Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Digital signierte Emails mit Outlook


Man kann Emails digital signieren – das ist an sich nichts besonders neues, abgesehen davon, das nur sehr wenige Personen das auch tun. Die digitale Signatur hat den Zweck, dem Empfänger einer EMail die Möglichkeit zu geben, den Absender zu überprüfen: Der Text der als "Absender" im EMail-Programm angezeigt wird ist einfach nur irgend ein Text. Jeder kann einfach irgendwas angeben, und der Email-Client wird diesen beliebigen Text auch brav anzeigen.

Das geht nicht mit der digitalen Signatur: Die enthält mindestens eine EMail-Adresse (in meinem Fall bei Firmen-Mails: tw@die.de), und diese Signatur kann NICHT einfach so gefälscht werden. Wenn also eine Email mit der tw@die.de Signatur unterzeichnet ist, dann stammt diese Mail auch tatsächlich von mir.

Früher war das einrichten von digitalen Signaturen relativ aufwendig und schwierig – bei Outlook ist das aber seit Version 2013 nicht mehr der Fall. Folgendes ist zu tun:

  • Man braucht ein digitales Zertifikat. Das gibt ez.b. hier.
  • Das Zertifikat kann man in Windows installieren. (per Rechtsklick)
  • Danach kann man aus der Zertifikatstelle von Windows den zum signieren benötigten privaten Schlüssel als Datei speichern. (Das wird dann eine *.pfx-Datei.)
  • Die trägt man in Outlook (Der Desktop-Anwendung) unter "Datei –>Optionen –>Trust-Center –> Einstellungen für das Trust-Center –> Email-Sicherheit –> Importieren/Exportieren" ein. Außerdem schaltet man an der gleichen Stelle die Option "Ausgehenden Nachrichten digitale Signatur hinzufügen" ein.
  • Ab jetzt werden alle ausgehenden Nachrichten digital signiert. Das sieht dann beim Empfänger so aus:
    image
  • Die Eigenschaften der Signatur kann man sich auch anzeigen lassen:
  • image

Es gibt ein kleines Problem: Verwendet man Outlook mit mehreren Email-Adressen, hat aber nur für eine Untermenge davon digitale Signaturen, dann bemängelt Outlook beim verwenden von Mails über Accounts ohne Zertifikat, das eben keines da ist. Man muss dann vor dem versenden immer einzeln die Option zum digitalen signieren ausschalten.

Das ist innerhalb kürzester Zeit sehr sehr lästig. Und von Microsoft gibt es KEINEN Work-Around: Die vorgesehenen Einstellmöglichkeiten sind für die Installation von Outlook komplett, und nicht pro Account. Das ist auch seit einigen Jahren bekannt, und trotzdem passiert nichts – ich gehe davon aus, das das nicht als wichtig genug eingestuft wurde und das darum auch nichts passieren wird.

Es gibt aber eine funktionieren Lösung von Dritten. Hier finden Sie das SMimeAccountDefaults-Tool, das man per ClickOnce installieren kann. Sobald das installiert ist, muss man einmalig eine neue EMail anlegen. Im Menüband dieser EMail gib es dann den Befehl "Suspend Account Defaults S/MIME". Da drückt man auf den kleinen Pfeil rechts unten, und das zeigt dann ein Fenster an, in dem man für alle Accounts einzeln einstellen kann, ob ausgehende Mails signiert (und verschlüsselt) werden sollen.


Haben Sie ein vernünftiges Passwort?


Man kann es ja gar nicht oft genug sagen: Ein brauchbares Passwort kann gar nicht lang genug sein. Das ist natürlich lästig, hilft aber gegen Angriffe. Und weil diese "Angriffe" immer so wenig konkret im Raum stehen, hier mal ein kleines Beispiel, wie sowas aussieht.

Das hier läuft gerade auf unserem Mailserver: Seit irgendwann gestern Abend gibt es einen Angriff, bei dem die Zugangsdaten für Mail-Accounts auf unserem Server herausgefunden werden sollen. Der Angreifer macht dabei alles richtig:

  • Unser Server erkennt "zu viele" Fehlversuche beim anmelden in einer gewissen Zeit und würde einen betroffenen Account einfrieren. Darum erfolgt das ganze vorsichtig, mit im Schnitt etwa 80 Versuchen über alle Accounts verteilt pro Stunde.
  • Unser Mailserver erkennt "komische" Verbindungsmuster von komischen Stellen – und der Angreifer verwendet ein weltweit verteiltes Botnetz. Jeder Bot macht nur 1 bis 2 Versuche pro Stunde.
  • Unser Mailserver blockiert IP-Adressen mit zu vielen Fehlerversuchen => Ein weltweit verteiltes Botnetz hilft da.

Und das ganze läuft und läuft und läuft… Dabei werden einfach die "gängigen" und "kurzen" Passworte durchprobiert. Ich gehe davon aus, das der gleiche Vorgang noch bei vielen hundert wenn nicht tausenden von anderen Mailservern abläuft – und die "einfachen" Passworte werden dann dabei schon rauskommen.

Als normaler Mensch bekommt man solche Einbruchsversuche gar nicht mit: Ich weiss davon, weil ich mich um unseren Mailserver kümmere und die Sache so eingerichtet ist, das ich entsprechende Hinweise per Mail erhalte. Das sieht dann z.B. so aus:

image

Ich kann also die IP-Adresse und den zugehörigen Ort sehen. Ebenso, wann der Anmeldeversuch fehlgeschlagen ist, und welche Account betroffen war. Damit kann man sich schon eine ganze Menge zusammenreimen.

Also: Stellen Sie sicher, dass Sie ein vernünftiges Passwort verwenden. Je länger desto besser. Am besten so lang, das Sie es sich nicht mehr merken können. Zum merken verwenden Sie dann sowas wie 1Password. Und, wenn es irgend möglich ist und das angeboten wird: Verwenden Sie auch Mehrfaktor-Authentifizierung. Oft gibt es die als 2-Faktor Geschmacksrichtung, bei der Sie zusätzlich  zum wissen über das Passwort auch noch Ihr Handy griffbereit haben müssen. Ihren Microsoft-Account (den Sie bei Windows 10 recht sicher haben) können Sie mit zweistufiger Überprüfung sichern. Ebenso: Jeder Google-Account.

Genau wie Ihr Sicherheitsgurt im Auto ist das ist kein technisches Spielzeug. Verwenden Sie es. Ernsthaft!


Konsolen und Ausklinkungen in der Baustatik


Die Baustatik enthält seit dem letzten Update (von gestern) einen Dokument-Typ für häufig benötigte Stahlbeton-Einzelnachweise. Momentan können dort Nachweise für Konsolen, Ausklinkungen und Ausklinkungen mit Schrägeisen geführt werden.

In der Email mit den Update-Infos sind wir leider nicht besonders darauf eingegangen. Um genau zu sein: Das ganze Thema ist irgendwie dabei unter den Tisch gefallen. Hier darum eine kleine Einführung ins Thema. Alle Informationen dazu hier: Stahlbeton-Einzelnachweise.



Ergebnisse und Einwirkungen synchronisieren


Auf den Fenstern zur Ergebnisauswahl gibt es auch eine Möglichkeit, die Funktionsweise des Lastfallfilters einzustellen. Damit können Einwirkungen zum Beispiel ausgeblendet, aber auch mit den Ergebnissen synchronisiert werden. Im zweiten Fall werden also die Einwirkungen des Lastfalles angezeigt, zu dem auch die angezeigten Ergebnisse passen.



So teil man einen Stab in mehrere auf


In der Baustatik konnte man Stäbe "schon immer" über die Angabe einer Länge in 2 Stäbe aufteilen. Ab dem nächsten Update geht das dann einfacher, wenn man den Stab in mehr als 2 Teile aufteilen möchte.

image

Bisher konnte man im zugehörigen Textfeld nur eine einzelne Angabe machen. Jetzt kann man mehrere Angaben machen und diese durch ein Semikolon trennen.

Außerdem kann man die Angaben noch mit Vorzeichen (und Prozent-Angaben) versehen. Will man beispielsweise einen Stab 1.20 nach seinem Anfang auftrennen, dann gibt man "1.20" an – bei 1.20 Abstand vom Ende her: "-1.20":

image

In diesem Fall sieht der Effekt wie folgt aus. Oben vorher, unten nachher:

image

image


Ergebnis-Details untersuchen


Man kann in der Baustatik grundsätzlich herausfinden, aus welchen Einzelteilen sich ein Endergebnis zusammensetzt. Das Beispiel zeigt dies anhand eines Überlagerungsergebnisses in einem Stabwerkssystem.