Windows Server RRAS bietet standardmaessig L2TP/IPsec mit SHA-1, 3DES und DH Group 2 (modp1024) an. 1024 Bit Diffie-Hellman ist 2026 nicht mehr akzeptabel. Per PowerShell laesst sich die IPsec-Suite auf AES-256, SHA-256 und ECDH P-384 umstellen, plus kompatible Windows-Clients.
ZFS-Snapshots des Notebook-Pools auf eine USB-Platte schieben, die komplett mit geli verschluesselt ist. geli-Init mit AES-XTS-256, ZFS-Pool auf dem entschluesselten Geraet, ein knapper Backup-Workflow per zfs send und der Schluessel-Aufbewahrungs-Hinweis am Schluss.
SSH-Host-Keys nicht mehr per Trust-on-First-Use pruefen, sondern aus dem DNS lesen: SSHFP-Records nach RFC 4255 erzeugen, in die Zone eintragen, VerifyHostKeyDNS aktivieren. Plus die DNSSEC-Pflichtkomponente und was zu beachten ist bei alten OpenSSH-Versionen.
GPG-Schluessel direkt als OPENPGPKEY-Record im DNS hinterlegen, ohne Keyserver-Abhaengigkeit oder Web-of-Trust. RFC 7929 erklaert, die SHA-256-Hash-Variante des Local-Part, ein Generator fuer den Record und warum DNSSEC die Voraussetzung ist. Plus Hinweis zur Recordgroesse.
Postfix-MTA mit DANE absichern: TLSA-Records nach RFC 7672, smtp_tls_security_level=dane, die "3 1 1"-Selector-Variante als langlebige Wahl, der DNSSEC-Stack als Grundvoraussetzung und Tools fuer die Pruefung. Plus eine Kurz-Erklaerung zu Untrusted vs Verified im Postfix-Log.
Ein SPF-Record legt im DNS fest, welche Server fuer eine Domain Mail verschicken duerfen. Die Mechanismen include/a/mx/ip4/ip6/all, die Qualifier +-~? und der 10-Lookup-Limit-Stolperstein in einem Praxis-Aufschrieb. Warum Hardfail (-all) meist die richtige Wahl ist.
DMARC baut auf SPF und DKIM auf und schliesst die zwei Luecken die beide einzeln offen lassen: Der Absender bestimmt was mit unzustellbaren Mails passieren soll, Reports landen taeglich im Postfach. Policy-Stufen none/quarantine/reject erklaert, plus typischer rua-Reporting-Setup.
Buchtipp Kabelsalat von Andrew Blum: Reise zu DE-CIX, MAE-East, Pionen und Cornwall. Plus Update 2026 zu Hyperscaler-Backbones, Submarine-Cable-Sabotage, RPKI und Starlink.
BitLocker fragt nach jedem Linux/Windows-Dual-Boot-Wechsel nach dem Recovery Key, weil das TPM die Bootkette-Aenderung erkennt. Fix: TPM als Schluesselschutz raus, Passwort rein. Gruppenrichtlinie, manage-bde, und schon gehoert das Drama der Vergangenheit an.
Native ZFS-Encryption auf FreeBSD 13 mit AES-256-GCM eingerichtet und getestet. Passphrase-Handling, Mount/Unmount. Limitierung: Verschlüsselung lässt sich nicht nachträglich aktivieren. Ansonsten unkompliziert und zuverlässig.
TLSA- und DANE-Records manuell pruefen mit OpenSSL, dig und hash-slinger. Fingerprint-Berechnung fuer Selector 0/1 und Matching-Type 0/1/2 durchgespielt. Nuetzlich wenn ein TLSA-Record nicht validiert und man wissen will warum.
Cipher Suites wie TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 sehen kryptisch aus, folgen aber einem klaren Schema: Key Exchange, Certificate Verification, Bulk Encryption und Hashing. Grundlagen fuer TLS 1.2 und 1.3.
Fuenfzehn Tage Nginx-Logs mit $ssl_curve. Wer spricht schon X25519MLKEM768, wer haengt noch auf klassischem X25519 oder sogar TLS 1.2? Ein Blick auf Browser, AI-Crawler, Suchmaschinen, Fediverse, RSS-Reader und ein paar ueberraschende Ausreisser.
"Vulnerability Reports" zur wp-cron.php sind ein Klassiker unter den Scam-Mails. Kurze Einordnung: ist das ein P1-Bug? Nein. Was wirklich hilft, sind Rate Limiting in nginx oder die lokale Ausfuehrung per Cronjob.
Rspamds Webinterface ist praktisch zum Testen, aber fuer produktives Spam/Ham-Lernen unbrauchbar. Automatisierung mit Dovecot, IMAPSieve und einem Learn-Ordner pro Nutzer. Falsch klassifizierte Mails einfach in den Ordner schieben, Rspamd lernt mit.
OpenDMARC-Milter auf Debian installiert und konfiguriert. Abhaengigkeit: SPF und DKIM muessen vorher laufen. Milter-Reihenfolge ist kritisch. Moderner Ansatz: rspamd erspart die Milter-Koordination und macht SPF, DKIM, DMARC in einer Software.
DANE und TLSA-Records ermoeglichen TLS-Zertifikat-Schutz via DNSSEC, nicht ueber CA-Zertifikatsketten. Praktische OpenSSL-Befehle zum Hash erzeugen, dig zum Pruefen. Bei mir im Einsatz, funktioniert elegant.
WSUS laeuft nie dauerhaft ohne Pflege. PowerShell und SQL gegen Timeouts, Platten-Fresser und haengende Serverbereinigung. Treiberupdates raus, abgelehnte Updates loeschen, SUSDB shrinken, IIS-Pool tunen und zuletzt die Indexe neu aufbauen.
DNSSEC-Anleitung: Trust-Chains, Zonen-Signierung mit BIND und dnssec-policy, DS-Records beim Registrar, Validierung mit dig. Warnung: TTL-Konflikte bei Aenderungen. Mit moderner BIND-Version (9.16+) gut zu handhaben.
SSH sollte Hostkeys via DNSSEC-gesicherten SSHFP-Records verifizieren. Fehler: systemd-resolved filterte das AD-Flag raus. Loesung: systemd-resolved weg, NetworkManager mit trust-ad Option. Jetzt funktioniert DNSSEC korrekt.
FreeBSD 12 als IPsec/L2TP-Client gegen Windows RRAS konfiguriert: strongSwan + mpd5, IKEv1, 3DES-SHA1, MS-CHAPv2-Auth, MPPE-Encryption. Manuelle Route-Verwaltung. Windows-Enterprise-VPN erfordert Spezialwissen, aber machbar.
Zwei-Faktor-Authentifizierung auf FreeBSD SSH: Google Authenticator PAM-Modul, Challenge-Response in sshd_config, Benutzer-Setup mit QR-Code und Backup-Codes. Erhöht die Sicherheit merklich, unkompliziert einzurichten.
MTA-STS (RFC 8461) zwingt Mailserver zu verschluesselter Uebertragung. Konfiguration: DNS TXT-Record, Policy-Hosting, optionale TLS-Reports. Start im testing-Modus, dann auf enforce schalten. Pragmatischer als DANE.
Moin, ich mag noch einmal etwas zu IP-Überwachungskameras schreiben. Ihr erinnert euch vielleicht an meinen letzten Beitrag zu diesem Thema KLICK.
Dort habe ich mich speziell auf den RTSP-Port bezogen und auch https://www.shodan.io/ als Beispiel genannt. Shodan scannt unaufhörlich IPv4-Adressen (bei IPv6 wäre ein flächendeckender Scan kaum praktikabel) und stellt seine Ergebnisse öffentlich zur…
Seit einiger Zeit nutze ich das GPT-Modul von Rspamd, um bei der Spam-Erkennung ein zusätzliches Signal zu bekommen. Es ersetzt nichts — kein Bayes, kein DKIM, kein RBL — sondern ist ein weiterer Sensor im Gesamtbild. Wer sich fragt, wie das in der Praxis aussieht und worauf man achten muss: hier mein aktuelles Setup.
Update 2026-02-13: Dieser Beitrag wurde komplett überarbeitet. Die…
Siehe auch: Post-Quantum TLS für E-Mail — Postfix und Dovecot mit X25519MLKEM768 auf FreeBSD 15, Post-Quantum TLS für Nginx — X25519MLKEM768 auf FreeBSD 15 konfigurieren
Mein FreeBSD 15 kommt mit OpenSSH 10.0p2 und OpenSSL 3.5.4.Beide bringen inzwischen das mit, was man aktuell als quantensichere Kryptografie bezeichnet. Oder genauer gesagt das, was wir Stand heute für ausreichend robust gegen…
Siehe auch: Sicherheitslücken melden: Mein Umgang mit einem Vulnerability Report
Wir leben in Deutschland ja ein bisschen im „Anzeige-ist-raus“-Land. Das merken auch Security-Researcher und ethische Hacker. Solange man Eigentümer:innen/Betreiber:innen nur auf frei und offen erreichbare Probleme hinweist, ist die Welt halbwegs in Ordnung. Sobald man aber beginnt, Schutzmechanismen zu überwinden…
Aus gegebenem Anlass möchte ich ein paar Gedanken zu DigitalOcean aufschreiben. Nicht, weil ich glaube, dass DigitalOcean ein grundsätzliches Problem hat oder etwas falsch macht. Sondern weil DigitalOcean in meinen Logs seit Jahren besonders auffällt. Am Ende steht DigitalOcean hier eher sinnbildlich für ein größeres Thema.
Wer Systeme im Internet betreibt, kennt das Spiel. Server werden…
Vielleicht erinnert ihr euch an meine Aussage, dass man jedem Gerät, das man mit dem Internet verbindet, mindestens so viel Vertrauen entgegenbringen sollte wie seiner Haustür. In den letzten Wochen durfte ich das wieder mehrfach sehr anschaulich erklären – direkt anhand realer Beispiele in der IT von Unternehmen oder im privaten Umfeld.
Versteht mich nicht falsch: Es geht mir nicht darum, mich…
AI ist nicht böse und Large Language Models sind nicht das Problem. Was mir Bauchschmerzen macht, ist die Geschwindigkeit, in der das gerade passiert, und wie wir Menschen damit umgehen. Ein paar Gedanken zu Flaschenhälsen, Kontrollverlust in der Softwareentwicklung, Mythos und IT-Security, der Frage wer 100 Seiten AI-Code noch liest und warum mir die nächsten 15 bis 20 Jahre Sorgen machen.