Noch nie war es so einfach wie heute, einen eigenen Mailserver in Betrieb zu nehmen. Unzählige Anleitungen und fertige Docker-Container machen den Start zum Kinderspiel. Doch bei aller Einfachheit darf man eines nie vergessen: Mit dem Betrieb eines eigenen Servers, egal ob für Mails oder andere Dienste, trägt man eine große Verantwortung. Schließlich will man nicht zur nächsten großen Spamschleuder im Netz werden.
Dieses Prinzip gilt nicht nur für Mailserver. Sobald ein Dienst öffentlich im Internet erreichbar ist, muss der allererste Schritt die Absicherung sein. Ein VPS ist schnell gemietet und die grundlegende Einrichtung in wenigen Minuten erledigt. Doch genau hier liegt die Gefahr. In vielen Foren lese ich immer wieder von Hilferufen, bei denen die einfachsten Grundlagen der Serversicherheit fehlen. Man will schnell ans Ziel kommen, ohne sich mit den „langweiligen“ Details zu befassen – ein gefundenes Fressen für Spammer und andere Kriminelle.
Dabei sind die ersten Schritte oft die wichtigsten. Hier ein paar Grundlagen, die jeder Server-Betreiber umsetzen sollte:
- Standard-Ports anpassen: Wo immer es möglich ist, sollten Standard-Ports geändert werden. Der SSH-Port (22) ist hierfür das klassische Beispiel. Ports wie 443 (HTTPS) oder die für den Mailverkehr notwendigen Ports können und sollten natürlich nicht geändert werden.
- Kein root-Login per SSH: Der root-Benutzer darf niemals direkten SSH-Zugriff haben. Wer diesen fundamentalen Schutz ignoriert, handelt grob fahrlässig. Stattdessen legt man einen normalen Benutzer an.
- SSH-Keys statt Passwörter: Dieser Benutzer sollte sich ausschließlich mit SSH-Keys anmelden dürfen. Als i-Tüpfelchen kann man den privaten Schlüssel zusätzlich mit einem Passwort schützen.
Auch bei der Software selbst lauern Fallen. Wenn man bei einem Dienst den Standard-Benutzernamen wie „admin“ beibehält, macht man es Angreifern unnötig leicht. Natürlich gehört mehr dazu als nur der Benutzername, aber man sollte so wenig Informationen wie möglich preisgeben. Wenn man vom Standard abweichen kann, sollte man es auch tun.
Ein weiterer, entscheidender Sicherheitsbaustein ist die Zwei-Faktor-Authentifizierung (2FA). Das Fehlen von 2FA war für mich der Grund, den Anbieter für meinen Mailverkehr zu wechseln. Ein Dienstleister, der heute keine solche zusätzliche Absicherung anbietet, handelt in meinen Augen fahrlässig. Ein langes, komplexes Passwort, idealerweise mit einem Passwort-Manager wie KeePass erstellt, ist zwar eine gute Basis, aber bei Datenlecks in Foren oder Onlineshops hilft auch das beste Passwort allein nicht mehr. Sind die Zugangsdaten einmal öffentlich bekannt, nützen sie einem Angreifer nichts, solange der zweite Faktor für den Login fehlt.
Sicherheit ist ein zentrales Thema, dem wir uns alle stellen müssen. Ich werde hier in nächster Zeit noch genauer darauf eingehen, denn wir alle können und müssen dazu beitragen, das Internet und seine Dienste sicherer zu machen.
Stück für Stück fülle ich auch mit solchen Themen meine Wissensdatenbank unter Anleitungen. Wenn ihr jetzt schon Fragen dazu habt, kommentiert einfach unter diesem Beitrag, nutzt das Kontaktformular oder schickt mir eine Mail an kontakt[at]krserv.de.
Schreibe einen Kommentar