Anonymisierung von IP-Adressen im Logfile
... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul "mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng geht das auch, aber anders). Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall postfix-maillog einsetzen muss, leider gibt es da nur wenige Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen anderen sinnvollen Weg?
Grüße und Danke, jc
On 25.06.2018 16:37, Jakob Curdes wrote:
... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul "mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng geht das auch, aber anders). Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall postfix-maillog einsetzen muss, leider gibt es da nur wenige Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen anderen sinnvollen Weg?
sollte der Log nicht bereits nach einer kurzen Zeit wegrotiert (logrotate) sein?
und anonymisiert speichern von IPs ist wie das Auseinandernehmen durch Putztrupps bevor die Spurensicherung kommt ...
ich geh einen Schritt weiter,
von dem da cat /var/log/maillog |grep NOQUEUE entferne ich meine E-mailadressen und stelle das verbleibende ins Netz ...
(wer sich beschwert dass da seine IP vorkommt, sollte nachdenken bevor er SPAM verbreitet)
von dem da cat /var/log/maillog |grep NOQUEUE entferne ich meine E-mailadressen und stelle das verbleibende ins Netz ...
(wer sich beschwert dass da seine IP vorkommt, sollte nachdenken bevor er SPAM verbreitet)
Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein personenbezogenes Datum und somit hat jeder, auch der evtl. mißbräuchliche, Nutzer Widerspruchs-, Lösch- und Auskunftsrechte. Mag manchen nicht gefallen, aber die Rechtslage ist da eindeutig, nicht erst seit der DSGVO, aberm it der steigen die möglichen Konsequenzen... Natürlich kann man die Frage stellen, ob man die IP-Adresse überhaupt noch loggen soll/muss, aber da sind wir wieder beim Ausgangspunkt: Postfix selbst bietet da m.E. keine Konfigurationsmöglichkeiten.
JC
On 25.06.2018 17:22, Jakob Curdes wrote:
von dem da cat /var/log/maillog |grep NOQUEUE entferne ich meine E-mailadressen und stelle das verbleibende ins Netz ...
(wer sich beschwert dass da seine IP vorkommt, sollte nachdenken bevor er SPAM verbreitet)
Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein personenbezogenes Datum
ne ist es nicht, es existiert kein Personenbezug; es gilt hier das gleiche wie wenn Dein Telephon von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen Log schreibt ... ein Personenbezug ist hier definitiv keiner;
und somit hat jeder, auch der evtl. mißbräuchliche, Nutzer Widerspruchs-, Lösch- und Auskunftsrechte.
klar, da es nicht falsch ist, gibt es auch keinen Widerspruch; da es im Netz global f. alle einsehbar ist ist das Auskunftsrecht gegeben; und das mit dem Löschrecht ist so eine Sache ... erst nachdem ein derartiges Vergehen verjährt, könne ma darüber disktutieren;
ich bin damit rechtlich abgesichert;
Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein personenbezogenes Datum
ne ist es nicht, es existiert kein Personenbezug; es gilt hier das gleiche wie wenn Dein Telephon von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen Log schreibt ... ein Personenbezug ist hier definitiv keiner;
Das ist seit Mai 2017 definitiv falsch; durch Urteile des EuGH und des BGH ist diese Frage abschließend geklärt:
https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adresse...
JC
ps. Die übermittelte Rufnummer wäre selbstverständlich ebenfalls ein personenbezogenes Datum. Aber jetzt wird es ziemlich OT !
On 25.06.2018 19:07, Jakob Curdes wrote:
Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein personenbezogenes Datum
ne ist es nicht, es existiert kein Personenbezug; es gilt hier das gleiche wie wenn Dein Telephon von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen Log schreibt ... ein Personenbezug ist hier definitiv keiner;
Das ist seit Mai 2017 definitiv falsch; durch Urteile des EuGH und des BGH ist diese Frage abschließend geklärt:
https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adresse...
eine dynamische IP Adresse unterscheidet sich von einer IP Adresse durch genau was?
ps. Die übermittelte Rufnummer wäre selbstverständlich ebenfalls ein personenbezogenes Datum.
leider falsch, nur im Kontext eines Telephonbuchs, davon reden wir aber nicht;
https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adresse...
eine dynamische IP Adresse unterscheidet sich von einer IP Adresse durch genau was?
ps. Die übermittelte Rufnummer wäre selbstverständlich ebenfalls ein personenbezogenes Datum.
leider falsch, nur im Kontext eines Telephonbuchs, davon reden wir aber nicht;
Ich beende jetzt mal diesen Teil der Diskussion, diese Liste ist ja kein Datenschutzforum.
Reduzieren wir die Frage doch auf den Ursprung, wie verhindere ich das (vollständige) Loggen von IP-Adressen im Postfix Logfile? Genauer überlegt, müssten ja auch nicht alle IP-Adressen anonymisiert werden; z.B. die IPs von beteiligten Mailservern weisen ja keinen Bezug zu einer einzelnen Person auf. Insofern könnte das von Ben genannte Tool "loganon" durchaus ein guter Ansatz sein, wenn ich das richtig verstehe, kann man damit musterbasiert ersetzen. Wir spielen mal damit herum und melden uns wieder, aber wenn es noch weitere Ideen oder Ansätze gibt, immer her damit !
JC
On 25.06.2018 20:10, Jakob Curdes wrote:
..., wie verhindere ich das (vollständige) Loggen von IP-Adressen im Postfix Logfile?
Wozu soll man das wollen?
Genauer überlegt, müssten ja auch nicht alle IP-Adressen anonymisiert werden;
Frage: wie unterscheidest Du das?
z.B. die IPs von beteiligten Mailservern weisen ja keinen Bezug zu einer einzelnen Person auf.
Falscher Schluß: wenn jemand seine eigene Domain betreibt, und damit seinen eigenen Mailserver, dann ist exakt dieser Mailserver einer Person zugeordnet daher die Frage: das erkennt man genau wie?
Hallo Ben, vielen Dank für den Link auf Dein Loganon-Skript. Es macht fast genau das was wir wollen und wir könnten es auch sehr gut für unsere anderen Fälle verwenden (dovecot, apache usw.), wo wir jetzt eine andere Lösung haben - lieber ist mir natürlich eine Sache, die bei allen Logfiles gleich ist. Das einzige was mir da fehlt, ist eine Möglichkeit bestimmte Adressen (bzw. Zeilen, die bestimmte Adressen oder Hostnamen enthalten) von der Anonymisierung auszunehmen. Ich habe mir das Skript schon angeschaut aber Python ist nun leider überhaupt nicht meine Sprache - kannst Du mir da einen Tip geben wie man eine entsprechende Datei (z.B. einfach einen String pro Zeile) von der Behandlung ausnehmen kann?
Danke & Grüße JC
Am 26.06.2018 um 09:21 schrieb Jakob Curdes:
Hallo Ben, vielen Dank für den Link auf Dein Loganon-Skript. Es macht fast genau das was wir wollen und wir könnten es auch sehr gut für unsere anderen Fälle verwenden (dovecot, apache usw.), wo wir jetzt eine andere Lösung haben - lieber ist mir natürlich eine Sache, die bei allen Logfiles gleich ist. Das einzige was mir da fehlt, ist eine Möglichkeit bestimmte Adressen (bzw. Zeilen, die bestimmte Adressen oder Hostnamen enthalten) von der Anonymisierung auszunehmen. Ich habe mir das Skript schon angeschaut aber Python ist nun leider überhaupt nicht meine Sprache - kannst Du mir da einen Tip geben wie man eine entsprechende Datei (z.B. einfach einen String pro Zeile) von der Behandlung ausnehmen kann?
Wir haben das Skript getestet und es macht genau was wir brauchen. Wir haben es noch um eine Ausnahmeliste erweitert, so dass Zeilen mit bestimmten Inhalten von der Anonymisierung ausgenommen werden können. Der Code hat nicht unbedingt die Qualität, um ihn bei github einzustellen, da wir keine echten Python-Programmierer sind; wer aber einen Patch möchte, kann sich gerne an mich wenden. Danke für die Hilfe, JC
On 25.06.2018 19:58, Walter H. wrote:
On 25.06.2018 19:07, Jakob Curdes wrote:
Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein personenbezogenes Datum
ne ist es nicht, es existiert kein Personenbezug; es gilt hier das gleiche wie wenn Dein Telephon von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen Log schreibt ... ein Personenbezug ist hier definitiv keiner;
Das ist seit Mai 2017 definitiv falsch; durch Urteile des EuGH und des BGH ist diese Frage abschließend geklärt:
https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adresse...
eine dynamische IP Adresse unterscheidet sich von einer IP Adresse durch genau was?
damit Du einen Einblick bekommst hier 2 Einträge
Jun 24 20:38:59 vhost01 postfix/smtpd[23526]: NOQUEUE: reject: RCPT from unknown[62.209.189.17]: 550 5.7.1 Client host rejected: cannot find your hostname, [62.209.189.17]; from=viared@ljusexperten.se to=<#EMAIL#> proto=ESMTP helo=<mail.axier.org>
Jun 24 21:40:20 vhost01 postfix/smtpd[23600]: NOQUEUE: reject: RCPT from mail.prosto.odessa.ua[77.222.132.173]: 554 5.7.1 Service unavailable; Client host [77.222.132.173] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?77.222.132.173; from=advertis@prosto.odessa.ua to=<#EMAIL#> proto=ESMTP helo=<mail.prosto.odessa.ua>
siehst Du Deine E-mail Adresse, dann ist die korrekte vorgehensweise die, nicht mich fertig zu machen etwas zu löschen, sondern den Urheber (der/die/das hinter der IP-Adresse) damit zu konfrontieren;
siehst Du Deine IP-Adresse, dann solltest Dein System in Ordnung bringen bevor Du noch irgendwas machst ...
alles klar?
* Jakob Curdes jc@info-systems.de:
... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul "mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng geht das auch, aber anders). Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall postfix-maillog einsetzen muss, leider gibt es da nur wenige Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen anderen sinnvollen Weg?
Vielleicht passt das ja? https://github.com/sys4/loganon
p@rick
Vielleicht passt das ja? https://github.com/sys4/loganon
Das sieht tatsächlich ganz interessant aus, ich kannte bisher nur
https://www.privacyfoundation.ch/de/service/anonip.html
und das eignet sich nur für Logfiles, an denen die Position der IP-Adresse fix ist. Ich schau es mir mal an und gebe Rückmeldung!
JC
On 06/25/2018 at 16:37, Jakob Curdes jc@info-systems.de wrote:
... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul "mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng geht das auch, aber anders). Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall postfix-maillog einsetzen muss, leider gibt es da nur wenige Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen anderen sinnvollen Weg?
Grüße und Danke, jc
Du könntest die Logdateien nach 7 Tagen löschen. Für die Fehlersuche taugen anonymisierte IP-Adressen IMO nicht, dann kann man sich auch den Rest sparen.
---- Dipl.-Inform(FH) Peter Heitzer, peter.heitzer@rz.uni-regensburg.de
Du könntest die Logdateien nach 7 Tagen löschen. Für die Fehlersuche taugen anonymisierte IP-Adressen IMO nicht, dann kann man sich auch den Rest sparen.
Für die Fehlersuche nicht, aber z.B. für die Gefahrenabwehr, jedenfalls wenn man nur das letzte Oktett anonymisiert, dann kann man für DOS-Situationen schon noch etwas damit anfangen. 7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es ein personenbezogenes Datum ist. JC
On Mo, 25 Jun 2018 at 17:25:05 +0200, Jakob Curdes wrote:
7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es ein personenbezogenes Datum ist.
Sollten sie, weil Du argumentieren kannst dass Du ein berechtigtes Interesse an der Speicherung der Daten hast um Missbrauch zu erkennen. Es kommt im Wesentlichen auf die Begründung an, warum Daten verarbeitet und gespeichert werden, jedenfalls ist das die Quintessenz die ich aus den DSGVO Diskussionen und den diversen Texten mitbekommen habe.
Fast alle Mustertexte für Webseiten enthalten den passus, dass IP-Adressen vollständig im Serverlog gespeichert werden um abuse zu erkennen. Bei der Webseitenstatistik ist das ein anderer Fall, hier ist die IP-Adresse nicht nötig und ein opt-out aus dem gesamten tracking muss möglich sein.
Solange Du also im Regelbetrieb keine Statistiken über die IP-Adressen in Verbindung mit den Emailadressen erzeugst und dies auf einzelne Personen zuordnest ist das okay, wenn ich die von mir konsultierten Quellen richtig interpretiere.
IANAL, Florian
On Mo, 25 Jun 2018 at 17:25:05 +0200, Jakob Curdes wrote:
7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es ein personenbezogenes Datum ist.
Sollten sie, weil Du argumentieren kannst dass Du ein berechtigtes Interesse an der Speicherung der Daten hast um Missbrauch zu erkennen. Es kommt im Wesentlichen auf die Begründung an, warum Daten verarbeitet und gespeichert werden, jedenfalls ist das die Quintessenz die ich aus den DSGVO Diskussionen und den diversen Texten mitbekommen habe.
Fast alle Mustertexte für Webseiten enthalten den passus, dass IP-Adressen vollständig im Serverlog gespeichert werden um abuse zu erkennen. Bei der Webseitenstatistik ist das ein anderer Fall, hier ist die IP-Adresse nicht nötig und ein opt-out aus dem gesamten tracking muss möglich sein.
Solange Du also im Regelbetrieb keine Statistiken über die IP-Adressen in Verbindung mit den Emailadressen erzeugst und dies auf einzelne Personen zuordnest ist das okay, wenn ich die von mir konsultierten Quellen richtig interpretiere.
Ich musste mich im Rahmen meines Fachkundenachweises mit den möglichen Begründungen für eine Speicherung zwangsweise auseinandersetzen. Die Frage, ob man dynamische IP-Adressen zur Gefahrenabwehr ohne Einwilligung zeitlich begrenzt speichern darf, wird derzeit höchstrichterlich geklärt. Für die meisten anderen Zwecke sieht das eher schwierig aus, jedenfalls ohne Einwilligung (die für Logfiles technisch kaum umsetzbar wäre). S.z.B. https://www.datenschutz-praxis.de/fachartikel/ip-adressen-pruefen-sie-speich...
Und: es geht nicht nur ums Speichern, es geht auch um die Widerspruchs- und Löschrechte. Wenn jemand da Löschrechte geltend macht, und die hat er mit großer Wahrscheinlichkeit - wie soll das denn bei einem Logfile praktiziert werden? Und wie verhindere ich das zukünftige Loggen der (evtl. immer noch derselben Person zugeordneten) IP? Wenn es gar kein personenbezogenes Datum mehr ist, fällt das alles weg.... ob die überall kursierenden Texte wirklich eine korrekte Umsetzung der DSGVO beschreiben oder einfach nur den aktuellen Zustand auf dem Server, werden wir in einiger Zeit genauer wissen.
Aber eigentlich wollte ich das Fass ja gar nicht aufmachen; wir haben uns hier schon vor einiger Zeit entschieden, höchstens noch gekürzte IPs zu loggen, wie es auch alle großen Hoster machen, weil uns das für unsere Zwecke in der Praxis ausreicht. Das muss im Endeffekt jeder für sich entscheiden. Die Frage ist daher technisch zu verstehen, und ich habe ja auch schon einen guten Tip für ein Tool bekommen.
JC
On 25.06.2018 18:19, Jakob Curdes wrote:
Ich musste mich im Rahmen meines Fachkundenachweises mit den möglichen Begründungen für eine Speicherung zwangsweise auseinandersetzen. Die Frage, ob man dynamische IP-Adressen zur Gefahrenabwehr ohne Einwilligung zeitlich begrenzt speichern darf, wird derzeit höchstrichterlich geklärt.
wie erkennst Du denn den Unterschied zwischen einer dynamischen IP-Adresse und einer nicht dynamischen IP-Adresse? aus Sicht Deines mit postfix laufenden Servers sind es NUR IP-Adressen; und da hier kein Personenbezug gegeben ist, gibt es auch kein Problem bei der Speicherung;
participants (5)
-
Florian Streibelt -
Jakob Curdes -
Patrick Ben Koetter -
Peter Heitzer -
Walter H.