E-Mail-Konten schützen und HTML-Inhalte sichern in CommuniGate Pro

    Konto-SicherheitNach wie vor ist E-Mail das wichtigste Trans­port­mittel für schäd­liche Inhalte und Pro­gramme. Daher ist es wichtig, den uner­laubten Zugriff auf Messaging-Systeme zu unter­binden, so dass sich niemand fremder Konten bemäch­tigen kann. Außer­dem müssen die Gefahren durch aktive Inhalte einge­dämmt werden.*

    Gelingt es einem Angreifer, sich Zugang zu einem Mail-Konto zu verschaffen, dann eröffnen sich ihm zahlreiche Möglichkeit des Missbrauchs. Dieser besteht nicht nur im Versand von Spam. Eine größere Gefahr geht von Phishing-Mails aus, wenn sie von innerhalb der Firma verschickt werden.

    Funktionen zur Absicherung von Konten

    Folgende neue Funktionen können Admini­stratoren aktivieren, um für mehr Sicherheit bei der Benutzung von CommuniGate Pro zu sorgen:

    Zeitliche Begrenzung der Passwort-Gültigkeit. Anwender können nun gezwungen werden, in definierten Intervallen ihr Passwort zu ändern. Dies erledigt man in den Konto-Einstellungen der betreffenden User, im Abschnitt Authentifikation.

    Anwender können nun dazu gezwungen werden, ihr Passwort in regelmäßigen Abständen zu ändern

    TLS-Verbindungen für Logins erzwingen: In den User-Einstellungen unter Authentifikation können Administratoren nun auch dafür sorgen, dass Anwender sich nur über TLS-verschlüsselte Verbindungen an der Applikation anmelden dürfen. Damit wird das Mitlesen von Passwörtern durch Angreifer erschwert.

    TLS-Verschlüsselung für Logins kann nun zur Pflicht gemacht werden.

    Zwei-Faktor-Authentifizierung: Mit Version 6.2 führt CommuniGate Pro die Möglichkeit zur Zwei-Faktor-Authentifizierung ein. Dieses Verfahren ist inzwischen bei zahlreichen Cloud-Anwendungen verbreitet, da es die Login-Sicherheit deutlich erhöht, weil der User dafür zwei voneinander unabhängige Mittel zur Identifikation benötigt.

    Aktivieren kann man diese verstärkte Login-Prozedur unter Benutzer => Domains => BENUTZER => Einstellungen im Bereich Zwei-Faktor-Authentifizierung.

    CommuniGate Pro erlaubt nun Zwei-Faktor-Authentifizierung.

    Im Konto des Users wird die dafür benötigte Mobil-Rufnummer dem Feld Alternativer Kontakt unter Benutzer => Domains => BENUTZER => Präferenzen im Abschnitt PINs entnommen. Für E-Mail verwendet die Funktion den Eintrag, der für Passwort Recovery hinterlegt wurde.

    Beim Login wählt der Anwender dann zwischen einem automatischen Anruf oder einer SMS.

    Anmelden bei CommuniGate Pro mit Zwei-Faktor-Authentifizierung

    Administratoren von CommuniGate Pro haben durch Modifizieren des zugrunde­liegenden Scripts x2auth.sppr, welches für den Versand der Auth-Codes zuständig ist, die Möglichkeit, andere Services einzubinden. Beispielsweise könnte man darüber ein externes API für das Versenden von SMS ansprechen.

    Augenmerk auf Web-Sicherheit

    Bei einer Web-Anwendung besteht immer die latente Gefahr, dass Angreifer Lücken ausnutzen und es ihnen gelingt, eine Webuser-Sitzung über ein Ausspähen der Session-ID in Verbindung mit Javascript-Injection zu kapern. Insbesondere HTML, Links und Bilder innerhalb von E-Mails stellen eine Gefahr dar.

    Während die Schutz­mechanismen gegen diese Art Angriffe in CommuniGate Pro keineswegs neu sind, so sollten Admini­stratoren bei einem Audit der Sicher­heits­einstel­lungen die Empfehlungen der CommuniGate-Experten beherzigen.

    Um nicht komplett auf HTML und Bilder in Mails verzichten zu müssen, raten sie zu einem Kompromiss: HTML per Frame einbetten und Bilder sowie Links nur mit entsprechender Sicherheits­option zulassen.

    Die von HTML-Mails ausgehenden Gefahren lassen sich mit mehreren Einstellungen reduzieren.

    Die entsprechenden Einstellungen finden sich in der User-Konfiguration unter Präferenzen: Die Einstellung Sicher sorgt dabei dafür, dass an die referenzierten Websites kein Referer mit Webuser-Session-ID übermittelt wird, die einem Angreifer ein Kapern der Session ermöglichen könnte.

    Eine im System verankerte Einstellung, die bereits mit Version 6.1.17 eingeführt wurde, unterdrückt übrigens den Referer-Header bei den Web-Clients automatisch. Dies verringert die Gefahr von Session-Hijacking beträchtlich.

    *Dieser Text ist ein bezahlter Beitrag von CommuniGate Systems.