I’m not really a fan of redhat, neither of sendmail. Today I had to set up mail send on a Red Hat Enterprise Linux Server release 5.5 where sendmail was already installed. This was the easy part to fix. First remove sendmail, forcing it to ignore dependencies.

1

rpm -e sendmail  --nodeps

Then install postfix

1

yum install postfix

Now to the SES part, well, no need to reinvent the wheel, just check out this debian Howto for SES

For red hat of course you need to do use yum install stunnel. Unfortunately there is no start up script. Here you can get a startup script for stunnel That’s it. … did I mention I don’t like red hat?

I have delayed this for over a year and every day just clicking away the warning about the expired cert. Now I finally allocated some time to solve this issue. The Openfire Web interface doesn’t really tell you what to do and how to paste the certificate contents. First go to Server Settings -> Server Certificates -> Import

Paste your private key in the first field. In the certificate field paste your certificate first, followed by the intermediate certificate. The important part is: you must not have a line break after —–END CERTIFICATE—– or —–END RSA PRIVATE KEY—–

These lines must be the last line of the text box else the import will fail! This should save me some time in 2014 :)

If you need a shared object (calender, address book) with multiple users, the best way to do this is by using a distribution list. So let’s get started. First create a distribution list and add all your users you want to it. You might also want to disable the option “Can receive mail” and also enable “Hide in GAL” to avoid some confusion.

Then create a resource where you will create your shared object. By using a resource you can create your shared calender or address book without wasting a license.

After you created the resource, click on view mail, go to the calender and add a share.

Use the distribution address as email for the share.

Now go back to the distribution list and click edit.

Go to the shares tab and click ob publish shares.

Enter the mail of the resource, click on find shares, select the desired share and click on “Publish selected share”

The advantage of using this method is that newly added users to the distribution list will automatically get permissions for the share and as soon as a user is removed from the distribution list the share permissions will be revoked!

This will be quite short since the Gitlab install howto on github is great. The only thing you need to do is install redis-server from squeeze-backports else you will encounter this error:

1

  ERR unknown command 'exec'

See also the github issue #2700

To install a comodo SSL certificate with zimbra you need the certificate of course and also the “Intermediate CA” and “root CA”. Unfortunately I was only sent a link to the intermediate CA but not the root CA. So here are the links to the missing two CA.

comodo SSL intermediate ca comodo SSL root ca

UPDATE 2013-01-12: Works with Win7 as well

I have a couple of Windows XP connected to a Windows Domains which runs UCS and OPSI. My problem was that Windows XP always had a wrong time due to the fact that the user has no permission to change the time and the logon script is executed with user permission. But since there is also OPSI, why not create a OPSI Package which runs with admin permissions. After a bit of google search I came across a OPSI package from mozilla. Unfortunately it didn’t really help. The values where all set as expected but XP still refused to update. After some more reading of the w32time parameters I came up with a working [OPSI] package

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

[Initial]
Message=Set Time Servers
StayOnTop=false

[Aktionen]
Registry_set_time_servers
Winbatch_disable_appletimesrv
Winbatch_resync_w32tm

[Registry_set_time_servers]
openkey [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
set "NTPServer"=REG_SZ:"192.168.0.2,0x1"
set "Type"=REG_SZ:"NTP"

[Winbatch_disable_appletimesrv]
sc config AppleTimeSrv start= disabled
sc stop w32time
sc start w32time

[Winbatch_resync_w32tm]
w32tm /config /update /manualpeerlist:192.168.0.2 /syncfromflags:MANUAL

So it finally happened … I switched my blog from wordpress to octopress. The migration of the data was kind of tricky. There are some blogs out there with tips on how to do it. But as soon as you have more then just english blogs it will bite you. My first try was using the wordpress jekyll exporter and I should have stayed at that. The export takes a while but the end result is almos perfect. There are some issues with image links and if there are any links containing UTF8 chars then Octopress won’t like that. The second try was with exitwp, well that was a huge mistake. Exitwp crashes on each UTF8 char it finds in the wordpress XML and after cleaning it all up you end up with the same result as using the jekyll-exporter. All I need now is more motivation to write something.

Nachdem die VDS jetzt da ist möchte ich kurz mal aus Sicht des Unternehmens dazu Stellung nehmen. LcX.at ist nicht Speicherungspflichtig! D.h. sämtlich Kommunikation die über LcX.at läuft wird nicht auf Vorrat gespeichert.  Leider besteht eine Auskunftspflicht auch von nicht Speicherungspflichtigen Unternehmen, wie das aber funktionieren soll wenn man nicht speichern darf, wurde nicht erklärt. Aus Datenschutzgründen darf man das natürlich nicht speichern wenn man nicht Speicherungspflichtig ist! Wer Speicherungsfplichtig ist sollte eigentlich die Regulierungsbehörde sagen (RTR.at) die wiederum verweisen auf den BMVIT.

Ich kann wirklich nur jedem empfehlen bei der Verfassungsklage mit zu machen! http://www.verfassungsklage.at/ Bitte unbedingt das PDF Formular ausdrucken, unterschreiben und zurück schicken!

Tips zum umgehen der VDS findet man hier: http://cristian.livadaru.net/2012/04/03/hurrrraaaa-die-vorratsdatenspeicherung-ist-da/

Leider war die Vorratsdatenspeicherung kein Aprilscherz, also wird es zeit für ein paar Tips.

Als allererste bitte bitte bitte die hier unterschreiben: http://www.verfassungsklage.at/ 

Warum die VDS eigentlich nutzlos ist.

1) Die VDS erfasst nur SMTP Email verkehr und auch nur solchen der auch zum Internetprovider stattfindet! D.h. hat man ein E-Mail Account bei A1 und man verschickt seine mails über A1 via SMTP, dann werden diese Mails von A1 im Yuge der VDS erfasst. Verwendet man hingegen ein Gmail oder GMX Account werden diese Daten von A1 NICHT erfasst.
Mehr Details dazu hier ()

2) Anonymisierungstools vie TOR (https://www.torproject.org/) sind nicht verboten, wurde beim WKO/ISPA Vortrag am 27.03 auch nochmals bestätigt.

3) Kleine Unternehmen die unter 277.000 EUR Umsatz aus Kommunikation haben (laut RTR) sind NICHT aufzeichnungspflichtig!

4) Reine Hosting/Mail Dienste sind NICHT aufzeichnungspflichtig.

Daraus ergeben sich folgende Tips.

VDS legal umgehen.

Internet

Man sollte den Mail account vom Internetprovider meiden, auch ohne VDS sind die Mailaccounts ein scherz. Geringer Speicherplatz, nur POP kein IMAP, keine Verschlüsselung, aber Hauptsache man zahlt eine “Servicepauschale”.
Weiters sollte man den kompletten Internetverkehr über ein Proxy schleifen in einem Land ohne VDS. Die einfachste Möglichkeit dazu ist TOR zu installieren. Hier kann es zwar passieren das man ein Exitnode in Österreich erwischt, aber aufgrund der Funktionsweise von TOR lässt sich dadurch nicht erkennen wer das war.
Tor ist die einfachste und schnellste Möglichkeit allerdings hat man dabei ein Problem, Surfen wird sehr langsam. Als Normalbürger ist das natürlich lästig wenn man nichts verbrochen hat.
Eine andere alternative ist man mietet sich einen Virtuellen server in Deutschland (zb. Hetzner.de) oder in der Schweiz () installiert sich ein Linux mit Squid proxy. Der Traffic wird hierbei nicht verschlüsselt, wenn man aber nur die VDS umgehen will dann würde das ausreichen, es wäre aber schade wenn man schon einen Server hat hier nicht auch gleich einen VPN Tunnel zu verwenden. OpenVPN ist hier vielleicht die einfachste Möglichkeit, evtl aber auch ein SSH Tunnel zum Server, für die Faulen von uns: ssh SERVER_IP -L 8080:localhost:3128 was hier passiert ist das ein SSH Tunnel (verschlüsselt) vom Lokalen Rechner Port 8080 zum Server Port 3128 aufgebaut wird. Jetzt muss man im Browser als Proxy nur noch localhost port 8080 eintragen.

Ist man ganz paranoid, kauft man sich einen guten Router (zb. Mikrotik RB750GL) baut eine VPN Verbindung zum Proxy server auf und konfiguriert den Router entsprechend das wirklich sämtlicher Internetverkehr über den neuen Server rennt. Ist zwar ein wenig aufwendiger aber was tut man nicht für die Privatsphäre.

Telefon

Bleibt dann noch das Problem Telefonieren. Auch hier können wir den neu angeschafften Server verwenden um einen VoIP Server (Asterisk) zu installieren und dann nur noch ein VoIP Provider der nicht Speicherpflichtig ist, hier einer aus der Schweiz: http://www.sipcall.ch/d/registration/registration.php

Eine Detaillierte Anleitung würde glaub ich den Rahmen etwas sprengen, aber das würde dann wie folgt laufen: Am eigenen VoIP Server kann man Hardware Telefone anschliessen oder auch Software Telefone (gibt es auch als App für Smartphones). Wenn man über dieses VoIP Telefon anruft gehen die Gespräche über den eigenen VoIP Server zum ausgewählten VoIP Provider und von dort in das Telefonnetz. Will man jetzt jemanden in Österreich anrufen wird es für den Provider und der VDS so aussehen als ob jemand aus der Schweiz angerufen hätte um herauszufinden wer das war muss erst einmal der VoIP Provider aus der Schweiz die Daten hergeben.

Man darf aber eines nicht vergessen, in die VDS kommen auch alle Verbindungen vom Mobiltelefon auch Internetverbindungen. Laut T-Mobile beim VDS Vortrag wird nicht das Einbuchen beim Sendemast aufgezeichnet sonder nur wenn eine Verbindung stattgefunden hat!  (Anruf, SMS, Internetverbindung …), daher am besten eine Yesss! SIM Karte vom Hofer kaufen und dieses Problem ist auch gelöst. Will man jetzt nicht dauernd über eine Mobile Internetverbindung telefonieren (man hat nicht immer und überall eine UMTS Verbindung) dann besteht noch die Möglichkeit eines Callbacks. D.h. Anruf auf die neue Schweizer Rufnummer und der Server ruft zurück dann kann man dem Server sagen welche Rufnummer man anrufen will. Auch hier wird laut VDS nur eine Verbindung zu und von der Schweizer Nummer aufgezeichnet und nicht wen man tatsächlich anruft.

Natürlich könnte man das Gespräch mithören aber der Inhalt wird laut VDS NICHT gespeichert und bedarf weiterhin eines Richterlichen Beschlusses.

SMS

SMS am besten meiden. Statt SMS kann man entweder diverse Smartphone Apps verwenden (Touch, iMessage etc) oder SMS online schicken (zB. sms.at, Verbindung aber nur über Proxy.

Zum Abschluss

Eigentlich hätte das eher etwas zum Thema “Secure your communication” werden sollen, bin hier aber doch etwas vom Thema abgeschweift (sorry @DaddyD). Ich wollte es auch nicht als Detaillierte Anleitung schreiben sondern eher nur um zu verdeutlichen wie Nutzlos die VDS ist!
Wem das alles zu kompliziert ist, ihr habt sicher Freunde die Dauern vor einem schwarzen Bildschirm hocken (nein, der Rechner ist nicht Defekt, das ist die Command Line, und wir mögen das so!) den ihr fragen könnt oder jemanden damit beauftragen (mich zum Beispiel ). Sollte man das selber machen wollen, dann bitte bitte unbedingt mit dem Thema Asterisk Security auseinander setzten und nur Prepaid VoIP Anbieter verwenden!  Es ist nicht Lustig wenn man 40.000 Euro für Gespräche nach Cuba zahlen muss und so etwas geht sehr schnell!

After some troubles with UPC I have recommended a customer to switch to SilverServer now that the new SilverServer line is online I did a short ping test:

UPC:
64 bytes from 212.186.221.xxx: icmp_seq=0 ttl=42 time=93.281 ms
64 bytes from 212.186.221.xxx: icmp_seq=1 ttl=42 time=94.791 ms
64 bytes from 212.186.221.xxx: icmp_seq=2 ttl=42 time=96.175 ms

Silverserver:
64 bytes from 188.118.220.xxx: icmp_seq=0 ttl=52 time=4.737 ms
64 bytes from 188.118.220.xxx: icmp_seq=1 ttl=52 time=4.438 ms
64 bytes from 188.118.220.xxx: icmp_seq=2 ttl=52 time=4.192 ms

I think I’ve made my point …

… did I mention that the UPC line is a Business Line which costs about 200 Euros/Month ?