LIXXblog

Groupware  -   14.12.2021  -  


GFI Kerio Connect - Sicherheitslücke in log4j (CVE-2021-44228)

Eine neue Zero-Day Sicherheitslücke, die offiziell als CVE-2021-44228 bekannt ist, wurde am Freitag, den 10. Dezember 2021, in der NIST National Vulnerability Database veröffentlicht. Sie befindet sich in der Log4j-Java-Bibliothek.

Log4j ist eine beliebte Open-Source-Logging-Bibliothek der Apache Software Foundation. Die in Log4j gefundene Sicherheitslücke ermöglicht es Hackern, Remote-Befehle auf einem Zielsystem auszuführen. Der Schweregrad der Schwachstelle wird von NIST als „Kritisch“ eingestuft.

Wie sind GFI-Produkte betroffen? Eine Funktion von Kerio Connect verwendet Log4j, und eine empfohlene temporäre Absicherung ist unten aufgeführt. Log4j wird in Kerio Connect als Teil der Chatfunktion verwendet.

Wir empfehlen allen Kerio Connect-Benutzern, die Chat-Funktion in der Software vorübergehend zu deaktivieren.

So deaktivieren Sie den Chat in Kerio Connect:

1. Gehen Sie zu Konfiguration.
2. Klicken Sie auf Domänen.
3. Doppelklicken Sie auf die gewünschte Domäne.
4. Suchen Sie den Abschnitt „Chat“ auf der Registerkarte „Allgemein“.
5. Deaktivieren Sie „Chat im Kerio Connect Client aktivieren“. Möglichkeit.
6. Wiederholen Sie die obigen Schritte für alle Ihre E-Mail-Domänen.

Kerio Connect-Sicherheits-Hotfix
Die Arbeit an einem Sicherheits-Hotfix für Kerio Connect hat bereits begonnen. GFI beabsichtigt, in den nächsten Tagen eine Patch zu veröffentlichen.

Update(2021-12-21): GFI patcht Kerio Connect 9.3.1 Patch2 auf Apache log4j Version 2.16. Leider bestätigt Apache die Angreifbarkeit bis Version 2.16.0(Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups.). Heißt, der GFI Kerio Connect 9.3.1 Patch2 schließt die Sicherheitslücke CVE-2021-44228 nicht.

weiterlesen...
Groupware  -   14.12.2021  -  


GFI Kerio Connect Server auf macOS X Server -> End of Life

Wer GFI Kerio Connect Server OnPremise auf macOS Server einsetzt, nutzt dazu meist einen Apple Mac mini Server - letztes Modell Late 2012. Auch wenn sich die gewählte Hardware aufgrund der thermischen Probleme der gestackten SATA-Festplatten nicht als besonders langlebig herausgestellt hat - die meisten Apple Mac mini Server schaffen es gerade mal bis Garantieende, bevor die untere der beiden SATA-Festplatten verkocht ist - war dies doch die letzte Hardware von Apple, die man mit redundanten internen Festplatten betreiben konnte.

Um dieses Konstrukt abzulösen, kommt jetzt als Apple Hardware nur ein Mac mit extern angebundenem RAID-Array in Frage. Vielmehr erinnert dieses Konstrukt an die guten alten SCSI-Zeiten mit externen Festplatten. Auch die Sicherheitseinstellungen für den Festplattenzugriff von macOS 10.15.x(Catalina), macOS 11.x(Big Sur) und macOS 12.x(Monterey) müssen entsprechend angepaßt werden, damit Kerio Connect Server störungsfrei funktioniert...

Der Wechsel Apples auf schnellere M1 CPUs tut sein übriges - GFI Kerio Connect Server läuft derzeit nur in der Laufzeitumgebung Rosetta2, max. RAM-Einschränkungen inklusive.

Es ist also höchste Zeit, den Kerio Connect Server auf Microsoft Windows oder Linux Ubuntu LTS zu migrieren. Hier ist die Hardware-Auswahl in Performance, Redundanz und Verfügbarkeit skalierbar und der Weg in eine hybride Cloud Umgebung(Amazon AWS / Microsoft Azure) geebnet.

Ob Microsoft Windows oder Linux Ubuntu LTS ist eine Frage des persönlichen Geschmacks. Aus unseren Erfahrungen läuft Kerio Connect Server auf Ubuntu LTS auf Ext4 deutlich performanter bei über 10.000 Dateien pro Verzeichnis, hier kommt Microsoft Windows NTFS schnell an seine Grenze. Gern beraten wir Sie zu den Möglichkeiten einer Migration an Ihrer konkreten Installation.

Symptome für Dateisystem-Probleme in Ihrer jetzigen GFI Kerio Connect Server Installation:
- Kontakte duplizieren sich beliebig in Webmail, Outlook, Mail und auf dem Apple iPhone / Android Smartphone
- Kerio Connect Webmail bricht Anmeldung ab
- Kerio Connect Client startet nicht
- Kerio Connect Backup dauert Stunden
- Apple iPhone / Android Smartphone Kontakt App crasht
- bei Anruf erscheint im Display "Anrufer und noch weitere x Anrufer"

Trifft eines der Symptome auf Ihre Installation zu? Gern beraten wir Sie zur Lösung der Probleme Ihrer Installation.

weiterlesen...
Groupware  -   15.07.2021  -  


Derzeit stellen einige Provider(STRATO...) von TLS 1.0 / TLS 1.1 auf TLS 1.2 / TLS 1.3 um.

Kerio Connect unterstützt “ab Werk” TLS 1.0 & TLS 1.1, was zu Fehlern im Verbindungsaufbau vom Kerio Connect zu Provider-Mailservern(STRATO...) führt. Diese Fehler treten bei allem POP3 Postfächern auf die vom Provider Mails abgeholt werden sollen.

Lösung: In der mailserver.cfg kann man TLS 1.2 bzw 1.3 zusätzlich aktivieren.

Anleitung:

  • anfertigen eines Kerio Connect Backups
  • Kerio Connect Dienst stoppen
  • Öffnen sie im Kerio Programmverzeichnis die Datei mailserver.cfg
  • im Bereich Security (<table name=”Security”>)
  • unter “ClientTlsProtocols” empfehlen wir folgenden Eintrag “TLSv1,TLSv1.1,TLSv1.2,TLSv1.3”
    es sollte dann so aussehen <variable name=”ClientTlsProtocols”>TLSv1,TLSv1.1,TLSv1.2,TLSv1.3</variable>
  • Datei speichern
  • Kerio Connect starten

Sollten Sie Probleme bei der Umsetzung haben, melden Sie sich bitte unter info(at)lixx-consult.com oder telefonisch 0151-19519000.

weiterlesen...
Groupware  -   Michael Kaufmann  -   30.10.2016  -   Tags: kerio, kerio connect, groupware, mailserver, mykerio


Kerio Connect 9.2 - Integration in MyKerio

Mit dem Release von Kerio Connect 9.2 erhält der Kerio Connect Mailserver eine Integration in die zentrale Administrationsoberfläche für alle Kerio Produkte -> MyKerio.

MyKerio aggregiert somit alle in einer Firma eingesetzten Kerio Produkte in einer cloudbasierten Management-Konsole und ermöglicht so, mandantenübergreifende Administration mehrerer Kerio Instanzen und unterschiedlicher Kerio Produktfamilien.

Zudem wird zum bereits bestehenden Kerio Connect Client(Fat Client) für macOS ein Kerio Connect Client(Fat Client) für Windows zur Installation angeboten. Beide Clients zielen auf Anwender, welche kein Microsoft Outlook im Unternehmen einsetzen wollen, trotzdem auf Features wie Notification und native Mailclient nicht verzichten wollen.

Der Bayesian Anti-Spam Filter erhält die Möglichkeit des clientbasierten Tagging zurück, sodaß jetzt Kerio Anti-Spam und Bayesian Filtering eine optimalere Einstufung auf Spam-Merkmale ermöglichen.

Apple iPhones werden mit einer einfacheren Integration der Mail-App Spark belohnt, die Synchronisation von Mials und Kalender funktionieren jetzt wieder per Push-Synchronisation.

ab sofort supportet: macOS Sierra, iOS 10, Android 7, Safari 10

nicht mehr supportet: Microsoft Internet Explorer 10

weiterlesen...
Groupware  -   Michael Kaufmann  -   04.10.2016  -   Tags: kerio, kerio connect, groupware, mailserver, instant messaging


Kerio Connect 9.1 - Instant Messaging im Kerio Connect Client

Kerio Connect 9.1 ist da! :)

Auch wenn das auf Bitdefender basierende Kerio Anti-Spam Modul seit Version 9.0.3 offiziell den SpamAssasin's SURBL und Bayes Filter ersetzt hat, fühlt man die bessere Erkennungsrate des Spam-Tagging erst mit der neuen Version. Deshalb ist das Update von älteren Versionen(9.0.0,9.0.1, 9.0.2, 9.0.3, 9.0.4,9.0.4 Patch1) unbedingt durchzuführen!

Instant Messaging - die neue Variante der schnellen Kommunikation - ist jetzt direkt aus dem Kerio Connect Client möglich.

Disk Quotas(Speicherplatzbegrenzungen) sind ab sofort individuell für jede verwaltete Domain möglich.

Die Archivierung an eine Mailadresse ist jetzt individuell für jede einzelne Domain möglich.

So unscheinbar die Features dieses Updates auch klingen - das Update auf Kerio Connect 9.1 hat es in sich. Wer bisher seinen Kerio Connect Server auf einem 32-bit Betriebssystem laufen ließ, muß jetzt seine Betriebssystemplattform wechseln und dadurch den Server komplett neu aufsetzen. Für alle Windows Mailserver-Installationen empfehlen wir hier den Wechsel zu einer Linux-Plattform. Wir haben im Parallelbetrieb von Kerio Connect und Kerio Workspace(jetzt Samepage) auf Ubuntu 12.04 LTS 32-bit sehr gute Erfahrungen gemacht. Das Dateisystem ext4 liest/schreibt deutlich performanter Dateien in Verzeichnisse mit vielen Einzeldateien(>1000 Dateien/Verzeichnis) gegenüber dem NTFS-Dateisystem von Microsoft Windows. Mit dem Wechsel auf Ubuntu 16.04 LTS 64-bit ist unter etx4 auch der Betrieb des Mailstores auf SSD-Festplatten möglich, denn ext4 unterstützt den TRIM-Befehl. Bei Bedarf wäre auch der Wechsel auf ZFS möglich, aber das ist eine persönliche Präferenz.

ab sofort supportet: Ubuntu 16.04 LTS (und gleichzeitig unsere empfohlene Serverplattform)

nicht mehr supportet: Windows XP, Debian 6, Red Hat RHEL 6 32-bit, CentOS 6 32-bit, Ubuntu 12.04 LTS 32-bit, alle Kerio Connect 32-bit

weiterlesen...