Es gibt Stand 01/2026 im Dashboard kein Text Widget mehr.

Workaround:

• Add an "Item value" widget
• Uncheck "Show header" in the upper right corner
• Select any item (won't be visible)
• Uncheck all the boxes in the "Show" section, except for "Description"
• In "Advanced Configuration", add your text and set the properties you want in Description (size, position, boldness, colors)

Das Dashboard kann nur mit Nutzeranmeldung geöffnet werden, auch bei "Guest" muß der Nutzer ohne Kennwort eingegeben werden.

Workaround:

• Seite mit iFrame anlegen
• eingebettete URL: https://some.zabbix.com/index.php?enter=guest
• unter Administration > Allgemein > Sonstiges eine Ausnahme für die URL für die X-Frame-Option hinzufügen

• open Source Monitoring aus Riga / Lettland
• Zabbix monitored jedes IP-Gerät
• Server unter Linux, für viele Derivate, auch als fertige Appliance (Alma Linux)
• feste IP in /etc/sysconfig/network-scripts/ifcfg-[ens160]
• SQL-Datenbank speichert Historie
• Zabbix Agent LogFile - /var/log/zabbix/zabbix_agentd.log
  Agent Config file - /etc/zabbix/zabbix_agentd.conf
• Agenten:
  • active Agent (Client sendet bei Änderungen, gut für häufige Daten oder kurze Spitzen)
  • passive Agent (default, Server fragt Client regelmäßig ab)
  • SNMP
  • IPMI - Daemons (Management-Konsolen)
  • JMX (Java Management Extensions)
  • kein Agent (ICMP/HTTP, SSH, Telnet..)
• Templates
  • andere Templates suchen
  • yaml - Datei öffnen, RAW speichern
  • Zabix -> Data Collection -> Templates -> Import

Updates:

• dnf update (Alma)

Erste Schritte:

• Alert -> Actions -> Discovery Actions -> Create Action
• Name: Auto add Host in LAN
• Add: Discovery Rule (siehe unten)
• Operation: Add Host
  
  
• Data Collection -> Discovery -> LAN PING
• Checks: ICMP ping, HTTP, SSH

Backup & Restore:

• MySQL Backup
  mysqldump --single-transaction zabbix > /home/backup.sql (als Root ist kein Kennwort erforderlich)
• MySQL Restore
  mysql zabbix < /home/backup.sql
  
• Config Files
  /usr/lib/zabbix/*
  /etc/zabbix/*
  /etc/ngnix/*
• Frontend Tamplates -> Export als YAML File
• Zabbix Backup & Rescure

On Ubuntu 24:

• wget https://repo.zabbix.com/zabbix/7.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_7.0-1+ubuntu24.04_all.deb
• sudo dpkg -i zabbix-release_7.0-1+ubuntu24.04_all.deb
• sudo aps update
• sudo apt-get install zabbix-agent
• sudo nano /etc/zabbix/zabbix_agentd.conf  - Agent konfigurieren  (Hosname, Server, ServerActive)
• service zabbix-agent restart
• Zabbix: Linux by ZabbixAgent

On OPNsense:

-> siehe dort

On Proxmox PVE:

• siehe https://www.zabbix.com/de/integrations/proxmox
• Zabbix Template, User+API in Proxmox anlegen
• >100 Sensoren und Diagramme
• sudo apt-get install zabbix-agent
• Server IP in /etc/zabbix/zabbix_agentd.conf
• sudo systemctl restart zabbix-agent - Restart
  
• sudo systemctl status zabbix-agent  - Funktionstest
• Proxmox mit Zabbix per API verbinden (Monitoring Proxmox VE using Zabbix Agent - Geek is the Way!)
  PVE host:
  1. zabbix@pam user created
  2. API token for the user created
  3. Permissions as described in the guide assigned to the user
  Zabbix server:
  1. Macros defined (PVE.TOKEN.ID, PVE.TOKEN.SECRET, PVE.URL.HOST with the values from PVE
  2. PVE host created with Proxmox VE by HTTP template (Kopie) assigned (IP address defined)
  3. Added to host groups Linux and Hypervisors
  4. Monitoring/Hosts shows 2 hosts, the zabbix server itself and the PVE host

On Ubiquiti Edge Switch:

• siehe https://www.zabbix.com/de/integrations/ubiquiti
• SNMP, Traffic aller Ports

kein Agent, kein SNMP:

• Template: ICMP Ping (Ping, Loss, Response Time)

Alarmierung:

• Alerts -> Media Type -> nach Wunsch konfigurierien + ENABLE
• Users -> Users -> Media Type hinzu fügen
• Alerts -> Actions -> Trigger Actions konfigurieren
•   Add -> Type: Trigger severty, Operator: equals, Severity: High
•   Operations: konfigurieren, Default operation step duration, Alert= enable

Zabbix Agent 2:

• gibt es (noch) nicht für alle Plattformen
• speichert Daten zwischen
• Parameter "system.hostname" gibt den kurzen Hostname zurück
• zusätzliche Items wie Dateibesitzer, Dateiberechtigung
• Überwachung von TLS/SSL-Zertifikaten auf Gültigkeit und Details

Maps sind interaktive Bilder vergleichbar mit Prozess-Schaubildern in PLS-Systemen.
- Elemente (Hosts, Host Groups, Maps, Trigger) können sich je nach Item-Trigger ändern
- Verbinder (Links) können sich je nach Item-Trigger ändern
- Shapes sind Rechtecke / Ellipsen / Linien mit Beschriftung ohne Aktion

Map-Elemente können:
- Links zu anderen Karten enthalten
- Staus des Elements / der Hostgroup anzeigen
- Makros nutzen zur Anzeige von Realtime Daten

• Icons werden verwaltet in Administration -> General -> Images
• Maps verwaltet unter Monitoring -> Maps
• Maps (public oder private) können in Dashboards eingebunden werden
• Maps können in Maps eingebunden werden

• Monitoring mit Zabbix
• Zabbix ausführlich vorgestellt (Linux-Magazin)
• Zabbix einrichten und konfigurieren (Linux-Bibel)
• Zabbix Template für PBS Proxmox Backup
• Zabbix Template für Veeam Backup per API (nicht Community Edition)
• Zabbix Monitoring für Veeam per Powershell

• Schlüssel auslesen unter Monitoring -> Latest data, Haken bei "Show details" + Apply  (grüne Zeile)
  
• {HOST.HOST} / {HOST.NAME}: Displays the host's name (or DNS name if configured).
• {HOST.IP}: Shows the host's IP address.
• {HOST.DNS}: Displays the host's DNS name.
• {HOST.CONN}: Shows the host's connection address (IP/DNS).
• {HOST.ID}: Displays the host's internal numeric ID
• {?last(/{HOST.HOST}/icmppingsec)}  - LAST -Wert von icmppingsec
• {?avg(/{HOST.HOST}/icmppingsec,30m)} - Durchschnittswert, 30 min
• {?last(/{HOST.HOST}/net.if.in[igc0])}  - aktueller Wert von Interface igc0 / In
• statt HOST.HOST kann auch ein anderer HostName angegeben werden
  Bsp. für WAN-Link:
  In: {?last(/OPNsense Schieben/net.if.in[igc0])}
  Out: {?last(/OPNsense Schieben/net.if.out[igc0])}

Jeder hat inzwischen eine regelmäßige Datensicherung.
Dabei werden die wichtigsten Daten auf ein separates Medium gespeichert und für einige Tage oder Wochen aufbewahrt.

Das ist gut, aber keineswegs perfekt.

Die 3-2-1 Backup Regel gilt inzwischen nicht mehr als Stand der Technik, googlen Sie beispielsweise mal nach  3-2-1-1-0 Backup.
Aber selbst diese 3-2-1 Regel halten Viele nicht ein.
Die 3-2-1-Backup-Strategie besagt, dass von den zu schützenden Daten drei Kopien erstellt werden, die Kopien sollen auf zwei verschiedenen Arten von Speichermedien gespeichert werden und eine Datenkopie soll an einem externen Standort vorgehalten werden.

Außerdem ist ein Backup natürlich kein Archiv.
Daten, die vor längerer Zeit gelöscht oder geändert wurden, sind damit nicht im alten Zustand wiederherstellbar.
Die E-Rechnung ab kommendem Jahr sollte ein Grund sein, mal über Archivierung nachzudenken.


Mein Vorschlag für den Anfang:

Erstellen Sie ein separates Jahresbackup zum Jahreswechsel.

Speichern Sie darauf alle wichtigen Daten, beschriften Sie das Backup mit "2025" und heben Sie es dauerhaft an einem getrennten, sicheren Ort auf.

Sie haben für den Notfall eine Datenkopie sicher, auch wenn der Serverraum abbrennt, der IT-Mann durchbrennt oder ein Virus das letzte Backup vernichtet.
Sie haben damit ein kleines "Archiv", also eine jährliche Kopie Ihrer alten Daten.


Für Langzeitbackups gilt es ein paar Dinge zu beachten.
1) Nutzen Sie möglichst keine proprietäre Backup-Software, denn die gibt es ggf. in mehreren Jahren nicht mehr.
•  Keep ist simple. Ich würde ZIP oder TAR als langlebiges und universelles Datenformat empfehlen, gerne auch mit Verschlüsselung.

2) Das Speichermedium soll langlebig sein.
• QIC Tapes, ZIP-Drives u.ä. kann heute fast keiner mehr lesen, weil es die Laufwerke nicht mehr gibt
• SSD sind für Langzeitspeicher nicht geeignet, denn sie benötigen regelmäßig Strom, um ihre Daten zu erhalten
• besser geeignet sind USB-Festplatten, USB-Sticks, Magnetbänder oder DVDs

• VNC (Virtual Networking Computer) - eine der ältesten Lösungen
  - Zugriff nur im LAN oder über vorhandenes VPN
  - plattformübergreifend, direkte Steuerung der Server-Konsole, auch mehrmals gleichzeitig
  - Open Source, viele freie Forks,
  - UltraVNC - Open Source, nur für Windows (alle Versionen), TCP Port 5900 (änderbar)
    auch als Dienst, mit Dateitransfer, Verschlüsselung mit PlugIn, Remote-Bildschirm skalieren, Zwischenablage (Text) in beide Richtungen, deutlich langsamer als RealVNC, (Nutzer= root oder leer, Passwort jeweils für Schreibzugriff und Lesezugriff)
  - TigerVNC (kostenfrei, auch als Dienst, tut was es soll, langsamer als RealVNC, Zwischenablage, kein Dateitransfer, Verschlüsselung veraltet)
  TigerVNC unter Linux
  - TightVNC - free, auch kommerziell. Java-basiert, auch als Dienst, alle Plattformen. kompatibel mit anderer VNC-Software, Text-Zwischenablage
  - ThinVNC (per HTML5/AJAX mit aktuellen Webbrowsern (unverschlüsselt))
  - Real-VNC (Klassiker, schnell, kostenpflichtig, Dateitransfer) - nur noch Mietlizenz, außer Enterprise nur noch Cloud
  
  
• noVNC
  - einfache Open Source VNC Fernsteuerung
  - keine Zwischenablage, kein Sound
  - Host für Linux, in KVM / Proxmox integriert
  - HTML5-Browser als Client (Default: Port 8006)

• Teamviewer
  - Zugriff im LAN oder WAN/Internet
  - Kommerzielle Fernwartung- / Remoteverwaltung Software
  - Zwischenablage bidirektional, Dateitransfer, Sound, sehr gute Performance und Skalierbarkeit
  - Windows Host: direkte Steuerung der Server-Konsole, auch gleichzeitig
  - Linux Host: Steurung der Shell, keine GUI
  - Zugriff im LAN oder mit integriertem P2P VPN über Router und Firewalls hinweg
  - P2P mit zentralem Vermittlungsserver (Sicherheitsrisiko)
  - Client für alle OS, inclusive Android (extra Lizenz)
  - Flagschiff mit entsprechend hohen Preisen, nichtkommerziell frei (nicht für Server-OS)
  - Server (Host) ist lizenzfrei, Client muß lizenziert werden
  
  
• UK: Teamviewer im Firmenumfeld

• Rustdesk
  - Zugriff im LAN oder WAN/Internet
  - Open Source, Hauptentwickler aus Singapur
  - Bildschirm teilen, Fernsteuerung, Filetransfer, Audioübertragung
  - originale Auflösung oder skaliert
  - Verbindung herstellen über Einmalpasswort, Permanentpasswort und/oder "Zustimmen klicken" der Gegenseite (konfigurierbar)
  - unlimited (unmanaged) devices FREE, No limit of concurrent connections
  - eigener Server (Linux oder Windows) oder zwei kostenfreie Public Server (u.a. in DE)
  - im internen Netz direkte Verbindung über IP (unverschlüsselt) möglich (Sicherheit: Direkten IP-Zugriff aktivieren)
  - automatische Erkennung von Rustdesk-PCs im LAN konfigurierbar
  - Client für Windows (läuft ohne Installation, keine admin. Privilegien), Linux als Dienst (eingehend nur X11, Wayland experimentell), Android (!), IOS (nur Client), WEB (nur paid)
  - Ende-zu-Ende verschlüsselt
  - Ports: 21115 bis 21119 tcp und 21118 udp am Vermittlungs-Server freigegeben (Firewall)
  - Android Gerät steuern (in beide Richtungen): Berechtigung: Eingabesteuerung=ON, RustDesk Input verwenden, Verbindungsserver starten
  - Pay-Version: Adressbuch, verwaltete Sitzung, Websession, AccessControl
  - Doku: https://rustdesk.com/docs/de/

• RDP (Remote Desktop)
  - Zugriff nur im LAN oder über vorhandenes VPN
  - Microsoft Netzwerkprotokoll für Fernzugriff (Port 3389/TCP und 3389/UDP)
  - Zwischenablage bidirektional, Dateitransfer, Sound, Remote Drucker, Remote Laufwerke, sehr gute Performance und Skalierbarkeit
  - Windows: Client (mstsc.exe) und Server in allen Windows-Versionen ab NT 4.0 integriert (Home-Versionen: nur RDP-Client)
     RDP-Sitzung übernimmt die physische Konsole (Konsole ist gesperrt, RDP-Sitzung übernimmt, kein gleichzeitiger Betrieb möglich)
  - Linux: Client und Server verfügbar, in vielen Distributionen vorinstalliert (Server: Bildschirmfreigabe, Client: Remmina + remmina-plugin-rdp)
    Linux Mint 21.1: RDP überträgt nur Text, keine Grafik!
  - Clients auch für Android, IOS, ChromeOS u.a.
  
  
• XRDP
  stabiler RDP-Server für Linux (Mint)
  (apt install xrdp, systemctl enable xrdp, ufw allow 3389/tcp)
  
  
• Windows Shadowing (mstsc.exe): https://administrator.de/contentid/500133
• Windows RemoteUnterstützung (msra.exe): https://administrator.de/wissen/einrichtung-fernwartung-bordmitteln-vista-111579.html

• Spice
  - Open Source, eigenes modernes Protokoll  (Spice Client Windows ist von 2018)
  - SSH auth., Remote Access, Video Streaming, USB Redirect, Clibboar Sharing
  - Client: Simple Java Webclient, Client für Windows, Android, Linux, Remmina mit Erweiterung
  - Server: Linux, KVM/Proxmox
  - Clipboard (Grafik+Text, bidirektional) erfordert Client-Installation!
    Linux: (sudo apt install spice-vdagent, sudo systemctl start spice-vdagent, sudo systemctl enable spice-vdagent)
    Windows: spice-guest-tools
    All-OS: Virt-Manager
  - Spice Fenster verlassen: [Strg]-[Alt]-R
  
  
• NoMachine
  - verschiedene Editionen, von Free (Privat) bis Terminalserver und Cloud
  - browserbasierend (nur Enterprise)
  - sehr schnell
  - Desktop Sharing
  
  
• MeshCentral
  - Open Source
  - professionell mit Logging, Rechteverwaltung, 2FA usw.
  - eigener Server (Linux oder Windows) oder Public Server
  - Client für Windows oder Linux
  
  
• WhatsApp Web
  - simpelste Lösung für Dateitransfer auf alle Plattformen, Ende-zu-Ende verschlüsselt
  - erforderlich: Browser + Gerät mit WhatsApp
  
  
• Signal Messenger
  - simpelste Lösung für Dateitransfer auf alle Plattformen, Ende-zu-Ende verschlüsselt
  - erforderlich: Signal Client + Gerät mit Signal
  
  
• Splashtop
  - preisgünstige Teamviewer Alternative
  
  
• Anydesk
  - preisgünstige Teamviewer Alternative
  
  
• AnyViewer
  - schnelle VNC-Lösung von AOMEI / China
  - kostenlos für privat, preiswert für Business
  - sieht sehr Teamviewer-ähnlich aus
    (keine eigenen Erfahrungen)
  
  
• x2go
  - Vollzugriff auf Linux Desktops
  - x2go-Server:
  sudo apt install xubuntu-desktop (nur für X2go-Zugriff, Standarddesktop bleibt unverändert)
    sudo apt install x2goserver
  - X2go Clients für Windows, Linux und McOS  (Sitzungsart: XFCE)
  - reicht USB und Sound per SSH-Tunnel weiter
  
  
• X11vnc - VNC-Client/Server
  - XServer basierend, nutzt virtuellen Desktop
  - Bestandteil vieler UNIX-Systeme
  
  
• RAdmin
  - leistungsstarke Software für Fernzugriff und Remoteverwaltung unter Windows incl. VPN
  - unbefristete Dauerlizenz, 30 Tage Testlizenz
  - Viewer ist kostenlos, lizenziert wird pro Host

• Multi Remote Desktop Manager
  Universal-Clients für unten genannte Protokolle
  
  - Devolutions - Remote Desktop Manager (Multi Platform), Windows, macOS, Linux, Android, and iOS
    (lokal installieren, Hauptschlüssel anlegen, Sicherheit: Anwendungspasswort+MFA, Daten importieren)
    • RDP, SSH, VNC, VMWare, Hyper-V, Telnet, FTP, Powershell, Anydesk, Teamviewer, HTTP/S, SNMP..... (Multi Protocol)
    • Datenbank lokal oder Cloud (free) oder Team (kostenpfl.)
    • Tools:Network Scan, WoL
    • Forum
  
  - Rocket Software - Remote Desktop (Windows), ehem. ASG Remote, kostenpflichtig
    Universal Client für RDP, VNC, SSH based terminals, S/FTP or web-based interfaces
  
  - Royal Applications
    Universal Client für RDP, VNC, SSH based terminals, S/FTP or web-based interfaces

• E-Mail Datenformate
• E-Mail-Archivierung von Tobit David.fx
• Tobit Mail Access Server einrichten

Version 13 (08/2020)
- Anpassung der Cloud-Kompatibilität zu MS-365 und Google G-Suite
- Support von OAuth2 und OpenID Connect für Public Cloud
- keine unverschlüsselsten Verbindungen werden mehr unterstützt, auch nicht lokal zum Client

Version 10.1 (02/2020) archiviert bis 20% schneller
- hat verbessertes Outlook AddIn
- abgesicherter Mode, keine Jobs oder Profile, keine Useranmeldung (nur Admins)
- unterstützt kein MS Vista, Server 2008 und SmallBusiness 2008 mehr und damit auch kein Windows Mail.
- "Gateway" ersetzt den bisherigen Proxy, kostenloses und unabhängig von Mailstore nutzbar
- Compiliance: individuelle Aufbewahrungsregeln nach Betreff, Mailadresse u.a. definerbar,
die "Aufbewahrungsdetails" sind an jeder Mail sichtbar.
- neu: "Letzte Ergebnisse" auf einen Blick.

Ab Version 10.0 gibt es einen Wiederherstellungsschlüssel.
- notwendig zum Rücksichern auf andere Hardware
- Verschlüsselung der gesamten Datenbank
- per Default ist das der Produktschlüssel.

Das Gateway ersetzt den bisherigen Mailstore Proxy und bietet ein Sammelpostfach (Journaling) für Office365, G-Suite u.a.
Gateway arbeitet als SMTP- und POP3 -Proxy.
Es unterstützt eigene Zertifikate oder Let`s Encrypt (Port 80!) für SSL.

(VERALTET) Das Proxy-Übergabeverzeichnis enthält .EML-Dateien (die eigentlichen Mails) und .MPR-Dateien. Letztere enthalten die Header-Informationen für die korrekte Zuordnung in ein Archivpostfach.
Achtung! Bei Catch-All wird hier eingehend nur der POP3-Recipient, also die zentrale Abrufadresse übergeben! (Stand Version 10.1.4.12522, 09/2017) Die Proxy-Variante ist also mit Catch-All nicht nutzbar bzw. kann die Mails nicht Usern zuweisen.
Bei ausgehenden Mails erfolgt die SMTP-Proxy-Zuordnung korrekt.
Bei der in den nächsten Jahren zu erwartenden Zunahme von Ende-zu-Ende verschlüsselten E-Mails ist die Proxy-Variante nicht mehr nutzbar und wird deshalb nicht mehr weiter entwickelt.

Mailstore ist eine deutsche, günstige, universelle und leistungsstarke Software zur E-Mail-Archivierung.
Ein umfangreiches Audit-System gewährleistet die gesetzeskonforme Überprüfbarkeit.
Das Mailarchiv ist verschlüsselt und wird dedupliziert.
Der Zugriff erfolgt über einen eigenen Client, über übliche Mailclients oder per WEB-Browser.
Neben Schnittstellen zu Exchange, G-Mail, Kerio, MDeamon, IceWarp beherrscht das Programm den POP3/IMAP-Abruf und hat für hartnäckige Fälle ein Mail-Gateway dabei. Das Gateway erstellt ein Journaling-Postfach für Office 365, G-Mail oder andere.

Außerdem erlaubt es den direkten Zugriff auf die Postfächer der gängigsten Mailclients wie Outlook, Thunderbird, SeaMonkey, Windows Mail oder LiveMail.
Der Zugriff auf einzelne EML-, PST oder MBOX-Dateien ist ebenso möglich.
Mailarchiv kann nicht nur importieren, sondern exportiert die Nachrichten bei Bedarf auch wieder in allen genannten Formaten.
Damit ist das Programm auch als leistungsfähiger Konverter zwischen den gängigen Formaten einsetzbar. (Tip: kostenlose Version "Mailstore Home")

Es kann systembedingt keine verschlüsselte Kommunikation (lesbar) speichern.
Eine leistungsstarke Suche rundet den Mailstore-Client ab.

Die Benutzer des Mailarchiv können frei erstellt oder über diverse Schnittstellen eingelesen werden. (AD, LDAP, Office365, MDeamon Userlist...)
Die Lizenzierung erfolgt pro aktiven Benutzern.
Alte Benutzer-Postfächer können lizenzfrei im Archiv bleiben.

Mailstore arbeitet auch ohne aktuelle Maintenance.
Allerdings gibt es dann keinen Support und keine Updates mehr. Auch Lizenzerweiterungen sind nur mit aktueller Maintenance möglich.

Unterschiede von Mailstore Home:

• Freeware Version
• kein Herstellersupport
• auch als Portable-Version
• max. 6 Accounts, max 3 mit gleichem Protokoll
• Das kostenlose Mailstore Home ist auf 2 Exchange-Postfächer beschränkt.
  Es besitzt keine Benutzerverwaltung, keine Rechteverwaltung und kein Logging.
  Außerdem läuft es nicht als Dienst und ist damit keine lückenlose, DSGVO-compliancegerechte Archivierung.

Für Tobit David ist die Archivierung über die IMAP-Schnittstelle geeignet.
Per IMAP-Sammelpostfach läßt sich beispielsweise das DUPLOG abgreifen und über die Mailadressen den ursprünglichen Benutzern im Archiv wieder zuordnen.
Interne Kommunikation wird dabei mit erfasst.
Anleitung: https://help.mailstore.com/de/server/E-Mail-Archivierung_von_Tobit_David.fx

Tips:
- Verwaltung: SMTP konfigurieren
- Jobs anlegen: Statusbericht senden, DB-Wartung, Integrität, defekte Indexe rep., Backup erstellen
- Suchindizes: PDF-Suche aktivieren! Office +  PDF-Filterpack laden.
- Compilance/Archiv-Zugriff/ freigeben-blockieren (Archiv-Zugriffe für Administrator ist per Default blockiert)

- Compilance/Aufbewahrungsrichtlinien (mehrschichtig, nach beliebigen Suchkriterien in den Nachrichten)
- Richtlinien werden von oben nach unten abgearbeitet
- kürzere Fristen nach oben, längere nach unten

- Neuinstallation mit Testlizenz durchführen. (30 Tage, 500 Benutzer!)
Mit der Testlizenz lassen sich alle vorhandenen User archivieren, anschließend braucht man nur Volllizenzen für die aktiven User.
- 1 Userlizenz ist für öffentliche Ordner erforderlich, wenn mehrere User in das Archiv sehen können sollen.
(ansonsten kann man den Ordner auch einem User zuordnen)
- ausgeschiedene Mitarbeiter werden im Mailstore gelöscht. Damit wird die Lizenz wieder frei. Das Archiv bleibt bestehen und kann einem anderen Mitarbeiter zugewiesen werden.
- User "admin" kostet keine Lizenz
- NFR-Lizenz läuft auch ohne Wartung weiter (keine Updates)
- Mailadressen (Gruppenmails) können in mehreren Benutzern eingetragen werden, dann werden diese Mails bei allen archivert.
- selbstsigniertes Zertifikat: öffentlichen Key als Base-64 exportieren, in Domäne als "Vertrauenswürdige Stammzertifizierungsstelle" ausrollen

MS Exchange:
Postfach - DB - Journalempfänger aktivieren,
neues Postfach anlegen und auswählen.

Technische Hinweise:
• Protokolle liegen in c:\ProgramData\Mailstore\Debug.log (Fehlersuche nach "EXCEPTION")
• Antivirus: MS-Proxy und Datenbank von Echtzeit-Scan ausnehmen!
• leistungsfähige API für Wartung und Reparatur
- alle vorhandenen Indexe neu aufbauen:
1. SelectAllStoreIndexesForRebuild
2. RebuildSelectedStoreIndexes
• Firebird DB (.fdb)
• Webserver integriert, basiert nicht auf IIS
• Mailadressen im AD einpflegen! ADSI-Editor: proxy.Adresses
• AES-Verschlüsselung basiert auf KEY. Widerherstellungs-Key erstellen und sichern!

Rechtliches:
- Aufbewahrungsfristen gehen über Löschfristen.
- private E-Mails dürfen nicht in Firmenaccounts archiviert werden.
-> Verbot der Privatnutzung
-> explizierter Abtritt des Fernmeldegeheimnisses (Problem: Widerruf, Zustimmung der Gegenseite)

Ungeliebt und lästig, ist das Backup doch eine der wichtigsten Grundaufgaben an jedem Computer, auf dem Daten liegen oder dessen Ausfall schmerzt.

Grundregeln:

1. Sichern so oft wie nötig.
2. Backups müssen außerhalb der Reichweite möglicher Fehlerquellen liegen.
3. Sicherungen so lange wie nötig aufbewahren.
4. Backups sollten auch nach langer Zeit noch lesbar sein.
5. Ein Backup sollte möglichst automatisch laufen, es muß einfach gehen und darf nicht vergessen werden können.

Im Detail bedeutet das:

1. Sichern so oft wie nötig.
Ändern sich die Daten nur in großen Abständen, reicht ein großes Sicherungsintervall.
PCs oder Server ohne nennenswerte Bewegungsdaten können wöchentlich oder monatlich gesichert werden.
Im Normalfall wird jedoch täglich gesichert. Die Sicherung erfolgt incrementell, d.h. es wird nur die jeweilige Änderung gesichert. Das Backup erfolgt möglichst außerhalb der Nutzungszeit.
Sind die Daten weniger Stunden bereits zu wertvoll, werden Server oder Verzeichnisse in entsprechend kurzen Intervallen repliziert oder per Snapshot gesichert.

2. Backups müssen außerhalb der Reichweite möglicher Fehlerquellen liegen.
Backups schützen Daten unter anderem vor Brand, Wasserschaden, Vandalismus, Hard- und Softwaredefekt, Virenbefall, Ransomware oder Fehlbedienung.
Früher hat der Chef das Streamerband mit nach Hause genommen. Heute steht dort eine 30 kg schwere Tape-Library oder ein NAS. Um die oben genannte Forderung zu erfüllen, muß sich das Sicherungsgerät in einem anderen Brandabschnitt befinden. Günstig ist ein anderes Gebäude, ideal ein anderer Standort.

Backups werden zunehmend in der Cloud abgelegt. Das hat Vor- und Nachteile. Der unabhängige Standort ist gewährleistet, der Cloud-Anbieter hat meist potente und weitgehend ausfallsichere Hardware.
Cloud bedeutet in Klartext "fremder Computer". Personendaten (Adressbuch, E-Mail, Lohn..) dürfen nicht außerhalb der EU abgelegt werden. Generell würde ich Daten in der Cloud immer verschlüsseln.
Kein Anbieter garantiert mir, dass er und meine Daten in 5 Jahren noch vorhanden sind. Für Langzeitsicherungen sollte man das bedenken. Dropbox oder Amazon beispielsweise schließen Haftung bei Datenverlust gänzlich aus.
Selbst wenn der Anbieter hochverfügbar ist,- meine DSL-Anbindung zu ihm ist es nicht.
Außerdem sollte man mal durchrechnen, wieviel Stunden oder Tage eine Rücksicherung von einigen TB Daten aus der Cloud dauert.

Günstig und weit verbreitet sind Backups auf Netzwerkfestplatten. Wichtig ist hier der Zugriff über ein separates Benutzerkonto. Andernfalls fegt Ransomware und Co. das Backup genau so schnell weg wie die Originaldaten. Wenn möglich, sollte das unabhängige Backup-Gerät die Daten abholen, d.h. Zugangsdaten liegen nur auf diesem Backup-Gerät. Netzwerkprotokolle wie NFS oder iSCSI sind besser geeignet als SMB-Freigaben, weil sie von anderen Windows Clients schwer erreichbar sind.

3. Sicherungen aufbewahren.
Ein Backup ist keine Archivierung. Es dient der Wiederherstellung bei Verlust. Für eine Langzeitarchivierung gelten andere Regeln.
Im Normalfall reicht es bei der täglichen Sicherung, die letzten 7 Tage komplett sowie die letzten 4 Wochen 1x Sicherung je Woche aufzubewahren. Doch der Teufel steckt im Detail. Merkt man erst nach 5 Wochen, dass eine Datei fehlt oder einen falschen Stand enthält, gibt es kein Zurück.
Hier greift das Archiv, wenn vorhanden.
Je länger man die Sicherungen aufbewahren kann, um so besser.

4. Backups sollten auch nach langer Zeit noch lesbar sein.
Dieser Punkt ist für Kurzzeitbackups kein Problem, aber für Langzeitsicherungen nicht trivial.
Regelmäßig erscheint eine neue Streamergeneration. ZIP-Laufwerke, MO-Medien usw. kennt kaum noch jemand.
Auch Sicherungssoftware wechselt über die Jahre ihr Datenformat, das alte Programm läuft nicht mehr auf neuen Betriebssystemen.
Backups mit Windows-eigenen Backuptools laufen meist nur in der jeweiligen Windows-Version.

5. Ein Backup sollte automatisch laufen, es muß einfach gehen und darf nicht vergessen werden können.
Im Normalfall braucht man kein Backup und unterschätzt die Wichtigkeit im Alltag schnell. Deswegen sollte ein Backup ohne Zutun arbeiten, so wenig wie möglich nerven und sich mit wichtigen Meldungen automatisch in Erinnerung bringen. Manuelle Backups sind meiner Meinung nach keine sinnvolle Dauerlösung.

Empfehlungen:

Für virtuelle Umgebungen (VMWare, Proxmox...) ist mein Favorit Veeam Backup. Das Programm ist ausgesprochen robust und zuverlässig, benötigt keinen Client, dedupliziert und ist einfach bedienbar. Proxmox Backup Server ist eine bezahlbare Alternative für Proxmox VE.

Für kleine Umgebungen und auch im Heimbereich ändert sich meine Empfehlung von Zeit zu Zeit.
Die FAQ zeigt meine aktuellen Favoriten.

Mit den Enthüllungen der letzten Jahre hat sich die Sicherheitsbewertung der gesamten IT grundlegend geändert.

Geheimdienste verletzten deutsche Gesetze, um auf jedem Weg an Wirtschafts- und Personendaten zu gelangen.
Deutsche Firmen und Behörden tauschen Daten mit ausländischen Geheimdiensten auch außerhalb der EU.
Internetknoten und Smartphones werden angezapft und alle Daten verdachtslos abgegriffen.
Amerikanische Firmen wie Google oder Microsoft und selbst deutsche Firmen mit amerikanischen Töchtern unterliegen dem Patriot Act und müssen im Prinzip alle Daten preis geben, selbst wenn diese auf europäischem Territorium liegen.
Weit verbreitete Schaltkreise, die zur Verschlüsselung dienen, erstellen Ihre Ergebnisse nach einem der NSA bekannten Muster.
Diverse Verschlüsselungsverfahren wurden sogar von der NSA „standardisiert“.

Das bedeutet, dass die Datensicherheit mit den herkömmlichen Mitteln nicht mehr in gewohnter Weise und vollem Umfang gewährleistet ist.

Vollständiger Zugriffsschutz ließe sich nur erreichen durch:

• Konsequente Vermeidung von nichteuropäischen Betriebssystemen, Anwendungssoftware und Hardware. Ersatz durch deutsche, europäische oder Open-Source-Lösungen, bei denen die Quelltexte offen liegen.
• Datenverschlüsselung mit Open-Source Lösungen im LAN, beim Backup und bei allen Daten, die das Haus verlassen.
• Trennung der Netzwerke.

Besonders die erste Forderung ist kaum realistisch.

Vergleichbare europäischen Betriebssysteme, Softwarelösungen und Hardware gibt es nicht.
Auch das Internet ist mit der zentralen Namens- und IP- Vergabestelle InterNIC und dem zentralen Trustcenter VERISIGN unter US-amerikanischer Kontrolle.

Zu pessimistisch?
Leider nein.
Deutschland und Europa hat keine nennenswerte eigene Computerhardware oder Betriebssysteme.

Hier muß jeder selbst denken und handeln.
Verlassen Sie sich nicht auf Ihre Systemhersteller.

Wir helfen Ihnen mit einem individuell zugeschnittenen Sicherheitskonzept.