Configuratiekwesties voor clients

zwanen

Er vallen twee client-situaties te onderscheiden:

-  Clients die rechtstreeks met het internet verbonden zijn
-  Clients die van achter een bastion host met het internet in contact staan.

 

 

Beginnen we met de clients die rechtstreeks met het internet verbonden zijn.

In veel gevallen zal men (buiten Nederland en de VS) nog via een inbelmodem het internet op gaan. Dit vereist steeds actief inloggen/opstarten van de internetverbinding voordat de netwerkkwesties gaan spelen maar heeft tot voordeel dat men slechts korte perioden in contact staat met de buitenwereld en vaak ook een dynamisch (=veranderlijk) ip-adress heeft zodat je niet zo snel op de korrel genomen zult worden als "sitting duck".

In toenemende mate zullen clients echter via een breedbandverbinding (*DSL of kabel) in voortdurend contact staan met het Internet. Degenen met een breedbandverbinding zullen meestal een wat snellere internetverbinding en hardware hebben, maar dat maakt voor de privacykwesties niet veel uit zolang het breedband modem maar geen roet in het eten gooit. Wie een internetverbinding tot stand kan brengen opent daarmee een elektronisch poortje naar de buitenwereld en zal wat aandacht moeten besteden aan het bijbehorende hang- en sluitwerk. Een goed besturingssysteem en effectieve firewall behoren dan tot de beveiligings-basics om de zaak draaiende te kunnen houden, terwijl de anonimiserende privacyservice wenselijk en mogelijk is om de noodzakelijke discretie te kunnen bewaren. (Bij onderstaande beschrijving van de installatie van achter een bastionhost worden bij "finishing touch" enkele configuratiedetails besproken die ook hier van pas kunnen komen). 

Wanneer men als client gebruik wil maken van de privacyservice zal er eerst wat software geinstalleerd moeten worden die op de achtergrond voor de juiste verbindingen kan gaan zorgen: een IPSec client.

De meesten zullen vermoedelijk nog beginnen met een IPSec biedende toepassing die op Windows wil draaien. Een van de betere programma's voor Windows clients is SSH Sentinel.

Dit valt weliswaar niet te combineren met :     

  - 3rd  party IPSec implementations  
  - 3rd party intermediate network drivers  
  - Firewall/NAT applications
  - Network Sniffer software

maar dat zal over het algemeen weinig moeilijkheden veroorzaken.

De kans dat er reeds IPSec toepassingen op de client pc aanwezig zijn is minimaal, die zijn in Europa nog niet erg gangbaar, zeker niet onder particulieren met een inbelmodem.Door het eventueel aanwezige DSL-modem niet via PPTP of L2TP aan te sluiten maar via PPP of Transparant Bridging zullen er ook geen ongewenste Network drivers aanwezig zijn op een gewoon ethernet netwerkje. IPSec toepassingen leggen veilige tunnelverbindingen over onveilige netwerken (zoals het Internet) en moeten dan ook door enkele specifieke poortjes die niet afgesloten mogen zijn door de firewall. De meeste client-firewalls zijn echter eenvoudig te configureren zodat de noodzakelijke poortjes (tcp 50/51 en udp 500) open gezet kunnen worden. NAT (Network Address Translation) is een methode (truukje) om een zelf verzonnen IP adres toe te kunnen wijzen aan computers op het locale netwerk. De ontwikkeling van deze adresseringstechnieken werd gestimuleerd door een gebrek aan goedkope en publiekelijk toegankelijke netwerkadressen. Op de grens tussen Internet en locaal netwerk bevindt zich dan een computer met een 'officieel' publiek IP adres die als distributiestation fungeert tussen 'binnen' en 'buiten'. Inkomende pakketjes worden daarbij van hun 'officiele' adres ontdaan en krijgen het 'prive'-adres van een locale computer opgeplakt, terwijl uitgaande pakketjes van hun 'prive'-adres ontdaan worden en het 'officiele' adres van een externe computer mee krijgen. Dit nogal omslachtige wijzigen van de adressen is strijdig met de integriteitcontrole die IPSec toepast op pakketjes. De pakketjes (inclusief adressering) mogen dus pas gewijzigd worden nadat de IPSec controle heeft plaatsgevonden. Het is dus verreweg het eenvoudigst om maar helemaal geen NAT te gebruiken. Een stand-alone internetcomputer heeft helemaal geen NAT nodig terwijl de afwezigheid van een directe verbinding tussen Internet en lokaal netwerk ook optimale veiligheid biedt. Als er toch voor gekozen wordt om een heel netwerk aan te sluiten op het internet, dan kan NAT vermeden worden door aan iedere computer een 'officieel' IP adres toe te kennen. De derde mogelijkheid is om van de op het Internet aangesloten computer een bastion-host te maken die de IPSec kwesties regelt en daar achter een computer te plaatsen die de routing functies voor het locale netwerk vervult. De bastionhost doet dan niet aan routing (her-adressering) maar slechts aan forwarding (alles wat aan de IPSec criteria voldoet onveranderd een stap verder sturen). Hiervan wordt een voorbeeld op deze website uitgewerkt. Een vierde mogelijkheid is om een extra tunnelingniveau aan te brengen. Dan haal je op de bastionhost met IPSec controle functies slechts een laag van de verpakking+adressering van de pakketjes af terwijl je een tweede IPSec integriteitscontrole van de packets+adressen op een dieper niveau meet. Dit laatste is vrij eenvoudig wanneer het AH protocol van IPSec gebruikt wordt maar is ingewikkelder voor het ESP protocol van IPSec. En wat de hierboven genoemde netwerksniffer betreft; die software is overbodig bij een dedicated internet computer. De Sentinel toepassing bevat zelf reeds uitgebreide mogelijkheden om ingaande en uitgaande packets te controleren dus ook in een netwerkconfiguratie hoeft er voor de IPSec-functies geen afzonderlijke Sniffer gebruikt te worden.

Een uitwerking van de IPsec-client configuratie kwesties wordt hier besproken.

 

 
 

 
 

 

ADSL in gebruik nemen van achter een bastionhost i.p.v. rechtstreeks.

De clients die van achter een bastionhost het internet op willen hebben in principe een betere verdediging en vermoedelijk ook vrijwel zonder uitzondering een breedbandverbinding maar zullen wat meer moeite moeten doen om alles goed te configureren. We zullen dit stapsgewijs doornemen. Daarbij gaan we er vanuit dat de bastionhost een permanente (goed beveiligde) adslverbinding met de buitenwereld heeft en deze correct doorgeeft (forward) aan de computer die nu als internet-workstation in gebruik genomen gaat worden.


Eerste stap: Een besturingssysteem installeren op de workstation.
In de meeste gevallen zal het hier een Microsoft Windows of een Linux besturingssysteem betreffen. Vanuit privacy-oogpunt prefereren we de laatst genoemde maar hier wordt de Windows-installatie behandeld vanuit de vooronderstelling dat met dit voorbeeld voorlopig de meeste mensen gediend zullen zijn.
Andere besturingssystemen zoals OpenBSD of MAC zijn hier natuurlijk ook mogelijk, maar Windows XP achten we fundamenteel ongeschikt voor gebruik in combinatie met welke privacyservice dan ook.
(Zie: bekende_veroorzakers_van_problemen)

Tweede stap: de adsl aansluiting.
Hardwarematig is dit een kwestie van de UTP kabel in de ethernetkaartingang pluggen. We hebben nu eigenlijk niets met de buitenwereld of het adsl-modem te maken maar leggen slechts een kabeltje tussen de workstation en de bastionhost (eventueel via een hub of switch).
Softwarematig moet die verbinding naar de bastionhost dan ook nog aangelegd worden. Soms zal dit vrijwel automatisch
gebeuren, in andere gevallen moet er met de hand wat meegeholpen worden.

- Externe toegang (Windows) installeren via:

Start/Instellingen/Configuratiescherm/Software/Windows_setup/Communicatie/Details  (restart).

- TCP/IP-protocol installeren voor de netwerkkaart. (Dit protocol wordt gebruikt om computers met elkaar te verbinden):
Start/instellingen/configuratiescherm/netwerk
Dit leidt tot het scherm
"Netwerk". (Ook te bereiken door rechtklikken op het ikoontje 'netwerkverbinding' dat zich meestal op het bureaublad bevindt en dan 'Eigenschappen' openen.)
Indien nog niet aanwezig moet hier het TCP/IP protocol voor de ethernetkaart toegevoegd worden:
Toevoegen/Protocol/Toevoegen/Microsoft/TCP'IP
Het tabblad "
Configuratie" toont nu 2 netwerkprotocollen; voor de ethernetkaart en voor de externe toegang.
Verder moeten er nu 2 netwerkadapters (de
Externe toegangsadapter + de *Ethernet Adapter)
en de
Client voor Microsoft-netwerken als netwerkonderdelen te zien zijn.

- Het TCP/IP-protocol van de netwerkkaart configureren.
Klik op
"TCP/IP-> * Ethernet Adapter" en vervolgens op "Eigenschappen".
Op het tabblad
"IP-adres" wordt "Een IP-adres opgeven" geselecteerd.
Als IP-adres wordt het adres van de eigen ethernetkaart opgegeven (bijv.
192.168.144.2 )
met als subnetmasker
255.255.255.0
Op het tabblad
"WINS-configuratie" kan alles uit.
Op het tabblad
"Gateway" wordt het IP-adres opgegeven van de eerstvolgende stap naar buiten.
In ons geval het adres van onze bastionhost aan de andere kant van de UTP kabel.
Bij
"Nieuwe gateway" dus  bijv. 192.168.144.1 invullen en dan op "Toevoegen" klikken.
Op het tabblad
"DNS-configuratie" kun je aangeven waar je computer de gegevens vandaan haalt om internetadressen zowel in letters als in getallen te kunnen verwerken.
Als
"host" kies je wederom het adres van je eigen workstation (bijv. 192.168.144.2 ).
En bij
"zoekvolgorde van DNS-servers" kies je eerst (indien aanwezig) de DNS-server van je locale netwerk (bijv. 192.168.88.144 ) en vervolgens de adressen van een of twee DNS servers die je van je provider ontvangen hebt (bijv. 62.251.0.6 ; 62.251.0.7 ).
Het tabblad
"NetBIOS" blijft ongemoeid, het tabblad "Geavanceerd" vertoont een vinkje bij "Dit protocol instellen" maar bevat "geen" als eigenschappen en kan zo gehandhaafd worden.
Het tabblad
"Bindingen" vertoont een vinkje bij "Client voor Microsoft-netwerken" en blijft ook onaangeroerd.


Derde stap: een goede firewall installeren om te voorkomen dat er ongemerkt berichten van deze computer naar buiten weg kunnen lekken. (De verdediging tegen rechtstreekse aanvallen van buitenaf wordt door de bastionhost geregeld. De firewall op de workstation is nodig om te voorkomen dat programma's met spyware en keyloggers die als trojaanse paarden binnen gehaald zijn ongemerkt contact op kunnen nemen met de hamsteraars van privacygevoelige data.)


Als finishing touch moeten nu de browser en het e-mail programma nog ingesteld worden.
Hiervoor worden niet Internet Explorer en Outlook als voorbeeld gekozen, maar het voor vrijwel alle platforms (Windows, Linux, MAC) gratis beschikbare Mozilla (met Mozilla Mail). Dit is namelijk een open source product dat we iedereen aanbevelen.
Mozilla downloaden en installeren zal wel lukken zonder extra instructies. Hier worden slechts enkele details besproken i.v.m. de privacyprotectie.

Open de browser (het rode monster-ikoontje naast de "Start" knop links onder) en ga vervolgens naar
Edit/Preferences.
Vergeet niet om bij
Privacy & Security/Images een vinkje te plaatsen bij: "Do not load remote
images in Mail & Newsgroup Messages"
. Dit verdedigt tegen het weglekken van je adres via webbugs.
(Zie: bekende_veroorzakers_van_problemen)
Bij de categorie
"Advanced" kun je kiezen of je JAVA wilt accepteren. Echt helemaal veilig is dit niet, maar zonder JAVA-acceptatie wordt het browsen wel erg lastig omdat veel websites nu eenmaal gebruik maken van JAVA.
Bij
'Scripts & Plugins' krijg je de optie voor het mogelijk maken van JavaScript. Dit is een stuk riskanter dan JAVA en kan dan ook echt niet aangeraden worden vanuit privacy-oogpunt.
Bij
'Proxies' kiezen we voor "Manual proxy configuration".
Achter
"HTTP-proxy" vullen we (indien aanwezig) het ip-adres en poortnummer in van de proxy die we gebruiken (bijv. 192.168.88.144 met poort 8118 ).
Bij
'Software installation' verwijder je het vinkje voor "Enable software installation" wanneer je wilt voorkomen dat er van buiten af direct iets op je workstation geinstalleerd kan worden.

Wat de E-Mail betreft hoeft er nu niets bijzonders gedaan te worden; gewoon de gegevens van je provider invullen.



E-mail kwesties

Als alles naar wens functioneert wordt het tijd om wat extra aandacht aan de e-mail kwesties te besteden. Het is tenslotte niet de bedoeling om overspoeld te raken door spam, gevaarlijke script codes en virussen of bespioneerd te worden door middel van spyware en webbugs. (zie ook bekende veroorzakers van problemen )

Er zijn verschillende filtermethodes, die in principe allemaal zowel op het niveau van de mailserver als op het niveau van de client ingezet kunnen worden. Bij webmail is er sprake van een tussenvorm, waarbij clienten zelf op de mailserver kunnen regelen hoe er gefilterd wordt op spam. We zullen deze filtermethodes en bijbehorende keuzes hier kort doorlopen.

Providers kiezen er steeds vaker voor om de overlast van spam en virussen op serverniveau aan te pakken. Dat voorkomt overbodige belasting van hun resources en bespaart hun clienten de nodige overlast. (Voor 2003 is het de verwachting dat ca. 35-50% van alle e-mail uit spam zal bestaan). Enige maatregelen op dit punt zijn ook zonder meer noodzakelijk om te voorkomen dat de hardware overbelast raakt door bulkmail. De vraag is echter waar de verantwoording van de provider eindigt en die van de client begint. Als privacy-organisatie met een e-mail service zijn we  genoodzaakt wat tegen de overlast te doen die door ongewenste e-mail veroorzaakt kan worden. We plaatsen ons hierbij echter principieel op het standpunt dat we ons op geen enkele wijze met de inhoud van e-mail bezig mogen houden en beperken ons tot het aanbrengen van beperkingen die zuiver kwantitatief zijn. In principe kunnen clienten de wenselijke spamfilters en virusscanners zelf  ("gratis") van het internet betrekken en op hun computer installeren, zodat er voor een privacy service ook geen noodzaak is om spam op collectief niveau te regelen.

Om te beginnen betekent dit dat onze clienten slechts een beperkt aantal e-mail/dg mogen versturen. We leggen de grens op 300/dg, hetgeen over het algemeen ruim voldoende zal zijn voor gewoon gebruik maar voor verzenders van ongewenste commercieele reclame (spam) erg krap/hinderlijk is. Zouden we dit niet doen en het onze clienten gemakkelijk maken om te spammen, dan zouden we snel op zwarte lijsten (Realtime Blackhole Lists) terecht komen die de vrije distributie van e-mail die van onze server afkomt zouden belemmeren. Bovendien zou onze hardware overbelast raken en we zouden juridisch (mede)aansprakelijk gesteld kunnen worden voor eventuele schade. We zijn afgezien van idealistische- en financieel/technische overwegingen dus ook gewoon verplicht zorgvuldig om te gaan met wat we door sturen.

Ook aan de omvang van de attachments leggen we een beperking op. Hier kiezen we de grens van 5-10 MB. Dit heeft een tweeledig doel. Enerzijds helpt het overbelasting van onze hardwarecapaciteit voorkomen, anderzijds voorkomt het dat onze privacy service aantrekkelijk wordt voor de distributie van illegale DVD's, programma-CD's en (kinder)porno. Anonimiteit mag geen uitnodiging tot misbruik van vrijheden zijn. Zeker in de aanvangstijd van onze privacy-service is het belangrijk om zelfs de schijn van illegale activiteiten ver van ons af te houden. Als clienten grote bestanden willen distribueren kunnen ze daarvoor een webaccount aanmaken bij commercieele providers als Yahoo of zo. Ook hier geldt dat we afgezien van idealistische- en financieel/technische overwegingen gewoon verplicht zijn zorgvuldig om te gaan met wat we door sturen. En zo'n kwantitatieve beperking belemmert grootschalige commercieele exploitatie van onze privacyservice. Providers hanteren overigens ook vaak zo'n limiet op attachments, iets waar vrijwel niemand last van heeft. De door ons aangebrachte beperking zal dan ook slechts weinig mensen treffen. Aangezien we data uitsluitend in encrypted vorm transporteren moeten clients er wel rekening mee houden dat een 5MB attachment al snel een volume van 10MB krijgt voordat het verstuurt wordt.

Om te voorkomen dat de geldige e-mail adressen van onze clienten gehamsterd worden staan ons twee middelen ter beschikking. Om te beginnen wordt de mailserver zo geconfigureerd dat deze _alle_ potentieele adressen "geldig" verklaart. Dan wordt er geen informatie verstrekt die tot conclusies over de feitelijk actieve accounts kan leiden. Daarnaast kan een "teerput" ingezet worden die de grootschalige aanvraag van adressen vanaf een bepaalde locatie afremt. Dat voorkomt dat de server eenvoudig (geautomatiseerd) doorzocht kan worden naar adressen.

Daarmee hebben we de zuiver kwantitatieve middelen die we als privacyservice op server niveau aanbrengen tegen overlast van e-mail wel besproken. De volgende filter-maatregelen behoren wat ons betreft tot het terrein van de individuele accounthouders.

- Tekstfilters houden zich met de inhoud van e-mail bezig (zoals steekwoorden). Daar willen we als privacy-service niets van weten. Onze eigen, openbare e-mail adressen die met name gebruikt worden voor service-berichten aan clienten en voor abuse-meldingen en dergelijke, kunnen we natuurlijk wel beveiligen met tekstfilters en methodes die voor aanwending op collectief (server) niveau niet in aanmerking komen. Of we dat ook gaan doen zal van de noodzaak afhangen.

- Checksum filters zijn zeer effectief om de overlast van bulkmail in te perken maar vereisen het bijhouden van een checksum-database als filter voor inkomende e-mail. Bovendien moeten clients dan plug-ins installeren om de checksum-database actueel te houden. Op checksum filteren lijkt ons niet fundamenteel in strijd met de richtlijn nooit op "content" te filteren. Het betreft vooral een kwantitatieve samenvatting van een bericht, vergelijkbaar met het beschrijven van het gewicht van een poststuk, al zitten er wel wat privacygevoelige kanten aan wanneer een bericht al te nauwkeurig identificeerbaar wordt op "gewicht". Beetje grensgeval dus. Het opsturen van zo'n checksum die samengesteld is uit berekeningen over de factoren "afzendernaam", "onderwerpregel" en "aanvangstijd van het originele bericht" werkt echter ondermijnend op de encryptiekracht van de privacy service vanwege de voorspelbaarheid (zoals dat ook bij "signatures" het geval is). Niet zo'n geweldige keuze dus als filter voor een privacy-service. Bovendien moet je dan zelf een Peer-to-Peer netwerk opzetten of inhaken op bestaande projecten zoals "Razor" ( http://razor.sourceforge.net ) of het iets effectievere "DCC" ( www.rhyolite.com/anti-Spam/dcc/ ) dat met fuzzie logic werkt. Zo'n nauw contact met een extern netwerk lijkt nauwelijks beveiligbaar. Al met al wordt dit dan te ingewikkeld om te onderhouden en alleen zinvol bij een grote hoeveelheid eigen clienten (als P2P-netwerken uberhaupt wel veilig op te zetten zijn).

- White Lists filteren zeer restrictief. Slechts de op deze lijst aanwezige adressen worden toegelaten. Dit is desalniettemin een kwestie die we aan kunnen bevelen aan clients met accounts die niet voor grote aantallen onbekenden bereikbaar hoeven te zijn. Zo kunnen er bijvoorbeeld "mailinglists" mee opgezet worden (met ruimte voor illustraties). Dat verhoogt het privacy-gehalte omdat slechts diegenen toegang krijgen tot zo'n "webmailinglist" die daar toegang voor krijgen van de accounthouder (die daarvoor een wijziging aan moet brengen op de "White List"). Dit heeft voor de privacy-service biedende organisatie tot voordeel dat ze zich in haar presentatie duidelijker onderscheidt van hetgeen commercieele providers als service aanbieden, anderzijds biedt het de accounthouders meer ruimte om diskreet aan informatieuitwisseling te doen of wat bij te verdienen. (Denk maar aan een ruilbeurs voor een besloten groep mensen zoals op een fanclub-avond).

- Degenen die de restricties van zo'n White List te streng vinden kunnen er een "accrediteringsfunctie" aan toevoegen. De client's desktopprogramma stuurt dan na het ontvangen van e-mail met een afzender-adres dat niet op de White List voor komt, een mededeling aan de afzender waarop gereageert moet worden. Wanneer de reactie binnen komt wordt het adres van de afzender opgenomen in de White List.

- Realtime Blackhole Lists (RBL's) bevatten een lijst van computers die verantwoordelijk geacht worden voor de verzending van spam. In principe zouden we hier als privacy organisatie op serverniveau gebruik van kunnen maken aangezien het hierbij niet om filtering op "content" gaat maar om het blokkeren van overlast veroorzakende kwantiteiten ongeacht de inhoud van die e-mail. Probleem is echter dat deze lijsten nogal eens server-adressen bevatten die om oneigenlijke redenen van spammen beschuldigd werden. Dat leidt dan tot verwikkelingen m.b.t. het al of niet terecht weren van bepaalde servers en daar willen we als organisatie eigenlijk helemaal niet mee bezig zijn. Op het client-niveau is dit echter een effectieve methode om flink wat spam te weren.

- Filteren op afzenderadres kent vergelijkbare problemen als filteren via RBL's. Spam wordt in toenemende mate via de server van onschuldige slachtoffers verstuurd. Die wil je niet uitsluiten. En e-mail met een type-fout in het afzenderadres wil je ook niet weigeren. Als privacy-organisatie (op server niveau) filteren a.h.v. het afzenderadres geeft dus ook maar verwikkelingen die beter vermeden kunnen worden. Deze wijze van filteren kan op client-niveau echter een aardige verfijning van de spamfilter-resultaten opleveren.

 

Enkele bekende, gemakkelijk te installeren/configureren (gratis) e-mail filterprogramma's

* Mail1.2 van Apple voor de MAC OS X 10.2 (Jaguar) is een onderdeel van het mailprogramma en kan met IMAP-accounts (=webmail) overweg. Het heeft niet alleen White Lists beschikbaar maar ook Adresboek-controle. Schijnt uitzonderlijk goed te presteren, geen Realtime Blacklists.

* SpamPal 1.06 ( www.spampal.org.uk ) is geschikt voor W95/W98/ME/NT/2000/XP. Het werkt als een lokale proxy, met 16 Realtime Blacklists en een White List. Behoorlijk krachtig en veelzijdig, ook met filters voor de beruchte Chinese, Russische en Nigeriaanse servers en een optie om filter plugins in te voegen. Bijv. op steekwoorden die typisch in porno-spam-mail voorkomen zoals "viagra" en "porn".

* Voor webmail/IMAP is het speciale gateway-programma Web2POP ( www.jmasoftware.com/english/ ) te gebruiken. Dit roept de interface van de e-mail diensten (ook die van Hotmail) op en stelt die als een lokale proxy beschikbaar. Wanneer de spamblokker ook als lokale proxy werkt (zoals bij SpamPal) dan lukt dit alleen wanneer de twee proxies verschillende poorten gebruiken.

Opm: Apple Mail 1.2 bevat een kunstmatig intelligente spamfilter. Het duurt wel enkele weken voordat zo'n KI filter aan de standaard e-mails van gebruikers gewend is maar daarna is de herkenningsratio zeer hoog (97% of zo). Interessante is vooral dat Mozilla vanaf versie 1.3 ( www.mozilla.org ), de gratis browser, IRC en e-mail client voor Windows en Linux platform, ook zo'n "Bayesian" spamfilter zal bevatten. Dat maakt alle andere filter-overwegingen vrijwel overbodig :))

Maar voor de volledigheid moet hier ook SpamAssassin genoemd worden. Er bestaat weliswaar een betaal-versie voor windows-clients van (een Outlook-plugin van  www.deersoft.com ), maar het is vooral bekend/interessant vanwege diens prestaties op de Unix/Linux servers en sinds kort wegens diens integratie in de populaire email client Mozilla Thunderbird. Het is uitgebreid te configureren maar op servers niet zo gemakkelijk te installeren/configureren als bovengenoemde filters. Aangezien het filter direct in de eigenlijke mail-server (Mail Transport Agent) te integreren valt is het vooral geschikt op een mail-relay (met CommuniGate Pro, Postfix, Qmail of Sendmail) dat naar andere servers door stuurt. Het wordt ook effectief met een virusscanner gecombineert, m.b.v. de tool amavisd-new ( www.ijs.si/software/amavisd/ ). De eenvoudigste methode is de integratie via procmail. Dat vergt echter wel het aanmaken van een '.forward'bestand bij de client. SpamAssassin is ook eenvoudig te combineren met IMAP.

 

Degenen die gebruik maken van webmail kunnen kiezen of ze de mail (inclusief eventuele virussen of andere gevaarlijke code) binnen willen halen of maar liever op de server bekijken en dus alle gevaren buiten de deur houden. In dat geval kan spam (ongewenste reclame e-mail) ook reeds vanaf de webserver geweerd worden door deze als "hier is niemand" terug te kaatsen.

Degenen die het programma "Webwasher" op de (Windows)desktop installeren om de kwaliteit van hun websurf ervaringen te verbeteren (de omgang met banners, pop-ups en cookies kan dan bijv. zeer genuanceerd geregeld worden) moeten in sommige gevallen aangeven dat ze via een
proxy-client (in ons voorbeeld met poort 8118 ) met het internet verbonden zijn.
Hetzelfde geldt voor degenen die het programma "AntiVirus Guard" gebruiken en automatische updates binnen willen halen van achter een proxy. Die moeten bij
"Options/Internet_Updater" een vinkje plaatsen voor "Connect via a proxy server" en dan de vereiste gegevens invullen (in ons voorbeeld 192.168.88.144 met poort 8118 ).

Degenen die Outlook Express gebruiken kunnen ook nog het nodige aan veiligheid winnen. Dit e-mail programma kan uiteraard ook overweg met html, maar laat de afhandeling daarvan aan Internet Explorer over. Het hangt dus van de instellingen in IE af of allerlei codes in e-mails wel of niet uitgevoerd worden. Ga om te beginnen in Outlook Express naar "Extra/Opties", open het tabblad "Beveiliging" en kies hier de zone "Websites met beperkte toegang". Start vervolgens Internet Explorer en selecteer daar in een soortgelijk menu en tabblad de bewuste zone. De schuifbalk stelt u in op "Hoog" en via de knop "Aangepast niveau" kiest u "Opties". Controleer of in uw versie nu de ActiveX-besturingselementen en de actieve uitvoer van scripts en java-applets uitgeschakeld staan. In Outlook Express 6 Gaat u naar "Extra/Opties/Beveiliging" en selecteert daar "Zone met websites met beperkte toegang" en "Waarschuwen als andere toepassingen e-mail met mij als afzender willen verzenden". Wanneer u de optie activeert die het openen of opslaan van verdachte bijlagen voorkomt maakt u gebruik van de lijst met onveilige bestandstypes die Internet Explorer bewaardt. Om die naar eigen voorkeur aan te passen start u de Windows Verkenner en ga naar "Extra/Mapopties/Bestandstypen". Daar selecteert u de bestandstypes die u gevaarlijk acht. Dan klikt u op "Geavanceerd" en plaatst er een vinkje bij "Openen na download". Om van Visual Basic Scripts af te komen (die bijvoorbeeld gebruikt worden door wormen als 'I love you' en 'New Love' en bestanden meesturen als 'annakournikova.jpg.vbs)  kunt u de Windows Scripting Host uitschakelen. In W98 gaat dat via: "Configuratiescherm/Software/Windows Setup". Daar selecteert u de optie "Bureau-assesoires/Details". Vervolgens verwijdert u het vinkje voor Windows Scripting Host. Om te voorkomen dat u zelf ongewild kwaadaardige e-mail verstuurt kunt u in Outlook Express naar "Extra/Opties/Verzenden" gaan. Bij de indeling voor het verzenden van e-mail en nieuws kiest u hier voor "Tekst zonder opmaak". Bij de instellingen voor deze "Tekst zonder opmaak" kiezen we bij e-mail voor een "MIME" indeling en "geen" tekstcodering. Bij de instellingen voor nieuws kiezen we "uuencode".

Het gratis programma Mailwasher (www.mailwasher.net ) is met name bedoeld om op een mailserver gearriveerde spammail in de kiem te smoren. Het kan echter ook als buffer tegen verdachte html-mail ingezet worden. Daarvoor maken we gebruik van de optie om eerst een voorbeeld te tonen in zuiver ascii-formaat. Het programma E-box ( www.jpsoft.dk )  gaat nog een stapje verder en biedt niet alleen de gelegenheid alle e-mail reeds op de server te controleren maar ook om alle email volledig "op afstand" op te stellen en te beantwoorden.

Voor wie wat extra webmail adressen nodig heeft maar niet uit wil wijken naar Hotmail kan een alternatief vinden op www.myrealbox.com of www.mail.com . Bedenk daarbij echter wel dat deze evenals Hotmail onder de Amerikaanse wetgeving vallen en dat dit land nu voor onbepaalde tijd via "oorlogsrecht" bestuurd wordt.

 

Verder resteert nog slechts de installatie van de IPSec client software

under construction

 

 
terug pijltjeterug pijltjes

terug pijltje