Vorankuendigung zur Umstellung des ZEDAT-Mail-System
Philipp Grau
Vorankündigung zur Umstellung des ZEDAT-Mail-Systems
====================================================
Zusammenfassung
---------------
In Kürze wird das E-Mail-System der ZEDAT mit leistungsfähigerer
Hardware, neuer Software und zusätzlichen Funktionen ausgestattet.
Dazu gehören Spam- und Viren-Filterung sowie die Verschlüsselung des
E-Mail-Transportes ("Sichere E-Mail"). Der weitaus größte Teil der
Nutzer wird das neue E-Mail-System ohne Konfigurationsänderungen auf
Anwenderseite wie bisher nutzen und von Verbesserungen profitieren
können.
Einführung
----------
Zur Erneuerung ihrer Server-Infrastruktur für Kommunikations- und
Informationsdienste hat die ZEDAT eine umfangreiche
Beschaffungsmaßnahme im Rahmen des Hochschulbauförderungsgesetzes
(HBFG) durchgeführt. Die meisten der Internet-basierten Dienste werden
nun schrittweise auf neue Serverhardware migriert. Dies dient nicht
nur der Stabilität und Performance der Dienste, sondern umfasst auch
diverse Verbesserungen bezüglich des Komforts, des Leistungsumfanges
und der Sicherheit.
Als erster - nach außen sichtbarer - Service wird der E-Mail-Dienst
umgestellt. Die Umstellung ist für Ende Januar / Anfang Februar 2005
vorgesehen. Damit sich unsere Nutzer auf die kommenden Veränderungen
einstellen können, wollen wir vorab einen Überblick über die zu
erwartenden Änderungen geben.
Das Wichtigste vorweg: Auch ohne Änderungen an den Einstellungen der
E-Mail-Programme (Clients) wird der neue E-Mail-Dienst nach der
Umstellung für die allermeisten User wie bisher benutzbar sein. Auf
dem Server mail.zedat.fu-berlin.de alias "Komma" gespeicherte E-Mails
werden auf das neue System übertragen und stehen dort wieder zur
Verfügung. Dasselbe gilt für eingerichtete Weiterleitungen (Forward)
und Autoreplies (Abwesenheitsmeldungen, Vacation). Während der
Umstellung eintreffende neue E-Mails gehen nicht verloren.
Architektur des E-Mail-Systems
------------------------------
Das neue E-Mail-System besteht derzeit aus insgesamt 16 Servern mit
Intel-Doppelprozessoren, die einzeln oder in Gruppen verschiedene
Aufgaben erfüllen. Zu den Aufgaben gehören u.a.
- Annahme von E-Mails von aussen
- Annahme von E-Mails von innen
- Versand von E-Mails nach aussen
- Filterung nach Viren
- Bewertung von E-Mails mit einem Spam-Indikator
- Speicherung von E-Mails und Auslieferung an User (POP/IMAP)
- Verarbeitung von Mailinglisten
Den Mailservern vorgeschaltet sind Firewall-Systeme auf derselben
Hardwarebasis, die sowohl einer hohen Sicherheit als auch der Dienst-
und Lastverteilung auf die Mailserver dienen. Alle genannten Server
werden unter dem Betriebssystem Debian Linux betrieben.
Neue Features
-------------
Das neue E-Mail-System erlaubt durch seine höhere Leistungsfähigkeit
eine Reihe neuer Funktionen, die sowohl der Sicherheit als auch dem
Komfort dienen.
Spam-Bewertung und-Filterung
----------------------------
Eingehende E-Mails werden mit verschiedenen Verfahren (z.Zt.
Bogofilter und SpamAssassin) anhand einer Fülle von Kriterien
untersucht und bezüglich der Wahrscheinlichkeit, dass es sich um Spam
handelt, bewertet. Oberhalb eines gewissen Schwellwertes wird die
betreffende E-Mail als Spam betrachtet und statt im Posteingang des
Empfängers (INBOX) in einem speziellen Spam-Ordner abgelegt. Auf diese
Spam-Mails kann der Nutzer bei Bedarf per IMAP zugreifen, um u.U.
falsch positiv bewertete Mails dort zu finden. Um den Spam-Ordner
nicht ins Unermessliche wachsen zu lassen, werden Spam-Mails nur eine
(auf etwa 30 Tage) begrenzte "Lebensdauer" besitzen. Nach Ablauf
dieser Zeit werden sie automatisch gelöscht werden.
Lang dauernde und ausführliche Test lassen uns erwarten, dass die
falsch positive Bewertung einer E-Mail als Spam nur sehr selten
eintreten wird. Eine vollständige Fehlerfreiheit bei der Beurteilung
von E-Mails bezüglich Spam kann beim Einsatz automatischer Verfahren
allerdings nicht garantiert werden. Sollte ein Nutzer es ausdrücklich
wünschen, kann er über das Portal (s.u.) veranlassen, dass ihm auch
die als Spam bewerteten E-Mails wie gewöhnlich zugestellt werden.
Anhand einer als Ergebnis der Spam-Bewertung von der ZEDAT eingefügten
Kopfzeile (Header) kann eine Filterung solcher E-Mails dann an anderer
Stelle durch den Nutzer selbst vorgenommen werden.
Viren-Filterung
---------------
Eingehende E-Mails, die bestimmte Datei-Typen als Attachments mit
potentiell gefährlichen Inhalten enthalten (z.B. Dateien mit den
Extensionen .exe oder .pif), werden nach wie vor abgelehnt. Solche
Dateien werden in aller Regel auch nur von Schad-Software versendet.
Dateien mit der Endung .zip werden zukünftig wieder akzeptiert, da sie
von der Anti-Virus-Software untersucht werden können. Dies wird zu
einer deutlichen Erleichterung für die Nutzer beim Versand bzw.
Empfang von zip-Dateien führen. Die Liste der nicht akzeptierten
Datei-Typen wird zukünftig deutlich weniger Modifikationen erfahren
müssen und kann daher ohne Gefahr von Inkonsistenzen in den FAQs der
ZEDAT im Web dokumentiert werden.
Eingehende E-Mails werden mit einer Viren-Erkennungs-Software (z.Zt.
Kaspersky) bereits während der Einlieferung auf Viren untersucht. Im
Falle eines erkannten Virus wird die Annahme der Mail verweigert. Um
gegebenenfalls weitere Nachforschungen zu ermöglichen, wird jedoch
eine Kopie der E-Mail für einen begrenzten Zeitraum an einem sicheren
Ort (Quarantäne) verwahrt. Nutzer haben keinen Zugriff auf solche
E-Mails.
Sichere Übertragung von Passwörtern und E-Mails
-----------------------------------------------
Bei entsprechender Konfiguration der E-Mail-Programme (Clients) auf
Nutzerseite wird es möglich sein, die POP- bzw. IMAP-Verbindungen
zwischen Server und Client zum Abruf von E-Mails zu verschlüsseln.
Damit wird insbesondere das Ablauschen von Passwörtern auf dem
Transportweg ("auf der Leitung") nach heutigem Stand der Technik
unmöglich gemacht. Hinweis: Keinen Schutz bietet dieses Verfahren z.B.
gegen Programme, die auf einem Client-Rechner die Tastendrücke
mitschneiden (Tastatur-Sniffer).
Auch beim Versenden von E-Mails kann die SMTP-Verbindung zwischen
Client und Server verschlüsselt werden. In diesem Fall wird es möglich
sein, sich mit ZEDAT-Username und Passwort zu authentisieren
(SMTP-AUTH). Damit belegt der Nutzer seine Berechtigung, den
Mailserver der ZEDAT zum Versenden von E-Mails nutzen zu dürfen.
Bisher wurde diese Berechtigung allein aus der IP-Nummer des
Client-Rechners hergeleitet. Nur Teilnehmern des Campusnetzes wurde
die Einlieferung von E-Mails zum Versand erlaubt. Nutzer, die einen
"fremden" Provider zur Einwahl ins Internet verwenden (z.B. für DSL),
mussten sich bisher über eine VPN-Verbindung als FU-Angehörige
ausweisen. Bei der Verwendung von SMTP-AUTH entfällt die
Notwendigkeit, allein für den E-Mail-Versand über die ZEDAT eine
VPN-Verbindung aufbauen zu müssen. Rechner im Campusnetz der FU
können selbstverständlich weiterhin E-Mails ohne besondere
Authentisierung zum weiteren Versand einliefern.
Beschränkung des Speicherplatzes für E-Mails (Quotas)
-----------------------------------------------------
Die Einführung neuer Hardware wird es erlauben, den Plattenplatz, den
die Nutzer für ihre Eingangs-Mailbox (INBOX) und die Mail-Ablage
(bisher in ihrem Home-Verzeichnis auf dem Rechner Komma) in Anspruch
nehmen dürfen, deutlich großzügiger zu bemessen.
Portal
------
Um den Anwendern die Nutzung der ZEDAT-Dienste zu erleichtern, wird
zugleich mit der Umstellung des Mail-Systems ein Web-Portal
eingeführt. Das Portal soll es dem Nutzer nach Eingabe von Username
und Passwort ermöglichen, z.B. persönliche Einstellungen eigenständig
vornehmen zu können (Self Care). Die ersten Funktionen des Portals
werden sich daher auf E-Mail beziehen. So wird man die Weiterleitung
von E-Mails festlegen, automatische Antworten einrichten und außerdem
bestimmen können, ob als Spam erkannte E-Mails normal zugestellt
werden sollen.
Das Portal soll zukünftig schrittweise ausgebaut und um weitere
Funktionen erweitert werden. Dazu gehören die Änderung des Passwortes,
die Reservierung einer IP-Nummer für Dialup@ZEDAT und WLAN-Nutzung
("Internet freischalten") sowie Web-Mail und weitere Dienste, die eine
Authentisierung erfordern.
Entfallende Funktionen
----------------------
Die Trennung der bisher vom Server Komma wahrgenommenen Aufgaben Login
und E-Mail bringt es mit sich, dass zukünftig gewisse Funktionen
E-Mail betreffend nicht mehr angeboten werden können.
E-Mail-Weiterleitungen werden nur noch an E-Mail-Adressen möglich
sein, nicht mehr an Programme wie procmail oder ähnliche. Nutzer, die
von dieser Möglichkeit bisher Gebrauch machen, können dies zukünftig
nur noch auf "eigenen" Systemen, die diese Funktionalität bieten.
Da die Eingangspostfächer (INBOXes) zukünftig nicht mehr auf dem
Server Komma liegen, kann auf sie nicht mehr mit Unix-Tools
zugegriffen werden. Dasselbe gilt für E-Mails, die vom Nutzer per IMAP
in anderen Ordnern (Foldern, Mail-Ablage) gespeichert wurden. Auf
solche Mailboxen kann nur noch per IMAP-Protokoll zugegriffen werden.
Zeitpunkt der Umstellung des Mail-Systems
-----------------------------------------
Die Umstellung des E-Mail-Systems ist für Ende Januar oder Anfang
Februar 2005 vorgesehen und wird voraussichtlich an einem Wochenende
stattfinden. Das exakte Datum wird gesondert angekündigt werden.
Während der Umstellung kann es bei der Auslieferung von E-Mails zu
Verzögerungen kommen. E-Mails werden jedoch nach menschlichem Ermessen
nicht verloren gehen.
Für kurzzeitige Unterbrechung des E-Mail-Verkehrs während der
Umstellung sowie nicht vollständig auszuschliessende
Startschwierigkeiten, die schnellstmöglich behoben werden, bitten wir
um Verstandnis. Die Mitarbeiter der ZEDAT sind zuversichtlich, dass
die Unannehmlichkeiten, die nicht gänzlich vermeidbar sind, durch die
Vorteile des neuen E-Mail-Systems mehr als kompensiert werden.
Zentraleinrichtung für Datenverarbeitung (ZEDAT)
Freie Universität Berlin