Mein Weg weg von Google

Google, beziehungsweise meine intensive Nutzung von Google, ist mir schon länger ein Dorn im Auge – mit der jüngsten Änderung der Datenschutzrichtlinie ist das auch sicherlich nicht besser geworden. Auch wenn ich nicht weiß ob ich ganz ohne Google kann, so soll es doch so wenig wie möglich sein.

Da ich ohnehin für  diverse Server (Vserver, echte Server) im Internet Geld bezahl, möchte ich bei der Gelegenheit meine Daten gleich so komplett wie möglich der „Cloud“ entziehen. Ein anderer Ansatz auf den ich aufmerksam geworden bin migriert hin zu anderen Webdiensten – für mich immer noch zu Cloudy, aber sicher besser als sein ganzes Leben bei Google zu speichern.

Außerdem soll alles nach Möglichkeit mit offener und freier Software passieren, offene Standards verwenden und in alle Richtungen kompatibel sein.

Vor der Migration benutzte ich Google für:

  • Suche – selbstverständlich, der Umstieg von Altavista zu Google war ein Quantensprung
  • Gmail, seit 2004 – ohne Frage war das für mich die beste Alternative wenns um Webmail geht, blitzschnell und einfach gut
  • Google-Documents – für mich vor allem praktisch für Dokumente die man von verschiedenen Orten aus nutzen mag, Listen und so
  • Kalender – war seit seiner Einführung der Einzige Kalender den ich überhaupt genutzt habe, auch wenn er nicht so fortschrittlich war wie die Suche/Email damals.

Adressverwaltung – kam irgendwie mit Gmail mit, und war zumindest 2004 ca. 5000 mal moderner als alles was GMX und web.de so konnten: „Email an Kontakte“ – „Adressbuch öffnen“ dann Durchblättern und per Checkbox die Leute auswählen denen man jetzt eine Mail schreiben will – und das im 21 Jahrhundert.

Android – Vorallem deswegen Google, weil man sofort alle seine Daten verfügbar hat, Email Adressen, Kalender, Telefonnummern etc. Android seh ich immernoch als das einzig akzeptable Handy-OS. Ziel ist hier auch nicht ohne Android zu leben, sondern einfach nur keine Daten mehr mit Google zu tauschen, und am Ende den Googleaccount vom Handy zu entfernen.

Migration Teil 1: Eigene Email

Das war nun wirklich nicht sehr kompliziert, die Domain mit dem eigenen Nachnamen kostet maximal 1€/Monat, und kriegt man heute eh mit jedem 2. Server oder Webspace gratis mit dazu. Ich verwende einen Ubuntu 8.04 LTS Server für mein Setup, postfix nimmt die Mails an und Dovecot stellt sie mir über IMAP zur Verfügung. Ging irgendwie alles mit ein paar apt-Befehlen und minimaler Konfiguration. Grad bei Mailservern geb zu ganz gern auf webmin zurückzugreifen – kommt wohl noch aus meiner sendmail Zeit 😉

IMAP kann mein Handy, über den nativen Mailclient oder K9-Mail, ich hab damit push Mail und bin immer synchron mit meinen Desktopclients (Mozilla Thunderbird). Die Möglichkeiten gehen beim selber machen natürlich immer weit über das hinaus was man bei einem gratis Web-Dienst kriegt. Ich verschicke Mails nicht nur mit seiner Haupt-Email-Adresse, sondern konfiguriert mir einen weniger auffälligen Seperator als „+“ (ich hab mich für „-“ entschieden) und registriert mich bei Versandhäusern, Foren etc. mit „max-versandhaus1@mustermann.de“ – Sollte man mal Spam kriegen kann man dann nicht nur direkt sehen wie die Adresse in Umlauf kam, man kann den Spam auch direkt abstellen in dem man diese Adresse blockt.

Sicherheit

Wenns um einen eigenen Emailserver geht, ist immer drauf zu achten, dass man nicht zum open-relay wird, das man also nicht von jedermann Mails annimmt, und sie für eben jenen jedermann auch an alle Email-adressen zustellt. Ein solcher Mailserver sollte von anonymen Usern nur Mails an die von ihm verwalteten Mails annehmen. Zum verschicken an beliebige Adressaten sollte daher unbedingt eine Authentifizierung erforderlich sein! Anonsten wird man zippzapp von Spammern gefunden, die dann den Mailserver zum versenden von Spam verwenden, man kommt umgehend auf diverse Blacklists und kann selbst auch keine Mails mehr versenden.

Obacht: Systemaccounts die als shell „/bin/false“ eingetragen haben taugen natürlich trotzdem noch für eine Authentifizierung am postfix! Das weiss ich jetzt 😉

Antispam

Postfix kann mit dem Paket postgrey Greylisting, welches bei mir nebst diversen DNSbl zum Einsatz kommt. Eine Bodyanalyse werd ich erst einrichten, wenn ich einen Spam erhalten habe. Ein ganz brauchbare Anleitung mit guten Inspirationen hat aoknoefi geschrieben, nach der werd ich mich richten wenn mein das zu brauchen 🙂

Redundanz und Datensicherheit

Wer A sagt.. und wer einen eigenen Mailserver betreibt, sollte auch zwei eigene Mailserver betreiben, damit bei Wartungsarbeiten am Hauptserver die Adressen weiterhin erreichbar bleiben. Die MX Einträge wähle ich mit unterschiedlicher Priorität, schon allein damit ich weiß wie der Datenfluss im Normalfall aussieht. Spammer gehen außerdem oft gleich auf den sekundären, weil sie sich da schlechtere Sicherungsmaßnahmen erwarten – also sollte hier mit der gleichen Sorgfalt gewaltet werden was Greylisting, Spamassesin und DNSbl angeht.  Der zweite Mailserver ist jedoch vorallem für eingehende Mails wichtig, relaying, Webmail und das ganze Zeug hab ich mir bei dem gespart, mir gings nur um die Erreichbarkeit.

Das Problem des Backup-MX ist, dass er erstmal die User- und Aliasdatenbank nicht kennt, also auch für nicht-existente User Mail annimmt, die dann im Zweifelsfall gebounced werden muss. Da mir eine Synchronisierung der Datenbanken zu aufwändig ist, erhoffe ich mir von einem für den primären Server viel zu langen Greylisting Zeitfenster eine praktikablere Lösung.

Backups erledige ich auf zwei Arten, das Konzept ist auch noch nicht ganz ausgereift:

  • Die verschlüsselte Serverkonfiguration wird per cronjob auf einen vom Provider bereitgestellten FTP Space geschoben
  • Die Mails liegen in ~ und werden von mir regelmäßig per rsync gespiegelt. Das geht freilich besser.
  • Die owncloud-Files (kleiner Vorgriff auf siehe unten) sollen durch csync stets mehrfach gespiegelt sein, aber das ist noch in Arbeit. Und eine History via hg fänd ich in machen Bereichen auch sinnvoll, aber ist noch nicht.

Mailsortierung

Anfangs probierte ich noch, mir mit meinen Email-Clients Filter zu bauen, aber das ist keine gute Idee, weil man das dann auf jedem Client seperat pflegen muss. Hier bietet sich sieve an – macht quasi das gleiche wie procmail, nur gibts noch ein Managementprotokoll dazu, so dass man ohne Shellzugang auf den Mailserver seine Filter anlegen kann. Leider hatte ich nach endlosem Gefrickel das mit dem Ubuntu 10.04 beiliegenden Dovecot nicht so recht hingebracht, weswegen ich mir da ein eigenes Paket mit aktuellem Dovecot gebaut hab – damit gings dann recht einfach. Das einzige was mir nicht explizit genug dokumentiert war, war dass man im postfix noch

mailbox_command = /libexec/dovecot/deliver

setzen muss (freilich mit dem korrekten Pfad zum „deliver“)

Migration der alten Mails

Das ging doch wesentlich einfacher als ich erwartet hatte – nachdem ich den Gmail Account aufgeräumt, und nie genutzte Mailinglisten gekündigt und deren Mails gelöscht hatte verblieben noch ca. 20k Mails in meiner Inbox und 11k in meinem Gmail-Send Ordner. Um die Mails unter meine Kontrolle zu bekommen hab ich in meinem Thunderbird das Google-Konto hinzugefügt und die Mails in Unterordner meines neuen, eigenen Accounts verschoben. Protip: Markieren und drag&drop ist hier nicht das Mittel der Wahl – Bei mehr als 2k Mails hat sich Thunderbird da mit seinen Javascripts verheddert, endlos gerechnet und am ende den „drop“ aus „drag&drop“ nicht mehr gecheckt. Lieber alles markieren und dann über rechte Maustaste „kopieren nach“ – dann kann man sich auch erst mal ein Backup von seinem ~/Maildir ziehen, bevor man die Mails endgültig auf Gmail löscht.

Adressbuch und Kalender

Serverseitige Software

An dieser stelle dachte ich erst „nimmste halt ne Groupware“, in der Arbeit zeigte mir wer sein Zimbra, sah nicht schlecht aus, er war zufrieden. Aber Zimbra wollte nicht mit meinem inzwischen liebgewonnen Mailserver zusammen spielen, sondern lieber alles selber installieren, und so gut hats mir dann auch nicht gefallen. EGroupware gefiel mir vom Design auch nicht so, auch wenn dessen Webmailclient problemlos zu mehreren IMAP Servern verbindet. Mein kleiner Bruder testete auf dem Server ohnehin grad owncloud so dass ich mich dazu entschied es damit zu probieren. Abgesehn von diversen kleineren Bugs bin ich damit sehr zufrieden:

  1. Die 3.0 stable Version hat meine Adressbücher und Kalender nicht importiert, ein aktueller GIT Snapshot hat das schon wenige Tage nach dem Release von 3.0 behoben
  2. Das eingesetzte SabreDAV hat bei Queries über einen bestimmten Zeitraum wiederholende Events, die vor diesem Zeitraum begannen, aber in ihn hineinreichten nicht angezeigt – Zur Lösung des Problems hab ich SabreDAV auf die aktuelle Version gehoben: einfach unter 3rdparty (unterm Owncloud-Ordner) den SabreDAV durch eine aktuelle Version ersetzen (Danke an Marten Gajda für den Hinweis)
  3. Mit SOGo connector manipulierte Kontakte wurden im Webinterface nicht mehr angezeigt – Ist wohl ein SOGo connector Bug, aber man kann owncloud recht einfach dazu bewegen etwas toleranter zu sein.

Anmerkung zur owncloud-Installation: Beim ersten login bzw. beim konfigurieren von owncloud, gibts unten ein „advanced“ Häkchen – da kann man dann auch ein echtes Datenbankbackend auswählen. Macht man das nicht wirds sqlite, und man darf sich später händisch um die Migration auf was echtes kümmern. Die Intension ist klar, es soll einfach, weiter-weiter-fertig gehn, das tut es auch, nur hinterher steht man dann da 😉

Bei owncloud wird auch gerade dran gearbeitet, dass zumindest die hochgeladenen Files allesamt verschlüsselt sind. Wenn das mal läuft gibts hier ein Update.

Datenmigration

Das Importieren von Adressbuch und Kalender funktioniert dann denkbar einfach:

  1. Google Kalender öffnen
  2. Das Pulldown-Menü in der linken Spalte, unter „meine Kalender“ neben dem zu exportierenden Kalender anklicken und „Kalender-Einstellungen“ wählen
  3. Unter „Kalenderadresse“ oder „Privatadresse“ einen der beiden ICAL links klicken, die URL anklicken und das ICS File abspeichern
  4. Das  ICS File in den Dateibereich von Owncloud hochladen
  5. Das File im Webbrowser anklicken, es sollte darauf hin in einen existierenden Kalender nach Wahl importiert werden
  6. Gmail öffnen
  7. „Kontakte“ öffnen
  8. Alle Kontakte markieren
  9. Auf der dabei erscheinenden Schaltfläche „More…“ auf „Export…“ klicken
  10. VCard als Format wählen, und die Datei abspeichern
  11. Auf Owncloud hochladen, anklicken, und in Adressbuch nach Wahl importieren

Damit lassen sich nun alle Termine und Adressen bequem über das owncloud Webinterface verwalten

Webmail

Ein klarer Vorteil von Gmail ist natürlich, dass man es auch aus dem Internetcafe ohne eigenen Rechner/installierten Client nutzen kann – zumindest wenn man keine Angst vor Keyloggern hat. Ich hab auf freshmeat mal ein bisschen gesucht, aber die einzigen brauchbaren Alternativen die nicht auf eine volle Groupwarelösung aufbauen sind meiner Meinung nach squirrelmail und roundcube. Zweiteres fand ich irgendwie schöner, und es ist kann über ein Plugin auch CardDAV – so daß meine Kontakte wie gewohnt beim Verfassen einer Email zur Verfügung stehen. Das Carddav scheint die Queries zwar immer iregendwie live zu machen, zumindest flutscht es nicht ganz so wie bei Gmail, aber für nen behelfsmässigen Webmailclient reicht mir das absolut. Roundcube kann man schön als Externe App in owncloud einbinden – wenn wer weiss wie man da noch einen Single-Sign-On hinbekommt tät ich mich über einen Kommentar freuen.

Die Suche

In Sachen Websuche hab ich mit duckduckgo meine neue Heimat gefunden. In vielen Fällen liefert die bessere Ergebnisse als google, aber ist allgemein schon noch unterlegen. Man kann duckduckgo über die Firefox recht einfach als Standardsuchmaschine konfigurieren, es gibt eine Opensource Android App, und soooo hässlich ist die Gans (oder Ente?) auch nicht. Andere Vorschläge und ausführliche Diskussion gibts auf spon.

Google Documents

…hab ich eh nicht groß genutzt – hauptsächlich für Listen, das geht über den bei owncloud integrierten Texteditor grad so gut. Ansonsten hoff ich dass mir csync zusammen mit OpenOffice dann meine „normalen“ Dokumente auf meine eigene Cloud legt.

Clients

Neben dem Webbrowser (selbstverständlich im Sinne des Artikels kein Chrome) kommen bei mir am Desktop Thunderbird und am Telefon die Standard Android-Apps zum Einsatz.

Thunderbird

Nachdem ich mich Jahrelang mit Evolution gequält hab, bin ich über den Wechsel zu Thunderbird sehr froh – nicht nur gibts das auf vielen Plattformen, es kann auch deutlich mehr. Wirklich glücklich geworden bin ich erst mit Thunderbird 10.0 – davor gingen immer irgendwelche Plugins in genau der Version nicht. Für Ubuntu gibts da auch ein feines PPA für [1].

Folgende Plugins kommen zum Einsatz um das ganze abzurunden:

  • virtual-identity: Das war der Ausschlaggeber für den Wechsel zu Thunderbird. Bekommt man eine Mail an user-foo@domain.de, und klickt auf „Antworten“ – so wählt das Plugin automatisch auch user-foo@domain.de als Absenderadresse – so bleibt die Adressverwendung konsistent. Angeblich sei das ein Hackertool, weil man damit seine Identität verschleiern könne, daher findet man das wohl nicht unter Plugins auf mozilla.org. m(
  • Lightning: Damit kann man die ganzen CaldDAV Kalender von Owncloud wunderbar einbinden und durchaus komfortabler editieren als im Webinterface
  • Sieve: Damit man seine Mailfilter vom Mailclient aus verwalten kann, reicht auf einem Client [Update: das geht mit dem Sieve Plugin für RoundCube noch viel schöner]
  • Inverse SOGo connector: der zieht einem dann die CardDAV Kontakte vom owncloud in den Thunderbird, allerdings synchronisiert die die, so dass beim tippen keine Verzögerung zum Vorschlag von Adressen entsteht wie bei roundcube. Hier sei allerdings auf den Bug (+Fix) oben in diesem Artikel hingewiesen.

Android

Ja, Android ist von Google. Aber mir geht es im Kern nicht darum kein Google mehr zu verwenden, sondern die Kontrolle über meine Daten zurück zu erlangen. Da Android aus meiner Sicht alternativlos[tm] ist, soll also der Google-Account vom Handy gelöscht werden. Leider ist mein Handy auch der einzige Fall wo ich nicht gänzlich auf Closed Source verzichten kann – das OS kommt zwar von Cynaogen, aber fürs synchronisieren brauch ich noch Bezahlsofware:

  • CalDAV-Sync: Synchronisiert die Kalender mit owncloud. Hier ist jedoch der Bug, bzw. das benötigte Update von SabreDAV zu beachten
  • CardDAV-Sync: Synchronisiert die Kontakte mit owncloud

Das schöne an diesen beiden Apps ist, dass sie sich als Konnectoren direkt ins Android-System integrieren, man konfiguriert über die Systemaccounts einfach seine owncloud Kalender und Adressbücher, und der pumpt die Daten dann in die bestehenden Kalender und Kontaktlisten, wodurch das mit sämtlichen Kalenderwidgets, T9-Dialern etc. kompatibel ist. Offene Alternativen wie aCal wären da einfach zu viel Komfortverlust für mich. [Update: Das via CardDAV importierte Adressbuch sollte am Android unbedingt „Contacts“ genannt werden, ansonsten wird es nicht über Bluetooth exportiert und auch an diversen anderen Stellen nicht so eingebunden wie das orginale.]

Welch Ironie – um von Google weg zu kommen brauch ich mit dem Android-Market Google selbst. An der Stelle sei aber dann auch noch an f-droid.org verwiesen, wo man eine schöne Sammlung an FOSS Software für Android kriegt, auch ohne den Google Market.

Langfristig hoffe ich auf eine SyncML Unterstützung durch owncloud, so dass ich obige Payware durch fumabol ersetzen kann. Einen Android Client gibts schon von owncloud, aber der kann zumindest noch nicht mit eigenen Zertifikaten umgehen, und ist auch sonst noch recht beta.

Sicherheit

Wer auf seinem Server wichtige und persönliche Daten hat, sollte natürlich um deren Sicherheit besorgt sein. Hacker sitzen überall, und kein System ist uninteressant. Die Ausführungen hier sind natürlich, wie alles in dem Artikel, in keinster Weise vollständig, grad bei Sicherheit kann man kaum paranoid genug sein. Ein paar einfache Dinge meiner Konfiguration möchte ich hier aber doch mitteilen:

Klartextlogins

…sind zu vermeiden. Port 80 (http) sollte der Bequemlichkeit halber vielleicht offen sein, aber nichts weiter tun als auf 443 (https) umzuleiten. Hat ein Protokoll kein „s“ im Namen, sollte es nicht verwendet werden. Logindaten (Webmail, Wiki, owncloud, IMAP, SMTP) sollten *niemals* unverschlüsselt geschickt werden. Angreiffer die beim gleichen Provider hosten wie man selbst und solche die auf ein benutztes Transitnetz (insbesondere offene WLANs, private LANs etc) Zugriff haben kommen sonst allzuleicht an die wertvollen Logins.

Der SMTP auth für das Verschicken von Mails sollte daher auch unter keinen Umständen im Klartext (oder base64 kodiert) stattfinden, sondern eine Technik wie STARTTLS oder dergleichen verwenden. Spammer greifen SMTP Dienste mit Bruteforceattacken an, gute Passwörter sind auch hier wichtig!

Passworte

Ich überprüfe die Passworte auf meinem System ab und an mit john, wobei ich irritierend fand, dass das bei Ubuntu LTS mitgelieferte John-Paket nicht mit den default-passwort-hashes aus /etc/shadow umgehen kann – da war dann doch selber bauen angesagt. Zusätzlich überleg ich mir noch den Einsatz von fail2ban, wobei man bei einigermassen vernünftigen Passwörtern sich ja vor diesen zufällig vorbeikommenden Bruteforceangriffen nicht fürchten braucht.

Zertifikate

Kann man ab 0€/Jahr kaufen, oder man macht sich selber welche. CACert ist vielleicht noch als Alternative zu erwähnen. Mit eigenen muss man halt das root-Zertifikat auf allen Clients einspielen, oder jeweils die Ausnahmen akzeptieren, dafür spart man sich ein paar Euros, und gewinnt womöglich noch an Sicherheit – oder wer vertraut der bestehenden SSLZertifikatsInfrastruktur überhaupt noch?

[1] sudo add-apt-repository ppa:ubuntu-mozilla-daily/thunderbird-aurora

Advertisements
Dieser Beitrag wurde unter linux, ubuntu abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Mein Weg weg von Google

  1. Pingback: Private Cloud-Dienste - xentity.de

  2. Martin Tpunkt schreibt:

    Prima Artikel !

    Gehe in etwa den selben Weg. Owncloud funzt sehr gut mit Caldav und Carddav. Nur noch nicht gelungen, Zimbra Kalender mit Owncloud zu syncen. Das sollte mit Evolution besser funktionieren. Ansonsten hab ich alles in Cloud !

  3. Worp schreibt:

    Muss mal konkret fragen, weil ich hier seit 3 Stunden verzeifle 😉
    Ist die ownCloud nun auf einem Ubuntu 8.04 installiert, falls ja, wie hat das geklappt? Ich finde bisher nur Anweisungen, das über apt-get auf Ubuntu 12.0x zum laufen zu bringen.
    Gibt es da einen super Tipp oder Geheimnis, das mir weiter helfen kann? Jeder sachdienliche Hinweis ist gern gesehen 😀

  4. Tobias schreibt:

    „Mit SOGo connector manipulierte Kontakte wurden im Webinterface nicht mehr angezeigt – Ist wohl ein SOGo connector Bug, aber man kann owncloud recht einfach dazu bewegen etwas toleranter zu sein.“

    Der SOGo-Connector-Bug scheint immer noch offen zu sein. Ich habe bei meiner Installation einen ähnlichen Fehler und hätte testhalber auch gerne Owncloud etwas toleranter eingestellt. Der Link auf die ursprüngliche Issue funktioniert mittlerweile leider nicht mehr – lässt sich der Patch vielleicht noch rekonstruieren?

    • zeugundglump schreibt:

      Der Patch wurde damals ziemlich zügig von OwnCloud übernommen, und sollte in allen zukünftigen Versionen bereits enthalten sein. Das Problem war hier, dass SoGo ein paar Felder weniger geschrieben hat, wenn diese leer waren. OwnCloud hat aber immer 5 Felder erwartet, getrennt von „;“. Der Patch hat einfach im JS gesagt, dass wenn die Felder nicht existieren sie als leer betrachtet werden sollen….

  5. Pingback: Good-bye Google! | VELTENSicht

  6. HanjoLix schreibt:

    Die Links zu den SOGo Lösungen haben sich verändert
    http://sogo.nu/download.html#/frontends

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s