Anonymisierung von IP-Adressen im Logfile

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
18 messages Options
Reply | Threaded
Open this post in threaded view
|

Anonymisierung von IP-Adressen im Logfile

Jakob Curdes
... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal
eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul
"mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng
geht das auch, aber anders).
Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall
postfix-maillog einsetzen muss, leider gibt es da nur wenige
Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen
anderen sinnvollen Weg?

Grüße und Danke, jc




Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Walter H.
On 25.06.2018 16:37, Jakob Curdes wrote:
> ... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal
> eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul
> "mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng
> geht das auch, aber anders).
> Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall
> postfix-maillog einsetzen muss, leider gibt es da nur wenige
> Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen
> anderen sinnvollen Weg?
>
sollte der Log nicht bereits nach einer kurzen Zeit wegrotiert
(logrotate) sein?

und anonymisiert speichern von IPs ist wie das Auseinandernehmen durch
Putztrupps bevor
die Spurensicherung kommt ...

ich geh einen Schritt weiter,

von dem da
cat /var/log/maillog |grep NOQUEUE
entferne ich meine E-mailadressen und stelle das verbleibende ins Netz ...

(wer sich beschwert dass da seine IP vorkommt, sollte nachdenken bevor
er SPAM verbreitet)



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Patrick Ben Koetter-2
In reply to this post by Jakob Curdes
* Jakob Curdes <[hidden email]>:
> ... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal eingelesen
> und herausgefunden, dass man bei rsyslog mit einem Modul "mmanon"
> IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng geht das auch,
> aber anders).
> Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall
> postfix-maillog einsetzen muss, leider gibt es da nur wenige
> Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen
> anderen sinnvollen Weg?

Vielleicht passt das ja? https://github.com/sys4/loganon

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Peter Heitzer
In reply to this post by Jakob Curdes
>>> On 06/25/2018 at 16:37, Jakob Curdes <[hidden email]> wrote:
> ... ist ja neuerdings nicht ganz uninteressant. Ich habe mich mal
> eingelesen und herausgefunden, dass man bei rsyslog mit einem Modul
> "mmanon" IP-Adressen teils oder ganz anonymisieren kann (bei syslog-ng
> geht das auch, aber anders).
> Nur habe ich bisher nicht herausgefunden, wie ich das genau im Fall
> postfix-maillog einsetzen muss, leider gibt es da nur wenige
> Anwendunsbeispiele. Hat das schon jemand geschafft oder gibt es einen
> anderen sinnvollen Weg?
>
> Grüße und Danke, jc

Du könntest die Logdateien nach 7 Tagen löschen. Für die Fehlersuche taugen
anonymisierte
IP-Adressen IMO nicht, dann kann man sich auch den Rest sparen.




----
Dipl.-Inform(FH) Peter Heitzer, [hidden email]

Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes
In reply to this post by Walter H.

> von dem da
> cat /var/log/maillog |grep NOQUEUE
> entferne ich meine E-mailadressen und stelle das verbleibende ins Netz
> ...
>
> (wer sich beschwert dass da seine IP vorkommt, sollte nachdenken bevor
> er SPAM verbreitet)
>
Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein
personenbezogenes Datum und somit hat jeder, auch der evtl.
mißbräuchliche, Nutzer Widerspruchs-, Lösch- und Auskunftsrechte.
Mag manchen nicht gefallen, aber die Rechtslage ist da eindeutig, nicht
erst seit der DSGVO, aberm it der steigen die möglichen Konsequenzen...
Natürlich kann man die Frage stellen, ob man die IP-Adresse überhaupt
noch loggen soll/muss, aber da sind wir wieder beim Ausgangspunkt:
Postfix selbst bietet da m.E. keine Konfigurationsmöglichkeiten.

JC


Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes
In reply to this post by Peter Heitzer

> Du könntest die Logdateien nach 7 Tagen löschen. Für die Fehlersuche taugen
> anonymisierte
> IP-Adressen IMO nicht, dann kann man sich auch den Rest sparen.
Für die Fehlersuche nicht, aber z.B. für die Gefahrenabwehr, jedenfalls
wenn man nur das letzte Oktett anonymisiert, dann kann man für
DOS-Situationen schon noch etwas damit anfangen.
7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es
ein personenbezogenes Datum ist.
JC
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes
In reply to this post by Patrick Ben Koetter-2

> Vielleicht passt das ja? https://github.com/sys4/loganon
>
Das sieht tatsächlich ganz interessant aus, ich kannte bisher nur

https://www.privacyfoundation.ch/de/service/anonip.html

und das eignet sich nur für Logfiles, an denen die Position der
IP-Adresse fix ist.
Ich schau es mir mal an und gebe Rückmeldung!

JC
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Florian Streibelt
In reply to this post by Jakob Curdes
On Mo, 25 Jun 2018 at 17:25:05 +0200, Jakob Curdes wrote:
> 7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es ein
> personenbezogenes Datum ist.

Sollten sie, weil Du argumentieren kannst dass Du ein berechtigtes Interesse
an der Speicherung der Daten hast um Missbrauch zu erkennen. Es kommt im
Wesentlichen auf die Begründung an, warum Daten verarbeitet und gespeichert
werden, jedenfalls ist das die Quintessenz die ich aus den DSGVO Diskussionen
und den diversen Texten mitbekommen habe.

Fast alle Mustertexte für Webseiten enthalten den passus, dass IP-Adressen
vollständig im Serverlog gespeichert werden um abuse zu erkennen. Bei der
Webseitenstatistik ist das ein anderer Fall, hier ist die IP-Adresse nicht
nötig und ein opt-out aus dem gesamten tracking muss möglich sein.

Solange Du also im Regelbetrieb keine Statistiken über die IP-Adressen in
Verbindung mit den Emailadressen erzeugst und dies auf einzelne Personen
zuordnest ist das okay, wenn ich die von mir konsultierten Quellen richtig
interpretiere.

IANAL,
  Florian
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes

> On Mo, 25 Jun 2018 at 17:25:05 +0200, Jakob Curdes wrote:
>> 7 Tage helfen einem bei der Datenschutzproblematik nicht weiter, wenn es ein
>> personenbezogenes Datum ist.
> Sollten sie, weil Du argumentieren kannst dass Du ein berechtigtes Interesse
> an der Speicherung der Daten hast um Missbrauch zu erkennen. Es kommt im
> Wesentlichen auf die Begründung an, warum Daten verarbeitet und gespeichert
> werden, jedenfalls ist das die Quintessenz die ich aus den DSGVO Diskussionen
> und den diversen Texten mitbekommen habe.
>
> Fast alle Mustertexte für Webseiten enthalten den passus, dass IP-Adressen
> vollständig im Serverlog gespeichert werden um abuse zu erkennen. Bei der
> Webseitenstatistik ist das ein anderer Fall, hier ist die IP-Adresse nicht
> nötig und ein opt-out aus dem gesamten tracking muss möglich sein.
>
> Solange Du also im Regelbetrieb keine Statistiken über die IP-Adressen in
> Verbindung mit den Emailadressen erzeugst und dies auf einzelne Personen
> zuordnest ist das okay, wenn ich die von mir konsultierten Quellen richtig
> interpretiere.
>
Ich musste mich im Rahmen meines Fachkundenachweises mit den möglichen Begründungen für eine
Speicherung zwangsweise auseinandersetzen.
Die Frage, ob man dynamische IP-Adressen zur Gefahrenabwehr ohne Einwilligung zeitlich begrenzt
speichern darf, wird derzeit höchstrichterlich geklärt. Für die meisten anderen Zwecke sieht das
eher schwierig aus, jedenfalls ohne Einwilligung (die für Logfiles technisch kaum umsetzbar wäre).
S.z.B. https://www.datenschutz-praxis.de/fachartikel/ip-adressen-pruefen-sie-speicherpraxis/

Und: es geht nicht nur ums Speichern, es geht auch um die Widerspruchs- und Löschrechte.
Wenn jemand da Löschrechte geltend macht, und die hat er mit großer Wahrscheinlichkeit - wie soll
das denn bei einem Logfile praktiziert werden? Und wie verhindere ich das zukünftige Loggen der
(evtl. immer noch derselben Person zugeordneten) IP? Wenn es gar kein personenbezogenes Datum mehr
ist, fällt das alles weg.... ob die überall kursierenden Texte wirklich eine korrekte Umsetzung der
DSGVO beschreiben oder einfach nur den aktuellen Zustand auf dem Server, werden wir in einiger Zeit
genauer wissen.

Aber eigentlich wollte ich das Fass ja gar nicht aufmachen; wir haben uns hier schon vor einiger
Zeit entschieden, höchstens noch gekürzte IPs zu loggen, wie es auch alle großen Hoster machen, weil
uns das für unsere Zwecke in der Praxis ausreicht. Das muss im Endeffekt jeder für sich entscheiden.
Die Frage ist daher technisch zu verstehen, und ich habe ja auch schon einen guten Tip für ein Tool
bekommen.

JC
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Walter H.
On 25.06.2018 18:19, Jakob Curdes wrote:
> Ich musste mich im Rahmen meines Fachkundenachweises mit den möglichen
> Begründungen für eine Speicherung zwangsweise auseinandersetzen.
> Die Frage, ob man dynamische IP-Adressen zur Gefahrenabwehr ohne
> Einwilligung zeitlich begrenzt speichern darf, wird derzeit
> höchstrichterlich geklärt.
wie erkennst Du denn den Unterschied zwischen einer dynamischen
IP-Adresse und einer nicht dynamischen IP-Adresse?
aus Sicht Deines mit postfix laufenden Servers sind es NUR IP-Adressen;
und da hier kein Personenbezug gegeben ist, gibt es auch kein Problem
bei der Speicherung;



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Walter H.
In reply to this post by Jakob Curdes
On 25.06.2018 17:22, Jakob Curdes wrote:

>
>> von dem da
>> cat /var/log/maillog |grep NOQUEUE
>> entferne ich meine E-mailadressen und stelle das verbleibende ins
>> Netz ...
>>
>> (wer sich beschwert dass da seine IP vorkommt, sollte nachdenken
>> bevor er SPAM verbreitet)
>>
> Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein
> personenbezogenes Datum
ne ist es nicht, es existiert kein Personenbezug; es gilt hier das
gleiche wie wenn Dein Telephon
von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen Log
schreibt ...
ein Personenbezug ist hier definitiv keiner;

> und somit hat jeder, auch der evtl. mißbräuchliche, Nutzer
> Widerspruchs-, Lösch- und Auskunftsrechte.
klar, da es nicht falsch ist, gibt es auch keinen Widerspruch; da es im
Netz global f. alle einsehbar ist
ist das Auskunftsrecht gegeben; und das mit dem Löschrecht ist so eine
Sache ...
erst nachdem ein derartiges Vergehen verjährt, könne ma darüber
disktutieren;

ich bin damit rechtlich abgesichert;



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes

>>>
>> Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein personenbezogenes Datum
> ne ist es nicht, es existiert kein Personenbezug; es gilt hier das gleiche wie wenn Dein Telephon
> von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen Log schreibt ...
> ein Personenbezug ist hier definitiv keiner;
Das ist seit Mai 2017 definitiv falsch; durch Urteile des EuGH und des BGH ist diese Frage
abschließend geklärt:

https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adressen-sind-personenbezogene-Daten-3714967.html

JC

ps. Die übermittelte Rufnummer wäre selbstverständlich ebenfalls ein personenbezogenes Datum. Aber
jetzt wird es ziemlich OT !

Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Walter H.
On 25.06.2018 19:07, Jakob Curdes wrote:

>>> Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein
>>> personenbezogenes Datum
>> ne ist es nicht, es existiert kein Personenbezug; es gilt hier das
>> gleiche wie wenn Dein Telephon
>> von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen
>> Log schreibt ...
>> ein Personenbezug ist hier definitiv keiner;
> Das ist seit Mai 2017 definitiv falsch; durch Urteile des EuGH und des
> BGH ist diese Frage abschließend geklärt:
>
> https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adressen-sind-personenbezogene-Daten-3714967.html 
>
>
eine dynamische IP Adresse unterscheidet sich von einer IP Adresse durch
genau was?
>
> ps. Die übermittelte Rufnummer wäre selbstverständlich ebenfalls ein
> personenbezogenes Datum.
>
leider falsch, nur im Kontext eines Telephonbuchs, davon reden wir aber
nicht;





smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes

>> https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adressen-sind-personenbezogene-Daten-3714967.html 
>>
>>
> eine dynamische IP Adresse unterscheidet sich von einer IP Adresse durch genau was?
>>
>> ps. Die übermittelte Rufnummer wäre selbstverständlich ebenfalls ein personenbezogenes Datum.
>>
> leider falsch, nur im Kontext eines Telephonbuchs, davon reden wir aber nicht;
>
Ich beende jetzt mal diesen Teil der Diskussion, diese Liste ist ja kein Datenschutzforum.

Reduzieren wir die Frage doch auf den Ursprung, wie verhindere ich das (vollständige) Loggen von
IP-Adressen im Postfix Logfile?
Genauer überlegt, müssten ja auch nicht alle IP-Adressen anonymisiert werden; z.B. die IPs von
beteiligten Mailservern weisen ja keinen Bezug zu einer einzelnen Person auf. Insofern könnte das
von Ben genannte Tool "loganon" durchaus ein guter Ansatz sein, wenn ich das richtig verstehe, kann
man damit musterbasiert ersetzen. Wir spielen mal damit herum und melden uns wieder, aber wenn es
noch weitere Ideen oder Ansätze gibt, immer her damit !

JC

Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile - Nachtrag

Walter H.
In reply to this post by Walter H.
On 25.06.2018 19:58, Walter H. wrote:

> On 25.06.2018 19:07, Jakob Curdes wrote:
>>>> Da wäre ich vorsichtig mit, eine (dynamische) IP-Adresse ist ein
>>>> personenbezogenes Datum
>>> ne ist es nicht, es existiert kein Personenbezug; es gilt hier das
>>> gleiche wie wenn Dein Telephon
>>> von jedem Anfruf die Nummer - sofern diese mitgeschickt - in einen
>>> Log schreibt ...
>>> ein Personenbezug ist hier definitiv keiner;
>> Das ist seit Mai 2017 definitiv falsch; durch Urteile des EuGH und
>> des BGH ist diese Frage abschließend geklärt:
>>
>> https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adressen-sind-personenbezogene-Daten-3714967.html 
>>
>>
> eine dynamische IP Adresse unterscheidet sich von einer IP Adresse
> durch genau was?
damit Du einen Einblick bekommst hier 2 Einträge

Jun 24 20:38:59 vhost01 postfix/smtpd[23526]: NOQUEUE: reject: RCPT from unknown[62.209.189.17]: 550 5.7.1 Client host rejected: cannot find your hostname, [62.209.189.17]; from=<[hidden email]>  to=<#EMAIL#>  proto=ESMTP helo=<mail.axier.org>

Jun 24 21:40:20 vhost01 postfix/smtpd[23600]: NOQUEUE: reject: RCPT from mail.prosto.odessa.ua[77.222.132.173]: 554 5.7.1 Service unavailable; Client host [77.222.132.173] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?77.222.132.173; from=<[hidden email]>  to=<#EMAIL#>  proto=ESMTP helo=<mail.prosto.odessa.ua>

siehst Du Deine E-mail Adresse, dann ist die korrekte vorgehensweise
die, nicht mich fertig zu machen etwas zu löschen, sondern den Urheber
(der/die/das hinter der IP-Adresse) damit zu konfrontieren;

siehst Du Deine IP-Adresse, dann solltest Dein System in Ordnung bringen
bevor Du noch irgendwas machst ...

alles klar?


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Walter H.
In reply to this post by Jakob Curdes
On 25.06.2018 20:10, Jakob Curdes wrote:
>
> ..., wie verhindere ich das (vollständige) Loggen von IP-Adressen im
> Postfix Logfile?
Wozu soll man das wollen?
> Genauer überlegt, müssten ja auch nicht alle IP-Adressen anonymisiert
> werden;
Frage: wie unterscheidest Du das?
> z.B. die IPs von beteiligten Mailservern weisen ja keinen Bezug zu
> einer einzelnen Person auf.
Falscher Schluß: wenn jemand seine eigene Domain betreibt, und damit
seinen eigenen Mailserver,
              dann ist exakt dieser Mailserver einer Person zugeordnet
daher die Frage: das erkennt man genau wie?



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes
In reply to this post by Jakob Curdes
Hallo Ben, vielen Dank für den Link auf Dein Loganon-Skript. Es macht
fast genau das was wir wollen und wir könnten es auch sehr gut für
unsere anderen Fälle verwenden (dovecot, apache usw.), wo wir jetzt eine
andere Lösung haben - lieber ist mir natürlich eine Sache, die bei allen
Logfiles gleich ist. Das einzige was mir da fehlt, ist eine Möglichkeit
bestimmte Adressen (bzw. Zeilen, die bestimmte Adressen oder Hostnamen
enthalten) von der Anonymisierung auszunehmen. Ich habe mir das Skript
schon angeschaut aber Python ist nun leider überhaupt nicht meine
Sprache - kannst Du mir da einen Tip geben wie man eine entsprechende
Datei (z.B. einfach einen String pro Zeile) von der Behandlung ausnehmen
kann?

Danke & Grüße JC



Reply | Threaded
Open this post in threaded view
|

Re: Anonymisierung von IP-Adressen im Logfile

Jakob Curdes


Am 26.06.2018 um 09:21 schrieb Jakob Curdes:

> Hallo Ben, vielen Dank für den Link auf Dein Loganon-Skript. Es macht
> fast genau das was wir wollen und wir könnten es auch sehr gut für
> unsere anderen Fälle verwenden (dovecot, apache usw.), wo wir jetzt
> eine andere Lösung haben - lieber ist mir natürlich eine Sache, die
> bei allen Logfiles gleich ist. Das einzige was mir da fehlt, ist eine
> Möglichkeit bestimmte Adressen (bzw. Zeilen, die bestimmte Adressen
> oder Hostnamen enthalten) von der Anonymisierung auszunehmen. Ich habe
> mir das Skript schon angeschaut aber Python ist nun leider überhaupt
> nicht meine Sprache - kannst Du mir da einen Tip geben wie man eine
> entsprechende Datei (z.B. einfach einen String pro Zeile) von der
> Behandlung ausnehmen kann?
Wir haben das Skript getestet und es macht genau was wir brauchen. Wir
haben es noch um eine Ausnahmeliste erweitert, so dass Zeilen mit
bestimmten Inhalten von der Anonymisierung ausgenommen werden können.
Der Code hat nicht unbedingt die Qualität, um ihn bei github
einzustellen, da wir keine echten Python-Programmierer sind; wer aber
einen Patch möchte, kann sich gerne an mich wenden.
Danke für die Hilfe, JC