Computer

Mein neuer Arbeitgeber hat ja seit neuestem einen Exchange-Server für die Mitarbeiter. Toll, toll, was für eine Begeisterung! Nun ja, wie das so ist, kommt man wohl leider nicht drumrum, also müssen Möglichkeiten her, sich an dieses Ding anzuklemmen. Evolution kann schon seit geraumer Zeit mit der Anbindung an ein Exchange (2000 und 2003) umgehen und stellt somit eine erste Variante dar. Dummerweise benutze ich schon ewig KMail um meine Mails zu verwalten und habe bis auf weiteres auch nicht vor das zu ändern. Was also tun?

Nun, zum Glück ist der Konnektor, mittels welchem sich Evolution an Exchange anhängt, Open Source und man kann einen kleinen Blick darauf werfen. Laut der beiligenden Doku arbeitet das Teil auf Basis des gefürchteten Outlook Web Access, einer Art Pseudo-Möchtegern-Mailapplikation, die im Browser läuft. Außer der Webseite (die oft genug als Feigenblatt herhalten muss in der Art: "Was du nur hast? Benutz doch einfach OWA in deinem Browser, wenn du kein Outlook willst!" Scherzkekse...) bietet OWA allerdings noch eine kleine Nettigkeit: den Zugriff auf die Mailbox via WebDAV. Diese HTTP-Abart stellt Kommandos zum Verwalten von Dateien und Verzeichnissen zur Verfügung und wird sonst beispielsweise für die Freigabe von Verzeichnissen etc. benutzt. Mit Hilfe von WebDAV ist Rettung vor der unheiligen Allianz Exchange-Outlook zumindest teilweise in Sicht...

Ziel ist es also, die Mails aus den Klauen von Exchange zu befreien und auf einen standardkonformen Mailserver zuzustellen (bspw. einen lokalen IMAP) oder sie in einem Maildir abzulegen (bspw. für Mozilla etc.). Für diese Aufgabe habe ich mir ein kleines Pythonskript geschrieben, welches zusammen mit einer angepassten davlib (Link zum Original. Bitte NICHT mit dem Skript verwenden!) seinen Dienst versieht. Im Kopf des Skriptes werden einige Konfigurationsvariablen gesetzt (Exchangeserver, SMTP-Server, Nutzernamen etc.). Besondere Beachtung verdient hier der MAILBOX_PATH: dieser gibt den Basispfad der Mailbox im OWA an. Meist hat er die Form /Exchange/Nutzername/Inbox oder /Exchange/Nutzername/Posteingang. Den genauen Pfad bekommt man, indem man sich den Link zu einer Mail im OWA anschaut und nach dem entsprechenden Muster sucht. Das Skript stellt die Mails auf die angegebene Adresse zu und benutzt dabei den angegebenen SMTP-Server. Prinzipiell könnte man aber auch an der Stelle die Mail in eine Datei speichern oder irgendwas anderes damit machen.

Ein Detail noch zum Versenden der Mails: die Funktion sendMail geht davon aus, daß der SMTP-Server STARTTLS beherrsch und sie sich dort mit Nutzernamen und Passwort anmelden muss. Wenn das nicht zutrifft (bspw. weil der Server auf derselben Maschine wie das Skript läuft) kann man die betreffenden Zeilen einfach auskommentieren.

Insgesamt ein übler Hack, aber wenigstens bekomme ich so meine Mails sauber auf meine Linux-Maschine. Fehlen ja nur noch die Termine, aber das ist eine andere Geschichte...

fetch-exchange.tar.gz – das Skript zusammen mit davlib und qp_xml. Einfach in ein Verzeichnis entpacken und mittels ./fetch-exchange.py starten.

Weil ich grad ne Weile dran hing: wenn ein X-Forwarding via ssh nicht funktionieren will, obwohl alles korrekt konfiguriert ist und der sshd im logfile folgendes meldet:

Jul 21 09:41:05 kiste sshd[6311]: error: Failed to allocate internet-domain X11 display socket.

dann sollte man mal nach seinem loopback-Device schauen. Ist selbiges nämlich in der Standardkonfiguration nicht aktiv, so wird der sshd mit eben jener Fehlermeldung auf die Nase fallen. Wie auch einige andere Programme.

Vielen Dank an http://giray.devlet.cc/Linux/Laptop/HiGradeNotino3400s/#redhat für den Tritt in die richtige Richtung.

...für die IT. Wenn die ahnungslose Legislative und Judikative mit dem Fortschritt konfrontiert werden, gibt es doch nicht selten eigenwillige Ergebnisse. Aber was der heutige Tag über die üblichen Ticker bringt, ist schon erschreckend. Doch von vorn:

Der Bundesrat hat also heute das "Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität" durchgewunken. "Bekämpfung der Computerkriminalität" hört sich ja erstmal toll an: keiner will von irgendwelche Kriminellen belästigt werden, erst recht nicht auf diesem Zauberkasten, von dem er eh keine Ahnung hat. Dumm nur, daß unsere Herren und Damen Volksverrät...äh...-treter mal wieder in wunderschöner Eintracht eine unglaubliche Demonstration ihrer Inkompetenz hinsichtlich sämtlicher IT-Fragen bewiesen haben. Speziell der neue §202c des StGB hat es in sich:

Vorbereiten des Ausspähens und Abfangens von Daten

1. Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
   1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
   2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mitGeldstrafe bestraft.
2. § 149 Abs. 2 und 3 gilt entsprechend.“

Es gilt also bereits als Vorbereitung einer Straftat, im Besitz von Computerprogrammen zu sein, deren Zweck die Begehung einer Straftat ist. Das mag Außenstehenden als völlig normal erscheinen, ist es aber nicht. Nahezu jede Software, die irgendwas mit Netzen und deren Sicherheit zu tun hat, ist geeignet als Angriffswerkzeug herzuhalten. Selbst ein simples Programm wie ping kann für einen Angriff dienen, wenn man es nur richtig (d.h. mit dicker Bandbreite) einsetzt. Von Sicherheitswerkzeugen, die in das Portfolio eines jeden Administrators gehören ganz zu schweigen. So kann man mittel NMap natürlich dazu dienen, das System eines gegnerischen Rechners zu analysieren und so einen Angriff vorzubereiten. Genauso dient es aber – wahrscheinlich deutlich häufiger – zur Diagnose von Netzwerkproblemen: Ist auf dem Rechner wirklich kein Dienst offen? Ist in dem Paketfilter alles wie gewünscht eingestellt oder hab ich ein Loch übersehen? Wieso zum Geier antwortet Dienst XY nicht? Ist der überhaupt noch da? Das alles sind Fragen, bei denen NMap hilft. Demnächst zumindest in Deutschland wahrscheinlich nur noch illegal. Gleiches gilt für Programme wie Wireshark oder Nessus. Speziell letzteres ist interessant, vertreibt doch das BSI mit BOSS eine Live-CD mit eben jenem Programm als zentrale Anwendung. Muss sich diese Behörde jetzt selbst anzeigen?

Die Geschichte mit dem "Zweck" mag vielleicht in der realen Welt funktionieren. In der virtuellen tut er es nicht. Dort sind viele Dinge "dual use". Aber so, wie manche Länder eben keine Aluminiumröhren kaufen dürfen, weil man die für irgendwelche Teile eines Atomreaktors brauchen kann, darf der deutsche Administrator jetzt sein Werkzeug nicht mehr verwenden, weil man damit auch Systeme angreifen kann.

Danke liebe Politiker! Ihr habt der Forschung und Industrie im Bereich Computersicherheit in Deutschland einen schweren, wenn nicht tödlichen Schlag versetzt. Phenoelit hat bereits die deutschen Tore geschlossen. Andere werden sicherlich mit der Zeit folgen, wenn dieses Gesetz ernsthaft umgesetzt wird. Wieder ein Hochtechnologiemarkt, auf dem Deutschland sich abhängen läßt, weil die Deppen in Berlin es nicht schaffen, sich wenigstens minimal zu informieren, bevor sie ihr Patschehändchen zur Abstimmung heben. Ist ja bloss eins der heißesten Themen seit einiger Zeit...

Fast schon beruhigend ist es allerdings, zu sehen, daß unsere Nachbarländer mit ähnlichen Idioten zu kämpfen haben. "Belgischer Internet-Provider muss urheberrechtlich geschützte Inhalte filtern" titelt heise.de heute. Und liest man den Artikel, so kann einem das kalte Grausen ob der totalen Ahnungslosigkeit des Richters, der jenen Unsinn verkündet hat, kommen. Der belgische Provider Scarlet ist nun also verpflichtet, demnächst sämtliche urheberrechtlich geschützten Inhalte, welche durch sein Netz laufen, rauszufiltern. Nun, mal abgesehen davon, daß fast alles im Netz urheberrechtlich geschützt ist – gemeint war hier wohl eher: Inhalte für die der Nutzer keine Nutzungslizenz hat – ist doch hier mal wieder klar, daß Justiz und Technik selten zusammenpassen. Aber gut, vielleicht fordert derselbe Richter demnächst von der belgischen Post, daß sie Drohbriefe unterbindet. Sie darf &ndash im Falle des Providers: kann – die Inhalte zwar nicht lesen, soll sie aber trotzdem filtern. Diesen Herren schlage ich für die Merkbefreiung in Gold vor. Er ist auf Lebenszeit davon zu befreien, irgendwelche Änderungen in der ihn umgebenden Realität zu bemerken oder sich gar darauf einzustellen, bevor er den Mund aufmacht.

Wie bereits geschrieben: kein guter Tag. Eher ein rabenschwarzer...

OpenVPN ist für alles was Tunnel quer durch's Netz benötigt ne schicke Sache. Für einen bestimmten Anwendungsfall benötigte ich nun die Möglichkeit, einen Tunnel zu einem nur via IPv6 erreichbaren Server aufzubauen. Leider ist das im Upstream-Code noch nicht drin. Allerdings gibt es bereits seit einiger Zeit einen Patch von JuanJo Ciarlante, der das nachrüstet. Leider passt der gegen die aktuelle 2.1rc4 nur mit händischen Anpassungen (einige Probleme in socket.h). Ich hab daher für alle geneigten Spielkinder ein Debianpaket gebaut. Sollte unter Testing und Ubuntu Feisty Fawn laufen. Andere Systeme sind ungetestet.

mape2k hat ein passendes Paket für OpenWRT im Angebot und außerdem einen Einbau in das Gentoo-Paket veranlasst. Die Gentoo-Entwickler versuchen grad eine Integration in den Upstream-Code hinzubekommen.

Der gepatchte OpenVPN-Daemon versteht nun einige zusätzliche Konfigurationsdirektiven für den Aufbau eines Tunnels über IPv6. Details hält mape2k in seinem Wiki-Eintrag vor.

Download: openvpn_2.1rc4-1_i386.deb (Debian Testing/Ubuntu Feisty Fawn)