In diesem Artikel beschreibe ich die Analyse der E-Mail-Header, die Identifikation eines sogenannten E-Mail-Sturms sowie die Maßnahmen, mit denen sich der Empfang weiterer Nachrichten dieser Mailingliste verhindern ließ. E-Mail-Stürme sind selten, aber wenn sie auftreten, können sie Postfächer fluten, Systeme belasten und im schlimmsten Fall produktive Arbeit lahmlegen.

Die initiale E-Mail

Beim Blick auf die E-Mail-Header fällt auf, dass die Nachricht nicht direkt vom Autohändler an mich sondern eine Mail-Gruppe gesendet wird. Eine genauere Analyse der Header über mxtoolbox.com zeigt jedoch schnell, dass die Nachricht technisch korrekt zugestellt wurde und keine Anzeichen für Phishing oder Schadsoftware enthält.

Obwohl die Mail inhaltlich keine Anzeichen schadhaften Zweckes hat und auch nicht nach klassischem Spam aussieht, sind dennoch alle klassischen Indikatoren einer Spam-Mail oder eines nicht-regelkonform konfigurierten Mail-Dienstes gegeben wie das folgende Bild zeigt.

Anhand der Received-Header lässt sich nachvollziehen, welchen Weg die E-Mail vom ursprünglichen Absender bis in mein Postfach genommen hat. In E-Mail-Analysen, wie vom Email Header Analyzer, wird häufig eine Tabelle erstellt, die jeden sogenannten Übergabepunkt (Hop) einer E-Mail auflistet. Die Analyse liefert neben der folgenden Tabelle auch noch Informationen zu Blacklist-Einträgen zu den jeweiligen Hops.

In den Headern können wir weiterhin die Details zu der Mailing-Liste bzw. Google Gruppe finden.

Generell wirkt die Nachricht daher auf mich wie klassischer Spam:

• Eine Antwort auf eine Nachricht, die ich nie versendet habe.
• Empfänger- und Absenderadresse sowie Reply-to-Adresse (Antwort an) passen nicht zum Inhalt.
• Es wurde eine mir unbekannte Google Group bzw. Mailingliste mit der Adresse 7b@gfx4mcd.com verwendet.

Kurze Zeit später trafen weitere Nachrichten ein. Zahlreiche Empfänger antworteten auf die ursprüngliche E-Mail und fragten, warum sie diese Nachricht erhalten hatten oder baten darum, aus der Liste entfernt zu werden.

Damit begann ein klassischer E-Mail-Sturm.

Beschreibung eines E-Mail-Sturms

Ein E-Mail-Sturm (engl. Mail-Storm, Reply-Storm oder Reply-All-Storm) entsteht, wenn eine Nachricht an einen großen Verteiler oder eine Mailingliste versendet wird und zahlreiche Empfänger auf die E-Mail antworten. Dabei erfolgt die Antwort entweder über die konfigurierte Reply-To-Adresse oder durch die Mail-Funktion Allen antworten.

Jede Antwort wird anschließend erneut an alle Mitglieder des Verteilers zugestellt. Reagieren weitere Empfänger ebenfalls auf die Nachricht, entsteht innerhalb kurzer Zeit eine regelrechte Nachrichtenlawine. Aus einer einzelnen E-Mail können dadurch dutzende, hunderte oder sogar tausende weitere Nachrichten entstehen.

Ursachen und Symptome

In den meisten Fällen geschieht so ein Sturm unbeabsichtigt.

Häufige Ursachen sind:

• Versehentliches Antworten an alle Empfänger
• Fehlkonfigurierte Mailinglisten oder Verteiler
• Import alter oder ungepflegter Verteilerlisten
• Organisatorische Fehler bei der Nutzung von Verteilergruppen
• Absichtlicher Missbrauch zur Störung oder Belästigung

Typischerweise erkennt man einen laufenden E-Mail-Sturm an einer Vielzahl von Antworten mit nahezu identischem Inhalt.

Häufige Beispiele sind:

• „Bitte austragen“
• „Warum bekomme ich diese E-Mail?“
• „Hören Sie auf, mir E-Mails zu schicken“

Das eigentliche Problem besteht darin, dass jede dieser Antworten erneut an sämtliche Teilnehmer des Verteilers gesendet wird. Dadurch verstärken die Empfänger den Sturm unbeabsichtigt selbst.

Eskalation durch automatische Systeme

Besonders problematisch wird es, wenn neben menschlichen Empfängern auch automatisierte Systeme auf die Nachricht reagieren.

Dazu gehören beispielsweise:

• Automatische Abwesenheitsnotizen
• Ticketsysteme
• Monitoring- und Alarmierungssysteme
• Weitere Mailinglisten oder Verteiler
• Automatisierte Workflows und Benachrichtigungssysteme

Antworten solche Systeme ebenfalls an den Verteiler, kann sich die Anzahl der Nachrichten innerhalb kürzester Zeit vervielfachen. In ungünstigen Fällen entstehen dabei Endlosschleifen oder massive Mailfluten, die Postfächer, Mailserver und Helpdesks erheblich belasten können.

Je größer der Verteiler und je mehr automatisierte Systeme beteiligt sind, desto schneller kann sich ein einzelner Fehler zu einem großflächigen E-Mail-Sturm entwickeln.

Böswillig ausgelöste E-Mail-Stürme

Während die meisten E-Mail-Stürme unbeabsichtigt entstehen, können solche Situationen auch gezielt provoziert werden. In diesem Fall konnten wir klar davon ausgehen, dass es sich um absichtlichen Missbrauch handelt, da die E-Mail-Adresse von mir nur auf einer einzelnen Plattform verwendet wurde, welche vor längerer Zeit ein Datenleck hatte.

Ziel und Zweck dieser Maßnahme könnten sein:

• Gezielte Belästigung von Personen oder Organisationen durch Nachrichtenfluten.
• Störung des normalen E-Mail-Verkehrs und Überlastung von Systemen und Personen.
• Analyse der aktiv genutzten E-Mail-Adressen durch Überwachung, wer darauf reagiert.

Maßnahmen zur Vermeidung

Sobald das oben genannte Problem erkannt wurde, sollte man möglichst wenig zur weiteren Eskalation beitragen. Daher ist es oberstes Ziel nicht selbst auf „Allen antworten“ klicken.

Generell sind folgende Maßnahmen zielführend:

• Mailingliste blockieren
• Filterregeln erstellen
• Austragen
• Spam melden
• Administrator kontaktieren

Da es sich in diesem Fall um eine mutwillige Konfiguration der Liste handelt, ist es leider nicht hilfreich den Administrator zu kontaktieren oder Spam zu melden. Es bleibt daher nur der Weg sich manuell aus der Mailing-Liste auszutragen. Das Risiko, dass der Verursacher nun Kenntnis darüber hat, dass diese Mail-Adresse auch existiert, ist für mich tragbar in dem Fall.

Daher senden wir eine E-Mail an die Unsubscribe-Adresse aus dem Attribut List-Unsubscribe. Der Inhalt der Nachricht ist in der Regel egal, oft reicht sogar eine leere E-Mail.

googlegroups-manage+3090089275+unsubscribe@googlegroups.com

Quellen

• wikipedia.org – Email storm
• mxtoolbox.com – Email Header Analyzer, RFC822 Parser
• twilio.com – List-Unsubscribe Header: What It Is & How to Use It | Twilio

Der Beitrag Erkennung und Vermeidung eines E-Mail-Sturms (User) erschien zuerst auf Maximilian Krieg.

Dabei ging es insbesondere um die Darstellung von Code-Blöcken, die Formatierung von Tabellen sowie die mobile Ansicht im Portrait-Modus. Ziel war es, die Styles des verwendeten WordPress-Themes gezielt an meine eigenen Anforderungen und den technischen Stil der Webseite anzupassen.

Code

Die Standard-Abstände innerhalb des umschließenden Containers sowie des eigentlichen Code-Blocks haben mir optisch nicht zugesagt. Da ich im Regelfall eher Quellcode und Kommandozeilenausgaben dokumentiere, sollte sich die Darstellung auf der Seite eher daran orientieren.

Der Code-Block soll bündig links beginnen, einen grauen Hintergrund besitzen und zusätzlich durch einen Rahmen hervorgehoben werden. Durch den zusätzlichen Border-Pixel wurde die Formatierung jedoch beeinflusst, weshalb das box-sizing entsprechend angepasst wird. Dabei ist zu beachten, dass das umschließende pre-Element die Klasse wp-block-code besitzt und nicht das eigentliche code-Element. Deshalb werden Hintergrundfarbe auf dem pre-Element und die Abstände auf dem code-Element gesetzt. Andernfalls entsteht zwischen pre und code ein unerwünschter weißer Bereich.

Inline-Code soll hingegen ohne zusätzliche Abstände dargestellt werden und keinen eigenen farblichen Hintergrund besitzen.

.wp-block-code{
	padding:0.75em;
	margin-bottom:1em; 
	border-radius: 5px;
	border-style: solid;
	border-width:1px;
	box-sizing: content-box;
}

Tabellen

Der Abstand unterhalb der Tabelle war mir in der Standarddarstellung zu groß, da das umschließende Element bereits einen eigenen unteren Abstand besitzt. Daher wurde der zusätzliche margin-bottom der Tabelle entfernt.

Außerdem sollte die Tabellenüberschrift farblich hervorgehoben werden. Die Hintergrundfarbe wird dabei gezielt auf die th-Elemente innerhalb des thead gesetzt. Dadurch bleibt die Formatierung flexibel, falls th-Elemente später zusätzlich beispielsweise für die erste Spalte innerhalb des Tabelleninhalts verwendet werden sollen.

.wp-block-table table {
	margin-bottom:0px;
}

.wp-block-table table > thead > tr > th {
	background-color:#6d6d6d;
	color:white;
	border-color:#2b2b2b
}

Website-Titel

Auf mobilen Geräten im Portrait-Modus war der Seitentitel in Kombination mit Logo und Beschreibung zu groß, wodurch der Text umgebrochen ist. Deshalb wurde die Schriftgröße innerhalb einer Media Query gezielt für Geräte im Hochformat reduziert.

Dadurch bleiben Titel, Beschreibung und Logo auch auf kleineren Displays sauber ausgerichtet und die Darstellung wirkt insgesamt kompakter und aufgeräumter.

@media screen and (orientation: portrait){
	.site-branding .site-title{font-size:1.1em;}
	.site-branding .site-description{font-size:0.6em;}
}

Changelog

29.05.2026

Nach einem Update des Themes können mehrere Einstellungen zu den Code-Blocks entfernt werden. Die alten Einstellungen vermerke ich hier und ergänze die neuen Einstellungen direkt oben im Artikel.

.wp-block-code{
	margin-bottom:1em; 
	padding:0em;
	background: #e0e0e0;
	border-radius: 5px;
	border-style: solid;
	border-width:1px;
	box-sizing: content-box;
}

.wp-block-code code {
	font-family: Consolas, "Courier New", monospace;
	margin:0em; 
	padding:0.5em;
}

code {
	font-family: Consolas, "Courier New", monospace;
	margin:0em; 
	padding:0em;
	background-color:none;
}

Der Beitrag Formatanpassungen für Tabellen, Code und Titelleiste erschien zuerst auf Maximilian Krieg.

Insbesondere, dass das Bild zum Artikel passt, den Inhalt aufgreift und nicht von hunderten anderen Websites verwendet wird, ist mir dabei besonders wichtig. Deshalb habe ich mir einen festen Prompt aufgebaut, der automatisch das Thema eines Artikels analysiert und daraus ein passendes Titelbild im gleichen Stil erzeugt. Der Prompt analysiert dabei automatisch den jeweiligen Blog-Artikel und leitet daraus Technik, Schlagworte, Hardware, Fehlerbilder oder typische Konzepte ab.

Besonders wichtig ist mir:

• Ein konsistentes Design über alle Artikel hinweg
• Klare technische Motive statt chaotischer „KI-Collagen“
• Gute Lesbarkeit auch als kleines Thumbnail
• Moderne Comic-/Vector-Optik mit professionellem Tech-Look
• Fokus auf EIN zentrales Element oder Thema
• Nicht zu viele Effekte
• Keine überladenen Enterprise-Marketing-Grafiken
• Klare Komposition
• Technische Wiedererkennbarkeit
• Genügend Platz und Ruhe im Bild

In diesem Beitrag stelle ich den verwendeten Prompt vor (eher als kopierfähige Vorlage für mich selbst) und zeige, wie sich damit relativ konsistente Blog-Artikelbilder erzeugen lassen.

Erstelle ein hochwertiges Blog-Artikelbild im konsistenten Stil eines modernen privaten IT-/Tech-Blogs.

WICHTIG:
Analysiere zuerst automatisch den folgenden Artikel und leite daraus Thema, Technik, Schlagworte, mögliche Hardware, Fehlerbilder oder technische Konzepte ab:

[[URL]]

Nutze den Inhalt des Artikels als Grundlage für Motiv, Symbolik, Titeltext und technische Darstellung.

──────────────────────────────
FORMAT
──────────────────────────────
- Exakt 1280 x 809 Pixel
- Optimiert für WordPress Blog-Header und Thumbnail
- Gute Lesbarkeit auch in kleiner Vorschau
- Cinematic Wide Composition
- Motiv nicht mittig gequetscht
- Ausreichend Abstand zu den Bildrändern

──────────────────────────────
STIL
──────────────────────────────
- Konsistenter Stil über alle Artikel hinweg
- Moderner privater IT-Blog
- Comic-/Vector-inspirierter Semi-Realismus
- Klare geometrische Formen
- Leichte Outline-/Illustration-Optik
- Hochwertige Tiefenwirkung
- Ruhige Komposition
- Nicht überladen
- Kein generisches Stockfoto
- Kein fotorealistisches Datacenter
- Keine übertriebenen SciFi-Effekte
- Keine UI-Screenshots
- Keine Textwände
- Fokus auf EIN zentrales technisches Element

──────────────────────────────
FARBSTIL
──────────────────────────────
Primärfarben:
- Dunkelblau
- Anthrazit
- Stahlgrau

Akzentfarben:
- Gelb
- Orange
- Rot für Warnungen/Fehler
- Cyan nur sehr dezent

Licht:
- Cinematic Lighting
- Weiche Schatten
- Leicht dramatische Beleuchtung
- Technische Atmosphäre

──────────────────────────────
KOMPOSITION
──────────────────────────────
- Ein Hauptobjekt im Fokus
- Ruhiger Hintergrund
- Große freie Flächen
- Technisches Objekt leicht perspektivisch
- Wenige zusätzliche Symbole oder Warnhinweise
- Keine unnötigen Details

──────────────────────────────
TEXT IM BILD
──────────────────────────────
- Große prägnante Headline passend zum Artikel
- Optional kleine Subline
- Moderne fette Typografie
- Weiß/Gelb Farbkombination
- Sehr gute Lesbarkeit

──────────────────────────────
MOTIVREGELN
──────────────────────────────
Das Motiv MUSS thematisch zum Artikel passen.

Beispiele:
- Netzwerkprobleme → Sei kreativ und passe es auf den Artikel an
- Security → Firewall, Shield
- Routing → Netzwerkpfade, Router
- PowerShell → Terminal, Konsole
- WLAN → Access Point, Funkwellen
- Monitoring → Diagramme, LEDs, Statusanzeigen

Nur wenige Elemente verwenden.
Lieber simpel und stark statt komplex und überladen.

──────────────────────────────
LOGOS & HERSTELLER
──────────────────────────────
Wenn der Artikel sich klar auf einen Hersteller bezieht:
- Herstellerlogo dezent integrieren
- Geräte optisch an den Hersteller anlehnen
- Keine exakten Produktfotos
- Stilisiert und illustrativ

──────────────────────────────
QUALITÄT
──────────────────────────────
- Professionelles Tech-Blog-Niveau
- Konsistentes Branding-Gefühl
- Hochwertige Illustration
- Modern
- Ruhig
- Klar
- Technisch
- Wiedererkennbarer Stil

Der Beitrag Konsistente Blog-Artikelbilder mit KI erzeugen erschien zuerst auf Maximilian Krieg.

Einleitung

Der Zustand err-disable ist ein Schutzmechanismus von Cisco-Switches. Erkennt der Switch ein kritisches Problem auf einem Port, wird dieser in den Status err-disabled gesetzt und automatisch administrativ deaktiviert. Der Port verarbeitet ab diesem Zustand keinen Traffic mehr. Im Gegensatz zu einem normalen shutdown wurde der Port dabei nicht manuell, sondern durch eine interne Schutzfunktion deaktiviert.

Für Außenstehende wirkt das oft zunächst wie ein kaputter Port, tatsächlich handelt es sich aber im Regelfall um eine bewusst ausgelöste Sicherheits- oder Schutzfunktion. Häufig tritt dann der Fall ein, dass mehrere Ports am Switch getestet werden und somit eine große Zahl an Ports unabsichtlich gesperrt werden.

Typische Symptome

• Geräte verlieren plötzlich die Verbindung
• Der Link scheint „down“
• LEDs verhalten sich ungewöhnlich
• Der Port erscheint im Status err-disabled

Switch# show interface status

Port       Name        Status         Vlan
Gi1/0/1                err-disabled   10

Ziel und Zweck

Der err-disabled-Status ist also in vielen Fällen ein Schutzmechanismus für das gesamte Netzwerk.

• Netzwerkschleifen verhindern
• Broadcast-Stürme verhindern
• Fehlkonfigurationen erkennen
• Port-Security-Verstöße
• Hardwareprobleme isolieren

Ursachen

Diagnose

Prüfung der Err-Disabled-Konfiguration

show errdisable detect zeigt die aktuellen Einstellungen der Errdisable-Erkennung sowie, falls sich Ports derzeit im err-disabled-State befinden, den jeweiligen Grund für die automatische Deaktivierung des Ports an.

Switch# show errdisable detect
ErrDisable Reason             Detection Mode
-----------------             --------- ----
arp-inspection                Enabled  port
bpduguard                     Enabled  port
channel-misconfig             Enabled  port
community-limit               Enabled  port
dhcp-rate-limit               Enabled  port
dtp-flap                      Enabled  port
evpn-mh-core-isolation        Enabled  port
gbic-invalid                  Enabled  port
iif-reg-failure               Enabled  port
inline-power                  Enabled  port
invalid-policy                Enabled  port
l2ptguard                     Enabled  port
link-flap                     Enabled  port
link-monitor-failure          Enabled  port
loopback                      Enabled  port
loopdetect                    Enabled  port
lsgroup                       Enabled  port
oam-remote-failure            Enabled  port
mac-limit                     Enabled  port
pagp-flap                     Enabled  port
port-mode-failure             Enabled  port
pppoe-ia-rate-limit           Enabled  port
psecure-violation             Enabled  port/vlan
security-violation            Enabled  port
sfp-config-mismatch           Enabled  port
sgacl_limitation:enforcem     Enabled  port
sgacl_limitation:multiple     Enabled  port
storm-control                 Enabled  port
udld                          Enabled  port
psp                           Enabled  port
dual-active-recovery          Enabled  port
evc-lite input mapping fa     Enabled  port
vsl-and-non-vsl-port-pair     Enabled  port
fasthello-and-non-fasthel     Enabled  port
mvrp                          Enabled  port
mrp-miscabling                Enabled  port

show errdisable recovery zeigt den Zeitraum an, nach dem Ports bei bestimmten Errdisable-Ursachen automatisch wieder aktiviert werden. Außerdem werden die konfigurierten Errdisable-Recovery-Mechanismen angezeigt.

Switch# show errdisable recovery

ErrDisable Reason              Timer Status
-----------------              --------------
arp-inspection                 Disabled
bpduguard                      Disabled
channel-misconfig              Disabled
dhcp-rate-limit                Disabled
dtp-flap                       Disabled
evpn-mh-core-isolation         Disabled
gbic-invalid                   Disabled
inline-power                   Disabled
l2ptguard                      Disabled
link-flap                      Enabled
mac-limit                      Disabled
link-monitor-failure           Disabled
loopback                       Disabled
loopdetect                     Disabled
oam-remote-failure             Disabled
pagp-flap                      Disabled
port-mode-failure              Disabled
pppoe-ia-rate-limit            Disabled
psecure-violation              Disabled
security-violation             Disabled
sfp-config-mismatch            Disabled
storm-control                  Enabled
udld                           Enabled
psp                            Disabled
dual-active-recovery           Disabled
evc-lite input mapping fa      Disabled
mrp-miscabling                 Disabled

Timer interval: 900 seconds

Interfaces that will be enabled at the next timeout:

Status des Ports prüfen

Zunächst sollte geprüft werden, in welchem Zustand sich die Ports befinden.
Mit folgendem Befehl erhält man eine Übersicht aller Ports und deren aktuellen Status:

Switch# show interface status

Oder man lässt sich einen Port im Detail anzeigen.

Switch# show interface Gi1/0/1

Dabei lassen sich unter anderem folgende Zustände erkennen:

• err-disabled
• connected
• notconnect
• disabled

Err-disabled Ports gezielt anzeigen

Um ausschließlich Ports im err-disabled-Status inklusive Ursache anzuzeigen, kann folgender Befehl verwendet werden:

Switch# show interfaces status err-disabled

Port      Name        Status         Reason                Vlans
Gi1/0/1   ERRORPORT   err-disabled   psecure-violation     10

Event- und System-Logs prüfen

Für die eigentliche Fehleranalyse sind die System- und Event-Logs besonders wichtig. Dort protokolliert der Switch in der Regel sehr genau, warum ein Port in den err-disabled-State versetzt wurde.

Die Logs können mit folgendem Befehl angezeigt werden:

Switch# show logging

Die Logmeldungen liefern meist bereits den entscheidenden Hinweis auf die eigentliche Ursache des Problems und sollten daher immer als einer der ersten Schritte geprüft werden.

Entstörung

Fehlerursache beheben

Vor einem manuellen oder automatischen Recovery sollte immer zuerst die eigentliche Ursache des err-disabled-Status behoben werden, da der Fehler ansonsten unmittelbar erneut auftreten kann.

Ports manuell reaktivieren

Um einen Port aus dem Fehlerstatus zu befreien, muss der betroffene Port einmal deaktiviert und anschließend wieder aktiviert werden.

Switch# configure terminal

Switch(config)# interface Gi1/0/1
shutdown
no shutdown

Ports automatisch reaktivieren

Die folgenden Befehle zeigen, wie die automatische Entstörung konfiguriert wird.

Zunächst lassen wir uns die möglichen Optionen bzw. Ursachen anzeigen, welche wir konfigurieren können.

Switch# configure terminal
Switch(config)# errdisable recovery cause ?
  all                   Enable timer to recover from all causes
  arp-inspection        Enable timer to recover from arp inspection error
                        disable state
  bpduguard             Enable timer to recover from BPDU Guard error disable
                        state
  channel-misconfig     Enable timer to recover from channel misconfig disable
                        state
  dhcp-rate-limit       Enable timer to recover from dhcp-rate-limit error
                        disable state
  dtp-flap              Enable timer to recover from dtp-flap error disable
                        state
  gbic-invalid          Enable timer to recover from invalid GBIC error disable
                        state
  l2ptguard             Enable timer to recover from l2protocol-tunnel error
                        disable state
  link-flap             Enable timer to recover from link-flap error disable
                        state
  link-monitor-failure  Enable timer to recover from link monitoring failure
  loopback              Enable timer to recover from loopback disable state
  mac-limit             Enable timer to recover from mac limit disable state
  oam-remote-failure    Enable timer to recover from remote failure detected by
                        OAM
  pagp-flap             Enable timer to recover from pagp-flap error disable
                        state
  psecure-violation     Enable timer to recover from psecure violation disable
                        state
  security-violation    Enable timer to recover from 802.1x violation disable
                        state
  storm-control         Enable timer to recover from storm-control error
                        disable state
  udld                  Enable timer to recover from udld error disable state
  unicast-flood         Enable timer to recover from unicast flood disable
                        state
  vmps                  Enable timer to recover from vmps shutdown error
                        disable state

Danach definieren wir diese dann entweder einzeln oder allgemeingültig über den all-Parameter.

Switch(config)# errdisable recovery cause bpduguard

Über die zuvor genannten show-Befehle lässt sich die nun gültige Konfiguration anzeigen.

Quellen

• cisco.com – Wiederherstellung aus dem errdisable-Portstatus auf Cisco IOS-Plattformen
• firewall.cx – Cisco Catalyst Err-disabled Port State, Enable & Disable Autorecovery Feature

Der Beitrag Cisco – Err-Disabled-Status erschien zuerst auf Maximilian Krieg.

Auflistung aller NetTCPIP-Cmdlets

Die folgenden Cmdlets decken zahlreiche Aufgaben rund um die TCP/IP-Konfiguration ab, darunter das Auslesen und Verwalten von IP-Adressen, Routingtabellen, Netzwerkinterfaces, TCP- und UDP-Einstellungen sowie Diagnose- und Verbindungsprüfungen. Sie eignen sich für Administratoren im täglichen Betrieb als auch für Troubleshooting- und Automatisierungsaufgaben.

Zur besseren Orientierung sind alle Cmdlets alphabetisch nach dem jeweiligen Verb am Anfang des Befehls sortiert, beispielsweise Get, Set, New, Remove oder Test. Dadurch lassen sich passende Befehle schnell finden und logisch nach ihrer Funktion einordnen.

Vergleich PowerShell zu klassischer CMD

Bei der Durchsicht und Ausführung der Befehle ist mir dabei aufgefallen, dass viele PowerShell-Befehle ähnliche Informationen liefern wie die klassischen Netzwerkbefehle aus der Windows-Eingabeaufforderung CMD. Die folgende Tabelle liefert daher eine Gegenüberstellung zwischen klassischen Netzwerkbefehlen und den entsprechenden PowerShell-Cmdlets.

Quelle

• NetTCPIP Module | Microsoft Learn

Der Beitrag PowerShell – NetTCPIP-Cmdlets erschien zuerst auf Maximilian Krieg.

Da WordPress inzwischen intensiv mit Block-Elementen im visuellen Editor arbeitet und dabei deutlich semantischeren HTML-Code erzeugt, habe ich mich entschieden, das Thema neu aufzulegen und entsprechend anzupassen.

Bevor es an die Umsetzung geht, schauen wir uns kurz an, warum der Halbgeviertstrich bei Zitaten verwendet wird. Im Deutschen (und auch international) ist der Halbgeviertstrich (–) der Standard für:

• Autorenangaben bei Zitaten
• Gedankenstriche im Satz
• Aufzählungsähnliche Hervorhebungen

Diesen Halbgeviertstrich möchte ich vor der Quellenangabe automatisch per CSS einfügen, sodass keine manuellen typografischen Anpassungen im eigentlichen Inhalt mehr erforderlich sind. Dafür lohnt sich ein genauerer Blick auf die von WordPress erzeugte HTML-Struktur. Als Beispiel dienen das folgende Zitat und die zugehörige Quellenangabe.

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua.

http://www.loremipsum.de

WordPress erzeugt aus dem Block folgenden HTML-Code, den ich zur besseren Lesbarkeit nachträglich eingerückt habe.

<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
    <p>
        Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy
        eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam
        voluptua.
    </p>
    <cite>http://www.loremipsum.de</cite>
</blockquote>

Um den Halbgeviertstrich automatisch zu ergänzen, füge ich folgenden CSS-Code im Custom-CSS-Bereich meines WordPress-Themes hinzu. Auf diese Weise wird der Strich zentral über das Stylesheet gesteuert und bei allen Zitaten einheitlich dargestellt, ohne dass er manuell im Editor eingefügt werden muss. Das sorgt nicht nur für eine konsistente Typografie, sondern trennt auch sauber Inhalt und Darstellung

blockquote > cite::before { 
    content: "— ";
}

Der Beitrag Quellenangaben für das blockquote-Element erschien zuerst auf Maximilian Krieg.

Gerade bei Remote-Analysen oder komplexeren Netzwerkproblemen ist die PowerShell oft deutlich praktischer als die grafische Oberfläche. In diesem Beitrag zeige ich, wie sich Get-NetAdapter sinnvoll einsetzen lässt und welche Informationen bei der Fehlersuche besonders hilfreich sind.

Abfrage der Netzwerkadapter

Zunächst beziehen wir die Interface-Informationen der vorhandenen Netzwerkadapter. Besonders interessant ist dabei der Interface-Index, da dieser von vielen weiteren PowerShell-Netzwerkbefehlen zur eindeutigen Identifikation des Adapters verwendet wird. In dem konkreten Fall haben wir jedoch mit dem Interface-Namen gearbeitet.

PS C:\Windows\System32> Get-NetAdapter

Name                      InterfaceDescription                    ifIndex Status       MacAddress             LinkSpeed
----                      --------------------                    ------- ------       ----------             ---------
WLAN                      Intel(R) Wi-Fi 6 AX203                       11 Up           XX-XX-XX-A5-A8-XX       1.2 Gbps
Bluetooth-Netzwerkverb... Bluetooth Device (Personal Area Netw...      10 Disconnected XX-XX-XX-XX-XX-XX         3 Mbps
Ethernet                  Realtek PCIe GbE Family Controller            3 Disconnected XX-XX-XX-XX-XX-X          0 bps

Abfrage-Skript mit Variable

Das Interface, welches wir uns genauer anschauen möchten, trägt in diesem Beispiel den Namen WLAN. Daher setzen wir den entsprechenden Interface-Namen in der PowerShell-Variable ein und führen anschließend die folgenden Befehle aus. Damit lassen sich unter anderem Adapterstatus, IP-Konfiguration, DNS-Server, erweiterte Adaptereigenschaften sowie aktive Netzwerkbindungen auslesen.

PS C:\Windows\System32> 

$if = "WLAN"

Get-NetAdapter -Name $if
Get-NetIPConfiguration -InterfaceAlias $if
Get-NetIPAddress -InterfaceAlias $if
Get-NetAdapterAdvancedProperty -Name $if
Get-DnsClientServerAddress -InterfaceAlias $if
Get-NetAdapterBinding -Name $if
Get-NetConnectionProfile -InterfaceAlias $if
Get-NetAdapterStatistics -Name $if
Get-NetIPInterface -InterfaceAlias $if
Get-NetRoute -InterfaceAlias $if
Get-NetNeighbor -InterfaceAlias $if

Remove-Variable if

Durch die Verwendung einer gemeinsamen Interface-Variable lassen sich die Befehle außerdem einfach wiederverwenden und flexibel auf andere Netzwerkadapter anwenden.

Beschreibung der Cmdlets

Die folgende Tabelle beschreibt nochmals, welche Informationen die jeweiligen Befehle liefern. Dabei überschneiden sich einige Ausgaben bewusst, da bestimmte Informationen von mehreren Cmdlets bereitgestellt werden oder unterschiedlich detailliert dargestellt sind.

Viele der gezeigten Befehle liefern bereits ohne zusätzliche Tools wertvolle Informationen für die Fehlersuche und ermöglichen eine schnelle erste Einschätzung der Netzwerksituation.

Der Beitrag PowerShell – NIC-Konfiguration auslesen erschien zuerst auf Maximilian Krieg.

Mit ldp.exe können Administratoren:

• Verbindungen zu Domain Controllern herstellen (LDAP oder LDAPS), LDAP-Pfade überprüfen
• Authentifizierte Binds durchführen
• Verzeichnisobjekte durchsuchen, filtern, ändern oder löschen, Filter vor dem Einsatz testen
• Attributwerte von Objekten anzeigen oder bearbeiten
• Diagnose- und Troubleshooting-Aufgaben erledigen (z. B. Replikation, Berechtigungen, Deleted Objects)

Damit eignet es sich besonders für Fehleranalyse, Tests und forensische Aufgaben in Active-Directory-Umgebungen. Es kann bspw. bei Microsoft hier heruntergeladen werden.

Einsatz von ldp.exe

LDP einrichten und mit Nutzerdaten verbinden

1. Menüleiste: Connection → Connect
2. Gib den Domain-Controller-Namen ein.
   • Bei LDAPS: SSL aktivieren
3. Bestätigen mit OK.
4. Optional:
   • Menüleiste: Connection → Bind
   • Typ Bind with credentials auswählen
   • Benutzername, Passwort und Domain eingeben (muss die Rechte haben)
   • Bestätigen mit OK.

Active Directory-Struktur durchsuchen

1. Menüleiste: View → Tree
2. Distinguished Name angeben und bestätigen mit OK.
3. Links im Baum kann man jetzt Container (CN) und Organisationseinheiten (OU) aufklappen

Suchen mit Filtern

1. Options → Search → Display Results deaktivieren → OK
2. Browser → Search
3. Base DN: z. B. DC=beispiel,DC=local
4. Run klicken → Die Anzahl der gefundenen Objekte wird angezeigt.

Quellen

• Verwenden von ldp.exe zum Suchen von LDAP-Servern – Cisco
• How to use LDP.EXE to check connectivity and access to AD
• Analysis with LDP tool | ManageEngine Endpoint Central

Der Beitrag LDAP/AD-Fehleranalyse mit ldp.exe erschien zuerst auf Maximilian Krieg.

Es dient dazu, den Gesundheitszustand einer Windows-PKI zu überprüfen und Probleme wie abgelaufene Zertifikate, CRL-Veröffentlichungsfehler oder OCSP-Fehler schnell zu identifizieren.

Einsatz von pkiview und Alternativen

Wichtige Funktionen von pkiview.msc:

• CA-Status prüfen: Zeigt alle Zertifizierungsstellen in der Forest-Hierarchie an (Root-, Intermediate-, Issuing-CAs) und ihren Status.
• Zertifikatketten validieren: Überprüft, ob CA-Zertifikate gültig sind und ob CRLs/OCSP verfügbar sind.
• CRL (Certificate Revocation List) Monitoring: Zeigt an, ob CRLs korrekt veröffentlicht wurden und ob sie bald ablaufen.
• AIA & CDP Distribution Point Checks: Prüft die Erreichbarkeit von CRL- und AIA-Pfaden (HTTP, LDAP, File).
• Alarm bei Problemen: Markiert fehlerhafte Stellen mit Warnsymbolen (gelb/rot).

Direkt über „Ausführen“ oder PowerShell starten:

pkiview.msc

Wichtige Befehle / Alternativen in PowerShell:

#Alle Enterprise CAs im Forest anzeigen
Get-ADObject -LDAPFilter "(objectClass=pKIEnrollmentService)" -SearchBase "CN=Configuration,DC=deinforest,DC=local"

#CA Zertifikate abrufen
certutil -viewstore CA

#CRL prüfen (lokale CRL)
certutil -dump "PfadZurCRL.crl"

#Zertifikatketten überprüfen
certutil -verify "PfadZuZertifikat.cer"

#OCSP Responder prüfen
certutil -urlfetch -verify "PfadZuZertifikat.cer"

Typische Fehler, die pkiview.msc anzeigt:

Der Beitrag Windows PKI-Fehleranalyse mit pkiview.msc erschien zuerst auf Maximilian Krieg.

Problem

Fehlermeldung

Die folgende Meldung wird den Anwendern angezeigt. Im Browser ist weder ein Zertifikat sichtbar noch eine Fehlermeldung zu Zertifikaten ersichtlich, was darauf hindeutet, dass die Verbindung bereits vorher abbricht. Auffällig ist, dass nicht alle Webseiten betroffen sind und auch nicht alle Browser-Varianten. Der Edge-Browser in der aktuellen Version zeigt dieses Problem nicht, ebenso wenig ein älterer Firefox. Aktualisierte Versionen verschiedener Browser führen jedoch zu dem beschriebenen Fehler.

Betroffene Browser

Fortinet hat derweil eine Liste betroffener Browser veröffentlicht. Diese lassen sich wie folgt zusammenfassen.

• Google Chrome 131
• Firefox 132
• Microsoft Edge 131.0.2903.48 (Stable)

Ursache

Der Auslöser für dieses Problem hängt mit der Einführung von Modular-Lattice Key Encapsulation Mechanism (ML-KEM) für den post-quantenfähigen TLS-Schlüsselaustausch zusammen. Diese Methode hat kürzlich X25519Kyber768 für hybriden post-quantenfähigen Schlüsselaustausch in Chromium-basierten Browsern ersetzt. Das Problem wird derzeit bei Fortinet im Case #1097642 untersucht.

SSL-Inspection in den UTM/NGFW-Modes

Fortinet hat angekündigt, an Lösungen innerhalb der IPS-Engine (Versionen 7.0 bis 7.6) zu arbeiten, was darauf hindeutet, dass der Support für die ML-KEM-Methode derzeit speziell in der IPS-Engine problematisch ist. Ein von Fortinet empfohlener Workaround besteht darin, auf den Proxy-Modus umzuschalten, da in diesem Modus die Entschlüsselung außerhalb der IPS-Engine stattfindet.

Dies ist eine gute Gelegenheit, die Unterschiede zwischen den verschiedenen Betriebsmodi der SSL-Inspection zu beleuchten. Hierzu führe ich aus den Herstellerdokumenten die Flow-Diagramme auf und verweise den jeweiligen Anwendungspunkt der SSL-Inspection und IPS-Engine.

Lösungen

Fortinet bietet mehrere Workarounds für das beschriebene Problem an. In meinem Blog möchte ich mich jedoch auf die FortiGate-basierten Lösungen konzentrieren, da diese aus meiner Sicht einfacher umzusetzen sind und keine Änderungen an Browsern oder Betriebssystemen erfordern. Der Fokus liegt darauf, praktikable Lösungen direkt auf der Firewall-Ebene anzuwenden, um die Sicherheit und Funktionalität so effizient wie möglich sicherzustellen.

Inspection-Mode auf Proxy-based umstellen

Das aus meiner Sicht einfachste und effektivste Verfahren zur Lösung des Problems ist die Umstellung des Modus auf Proxy-based. Der Fehler tritt ausschließlich in Kombination mit Flow-based-Policies und aktivierter SSL-Deep-Inspection auf. Durch die Umstellung auf den Proxy-Modus bleibt die Prüfung der SSL-Verbindung vollständig erhalten, ohne dass Ausnahmen definiert werden müssen.

Zusätzlich bietet der Proxy-Modus potenzielle Vorteile, da er die gründlichste Inspektion für UTM- und NGFW-Funktionen ermöglicht. Insbesondere bei Richtlinien, die den Schutz vor bösartigen Inhalten gewährleisten sollen, wird grundsätzlich empfohlen, den Proxy-Modus einzusetzen. Er sorgt für eine umfassendere Sicherheitskontrolle und reduziert das Risiko, dass Bedrohungen unbemerkt bleiben.

SSL-Inspection-Ausnahme festlegen

Fortinet schlägt als zweite Variante vor, eine Ausnahme für die betroffenen oder relevanten Webseiten im SSL-Inspection-Profil einzurichten. Dadurch wird die SSL-Inspection für diese Seiten komplett deaktiviert, selbst wenn die zugehörige Firewall-Regel diese Funktion ursprünglich verlangt. Diese Methode kann jedoch zu einem erhöhten administrativen Aufwand führen, da kontinuierlich Anpassungen erforderlich sind, bis ein langfristiger Fix von Fortinet bereitgestellt wird.

SSL-Inspection abschalten

Anstatt für einzelne Webseiten nun Ausnahmen zu definieren oder den Inspektionsmodus auf Proxy-based umzustellen, besteht auch die Möglichkeit, die SSL-Inspektion vollständig zu deaktivieren oder auf das Verfahren der einfachen Zertifikatsüberprüfung (Certificate Inspection) umzustellen. Diese Ansätze verringern jedoch das allgemeine Sicherheitsniveau erheblich. Daher sollten sie nur in gut begründeten Ausnahmefällen in Betracht gezogen werden, da es sicherere und effektivere Alternativen gibt.

Quellen

• ERR_SSL_PROTOCOL_ERROR when using Flow-based Deep Inspection due to ML-KEM post-quantum TLS key exchange
• Google Online Security Blog: A new path for Kyber on the web
• UTM/NGFW packet flow: flow-based inspection | Fortinet Document Library
• Inspection mode feature comparison | Fortinet Document Library
• Exempting applications/domains/websites from SSL Inspection | Fortinet Community

Der Beitrag FortiGate – ERR_SSL_PROTOCOL_ERROR nach Browser-Updates mit aktiver SSL-Deep-Inspection erschien zuerst auf Maximilian Krieg.