Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:whatis_invis_server [2020/01/16 14:54] flacco [Clients] |
invis_server_wiki:whatis_invis_server [2024/12/18 08:09] (aktuell) flacco [invis Server und Benno Mailarchiv] |
||
|---|---|---|---|
| Zeile 131: | Zeile 131: | ||
| invis Server sind dafür ausgelegt auf verschiedenen Wegen via Internet erreichbar zu sein. Vorgesehen sind 5 unterschiedlich Zugänge: | invis Server sind dafür ausgelegt auf verschiedenen Wegen via Internet erreichbar zu sein. Vorgesehen sind 5 unterschiedlich Zugänge: | ||
| - | - SSH -- Administrativer Zugriff. Der Port des SSH-Servers wird während des Setups auf einen zufälligen hohen Port verschoben. | + | - **SSH** -- Administrativer Zugriff. Der Port des SSH-Servers wird während des Setups auf einen zufälligen hohen Port verschoben. |
| - | - HTTPs -- Zugriff auf das invis-Portal und installierte Webapplikationen. Auch der HTTPs Port wird während des Setups auf einen zufälligen hohen Port verschoben. | + | - **HTTPs** -- Zugriff auf das invis-Portal und installierte Webapplikationen. Auch der HTTPs Port wird während des Setups auf einen zufälligen hohen Port verschoben. |
| - | - OpenVPN -- VPN Zugang auf den Server und das dahinter liegende Netz. | + | - **OpenVPN** -- VPN Zugang auf den Server und das dahinter liegende Netz. |
| - | - HTTPs -- ActiveSync/z-push auf Port 443 | + | - **HTTPs** -- ActiveSync/z-push auf Port 443 |
| - | - HTTP -- dient rein technischen Zwecken. Über Port 80 wird die Nutzung offizieller Sicherheitszertifikate des Zertifizierers "Let's Encrypt" ermöglicht. | + | - **HTTP** -- dient rein technischen Zwecken. Über Port 80 wird die Nutzung offizieller Sicherheitszertifikate des Zertifizierers "Let's Encrypt" ermöglicht. |
| Der Zugriff auf installierte Webapplikationen via Internet setzt den den vorherigen Zugriff auf das invis-Portal sowie die Mitgliedschaft in der Gruppe "**mobilusers**" voraus. Deeplinking auf die Webapplikationen wird verhindert. Davon ausgenommen sind z-Push, die Kopano Webapp und ownCloud. | Der Zugriff auf installierte Webapplikationen via Internet setzt den den vorherigen Zugriff auf das invis-Portal sowie die Mitgliedschaft in der Gruppe "**mobilusers**" voraus. Deeplinking auf die Webapplikationen wird verhindert. Davon ausgenommen sind z-Push, die Kopano Webapp und ownCloud. | ||
| Zeile 145: | Zeile 145: | ||
| D.h. auch beim Zugriff aus dem internen Netz wird die extern gültige URL genutzt. Ansonsten wäre es nicht möglich konsistente URLs zu erzeugen über die Dritte auf freigegebene Dateien oder Ordner zugreifen können. | D.h. auch beim Zugriff aus dem internen Netz wird die extern gültige URL genutzt. Ansonsten wäre es nicht möglich konsistente URLs zu erzeugen über die Dritte auf freigegebene Dateien oder Ordner zugreifen können. | ||
| - | //**Achtung:** Dafür ist es erforderlich, dass der von Ihnen verwendete Router eingerichtete Portforwarding-Regeln auch dann anwendet, wenn der Zugriff aus dem lokalen Netz (interne Zone) erfolgt. Einige Router der Telekom (Digibox), Vodafone (Easybox), Telefonica (One Access) sind dazu leider nicht in der Lage! Verwenden Sie statt dessen Geräte der Hersteller AVM (FritzBox) oder LANCOM. Mit diesen Geräten treten keine Probleme auf.// | + | //**Achtung:** Dafür ist es erforderlich, dass der von Ihnen verwendete Router eingerichtete Portforwarding-Regeln auch dann anwendet, wenn der Zugriff aus dem lokalen Netz (interne Zone) erfolgt. **Einige Router der Telekom (Digibox), Vodafone (Easybox), Telefonica (One Access) sind dazu leider nicht in der Lage!** Verwenden Sie statt dessen Geräte der Hersteller AVM (FritzBox) oder LANCOM. Mit diesen Geräten treten keine Probleme auf.// |
| Als Hostname kommt prinzipiell ein im Internet gültiger Hostname (DDNS) in Frage. Die Verwendung einer festen IP-Adresse (muss vom Provider gestellt werden) ist zwar denkbar, sorgt aber in Verbindung mit Verschlüsselung immer für Probleme, da Sicherheitszertifikate nur auf Namen und nicht für IP-Adressen ausgestellt werden. | Als Hostname kommt prinzipiell ein im Internet gültiger Hostname (DDNS) in Frage. Die Verwendung einer festen IP-Adresse (muss vom Provider gestellt werden) ist zwar denkbar, sorgt aber in Verbindung mit Verschlüsselung immer für Probleme, da Sicherheitszertifikate nur auf Namen und nicht für IP-Adressen ausgestellt werden. | ||
| Zeile 181: | Zeile 181: | ||
| Jeder auf einem invis Server angelegte Benutzer verfügt über eine lokales email-Konto (Postfach), dem eine Adresse nach dem Schema "//username@lokale-domain.loc//" zugeordnet ist. Diese Adresse hat ausschließlich im lokalen Netzwerk Bedeutung und kann im Internet nicht verwendet werden. Diesem Mailkonto können mittels CorNAz (Eintrag "Mailkonten" im invis-Portal) vom User selbst beliebig viele externe Mailkonten zugeordnet werden. | Jeder auf einem invis Server angelegte Benutzer verfügt über eine lokales email-Konto (Postfach), dem eine Adresse nach dem Schema "//username@lokale-domain.loc//" zugeordnet ist. Diese Adresse hat ausschließlich im lokalen Netzwerk Bedeutung und kann im Internet nicht verwendet werden. Diesem Mailkonto können mittels CorNAz (Eintrag "Mailkonten" im invis-Portal) vom User selbst beliebig viele externe Mailkonten zugeordnet werden. | ||
| - | Alle Mail-Clients im Netzwerk (Thunderbird, Outlook usw.) kennen nur die lokale Mail-Adresse. Wird von einem Client aus eine email versendet, prüft der invis-Server, ob sich der Empfänger im lokalen Netzwerk oder im Internet befindet. Trifft letzteres zu, tauscht der invis Server automatisch die in der email verankerten lokalen Absender-Adresse gegen eine im Internet Gültige (sender address rewriting) aus. | + | Alle Mail-Clients im Netzwerk (Thunderbird, Outlook usw.) kennen nur die lokale Mail-Adresse. Wird von einem Client aus eine Email versendet, prüft der invis-Server, ob sich der Empfänger im lokalen Netzwerk oder im Internet befindet. Trifft letzteres zu, tauscht der invis Server automatisch die in der Email verankerten lokalen Absender-Adresse gegen eine im Internet Gültige (sender address rewriting) aus. |
| - | Hat der Benutzer mehrere externe Mailkonten/email-Adressen angegeben, kann er mit unserem Mail-Konten-Verwaltungs-Tool "CorNAz" festlegen, welches seine bevorzugte Absender-Adresse ist. | + | Hat der Benutzer mehrere externe Mailkonten/Email-Adressen angegeben, kann er mit unserem Mail-Konten-Verwaltungs-Tool "CorNAz" festlegen, welches seine bevorzugte Absender-Adresse ist. |
| Emails an lokale Empfänger werden direkt zugestellt, hier findet kein "address rewriting" statt. | Emails an lokale Empfänger werden direkt zugestellt, hier findet kein "address rewriting" statt. | ||
| Zeile 213: | Zeile 213: | ||
| Seit Einführung von invis-Server 11.0 (August 2016) wurde die Major-Versionsnummer in den Namen des invis-Setup Paketes aufgenommen. Also wird aus **"invisAD-setup"** dann **"invisAD-Setup-11"**. Dies verhindert versehentliche Updates des Paketes bei dem ein bestehendes System beschädigt werden könnte. Um zur neuen Version zu kommen ist also immer ein Upgrade, entsprechend der Beschreibungen hier im [[invis_server_wiki:upgrade|Wiki]], erforderlich. | Seit Einführung von invis-Server 11.0 (August 2016) wurde die Major-Versionsnummer in den Namen des invis-Setup Paketes aufgenommen. Also wird aus **"invisAD-setup"** dann **"invisAD-Setup-11"**. Dies verhindert versehentliche Updates des Paketes bei dem ein bestehendes System beschädigt werden könnte. Um zur neuen Version zu kommen ist also immer ein Upgrade, entsprechend der Beschreibungen hier im [[invis_server_wiki:upgrade|Wiki]], erforderlich. | ||
| + | |||
| + | ====== invis Server und Benno Mailarchiv ====== | ||
| + | |||
| + | Die revisionssichere, langfristige, elektronische und systematische Aufbewahrung (Archivierung) von Emails ist in Deutschland aufgrund von Vorschriften aus Handelsgesetzbuch (HGB), Abgabenordnung (AO) und der Grundsätze ordnungsgemäßer Buchführung (GoDB) verpflichtend. Davon ausgenommen sind Kleinstunternehmer und Freiberufler. Dabei orientiert sich "langfristig" an die gesetzlichen Aufbewahrungsfristen (von 6 oder 10 Jahren) wie sie auch für steuerrelevante Papierdokumente gelten und "revisionssicher" meint unveränderlich. D.h. archivierte Mails dürfen im Archiv nicht verändert oder gelöscht werden können. | ||
| + | |||
| + | Nicht zu archivieren ist potentiell eine Verletzung der Buchführungspflicht, die mit Geld- oder gar Gefängnisstrafen geahndet werden kann. | ||
| + | |||
| + | Archiviert werden müssen Emails die in ihrer Bedeutung Handels- oder Geschäftsbriefen entsprechen oder die steuerliche Erfassung eines Unternehmens betreffen oder kurz alle Mails, die in irgendeiner Form geschäftsrelevant sind. | ||
| + | |||
| + | **[[https://www.benno-mailarchiv.de/|Benno Mailarchiv]]** ist eine gesetzeskonforme Open-Spource-Lösung zur Email-Archivierung, mit dem großen Vorteil, dass es für den Anwender zugänglich ist und eine hervorragende Suchfunktion bietet um auch alte Mails schnell zu finden. | ||
| + | |||
| + | Sowohl für die Aktivierung eines invis-Benutzers als Mailarchiv-Benutzer, wie auch für die Nennung von Mailadressen auf die ein Benutzer im Archiv leseberechtigt ist, enthält der invis-Server Kommandozeilen Scripts. | ||
| + | |||
| + | Der invis-Server selbst übernimmt allerdings nicht die Rolle des des Mail-Archivs, Benno Mailarchiv muss auf einem gesonderten System installiert werden. | ||
| + | |||
| + | invis-Server arbeiten als vollständige interne Mailserver über die der gesamte Mailverkehr eines Unternehmens laufen kann. In der Mailserver-Komponente des invis-Servers kann eine "Weiche" (always bcc) aktiviert werden, die alle ein und ausgehenden Mails parallel ans Archiv sendet. Alle Mails deshalb, weil es kaum entscheidbar ist welche Mails ein Steuerprüfer im Zweifelsfall als "geschäftsrelevant" ansieht. | ||
| + | |||
| + | Eine wesentliche Funktion von Benno Mailarchiv ist die Möglichkeit darin sehr komfortabel zu suchen. D.h. Anwender müssen die Möglichkeit haben sich an einer Benno-Weboberfläche anmelden zu können und darin Mails zu finden, die Sie auch sehen dürfen und zwar nur diese. | ||
| + | |||
| + | Die Anbindung der Benno-Webapp an das ActiveDirectory des invis-Servers ist von Haus aus vorbereitet. Beim Anmelden wird gegen das AD authentifiziert, weiterhin ließt Benno aus dem AD auf welche Mails ein Benutzer zugriffsberechtigt ist. Das orientiert sich an Mail-Adressen die einem Benutzer zugeordnet werden. Dabei können einem Benutzer im AD auch Berechtigungen für Mailadressen zugeordnet werden, die über seine persönlichen Adressen hinaus gehen. | ||
| + | |||
| + | Benno-Mailarchiv kann als reines, nicht zugängliches Archiv kostenfrei betrieben werden, für die Nutzung zum schnellen Auffinden von Mails muss es lizenziert werden. Näheres dazu erfahren Sie durch **[[https://www.fsproductions.de|FSP Computer & Netzwerke]]** | ||