Mails zugreifen
zu können. Dazu packen Sie die Archivdatei des gesuchten Zeitraums auf dem Server
einfach per Doppelklick in den Original Speicherort wieder aus. Danach müssen Sie den
Connect Server einmal stoppen und wieder starten, damit die ausgepackten Emails in die
Struktur aufgenommen und neu indiziert werden. Die Email Archivierung hat hier nur
eine Basisfunktion, um den gesetzlichen Vorschriften gerecht zu werden. Sie können
immerhin komfortabel darin suchen, aber wenn Sie eine richtige Archivierung brauchen,
empfehle ich bsp. Mailstore, die eine API zu Kerio Connect haben.
IMAP und Papierkorb
Wenn Sie statt Outlook (mit KOFF) oder Smartphone (mit EAS) noch IMAP nutzen (bsp.
Apple Mail), kommt es oft vor, dass verschiedenes von Gerät zu Gerät anders ist.
Beispielsweise Ordnernamen oder auch der Papierkorb. Früher wurden gelöschte Objekte
in IMAP sofort gelöscht, aktuell wandern sie oft nur in den Papierkorb und bleiben parallel
im Posteingang bis bsp. Apple Mail beendet wird. Dieses Verhalten kann man über die
folgende Variable in der mailserver.cfg beeinflussen (der Mailserver muss bei Änderungen
der cfg immer gestoppt sein!):
<table name="Imap">
<variable name="AutoExpungeOnDelete">0</variable> --> auf 1 setzen
<variable name="AutoUnsubscribe">1</variable>
<variable name="BreakFetchInfiniteLoop">1</variable>
</table>
DKIM richtig setzen
"Domain Keys Identified Mail" wird zukünftig immer wichtiger werden. Setzen Sie
gelegentlich einmal nicht nur Reverse-DNS und SPF, wenn Sie Mails direkt aus Ihrem
Mailserver versenden, sondern veröffentlichen Sie auch Ihren DKIM Schlüssel. Dieser
wird in Kerio unter den Domäneinstellungen erzeugt und angezeigt. Beispiel von mir,
mein Mailserver heißt mail.emnetworkx.de:
Dieser Schlüssel gehört in Ihren DNS Eintrag im Internet, und zwar in den TXT Record.
Mit Tools wie bsp. http://dkimcore.org/c/keycheck testen Sie das dann hinterher:
Der Eintrag im TXT kann etwas trickreich sein, denn von Haus aus unterstützen viele
Provider nur 255 Zeichen pro TXT Eintrag, und der SPF steht ja auch dort drin und
braucht schon Platz. Sie haben dann zwei Optionen:
1. Probieren Sie aus, ob der Provider aufgeteilte Zeichenketten und damit längere TXT
Einträge unterstützt. Der DKIM Schlüssel "12345678901234567890" kann bsp. aufgeteilt
als "1234567890" "1234567890" geschrieben werden, so dass jede Einzelkette unter 255
Zeichen liegt.
2. Verwenden Sie einfach einen kürzeren DKIM Schlüssel als die von Kerio
vorgeschlagenen 2048 Bit :) ... hier der Link:
http://kb.kerio.com/product/kerio-connect/server-configuration/security/configuring-dnsfor-dkim-1483.html
Damit sieht mein TXT Record bsp. wie folgt aus:
@ "v=spf1 mx ip4:176.94.84.38 ~all"
mail._domainkey "v=DKIM1;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDO4NK6/3zEJr49xk6i0+..............F
3vk7lxwIDAQAB
Im SSLCERT Verzeichnis steht der vollständige Schlüssel, privat + öffentlich, dann bsp
wie folgt:
-----BEGIN PUBLIC KEY----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDO4NK6/3zEJr49xk6i0+m7OteH
J20FqP49la55Y9FTcUTYmsUTqH/CkVFmcjYZZBHrnv3WmlCn5wQlmRl9isB7LQNm
uWgpcsOe0oRKy61MvLMMaN/zqrxaDeOpjGLA5K3Zxt5XbMy5PdC64PNGVkAtT5Rf
z6eAWbpisgF3vk7lxwIDAQAB
-----END PUBLIC KEY---------BEGIN RSA PRIVATE KEY----MIICXQIBAAKBgQDO4NK6/3zEJr49xk6i0+m7OteHJ20FqP49la55Y9FTcUTYmsUT
***geheim***
Jc9HgxutDd+jmEQkWfavbc/tcRpFg2dguex1csBwHMJTlsQx8J4SKh9XEZUCQGvI
92AL1am8A63W0VurBRJfaNtaWj+IzgfpT5E/wfC+ago5NvXxfeNZwzBBrEmuL+2R
R6dl4keprOf7WQKm1RMCQQCrmH3l5Qd2KeOMCXs/BV+wpCpi70UoiaSyI9gnoKoE
wkh5fyNqfFW2Vze5roq+Wxmw1RCTQMXmt9nigr4Q6V+G
-----END RSA PRIVATE KEY----Benutzer statt lokal nun im AD verwalten
Wenn Sie bisher die Benutzer lokal gepflegt haben, und nun auf die (gleichlautenden!)
Namen im AD zur Authentifizierung umstellen wollen, ist das kein großes Problem.
Installieren Sie die AD Extensions auf dem DC, aktivieren Sie das AD im Connect und
schauen Sie ob die Benutzer da sind. Danach löschen Sie einfach alle lokalen Benutzer
bis auf den Admin (ja wirklich), aber behalten die Postfächer bei! Legen Sie die
Postfächer im AD neu an und fertig. Da die Namen gleich sind, bleibt die Ordnerstruktur
auf dem Connect Server gleich, und schon haben Sie alles mit dem AD verbunden und
müssen die Passwörter nur noch einmal pflegen. P.S. Umgekehrt genauso.
Webmail reagiert nach 10 Minuten nicht mehr
Das kann bei schlechten Verbindungen vorkommen. Als Abhilfe, wenn Sie oft in
Internetcafes unterwegs sind, ist die Empfehlung von Kerio, den folgenden Parameter in
der mailserver.cfg zu verändern (bei gestopptem Mailserver!): set value of variable
LongPollTimeout to 0.
Support für Sophos Live Protection ab Connect 8.4
Das aktuelle Update von Connect enthält bereits die erste Version von Sophos Live
Protection. Hier wird ein Hashwert von Anhängen zum Sophos Server übertragen, um
just-in-time festzustellen, ob es ein gemeldeter Virus ist. Diese höhere Sicherheit
erkaufen Sie nicht mit weniger Datensicherheit, denn im Gegensatz zur Sophos
Implementation für Firmen und Endkunden, die im Falle eines unbekannten Anhangs
auch diesen selbst zum Sophos Server überträgt, hat Kerio diese Funktion bewusst
herausgenommen. Es werden grundsätzlich nur Hashwerte übertragen! Übrigens ist die
Sophos Live Protection auch abwählbar.
Greylisting in Kerio Connect
Aus diesem Anlaß noch einmal ein Hinweis zum Thema Greylisting: Auch dieses Filter
überträgt grundsätzlich nur Hashwerte, niemals komplette Absender oder
Empfängeradressen. Siehe dazu http://kb.kerio.com/article/configuring-greylisting-
1180.html. Dazu ist noch eine Whitelist bekannter IP Absender hinterlegt, allerdings
stehen mittlerweile auch die großen Relays wie Vodafone Telekom etc. darauf, was die
Funktion des Greylisting Filters etwas aufweicht. Meine Meinung ist allerdings weiterhin
dazu, dass Email eine Echtzeitkommunikation ist, und man entscheiden muss, ob man
ggf. auf eine Mail auch warten kann, wenn der Absender noch nicht mit seiner IP auf der
Whitelist steht und demnach einen zweiten Zustellversuch nach vorgegebenen 15/30/60
Minuten je nach sendendem Server machen muss ...
So sähe es dann in der Kommunikation aus (falls schon auf der Whitelist):
[09/Mar/2015 16:56:24][1660] {greylist} Greylisting: testing mail from "[email protected]" to
"[email protected]" sent by 145.253.3.205.
[09/Mar/2015 16:56:24][1660] {greylist} Greylisting: Kerio Connect sent "GREYL 145.253.3.205
UqG/jT+CAh2RvvWyRfYrQg==" over TLS.
[09/Mar/2015 16:56:24][1660] {greylist} Greylisting: service responded "211 Pass" over TLS.
[09/Mar/2015 16:56:24][1660] {greylist} Greylisting is accepting mail, query finished in 174 ms with result "PASS".
Autoresponder soll für jede Email eine Antwort senden
Normalerweise sendet der Autoresponder in Kerio Connect an jeden Absender nur einmal
in 7 Tagen eine Antwort, um die Absender nicht zu nerven. In manchen Fällen bsp. als
"Eingangsbestätigung" ist jedoch gewünscht, dass für jede Email immer eine Antwort
gesendet wird. Um dieses Verhalten zu erreichen, müssen Sie eine Systemdatei
modifizieren:
1.
2.
3.
4.
5.
Stop Kerio Connect;
Go to .../kerio/mailserver/store/mail/DOMAIN.COM/USER/
Edit filter.siv change :days 7 to "days 0
Save changes
Start Kerio Connect
Alle IM Dienste vollständig stoppen
Obwohl man IM in den Connect Diensten abschalten kann, laufen noch einige Java
Prozesse weiter. Wenn das stört, kann man diese komplett abschalten. Bitte aber
beachten, dass auch die Volltextsuche ein Java Prozeß ist, komplett bekommt man die
also nicht weg:
1.
2.
3.
4.
Stop Kerio Connect
Edit the mailserver.cfg file
Look for the section "InstantMessaging"
Set "Enabled" to 0 and save that change
Outlook KOFF Meldung "Objekt Keriostorage ... ist nicht vorhanden"
Diese Meldung kommt sporadisch in größeren Installationen, der Grund ist oft ein
Timingproblem oder zu langsame Hardware. Die Meldung kann ignoriert werden.
Gruppenfreigaben funktionieren nicht (mehr)
Wenn Kerio Connect ans AD angebunden ist, so ist es ab Version 8.5 notwendig, dass die
Gruppe auch im AD unter "groups" angelegt wurde!
Verhindern, dass alte mobile Geräte EAS 14.1 angeboten bekommen
Bei alten Android Handys bsp. der Versionen 3.x führt die neue EAS Anbindung oft zu
unbrauchbaren Ergebnissen, in denen Mails 10 Mal kommen oder gar nicht. Mit
folgendem Eintrag in der mailserver.cfg kann man dies verhindern.
<list name="LegacyDevices">
<listitem>
<variable name="UserAgent">Apple-ipod/705.18</variable>
</listitem>
</list>
http://kb.kerio.com/product/kerio-connect/email-clients/activesync/setting-acompatible-exchange-activesync-version-for-specific-mobile-devices-1799.html
Outlook 2013 / Office 365 sendet max. 20 MB Anlagen
Ja, das ist wohl so. https://support.microsoft.com/de-de/kb/2813269/de
Kerio Connect: Spamfilter Einstellung für Reverse DNS Prüfung
Da leider sehr viele Mailserver keinen oder einen falschen Reverse DNS Eintrag gesetzt
haben, und die Provider teilweise ewig brauchen diese Reverse Einträge per DNS
aufzulösen, werden hierdurch unnötig viele Email abgelehnt. Ich empfehle, diese
Einstellung aktuell herauszunehmen:
Manipulationen des Store - Datum und Uhrzeit von Emails falsch
Falls Sie manuell Emails aus einer Datensicherung kopieren (ohne kmsrecover) und
hinterher den zwingenden Reindex durchführen, sollten Sie bedenken dass die index.fld
das Originaldatum und Uhrzeit jeder Email enthält. Wenn diese gelöscht wird, oder eben
nicht alle Einträge enthält und neu aufgebaut wird, wird sie neu mit Datum und Uhrzeit
der eml Dateien der Datensicherung aufgebaut. Das muss dann nicht mehr zwingend die
Zeit sein zu der die Mail tatsächlich empfangen wurde. Also besser hier immer mit den
Mitteln von Kerio arbeiten.
Kerio Exchange Migration Tool (KEMT) - benötigte Ports
Wenn Sie remote eine Migration durchführen wollen, so müssen die Ports 143 (TCP) and
44337 (TCP/UDP) auf dem Kerio Connect erreichbar sein.
Kerio Connect Downgrade, bsp. von 9.0.1 auf 8.5.3
Die Installationsroutine der 8.5.3 weigert sich natürlich, über eine höhere
Versionsnummer zu installieren. Gehen Sie also unter Programme und deinstallieren Sie
Kerio Connect 9.0.1. Ganz wichtig: Die beiden Haken der Deinstallationsfrage müssen
draussen bleiben, damit Sie sowohl den Store wie auch alle Konfigurationseinstellungen
erhalten! Dann installieren Sie die Version 8.5.3 wieder und fertig.
Ein beliebter Fehler ist, Connect 8.5.3 in der 64 Bit Variante dann unter Programme zu
installieren, wenn es vorher unter Programme (x86) war, weil es bsp. durch jahrelange
Updates einer 32 Bit Version eben in diesem Pfad installiert wurde. Also nicht
verzweifeln, wenn das neu installierte Connect 8.5.3 auf einmal scheinbar keine Daten
mehr hat :) Prüfen Sie, ob Sie den Fehler gemacht haben, dann deinstallieren Sie es
wieder (hier können Sie natürlich den zweckfreien Nachrichtenspeicher und die Konfig
entfernen) und installieren es noch einmal richtig im alten x86 Pfad.
Kerio Connect – Mailbox does not exist,
oder ein Benutzer kann einfach keine Mails mehr empfangen
In diesem Fall hatte der User Probleme seine Mailbox aufzurufen. Der Grund lag in einer
(warum auch immer) fehlenden status.fld Datei. Bitte prüfen Sie bei solchen Fehlern, ob
im INBOX Verzeichnis eine status.fld ist. Falls nicht, legen Sie bitte eine leere mit
Notepad an und lassen den Benutzer neu indizieren.
Kerio Connect – Ressourcen zeigen nicht alle Informationen an
Normalerweise werden in der Ressourcenplanung nur Benutzer und Ort angezeigt. Wenn
Sie hier mehr sehen wollen wie Betreff und Inhalt, dann modifizieren Sie die
mailserver.cfg (bei gestopptem Mailserver!) wie folgt:
Setzen Sie die Variable "ClearEventSubject" auf 0.
Kerio Connect – sehr langsame Kontaktliste auf dem Mac unter El Capitan 10.11
Dies scheint ein Mac Bug zu sein. Ich muss die Antwort in englisch belassen, da ich mich
mit der Apple Terminologie nicht auskenne:
If you have a customer reporting slow Contacts app on 10.11 then go to the KeyChain
Access and edit the certificate for Kerio Connect. Select 'Always Trust'.
Kerio Connect - hilfreiche kb´s
Immer wieder erreichen mich Fragen, wie man einen Server auf eine andere Plattform
migriert, wie man das Exchange Migration Tool einsetzt, und anderes was schon sehr oft
beantwortet wurde. Außer meinem Newsletter, der zumindest als Sammel-WordDokument auf meiner Webseite verfügbar ist, gibt es eine sehr ausführliche Sammlung
von technischen Tipps zu allen Themen unter kb.kerio.com
Wenn Sie bsp. das Dokument zum Serverumzug suchen, das ist kb.kerio.com/360 und
hätte auf fb schon 5000 likes :-D
Oder kb.kerio.com/1141 für eine ausführliche Beschreibung von kmsrecover.
Natürlich sind die kb´s auch für Control und Operator.
Kerio Control
Wie lange hält Kerio Control TCP Ports über NAT offen?
Diese Frage stellte sich einem Kerio Control Benutzer, da manchmal Anfragen lange
dauern und sichergestellt sein muss, dass der Port hinterher noch existiert. Die
Standardwerte betragen für TCP Ports 40 Minuten ohne Kommunikation und
für UDP Ports 8 Minuten. Sie können dies ändern, indem Sie
die WinRoute Engine stoppen und folgende Werte in der winroute.cfg mit Notepad
editieren:
<variable name="DefaultTcpTimeout">40</variable>
<variable name="DefaultUdpTimeout">8</variable>
Gestörte Kommunikation mit Sondergeräten über TCP
Meist hilft es, bei gestörter Kommunikation die Ursache zuerst im erweiterten
Fehlerprotokoll zu dokumentieren, z.B. "packets dropped for some reason". Steht dort
etwas über "3-way-handshake not completed" hilft es, den 3-way-handshake
auszuschalten, dies geht durch setzen der Variable "require3WayHandshake" auf 0.
Kerio Control-Probleme mit manchen Protokollen
Es gibt bestimmte Anwendungen, die über die Kerio Control nicht einwandfrei
funktionieren. Ursache sind meist alte oder fehlerhafte TCP Kommunikationsstrukturen.
Ich hatte bei einem Kunden kürzlich selbst wieder so ein Problem, und zwar funktionierte
der Borland Socket Server nicht richtig und trennte sporadisch eingehende
Verbindungen. Für diese Fälle darf ich aus einem meiner älteren Newsletter noch einmal
auf zwei Variablen in der winroute.cfg hinweisen, die praktisch selbsterklärend sind:
"DiscardWrongBroadcasts" und "Require3WayHandshake" sollten Sie testhalber bei
solchen Problemen einmal auf 0 setzen. Wichtig ist, Änderungen an der winroute.cfg
ausschliesslich bei gestoppter Engine vorzunehmen!
Wie authentifiziere ich die User, so dass diese in der StaR Statistik auftauchen?
Die Kerio WinRoute Firewall unterstützt NTLM Authentifizierung. Das bedeutet, Sie
müssen im Wesentlichen den Kerio Control Rechner in die Domäne aufnehmen und die
"NT domain authentication" anhaken. Es ist nicht notwendig, alle User aus dem AD zu
importieren. Details siehe http://support.kerio.com/kb/77. Die Alternative wäre, die User
per Weblogin auf der Firewall zu authentifizieren. Bitte beachten Sie die
Datenschutzbestimmungen, wenn Sie die Webnutzung auf einzelne User
herunterbrechen, dies ist immer ein sensibles Thema.
Kerio Control: Protocol Inspector Probleme
Immer wenn Mailserver Kommunikation über die Kerio Control geht, beispielsweise wenn
Kerio Control und Kerio Connect auf einer Maschine laufen, muss man darauf achten, die
Protokolle nicht zu überfrachten. Von besonderer Bedeutung sind hier die ProtocolInspector-Programme der Kerio Control. Wenn Sie bsp. den SMTP Verkehr über die Kerio
Control leiten und dazu innerhalb der Regel TCP 25 verwenden, unterscheidet sich
das deutlich von dem vordefinierten Dienst "SMTP".
Diesen beiden Regeln sind nicht gleich!
Unter den Einstellungen des Dienstes SMTP ist in der Kerio Control nämlich der "ProtocolInspector SMTP" voreingestellt. D.h. alle Pakete gehen über einen weiteren Weg und
werden leicht verändert, was dazu führen kann, dass der Kerio Connect Statusmeldungen
nicht korrekt erhält. In meinem Beispiel erhielt einer meiner Kunden von einem
Lieferanten, der Lotus Domino Mailserver hatte, ständig alle Mails mehrfach zugestellt.
Nach langer Suche entdeckten wir eine Inkompatibilität zu seiner installierten AV-Lösung,
die aber weg war, als wir unseren Kerio Control Protocol-Inspector bei SMTP einfach
abgeschaltet haben ("None"). Natürlich kann bei abgeschaltetem Protocol-Inspector des
jeweiligen Dienstes auch kein AV Scan durch Kerio Control stattfinden. Ich empfehle aber
sowieso, nur HTTP+FTP zu scannen und den Email-Scan unbedingt auf den Mailserver zu
legen! Wenn der Mailserver Emails einfach durch die Kerio Control weggenommen
bekommt, kann dies zu Mehrfachsendungen oder Hängern in der Kommunikation führen.
"SMTP protocol inspection by its design can not support certain communications between
two email servers. It was mainly designed to check client access. The problem is
that SMTP protocol inspection acts as transparent proxy and in server to server
communication there are situations when transparent proxy must work as nontransparent proxy (what technically is not possible). Good example is 4xx error like
greylisting. In such case the transparent proxy must keep email and take the
responsibility for email delivery. Because it is transparent this is not possible."
Zwangstrennung der Telekom
Mir ist in einer eigenen Installation zumindest bei der Control Appliance unter Linux
aufgefallen, dass die leider immer noch bestehende Zwangstrennung bei TelekomLeitungen alle 24 Stunden zu Problemen bei der Wiedereinwahl führen kann. Die
Appliance ist wohl so schnell, dass die Zugangsdaten noch nicht freigegeben sind, was zu
einem dauerhaften Problem bei der Wiedereinwahl führt. Sollten Sie also Telekom-Kunde
sein, würde ich dringend raten, die Leitung nicht permanent aufgebaut zu lassen,
sondern Zeiten zu definieren. So hilft bsp. eine "Bürozeit" von 00:10 - 23:59 und eine
"Zwangstrennung" von 00:00 bis 00:09 über dieses Problem hinweg.
Kerio Control Appliance und Änderung der winroute.cfg
Ja, dies ist auch bei der Appliance unter Linux möglich, wenn man weiss wie:
In the Kerio Control image, hold down ALT + F2 to get to Terminal.
Log in as the Root user. - the password will be the same for the Admin account you
created in Kerio WinRoute Firewall.
Use this command to stop WinRoute: /etc/boxinit.d/60winroute stop
Edit the winroute.cfg file using this command: vi /opt/kerio/winroute/winroute.cfg
Use this command to start WinRoute: /etc/boxinit.d/60winroute start
Kerio WinRoute / Control Appliance und deutsche Tastatur
Bitte beachten Sie, dass die Appliance bei der Erstkonfiguration nicht immer das
deutsche Tastaturlayout geladen hat. Sie legen in dieser Erstinstallation ein Passwort für
die Appliance (Linux) und Kerio Control fest. Wenn dieses Passwort Y/Z oder Umlaute
enthält, kann es Ihnen leider passieren, dass Sie sich nicht damit mehr anmelden
können. Beispiel hierzu:
Ich habe bei einem Kunden das Passwort "Layout" gewählt. Nachdem ich mich nicht
mehr an der Installation anzumelden konnte, kam ich auf den Gedanken, mal "Lazout" zu
probieren ...
Control+Connect: POP3 Probleme
Sollten Sie mit Kerio Connect POP3 Mailboxen abfragen und diese Abfrage läuft über
einen Kerio Control Server, kann es vorkommen, dass POP3 Downloads fehlschlagen. Die
Ursache ist in der Kommunikation mit manchen Mailservern begründet, die Abhilfe ist,
den POP3 protocol inspector in Control abzuschalten. Wichtig: Der Virenscan der Firewall
scannt damit POP3 nicht mehr. Dies ist aber auch die empfohlene Konfiguration: Sie
sollten auf keinen Fall einen Virenscanner im Datenstrom zum Mailserver haben, der
diesen manipuliert und unterbricht. Der Virenscan sollte nur vom Mailserver selbst
gemacht werden, und ggf. später vom Mailclient.
Kerio Control 7/8 - versteckte Funktionen (PPPoE, SSH, Network trace)
Es gibt im Webinterface ein paar versteckte Funktionen für Servicezwecke. Sie können
mit Left-Shift und Mausklick eine weitere PPPoE Verbindung erzeugen. Sie können unter
Status -> System Health, mit Shift und Mausklick auf "Tasks" SSH einschalten. Und Sie
können einen Wireshark vergleichbaren Network Trace erzeugen, wenn Sie im Debug Log
Shift - rechte Maustaste benutzen, und dann Dump Expression auswählen.
Regelwerk für WLAN (bevor es die Gastschnittstellen gab )
Abschließend noch ein kurzer Exkurs in die Firewall. Wenn Sie in einem Unternehmen
WLAN zur Verfügung stellen, ist oft gewünscht, dass der Zugriff über WLAN auf das
Firmennetz unterbunden ist. Sie realisieren dies einfach mit einer weiteren Netzwerkkarte
in Kerio Control und dem folgenden Beispiel-Regelwerk:
Am WLAN Interface hängt ein WLAN-Router mit der Adresse 192.168.2.1 auf der
Internetseite (Gateway + DNS = 192.168.2.10), und einem anderen lokalen Netz auf der
LAN-Seite, bsp. 192.168.3.0 und DHCP darin. Also kein Accesspoint-Modus!
Einige optionale ICMP Regeln:
Und der Auszug aus dem eigentlichen Regelwerk:
Die Regel "TCP 81" ist in diesem Beispiel dazu da, den mobilen Geräten, die über WLAN
angebunden sind, einen Zugriff auf den Port 81 des lokalen Mailservers zu ermöglichen.
Mit diesem Regelwerk kann jemand den WLAN-Router hacken und umprogrammieren,
und kommt trotzdem nicht ins Firmennetz.
Web Filter Probleme mit der Telekom – Internet wird extrem langsam
Im Newsletter 7/2011 hatte ich darauf hingewiesen, dass die DNS Anfragen des Web
Filters im Netz der Telekom weitgehend blockiert werden, was dazu führt, dass Sie kaum
noch Internetseiten zeitnah öffnen können, wenn das Web Filter aktiviert ist. Lösung ist
hier einfach ein Custom DNS Forwarder, der Anfragen an esoft.com und zvelo.com auf
einen OpenDNS Server leitet:
Benutzeranmeldung durch Webbrowser
Um die Benutzerauthentifizierung zu erzwingen, muss sie grundsätzlich erst mal
eingeschaltet sein "Always require users to be authenticated". Damit wird ein User mit
einer IP-Adresse verbunden. Im Falle eines Terminalservers muss der transparente Proxy
verwendet werden und die Option "Force non-transparent proxy server authentication"
aktiviert sein. Diese Option funktioniert allerdings nicht mit einer automatischen
Browseranmeldung, da diese über NTLM geht. NTLM ist generell abgeschaltet, da es den
Anmeldevorgang verlangsamt. Sie können aber NTLM für die Browserauthentifizierung
einschalten, indem Sie Control stoppen und in der winroute.cfg die Variable
"HttpProxyAlwaysAuthNTLM" auf 1 setzen. Bitte prüfen Sie danach aber die
Geschwindigkeit des Anmeldevorgangs.
VPN Client und Proxy
Der Kerio VPN Client benutzt nicht die Proxy Einstellungen des Systems. Aufgrund der
Architektur (virtuelle Netzwerkkarte) ist für den VPN Client keine Proxyserver
Verwendung möglich.
VDSL Einrichtung mit Kerio Control
Mit Hilfe des VLAN Supports in Kerio Control bauen Sie einfach Ihre Verbindung ins VDSL
Netz der Telekom auf. Wichtig ist hier, den ausgehenden PPPoE Paketen die VLAN ID 7
mitzugeben, sonst werden diese nicht als DSL Einwahl erkannt. Nehmen wir an, Sie
verwenden den Port 1 Ihrer Firewall für VDSL und haben diesen LAN-DSL genannt.
Erzeugen Sie nun ein VLAN nativ (nicht PPPoE) und nennen dies bsp. VLAN 7, binden Sie
es an die Schnittstelle LAN-DSL. Verschieben Sie beide Schnittstellen unter "Sonstige",
denn sie werden beide als Internetschnittstelle nicht physikalisch benötigt. Die LAN-DSL
können Sie dort auch deaktieren, die VLAN 7 müssen Sie dort aktiviert lassen. Sie
brauchen aber für beide keine ip4/ip6 Einträge, diese Haken können Sie rausnehmen.
Jetzt stehen also zwei Schnittstellen unter "Sonstige": LAN-DSL und VLAN 7. Nur VLAN 7
ist aktiviert, ip4/ip6 ist kein Haken. Als letztes erzeugen Sie nun einen PPPoE Adapter mit
den gewünschten Wähleinstellungen, speichern diesen unter "Internetschnittstellen", und
binden ihn (= Wähleinstellungen: Schnittstelle) an VLAN 7. Fertig.
Migration auf eine andere Plattform
Generell gilt diese Vorgehensweise für jede Migration, ob Control für Windows auf die
App, oder Windows zu Box, etc. Das Hauptproblem bei der Migration sind die Interfaces,
die immer hardware-spezifische ID´s haben. Aus diesem Grund kann man
die Konfiguration in der Gesamtheit nicht auf eine neue Hardware übernehmen. Folgende
Vorgehensweise hat sich bewährt:
Spielen Sie zuerst auf beiden Systemen die gleiche Version ein. Das ist wichtig, da es oft
Unterschiede in den Konfigurationsdateien gibt! Also entweder zuerst ein Update des
alten Systems machen, oder eben zuerst das neue System mit der bisherigen Version
aufsetzen. Dann exportieren Sie die alte Konfiguration. Nun erstellen Sie idealerweise die
Interfaces in der neuen Version mit den gleichen Namen und Einstellungen, das hilft sehr
wenn irgendwas beim Import schief geht.
Vorgehensweise 1:
Dann starten Sie den Import und sehen folgendes Fenster:
Wählen Sie hier immer den unteren Punkt aus, wenn es nicht die gleiche Hardware ist.
Nun haben Sie die Möglichkeit, die Schnittstellen der alten Hardware mit denen der
neuen Hardware in Übereinstimmung zu bringen. Wenn Sie an dieser Stelle aber noch
den LAN-Switch der Box aufteilen müssen etc. ist das unglücklich, darum vorher einmal
die Schnittstellen programmieren.
Vorgehensweise 2:
Eine Alternative Vorgehensweise besteht darin, alles einmal sauber neu anzulegen! Wenn
Sie schon seit Jahren diverse Male die Hardware gewechselt haben, ist das nicht die
schlechteste Idee.
Sie können aber Teile der alten Konfiguration übernehmen, die viel Arbeit gemacht
haben, wie bsp. das IP Regelwerk und die lokalen Benutzer. Dazu legen Sie die Interfaces
auf dem neuen System genauso wie auf dem alten an und exportieren dann auf dem
alten und dem neuen System die Konfiguration. Nun haben Sie eine config-alt.tgz und
eine config-neu.tgz. Diese entpacken Sie in zwei Ordner. Kopieren Sie aus dem alt
Ordner die userDB.cfg in den neu Ordner, damit haben Sie alle angelegten lokalen
Benutzer und Passwörter. Öffnen Sie in beiden Ordnern die winroute.cfg und kopieren Sie
Teile davon aus alt nach neu, bsp. das IP-Regelwerk, welches Sie unter <list
name="TrafficRules_v2"> finden.
Warnung! Sie können hier leicht was kaputt machen, bitte beschränken Sie sich auf die
Teile des Regelwerks, die Sie genau zuordnen können, also möglichst wenige. Dann
packen Sie den neu Ordner als tgz mit bsp. TUGZip, der Name ist egal, und importieren
die Konfiguration in die neue Firewall. Ein Neuboot, und wenn die Firewall danach da ist,
haben Sie alles richtig gemacht. Sonst hilft ein Komplett-Reset :) Ich vergleiche dann
meist mit zwei nebeneinander geöffneten Browsern die alte und die neue Firewall und
ergänze die noch fehlenden Daten. Zum Schluss noch das Update auf die aktuelle Version
und fertig.
IPsec Konfiguration
IPsec wird wir folgt konfiguriert: http://kb.kerio.com/product/keriocontrol/vpn/configuring-ipsec-vpn-1281.html
Wie wähle ich die ausgehende Leitung?
Wenn Sie mehrere Internetleitungen haben, wählen Sie immer die Lastverteilung. Warum
Backup, denn dann nutzen Sie ja nur eine Leitung. In den ausgehenden Regeln ist das
Ziel immer die Gruppe "Internetschnittstellen". Dann setzen Sie NAT, und wählen dort
das ausgehende Interface:
Alternativ können Sie hier auch angeben, ob er immer dieses Interface nehmen soll, oder
als Backup auch andere nehmen darf.
Ausgehende PPPoE Leitung zeigt in der Lastverteilung Verbindungsproblem
Dies kommt bei PPPoE vor, da einige Provider einen ständigen Ping zum Gateway
unterbinden. Kerio Control denkt dann die Leitung sei offline und nimmt diese aus der
Lastverteilung raus. Hier tragen Sie einfach andere Probe Hosts ein, bsp. Google DNS
oder Open DNS.
Control Box - USB Tools
Falls Sie mal eine Box so konfiguriert haben, dass sie nicht mehr reagiert, können Sie
diese resetten. Dabei einfach das entsprechende Script runterladen, auf einen USB Stick
packen, und die Box damit booten. Nach dem Boot wird die Box resettet und das Script
deaktiviert, damit es beim nächsten Boot nicht erneut ausgeführt wird. Sollte ein
erneuter Reset notwendig sein, so muss das Script frisch wieder auf den Stick kopiert
werden!
http://download.kerio.com/dwn/control/control-8.2.1-1461/kerio-control-usbtools-en8.2.1-1461.pdf
bzw. http://download.kerio.com/dwn/kerio-control-usbtools-en.pdf
Ein Beispiel zur neuen Reverse Proxy Funktion
... und übersetzt in Kerio ...
Kerio Control Gastschnittstellen ab Version 8.4
- Ein Gastnetzwerk, ideal um Gästen über WLAN einen Zugangspunkt bereitzustellen.
Ohne Passwort und ohne Lizenzverbrauch!
http://kb.kerio.com/product/kerio-control/server-configuration-kerio-control/configuringguest-network-1654.html
Mit dem neuen WLAN Gastnetzwerk in Kerio Control können Sie in Ihrem Betrieb ein
WLAN bereitstellen, welches zum einen keine Lizenzen braucht, und zum anderen von
der voreingestellten Authentifizierung ausgenommen ist. Hier gibt es auf Wunsch eine
eigene Startseite und ein eigenes einfaches Kennwort. Bisher musste man sich
entscheiden, ob man die Auth. für die ganze Firewall einschaltet und dann damit lebt,
dass sich auch die WLAN Besucher im AD authentifizieren müssen. Nun wird dieses
Netzwerk auf Wunsch völlig getrennt behandelt.
Kerio Control und ältere VPN Clients mit SSLv3
Es gibt immer noch viele Industriegeräte oder auch private PCs die Windows XP haben.
Wenn Sie auf eine aktuelle Version der Firewall updaten müssen Sie prinzipiell auch einen
aktuellen VPN Client zur Verbindung benutzen. Nachteil ist, Sie müssen diesen überall
updaten, er ist nicht immer stressfrei auf alten Geräten, und die Verbindung wird durch
die höhere Verschlüsselung bei schlechten Leitungen oft unzuverlässiger. Es geht aber
auch noch mit dem alten Client!
Der Grund dass der alte Client bsp. 6.4.2 nicht mehr geht, ist dass in den neuen Connect
Versionen das SSLv3 Protokoll abgeschaltet ist. Es läßt sich aber wie folgt wieder
aktivieren:
In der winroute.cfg einfach den markierten Eintrag samt vorstehendem Komma löschen:
<variable name="DisabledProtocols">SSLv2,SSLv3</variable>
Kerio Control Box – winroute.cfg ändern
Hier gibt es mehrere Wege. Man kann natürlich die Konfiguration exportieren, entpacken,
ändern, packen und zurückspielen. Das ist der aufwendigste Weg. Leichter geht es per
SSH, bsp. mit Putty unter Windows.
Sie möchten im folgenden Beispiel die Variable DisabledProtocols ändern. Diese steht in
der Tabelle mit der Überschrift SSL (table name="SSL"). Hierzu müssen Sie Control nicht
einmal stoppen. Nutzen Sie den eingebauten tinydbclient:
cd /opt/kerio/winroute
./tinydbclient "update SSL set DisabledProtocols=SSLv2"
Mit tinydbclient ist es nicht notwendig, die Box neu zu starten!
Das geht allerdings nicht, wenn Sie neue Variablen hinzufügen möchten. Dann benutzen
Sie den normalen Editor "vi" und ändern die Kopie in /var. Danach müssen Sie sofort
rebooten, ohne weitere Befehle auszuführen, damit die Konfiguration erfolgreich
gespeichert und aktiv wird!
vi /var/winroute/winroute.cfg
… Änderungen durchführen …
Speichern: wq
Neu booten: reboot
Kerio Control: Zertifikat Gültigkeit
Bitte beachten Sie, dass Zertifikate irgendwann ablaufen und erstellen Sie rechtzeitig
neue. Ansonsten werden sich Tunnel und VPN Clients nur nach ständiger Bestätigung neu
verbinden. Erstellen Sie einfach eigene Zertifikate für 5 oder 10 Jahre. Achten Sie auch
darauf, dass Zertifikate nie länger ausgestellt werden können, als das Zertifikat für die
lokale Zertifizierungsstelle gültig ist. Dieses muss also zuerst erneuert werden.
Ich nehme meist nur 3 Zertifikate:
- "Lokale Zertifizierungsstelle"
- "Standard" für die Anmeldung an der Firewall, Reverse Proxy (oben und unten setzen)
- "VPN" für IPsec und Kerio VPN Server
Kerio Control – zusätzliche IPsec Einstellungen
Grundsätzlich sind wir so kompatibel zum Standard, dass alle Einstellungen des
folgenden Wikis auch in der winroute.cfg angewendet werden können:
https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
Sie müssen dabei nur das folgende Format einhalten, Bsp.:
<variable name="CustomOptions">ikelifetime=3h</variable>
<variable name="CustomOptions">lifebytes=123456</variable>
Kerio Workspace
Kerio Workspace und SSLv3
Falls Sie Kerio Workspace im Einsatz haben und gelesen haben, dass Firefox jetzt dieses
unsichere Protokoll blockieren wird, hier der Workaround:
Edit server.xml located in %install path%/tomcat/conf/
Below the lines (there are two) starting with "SSLCipherSuite", insert a new line with the
following text:
SSLProtocol="TLSv1"
Restart the server
Kerio Operator
Kerio Operator und sipgate.de
Auch wenn Kerio Operator hinter einer Firewall läuft, sollte die NAT Option nicht aktiviert
sein. Tragen Sie außerdem in der Konfiguration des Interfaces die sipgate
Telefonnummer im internationalen Format sein, also bsp. nicht 0211789000 sondern
49211789000! Falls Sie das nationale Format verwenden, wird es vorkommen, dass zwar
ausgehende Gespräche funktionieren, aber eingehende nach kurzer Zeit unterbrochen
werden.
Kerio Operator: Eigene Begüßungsansagen und Rootzugriff
Die Begrüßungsansagen des Anrufbeantworters sind in einer Datei gespeichert
("voiceprompt set"). Diese heißt followme/pls-hold-while-try. Eine geänderte Datei kann
unter "advanced options", "default phone language", "configure" wieder aufgespielt
werden. Diese Prozedur wird allerdings nicht offiziell unterstützt.
Sie können sich in die Konsole von Operator auch per SSH verbinden, genauso wie in
Control. Halten Sie dazu einfach Shift gedrückt und klicken Sie unter "System Health" auf
"Tasks". Dort können Sie SSH einschalten und sich danach mit bsp. Putty oder WinSCP
als "root" einloggen. Hinweis: In manchen Versionen von Firefox müssen Sie Alt statt
Shift drücken.
Kerio Operator und Konfigurationsdateien
Die Konfigurationsdateien der Telefone extensions.conf finden Sie
unter /var/etc/asterisk/. Die Firmware Dateien liegen unter
/opt/kerio/operator/firmware/xxx.cfg. Wenn Sie abgeänderte Konfigurationen auf alle
Telefone verteilen wollen, ändern Sie diese cfg Dateien. Dazu müssen Sie das System
schreibend mounten "mount -o remount,rw /" und nachher das folgende PHP
Beispielscript abändern und ausführen, um die Änderungen in die Datenbank zu
übernehmen: http://www.emnetworkx.de/downloads/updatePhone.php
Bitte beachten Sie auch, dass viele Telefone nur neu booten, wenn sich die Konfiguration
auch geändert hat. Es hat also nichts zu bedeuten, wenn ein Neustartbefehl an einigen
Telefonen scheinbar nichts bewirkt.
Mit ganz herzlichem Dank an Herrn Florian Strassen!
Kerio Operator und Siemens Gigaset C610ip
Zur Anbindung ist es notwendig, unter dem Punkt "Domäne" die VoIP Domäne oder IPAdresse des Operator einzutragen, nicht die AD Domäne.
Kerio Operator – Angriffe auf die automatische Telefonkonfiguration
Achten Sie darauf, den TFTP Server (Auto Provisioning) von Operator vor Angriffen zu
schützen. Es gibt aktuell Trojaner die bevorzugt nach TFTP Servern scannen und
versuchen eine SIP Nebenstelle dort zu bekommen ... danach können diese beliebige
0900 Rufnummern auf Ihre Kosten wählen :-o
Also die Voreinstellung in der Firewall von Operator belassen, dass Automatic
Provisioning niemals fürs Internet geöffnet werden sollte. Bitte prüfen Sie darum welche
IP Adressen hier zugreifen dürfen. Die nächste Version von Operator wird darum keine
Möglichkeit mehr bieten, dies für alle IP Adressen zuzulassen, sondern es automatisch
auf das interne Netz und VPN Verbindungen beschränken.
Aktuell zielen diese Angriffe nur auf Linksys/Cisco Telefone ab, aber die Angreifer werden
sicher besser werden!
Stand: 28.03.2016