Direkt zum Inhalt
04.06.2025 - SLAC 2025

Nauthilus: Intelligentes Authentifizieren für sichere Mail-Systeme

Ein Workshop von Christian Rößner

Vorstellung und Deep Dive in Nauthilus, einen Authentifizierungs- und Autorisierungsserver 

Nauthilus ist ideal in Mailumgebungen einsetzbar und bietet eine sehr gute Integration in Systeme wie Postfix und Dovecot. Nauthilus kann als zentrale Stelle für Policies eingerichtet werden. Eine der wesentlichen Stärken ist die Integration einer Lua-Virtual-Machine. Diese bietet dem Administrator eine nahezu unbegrenzte Anwendungsvielfalt (Abbildung der Businesslogik, wie z.B. Kontensperrung wegen unbezahlter Rechnungen, Sperrung wegen polizeilicher Überwachung, ...). 

Der Prozess der Authentifizierung und Autorisierung durchläuft zahlreiche Phasen, auf die der Administrator einwirken kann. In der ersten Phase greift eine Brute-Force-Protection und Funktionen wie Realtime-Blackhole-Lists, Prüfung gegen Relay-Domains, sofern der Anmeldename einer E-Mail-Adresse entspricht oder eigenen Lua-Tests (hierzu gehört auch das Abfragen von IPs gegen Sperrlisten). 

In der zweiten Phase wird die Authentifizierung durchlaufen. Entweder auf Basis eines LDAP-fähigen Servers oder einem selbstgeschriebenen Lua-Backend. 

Es folgt die Phase der Autorisierung, in der Entscheidungen zur erfolgreichen Authentifizierung revidiert werden können. 

In der letzten Phase arbeitet Nauthilus im Hintergrund weiter. Hier können verschiedenste Aufgaben in Lua formuliert werden, z.B. Passwort-Policy-Überprüfung, Ländertracking, um Benutzer zu informieren, wenn sie sich das erste Mal aus einem anderen Land anmelden, Prüfung des Passworts gegen Netzwerke wie Haveibeenpwnd, um zu testen, ob ein Passwort im Dark-Net bekannt ist, Protokollierung der Login-Statistik für einen Anwender in eine Datenbank. Und Vieles andere... 

Weitere kleine Programme rund um Nauthilus erweitern dessen Fähigkeiten, um beispielsweise GeoIP-Informationen oder Sperrlisten einzubinden. Auch eine Integration in Keycloak ist problemlos möglich. Beide Dienste arbeiten so Hand in Hand. 

Der Workshop erklärt den Service im Detail, dessen Einrichtung und Verwendung anhand von Beispielen. 

Referent

Christian Rößner

Christian Rößner

ist freiberuflicher Informatiker. Im Bereich E-Mail liegen seine Wurzeln in den 90er Jahren und er programmiert seit über 40 Jahren Software. Beide Welten passen für ihn gut zusammen, so dass er sich selbst als IT-Integrator im Fachbereich E-Mail sieht. Christian hat schon für viele große E-Mail-Provider gearbeitet, darunter UnityMedia, Freenet, Posteo und Mail.de. Er ist sporadisch auf Mailinglisten unterwegs, wie z.B. der Postfix, Dovecot oder Rspamd-Liste. - Und er hat Nauthilus entwickelt, weil es gewünscht wurde und er die ursprüngliche Idee gut fand. Mit der Zeit hat Christian viele unzählige eigene Ideen dort einfließen lassen. Jetzt ist es so weit, die Software einem größeren Publikum vorzustellen und bekannt zu machen.