E-Mail - Anbieter wechseln (Microsoft Exchange -> mailbox.org) mit eigener Domain (MX-Einträge in den DNS-Einstellungen)

Bereits seit über 7 Jahren nutze ich für E-Mail, Adressen und Termine Microsoft Exchange als gehosteten Service bei einem deutschen Anbieter (Hosted Microsoft Exchange von IONOS). Ich möchte nun den US-Anbieter Microsoft direkt meiden (nach dem ich bereits vor 2 Jahren komplett zu Linux gewechselt bin).

1. Schritt: Bestellung des "Standard-Tarif" beim E-Mail-Dienst mailbox.org

Dieser beinhaltet aktuell u.a. 10 GB Mail-Speicher, 25 Aliasse @mailbox.org, Kalender und Adressbuch. Zudem ist auch eine Nutzung von Exchange ActiveSync möglich.

Hinweis: Mann kann mailbox.org 30 Tage kostenlos testen, ohne das irgendwelche Kosten anfallen.

Um den Account vollständig zu aktivieren, muss man vor Ablauf der Testphase Guthaben einzahlen (hier werden versch. Zahlungsmöglichkeiten z.B. auch Bargeld auf dem Postweg angeboten).

2. Schritt: E-Mail-Adressen mit eigener Domain nutzen

Die nachfolgende Anleitung in der Wissensdatenbank von mailbox.org durchführen:
https://kb.mailbox.org/de/privat/e-mail-mit-eigener-domain/e-mail-adressen-mit-eigener-domain-nutzen/

Aktuell zeigt mein DNS-MX Eintrag noch auf ionos.de . Weitere Infos zu dem Thema findet ihr unter DNS - HTTPS Resource Record verwenden (Backup Server, Port-Signalisierung) und Mailserver - Zugriff auf TCP Port 25 (smtp) mit telnet testen.

dig hemel.it mx (vor DNS Umstellung)

Jetzt fügt man seinen Alias als Externe Adresse hinzu. Mailbox.org fragt nun im Hintergrund die DNS-Daten Ihrer Domain ab und prüft, ob der mailbox.org-Sicherheitsschlüssel bereits hinterlegt ist. 

Jetzt kann der mailbox.org-Schlüssel in den DNS-Einstellungen des Domain-Providers (in meinem Fall ist dies Host Europe) hinterlegt werden.

Bitte die Wartezeit des DNS-Updates beachten! Auch wenn es meistens deutlich schneller geht, kann die weltweite Synchronisation des neuen DNS-Eintrages bis zu 24 Stunden dauern.

Nun müssen die mailbox.org-MX-Einträge in den DNS-Einstellungen hinterlegt werden. Dies sorgt dafür, dass Mails die an den Domain-Alias geschickt werden auch zu den mailbox.org-Servern geroutet werden.

dig hemel.it mx (nach DNS Umstellung)

3. Schritt: Spam-Reputation im DNS optimieren

Bitte die Anleitung (https://kb.mailbox.org/de/privat/e-mail-mit-eigener-domain/spf-dkim-und-dmarc-spam-reputation-verbessern-und-bounces-vermeiden/) beachten und die folgenden DNS-Einstellungen vornehmen:

1. Setzen des SPF-Eintrags und der Parameter als TXT-Record in den DNS-Einstellungen des Providers. Siehe z.B. https://www.hosteurope.de/faq/webhosting/allgemeines3/spf-eintrag-fuer-domain-setzen.
• v=spf1 include:mailbox.org ~all
• 
  
2. Setzen der DKIM-Einträge als CNAME-Records in den DNS-Einstellungen Ihres Providers
• 
  
  
3. Setzen des DMARC-Eintrags und der Parameter als TXT-Record in den DNS-Einstellungen Ihres Providers
• 
  
  

Ich wünsche euch viel Erfolg beim Einrichten und vor allem viel Spaß beim Nutzen von mailbox.org #UnplugTrump!

Datenschutz - Die eigene Privatsphäre schützen? Tipps!

Mike Kuketz stellt Hilfsmittel und Anleitungen bereit, mit denen jeder seine Privatsphäre, seine Daten besser schützen kann.

Die Empfehlungsecke im Blog des Sicherheitsrates- und Datenschutzexperten steht unter der CC BY-SA 4.0-Lizenz unter ist unter der folgenden URL zur Verfügung:

• https://www.kuketz-blog.de/empfehlungsecke/

 

Meta - Widerspruch gegen das Trainieren der eigenen KI (Facebook und Instagram)

Ab dem 26. Juni 2024 will Meta (Facebook, Instagram) öffentlich zugängliche Daten (Posts / Kommentare / Bilder usw. von Usern) die über die angebotenen Produkte und Services geteilt werden zum Trainieren der eigenen KI verwenden.

Hintergrund

Den Einsatz generativer KI beschreibt Meta z.B. unter https://www.facebook.com/privacy/genai.

Aktuell verzichtet Meta in Europa noch auf die Verwendung von Nutzerdaten für sein KI-Training, ich empfehle hier aber dennoch sicherheitshalber einen Widerspruch!

Über die folgenden Formulare, kann man "Einspruch einlegen"

• Facebook - https://www.facebook.com/help/contact/6359191084165019
• Instagram - https://help.instagram.com/contact/767264225370182

Hinweis: Die Formulare werden nur angezeigt, wenn man eingeloggt ist. Ein Widerspruch ist rechtlich gesehen nicht an eine Form gebunden! Daher kann man auch per E-Mail widersprechen.

Windows 11 - DNS-Abfragen über HTTPS (DoH) absichern

DNS over HTTPS (DoH) bzw. Verschlüsselte Namensauflösung im Internet (#DNS over TLS) ist ein Sicherheits-Feature, das die Authentizität des DNS-Servers gewährleistet und die Anfragen an diesen Dienst verschlüsselt überträgt. Microsoft hat den Support für DoH in Windows 11 und Windows 10 integriert. Alternativ ist dies auch mit Hilfe vom Pi-hole möglich. In diesem Beitrag gehe ich kurz auf die Aktivierung der Funktion ein.

DoH-Unterstützung im Web-Browser

Die aktuellen Versionen aller gängigen Browser unterstützen bereits DoH. Siehe hierzu auch Microsoft Edge - Privatsphärenschutz verbessern / Startseite entfernen. Der Browser löst dann die Adressen über seinen eigenen integrierten DNS-Client verschlüsselt auf.

DoH-Unterstützung unter Windows

Unter "Einstellungen" => "Netzwerk und Internet" kann man die Einstellungen von Ethernet oder WLAN bearbeiten. Dabei muss man von "DHCP" auf "Manuell" umstellen und den DNS-Server manuell setzen.
Hier erlaubt Windows jetzt die Auswahl einer Option für die DNS-Verschlüsselung, wenn die Adressen dieser Server in der Liste der bekannten DoH-Server vorhanden sind (Get-DNSClientDohServerAddress).

Siehe auch https://docs.microsoft.com/de-de/windows-server/networking/dns/doh-client-support.

Microsoft Edge - Privatsphärenschutz verbessern / Startseite entfernen

In diesem Beitrag möchte kurz auf die Möglichkeiten eingehen den Datenschutz in Microsoft Edge zu verbessern und die Startseite (auch in neuen Tabs) zu deaktivieren.

In den Browser-Einstellungen die folgenden Einstellungen deaktivieren:

• "Profile / Microsoft Rewards" und "Profile / Browsing-Daten mit anderen Windows-Features gemeinsam nutzen"

Unter "Datenschutz, Suche und Dienste" die Tracking-Verhinderung auf "Streng" stellen. Ausnahmen von der Tracking-Verhinderung lassen sich, wenn nötig, hinterlegen. Zudem sollten auch alle Browserdaten gelöscht werden, wenn der Browser geschlossen wird. Auch hier lassen sich Webseiten eintragen, welche davon ausgeschlossen werden sollen.

Desweiteren müssen auch die folgenden Dienste unter "Datenschutz, Suche und Dienste" deaktiviert werden:

• Optionale Diagnosedaten
• Such- und Dienstverbesserung
• Personalisieren Sie Ihr Weberlebnis

Zu guter Letzt müssen auch die folgenden Dienste unter "Datenschutz, Suche und Dienste" deaktiviert bzw. aktiviert werden:

• Tippfehlerüberprüfung
• Aktivieren Sie die Sicherheitsdienste der Site, um weitere Informationen zu den von Ihnen besuchten Websites zu erhalten.
• Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist.
  

Unter "Dienste" sollte am Besten alle deaktiviert werden, da diese mit der Microsoft Cloud sprechen. Auch sollte unter "Datenschutz, Suche und Dienste / Adressleiste und Suche" die Such- und Webseitenvorschläge ausgeschaltet werden und eine datenschutzoptimierte Suchmaschine gewählt werden.

Auch sollten die Cookies von Drittanbietern blockiert werden unter "Cookies und gespeicherte Daten / Cookies und Websitedaten".

Als sehr nützlich hat sich auch die Erweiterung "I DON'T CARE ABOUT COOKIES" erwiesen.

Startseite entfernen

Die extrem überladene Startseite lässt sich mit Hilfe vom Setzen einer leeren Startseite (about:blank) umgehen. Dies geht unter "Start, Startseite und neue Registerkarten" und "Diese Seiten öffnen:".

Für neue Tabs, lässt sich dies mit dem Pluging "Custom New Tab URL" einstellen.

Web Browser - Anonymität im Internet (Canvas Fingerprinting), Schutz gegen Tracking

Welche Informationen eine Webseite sammeln kann und was man dagegen tun kann, beschreibe ich in diesem Beitrag. In den Standardeinstellungen blockt z.B. der Raspberry Pi mit Pi-hole vorwiegend Tracking- und Adserver (Raspberry Pi-hole - Installation). Pauschal kann ich vorab jedem nur empfehlen zumindest Pi-hole zu verwenden.

Welche Informationen eine Website mit Hilfe von Browserinformationen sammeln kann, zeigt die Webseite www.browserleaks.com. Hier findet sich eine Auswahl von Testtools für Webtechnologien, die zeigen welche persönlichen Identitätsdaten durchsickern können und wie man sich davor schützen kann.

Ein Schutz gegen Tracking kann man durch die folgenden Maßnahmen erreichen:

• Javascript deaktivieren, wenn nicht erforderlich (Erweiterung NoScript).
• Temporary Containers Firefox Add-on - Webseiten können in "Wegwerf-Container" geöffnet werden, die die Daten isolieren und nach Gebrauch löschen. So kann man problemlos alle Cookies akzeptieren.
  
• WebRTC (Web Real-Time Communication) ausschalten (about:config => media.peerconnection.enabled = false).
  
• Brave Browser verwenden. Das Ziel des Browsers ist es, alles im Web zu blockieren was die Privatsphäre gefährdet.
  
• Canvas Fingerprinting verhinden, mit Hilfe von CanvasBlocker.

 

Raspberry Pi-hole - Update Pi-hole

Derzeit kann man Pi-hole noch nicht über die Weboberfläche aktualisieren, da u.a. der Server neu gestartet werden muss.

Der folgende Befehl muss daher per Konsole (SSH-Verbindung) eingegeben werden:

pihole -up

Siehe auch Raspberry Pi-hole - Installation.

DSGVO - Was sind personenbezogene Daten?

Personenbezogenen Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Beispiele für personenbezogene Daten:

Bankdaten

• Kreditkarte, Kontonummer, Einkommen, Kontostände

Physische Merkmale

• Geschlecht, Haut-, Harr-, Augenfarbe, Statur, Kleidergröße

Kenn-Nummern

• Identifikationsnummer, Personalausweisnummer, Sozialversicherungsnummer

Besitzmerkmale

• Fahrzeug-, Immobilieneigentum, Grundbucheintrag

Onlinedaten

• Standortdaten, IP-Adresse, E-Mail-Adresse, Cookie-Kennung

Gesundheits-Informationen

• Genetische Daten, Krankendaten

Werturteile

• Schul- und Arbeitszeugnisse

Allgemeine Personendaten

• Name, Alter, Geburtsdatum, Anschrift, Familienstand

 

Siehe auch Bundesdatenschutzgesetz (BDSG) § 46 Abs. 1 https://www.gesetze-im-internet.de/bdsg_2018/__46.html .

Raspberry Pi-hole - DNS Service, FTL is not running

Sollte es nach der Einrichtung von Pi-hole zu den folgenden Problemen kommen, kann ein kurzer "checkout" vom "master Branch" helfen.

Meldungen:

• DNS service is not running
• DNS resolution is not available
• FTL is not running

Die aktuelle Version von Pi-hole mit dem folgenden Befehl installieren, anschließend werden auch die einzelnen Dienste (lighttpd, FTL service und DNS service) wieder gestartet:

pihole checkout master

Please note that changing branches severely alters your Pi-hole subsystems
Features that work on the master branch, may not on a development branch
This feature is NOT supported unless a Pi-hole developer explicitly asks!
Have you read and understood this? [y/N] y

Kommt es hierbei zu keiner Fehlermeldung, sollte Pi-hole wieder einwandfrei funktionieren!

 

Raspberry Pi-hole - Installation

Die Installation von Pi-Hole ist sehr schnell realisiert, wenn man die Ersteinrichtung des Raspberry Pi bereits durchgeführt hat.

Ersteinrichtung durführen

Siehe dazu die folgenden Artikel: Raspberry Pi Stretch Lite - Installation incl. SSH Fernsteuerung

Hinweis: Der WLAN Zugang sollte nicht eingerichtet werden, da der Pi direkt per LAN-Kabel den Router verbunden wird!

Pi-hole - Installation

Ist man mit dem Raspberry Pi per SSH verbunden muss man nur den folgenden Befehl ausführen und die Pi-HoleInstallation wird automatisch gestartet.

curl -sSL https://install.pi-hole.net | bash

Siehe auch https://raw.githubusercontent.com/pi-hole/pi-hole/master/automated%20install/basic-install.sh

Anschließend dem Installationsassistenten folgen und die folgenden Punkte auswählen:

Siehe auch: https://de.wikipedia.org/wiki/Quad9 inkl. Verschlüsselte Namensauflösung im Internet (#DNS over TLS) https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions.

Hinweis: Die IP-Adresse habe ich in meinem Fall auf 192.168.1.111 eingestellt. Siehe auch Raspberry Pi - WLAN Konfiguration inkl. reconnect und statische IP "jessie".

Hinweis: Sollten andere Nutzer im Haushalt nicht damit einverstanden sein, muss der "privacy mode" angepasst werden.

Die Installation von Pi-Hole ist jetzt abgeschlossen!

Das generierte Passwort zum Login für das Web-Interface kann auf Wunsch mit dem folgenden Befehl angepasst werden:

pihole -a -p

Anschließend sollte der Pi neugestartet werden:
sudo reboot

Das Web-Iinterface ist unter http://pi.hole/admin oder http://192.168.1.111/admin zu erreichen. Hier lassen sich dann z.B. weitere Einstellungen für die "Whitelist" vornehmen, falls Webseiten einen "Adblocker" erkennen.

Pi-Hole als DNS-Server einrichten

Damit Pi-Hole als "Adblocker" arbeiten kann, muss jetzt bei jedem Client im Netzwerk die IP-Adresse des Pi´s als DNS Server eingetragen werden.

 

Update: Die Einstellungen für AVM FRITZ! Boxen funktioniert nicht korrekt (siehe Anleitung unten)! Aus Sicherheitsgründen unterdrückt die FRITZ!Box DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen. Siehe auch https://en.wikipedia.org/wiki/DNS_rebinding.

Alternative: DNS-Server des Pi-Hole per DHCP bekannt machen

Folgende Einstellungen müssen bei der Fritz! Box vorgenommen werden:

• "Heimnetz" => "Netzwerk" => "Netzwerkeinstellungen" => "IPv4-Konfiguration".
• Jetzt unter "Lokaler DNS-Server" die IP-Adresse des Pi-Hole eintragen.

Jetzt sollten auf der Pi-Hole Weboberfläche "non-FQDN-Anfragen" erlaubt werden, damit im lokalen Netzwerk die Hostnamen der Fritz!Box weiterhin über den DNS-Namen erreichbar sind!

Die bessere Lösung ist aber den DNS-Server im Router (in meinem Fall eine FRITZ!Box 7590) anzupassen. Wie dies funktioniert, sieht man in den nachfolgenden Screenshots.

Hinweis: Es muss immer auch ein Backup DNS Server eingegeben werden. Falls der Pi mal einen defekt hat, kann man dennoch weitersurfen. In meinem Fall habe ich den von Cloudflare (1.1.1.1) verwendet.

Unter Settings => DNS (http://192.168.1.111/admin/settings.php?tab=dns) trägst man zuletzt noch die IP Adresse des Pi’s unter "Upstream DNS Server" ein:

Fazit: Weit über 50% von meinem Traffic ist jetzt werbefrei :-)

Aldi Wifi Steckdosen - undokumentiertes Web-Interface aufrufen

In der aktuellen c’t (1/2020) wurde mit Hilfe des "Raspion" nachgewiesen, dass das WLAN Passwort bei der Ersteinrichtung der Aldi Wifi Steckdosen unverschlüsselt (Erkennung anhand der Länge eines WLAN-Paketes) übertragen wird. In diesem Post möchte ich kurz auf das undokumentierte Web-Interface hinweisen.

Die Zugangsdaten zum Web-Interface (Login-Zugang) im Heimnetzwerk (wer hätte es gedacht) lauten:

• User: admin
• Passwort: admin

Die eigentliche Steuerung im LAN findet über den UDP Port 8530 statt:

• <IP-Steckdose>:<UDP Port>

Mit Hilfe des undokumentierten Web-Interfaces kann jeder im gleichen WLAN die Steckdosen beliebig an- und ausschalten.

Alternativ ist auch eine Schaltung per Bash-Shell oder Python möglich. Weitere Infos dazu unter http://www.ludwich.de/ludwich/smart_home_IdOTy.html .

Doodle Alternativen - Datenschutz freundliche Terminumfragen

Mit Hilfe von Doodle kann man schnell Terminumfragen oder auch einfache Online-Umfragen erstellen. Allerdings gibt es immer wieder Datenschutzrechtliche Bedenken. Es existieren zum Beispiel folgende datenschutzfreundliche Terminplaner mit vergleichbarem Funktionsumfang.

Foodle

• DFN-Terminplaner ein werbefreier Dienst des DFN-Verein.
• https://terminplaner.dfn.de

Digitalcourage-Tool

• Digitalcourace ist ein selbstbetriebenes und datenschutzfreundliches Tool für Terminplanung und Umfragen
• https://poll.digitalcourage.de

Datenschutz- und Werbeeinstellungen von Windows 10: Beispiele

In Windows 10 gibt es viele Einstellungsmöglichkeiten um Werbung von Microsoft und Datenübermittlung an Microsoft zu unterbinden. Anbei einige Einstellungen, welche oft vergessen werden.

Edge-Pop-Up und Benachrichtigungen mit Tipps und Vorschlägen:

• Einstellungen => System => Benachrichtigungen und Aktionen

Lokales Wörterbuch und Stifteingabe verbessern:

• Einstellungen => Datenschutz => Freihand- und Eingabeanpassung

Aktivitätsverlauf an Microsoft senden und lokal speichern:

• Einstellungen => Datenschutz => Aktivitätsverlauf

Mobilfunk - Bewegungsdatenerfassung deaktivieren bei o2 und Telekom

Die Mobilfunkanbieter o2 (Telefónica Deutschland) und Telekom (Motionlogic) erfassen die Bewegungsdaten der Mobilfunkkunden. Diese werden dann weiterverarbeitet und daraus Bewegungsprofile erstellt.

Nach den gesetzlichen Vorgaben werden diese Daten anonymisiert, so das keine Rückschlüsse auf einzelne Personen möglich ist.

Was genau kann man jetzt mit diesen Daten anfangen?

"Die Motionlogic GmbH nutzt die anonymen Daten, um hieraus zum Beispiel Hochrechnungen über Verkehrsflüsse zu erstellen."

Für die Datenanalysen werden drei Vertragsattribute

• Altersgruppe (10-Jahres-Schritte)
• Geschlecht
• Postleitzahl (erste 4 Stellen)

Quelle: Telekom Deutschland GmbH

Beide Unternehmen bieten die Möglichkeit diesem zu wiedersprechen:

• https://www.telefonica.de/dap/selbst-entscheiden.html
• https://www.optout-service.telekom-dienste.de/public/anmeldung.jsp

Amazon - Protokollierung kürzlich angesehender Artikel ausschalten

Auf der folgenden Seite https://www.amazon.de/gp/history/ref=sv_ys_0 listet Amazon einen detaillierten Verlauf von kürzlich angesehenen Artikeln auf.

Diese Historisierung lässt sich nach klicken auf die Schaltfläche "Ändern" ausschalten. Anschließend kann man die bisherige Statistik durch klicken auf "Alle Artikel aus der Ansicht entfernen" löschen.

Raspberry Pi-hole - Malware-Schutz fürs Heimnetz

Damit man bei all seinen Geräten (die mit dem Internet verbunden sind) einen Tracking-Schutz hat, kann man Pi-hole verwenden.

Hierfür benötigt man nur einen Raspberry Pi (die Leistung des 1er reicht hier vollkommen aus), ein Gehäuse als Staubschutz, ein Micro-USB-Netzteil mit 2A und eine SD-Karte mit mindestens 2 GByte. Eine SD-Karte mit einer hohen Schreibbelastung wäre zu empfehlen (z.B. Kingston Industrial).

In den Standardeinstellungen blockt der Raspberry Pi mit Pi-hole vorwiegend Tracking- und Adserver. Weitere Listensammlung findet man unter der The Big Blocklist Collection .

Siehe auch CHIP Magazin 08/2018 oder https://www.heise.de/tipps-tricks/Pi-Hole-auf-dem-Raspberry-Pi-einrichten-so-geht-s-4358553.html .

Amazon Alexa - Persönliche Sprachdaten löschen

Das Computer-Magazin c’t berichtet in der aktuellen Ausgabe über einen Alexa-Datenschutzskandal. Amazon hatte Daten an einen falschen Kunden im Zuge der Auskunftspflicht nach DSGVO versendet. Siehe auch https://www.heise.de/select/ct/2019/01/1546323197251453 .

Wie lassen sich die Alexa Sprachdaten löschen?

Unter der folgenden URL kann man die Sprachdateien jederzeit überprüfen und löschen:

• www.amazon.de/alexaprivacy

Hier werden alle Sprachaufnahmen chronologisch aufgelistet und lassen sich einzel oder komplett löschen. Alternativ geht auch der Weg über das "Amazon" Menü auf der rechten Seite (Mein Konto => Inhalte und Geräte => Alexa-Datenschutz).