iKu Systemhaus AG
SPONTS
---

SPONTS/Monitor-FAQ
Häufig gestellte Fragen

Frage: Wird SPONTS der TKÜV gerecht?
Antwort: TKÜV erfordert die Überwachung von einer Mail, egal über welches Protokoll. Die iKu-ASP-Lösung unterstützt SMTP, POP3 und IMAP4; hierzu muss jegliche Kommunikation über SPONTS/Monitor geleitet werden, d.h. Ihr Mailserver darf keine Mails direkt empfangen und zustellen. Ebenso muss der Abruf über SPONTS/Monitor geleitet werden.
Frage: Ist SPONTS ein transparenter Proxy, der Traffic in Snort-Manier mitliest, oder arbeitet er auf Application Level, d.h. nimmt dem Connect an und schleift dann durch?
Antwort:SPONTS ist kein transparenter, sondern ein Store-and-forward Proxy.
Frage: Im Falle einer Überwachungsmaßnahme: Durch welches Merkmal wird der Traffic ausgewählt, der über den Proxy geleitet werden soll?
Antwort:Es muss sämtlicher Mail-Traffic auf unsere ASP-Lösung geroutet werden. Im Falle der Überwachung muss dann nur noch das Postfach ausgewählt werden.
Frage: Reicht es, wenn ich die Einträge im DNS für unsere Mail-Server ändere?
Antwort: Eine Überwachung muss "rückschlagsfrei" sein, d.h. der Überwachte darf die Überwachung nicht erkennen können. Wird eine komplette Domain über einen Proxy geleitet, so kann der Überwachte seine Überwachung nicht erkennen, da auch alle anderen Postfächer über den Proxy laufen. Gleiches gilt für POP3/IMAP. Es ist hier grundsätzlich empfohlen, einen Port-Forwarder oder TCP-Proxy auf Ihren Mail-Servern zu installieren, so dass der Endkunde (ohne dass er es merkt), im Endeffekt über die SPONTS/Monitor abruft.
Evtl. können Sie parallel dazu auch die DNS-Namen für den Abruf ändern, so dass ein Großteil der Benutzer (die, die nicht die IP-Nummer verwenden), direkt auf SPONTS/Monitor zugreifen. Da diese Umleitung auch ständig erfolgen muss, merkt ein Teilnehmer auch nichts davon, wenn er überwacht wird.
Frage: Muss die TTL in den zone-files des DNS zunächst verkleinert und dann geändert werden? Oder findet das Umleiten des Traffics auf dem Gateway anhand von anderen Merkmalen statt?
Antwort: Die TTL muss rechtzeitig vor der EINMALIGEN Umstellung runtergedreht werden. Nach der Umstellung kann sie wieder auf Standardwerte gesetzt werden. Es wird allerdings empfohlen, die Umstellung über Proxies und/oder Portforwarder zu machen, daduch ist keine Änderung im DNS nötig.
Für das Umrouten ist der Provider verantwortlich. SPONTS kann nur die Rückrouten machen. Hierbei kann der SMTP-Proxy ein Backend auf Grund der Domain auswählen, da es ein Store-and-Forward-Proxy ist.
Die POP3/IMAP4-Proxies sind transparent, d.h. beim Verbindungsaufbau muss das Backend bekannt sein. Dies wird dadurch gelöst, dass pro Backend eine eigene IP und/oder Port für den SPONTS definiert sein muss.
Frage: Wie sieht es mit der Performance des Proxies aus? Der muss dann nämlich auch den Traffic aller anderen Kunden hinter der gleichen IP machen.
Antwort: Korrekt. Die Standard-Ausführung verarbeitet 800.000 SMTP-Transfers bzw. 1.700.000 POP3-Transfers pro Tag. Ein Transfer ist hierbei definiert, als Auf Wunsch liefern wir auch stärkere Hardware aus. Mit einem Athlon64 2,0 GHz sind beispielsweise 7.100.000 SMTP-Transfers bzw. 15.000.000 POP3-Transfers pro Tag möglich.
Frage: Wie wird bei einem Antrag von Dritten die Anonymität gewährleistet? Bsp.: Kunde des Providers muss TKÜV in Anspruch nehmen, wie wird dann die Nutzung beim Provider beantragt?
Antwort: Der Teilnehmer muss ja selber den Antrag bei RegTP stellen und dann die Lösung des Providers angeben. Der Kunde schließt mit dem Provider einen Vertrag, der diesen als Erfüllungsgehilfen definiert. Er gibt den Provider dann bei der RegTP als solchen an. Unterlagen für die Anmeldung stellen wir rechtzeitig zur Verfügung.
Frage: Wann sind die Produkte verfügbar? Können die Anträge im Dezember an die RegTP gesendet werden?
Antwort: Wir werden unsere Lösung am 15.12. in Zusammenarbeit mit http.net bei der RegTP anmelden. Der Testbetrieb mit voller Funktionalität läuft seit dem 1.12.
Frage: Lt. Preisliste fallen 250 EUR Einrichtung sowie 150 EUR monatliche Gebühren an (beides Netto). Muss ich, neben den Kosten bei anfallender Überwachungsverordnung (100 EUR pro Postfach + 32,50 EUR je Monat + Traffic) mit weiteren Kosten rechnen?
Antwort: Die Kosten für Traffic fallen auch ohne Überwachungsmaßnahme an. Für eine Überwachungsmaßnahme fallen folgende Kosten an: Weitere Informationen können Sie unserer Preisliste entnehmen.
Frage: Wie sieht genau die Implementierung aus? Welche Voraussetzung müssen meinerseits (ausser der DNS Änderung) erbracht werden?
Antwort: Hier gibt es mehrere Möglichkeiten. Allen gemeinsam ist, dass eingehende Mail (SMTP) und auch Mail-Abruf (POP3 und IMAP) über SPONTS laufen müssen.
Für SMTP gibt es folgende Möglichkeiten: iKu empfiehlt für SMTP die "sandwich-Technik". Für IMAP/POP3 gibt es folgende Möglichkeiten:
Frage: Ist es zulässig, die TTL Zeit in den Nameserver so gering zu halten, da man bei einer Überwachungsanordnung nur den MX Record (und der A - Record für den Posteingangsserver) auf die ASP Lösung verweisen lässt?
Antwort: Damit können Sie nicht sicherstellen, dass jede Mail über den Proxy geht, da verschiedene Provider die TTL ignorieren.
Frage: Wie kann man das Routing für die Domains einpflegen? Muss das bei der ASP Lösung manuell über Webfrontend eingeplegt werden.
Antwort: Momentan ja, aber wir überlegen den SQL-Zugriff, sowie SOAP freizuschalten. Für die Erstbefüllung können wir auf jeden Fall Daten (in einer Text- oder csv-Datei) vom Kunden verwenden.
Frage: Domain A -> Server1 Domain B -> Server 2 usw. Gibt es hierfür Limits (Anzahl Domain o.ä.?)
Antwort: SPONTS verwendet eine SQL-Datenbank, von daher gibt es quasi kein Limit.
Frage: Ab wann würde sich lohnen, die ASP-Lösung zu bestellen? Mitte Dezember?
Antwort: Bestellen können Sie schon jetzt. Ab 15.12.04 können Sie die Mails über unsere ASP-Lösung umleiten und bei Ihnen schon die entsprechenden Umstellungen vornehmen. Bei der ASP-Lösung würde ab dann nur der anfallende Traffic berechnet. Die Gebühr für die einmalige Einrichtung der ASP-Lösung können wir im Dezember oder erst zum 02.01.05 berechnen. Die monatliche Nutzungsgebühr der ASP-Lösung fällt erst ab 01.01.05 an.
Frage: Wie sieht es dann eigentlich mit der Zertifizierung durch die RegTP aus, wenn wir die Überwachung noch für andere Provider durchführen. Müssen diese auch separat angemeldet werden?
Antwort: Jeder, der nach §3 TKÜV zum Kreis der Verpflichteten gehört, muss seine Lösung bei der RegTP anmelden. Er darf hierbei einen Erfüllungsgehilfen benennen, der die technische Abwicklung macht.
Frage: Was bei POP3 ja noch gehen mag wird bei SMTP zum ernsthaften Problem: Wenn der Proxy Nachrichten entgegennimmt und weiterleitet sieht das für den tatsächlichen SMTP-Server so aus, als käme alles von einer IP-Adresse, Blacklists etc. greifen dann einfach nicht mehr. Was kann die Proxylösung dagegenhalten?
Außerdem sehe ich nach wie vor ein Problem mit der SMTP-Authentifizierung: Ich kann einfach nicht unterscheiden, ob ein Kunde eine eMail über unseren SMTP verschicken will oder ob es sich um eine Verbindung "von draussen" handelt. Wenn ich die Idee verfolgen würde alle am SMTP-Server eingehenden Mails nochmals über den Proxy zu schicken würde ich jedoch die eMails die Kunde A zu Kunde B (auf dem gleichen Server) schicken will nicht abfangen. Diese werden ja lokal per procmail (o.ä.) zugestellt. Was kann man da machen? - Und vor allem müssen wir auch eine Authentifizierung mit POP-before-SMTP anbieten können, da nicht alle Kunden SMTP-Auth können/wollen!
Antwort: Beide Probleme lösen Sie, indem Sie den SPONTS nicht an vorderste Front, sondern "zwischen" einen Mailserver hängen ("Sandwich-Technik"). Die Konfiguration hierzu ist fast die gleiche wie die zur Einbindung von AMaViS: der ursprüngliche SMTP-Dienst wird auf einen anderen Port umgestellt und ein neuer SMTP-Dienst auf Port 25 eingebunden, der alles an den SPONTS weiterleitet. Anders sieht es bei "POP before SMTP" aus. Da hier eine direkte Interaktion ziwschen dem POP3-Server und dem SMTP-Server nötig ist, die IP-Nummer des abrufenden Hosts dem POP3-Server des Providers nicht bekannt ist, kann dieses von SPONTS z.Zt. nicht gelöst werden.
Frage: Was verstehen Sie unter Mandant?
Antwort: Mandant = eigener Login mit eigenen Passwörtern; ein weiterer Mandant ist notwendig, wenn Sie mehrere voneinander unabhängige Operatoren haben, die die Daten gegenseitig nicht einsehen dürfen.
Frage: Was muessen unsere Kunden machen, um bei der RegTP gemeldet zu sein?
Antwort: Ihre Kunden müssen einen Antrag ausfüllen. Hierzug gibt es ein Elektronisches Formular zur Erstellung der Unterlagen. Dort geben die Kunden dann die Lösung von iKu an. Entweder die Kunden geben Sie als Erfüllungsgehilfen an, dann bekommen Sie von einer berechtigten Stelle direkt eine Überwachungsverfügung oder der Kunde benennt selbst eine Person, die für die techn. Maßnahmen für eine Überwachung zuständig ist. Dieser muss dann die Verfügung an Sie weiterleiten.
Frage: Was muessen unsere Kunden im Falle einer Abhoermassnahme machen?
Antwort: Wenn Sie nicht als Erfüllungsgehilfe bei RegTP angegeben sind, die Verfügung an Sie weiterleiten. Technisch gesehen muss der Kunde nichts machen.
Frage: Ist eine schriftliche Anleitung fuer unsere Kunden verfuegbar?
Antwort: Ein Handbuch wird z. Zt. erstellt und wird mit SPONTS ausgeliefert.
Frage: Der Kunde hat volle Rechte auf seinem Server, wir haben weder Zugriff auf die Maschinen, noch auf das DNS. In irgendeinerweise muss doch eine Weiterleitung an die Abhörmaschine erfolgen. Ich würde gerne vorab wissen, was genau auf Kundenseite gemacht werden muss, damit eine Abhörmassnahme greifen kann.
Antwort: Der SMTP-, POP3- und IMAP-Datenverkehr muss über die Abhörmaschine geleitet werden. Hierzu eignen sich beispielsweise Port-Forwarder. Für SMTP-Auth ist es beispielsweise bei Sendmail und Postfix möglich, den SMTP-Dienst von Port 25 auf einen anderen Port - beispielsweise 26 - zu nehmen und auf dem Original-Port eine Weiterleitung auf den Proxy einzurichten. Dieser schickt die Mail dann zurück auf Port 26. Port 26 sollte dann für alle Adressen bis auf den Proxy gesperrt sein. Wird SMTP-Auth nicht benötigt, so reicht das Umstellen des Ports und ein Port-Forwarder auf dem Original-Port.
Frage: Ist der Kunde alleine verantwortlich, dass er die entsprechenden Massnahmen die er auf seiner Seite auszufuehren hat auch wirklich durchführt?
Antwort: Für die Zertifizierung ist der Kunde selber verantwortlich. Grundsätzlich auch dafür, dass er innerhalb der gesetzl. Frist die Technik für eine Abhörmaßnahme bereitstellt.
Frage: Wann wäre die Hardware verfügbar?
Antwort: Die Hardware können wir ab Eingang der Bestellung liefern (je nach Hardware 2-10 Tagen). Die volle Funktionalität der Software steht ab 15.12. zur Verfügung.
Frage: Wie läuft die Zertifizierung durch die RegTP ab, wickeln Sie das ab, oder muss das von uns gelöst werden?
Antwort: Jeder, der nach §3 TKÜV zum Kreis der Verpflichteten gehört, muss seine Lösung zertifizieren lassen. Sie müssen ein Antragsformular bei der RegTP ausfüllen. Wir geben Ihnen bei Fragen gerne Hilfestellung. Wir werden Vorlagen für verschiedene Szenarien der Einbindung in das Kundennetz liefern. Die Erstellung der Vorlagen ist zur Zeit in Arbeit und diese werden im Dezember fertiggestellt sein. Wenn eins dieser Szenarien passt, sind im Endeffekt nur die IP-Adressen, der Firmenname/Adresse und die Namen der Ansprechpartner einzutragen. weitere Infos, wie z. B. das Elektronisches Formular zur Erstellung der Unterlagen finden Sie unter: http://www.regtp.de/tech_reg_tele/02379/00/index.html
Frage: Was ist der Unterschied zwischen der "Hot Standby" und der "Cold Standby" Lösung der SINA-Box?
Antwort: Die "Hot Standby" Lösung übernimmt bei einem Ausfall der aktiven BOX transparent den Betrieb, bei der "Cold Standby"-Lösung muss manuell umgeschaltet werden.

http://www.sponts.de/tkuev-faq.jsp