Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft waarschuwt opnieuw voor ernstige kwetsbaarheden in Exchange

Microsoft waarschuwt voor twee gevaarlijke kwetsbaarheden in Exchange-servers 2013, 2016 en 2019. Het is de tweede keer in een paar maanden tijd dat er kritieke kwetsbaarheden in Exchange zijn ontdekt.

Het gaat om de kwetsbaarheden CVE-2021-28480 en CVE-2021-28481. Ze worden door Microsoft aangeduid als zeer ernstig. Via de kwetsbaarheden kunnen aanvallers servers op afstand overnemen. Microsoft heeft een update uitgebracht om het beveiligingslek te dichten. Microsoft roept gebruikers op om de update zo snel mogelijk te installeren.

Volgens Microsoft zijn er op dit moment geen aanwijzingen dat de twee kwetsbaarheden actief werden misbruikt. De beveiligingslekken werden ontdekt door de Amerikaanse geheime dienst NSA. Het is nog niet duidelijk hoe de kwetsbaarheden zijn ontdekt.

Vorige maand werden er nog vier zeroday-kwetsbaarheden gedicht door Microsoft. Deze werden wel actief misbruikt door Chinese hackers. Toen ontdekte Beveiligingsbedrijf Volexity dat er grote hoeveelheden data naar verdachte ip-adressen werden gestuurd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Nieuwsposter

13-04-2021 • 20:51

235 Linkedin

Submitter: Rolfie

Reacties (235)

Wijzig sortering
NCSC noemt 4 kwetsbaarheden:
https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-0314

De andere twee hebben iets meer privileges nodig en / of adjacent network topology :
- CVE-2021-28482
- CVE-2021-28483
De documentatie van Microsoft meldt dat ze alle 4 gedicht zijn:
This security update rollup resolves vulnerabilities in Microsoft Exchange Server. To learn more about these vulnerabilities, see the following Common Vulnerabilities and Exposures (CVE):
CVE-2021-28480 | Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-28481 | Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-28482 | Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-28483 | Microsoft Exchange Server Remote Code Execution Vulnerability
https://support.microsoft...7b-466c-bbb7-5d5aa16ef064
Ik weet dat kwetsbaarheden part of software is, maar het begint best ernstig te worden. Vooral omdat het om software gaat waar grote bedrijven op vertrouwen. En waar men dan ook nog best grof voor betaald.

Persoonlijk ben ik voor Linux software. En natuurlijk bevatten deze ook kwetsbaarheden en kan het net zo schadelijk zijn, maar voor mijn gevoel lijkt het alsof er minder kwetsbaarheden in Linux packages zitten dan bij de betaalde versies van Microsoft.
Ik denk dat het qua aantal kwetsbaarheden niet veel uitmaakt. Het is beide door mensen gemaakt en gemiddeld genomen zal het kennisniveau op gebied van security bij de developers op Linux en Microsoft producten hetzelfde zijn of in ieder geval niet veel ontlopen.
Het probleem zit hem in marktdominantie. Microsoft heeft een enorm marktaandeel als je kijkt naar OS en softwarepakketten op bepaalde gebieden (zoals Exchange, Office, AD, etc.). Het vinden van een kwetsbaarheid in zo'n pakket zorgt meteen voor een ongekend aanvalsoppervlak, want iedereen gebruikt het. Daarmee is het dus ook interessant voor kwaadwillende actoren.
Dan kan je nog de discussie tussen open en closed source software voeren, maar in beide pakketten zitten gewoon kwetsbaarheden die jarenlang niet opgelost worden (heartbleed, POODLE) terwijl iedereen erbij kan.
Ik denk niet dat een massale overstap (als er uberhaupt al gebruikersvriendelijke alternatieven zijn) naar een ander platform ervoor zou zorgen dat dat op security gebied beter zou zijn. Dan focust een kwaadwillende zich wel op dat alternatief.
Openssl is nou niet bepaald een doorsnee open source project. De code is van een hoog complex niveau waardoor de 'instap' voor een nieuwe developer enorm hoog is. Je moet niet alleen een ver bovengemiddeld begaafde programmeur zijn wil je iets in dit project kunnen, je komt al snel met moeilijke crypto shit in aanraking en dat is nóg een ander spel.

Het was voor een groot deel een verouderde code waar heel veel liefde in gelegd is de afgelopen jaren om die weer naar 2021 te brengen.

De meeste open source projecten hebben niet zo'n hoge drempel. Zeker tegenwoordig niet bijvoorbeeld met projecten die in een taal als Go of Erlang of Python zijn geschreven. Daarin is het een stuk moeilijker om security issues te veroorzaken dan dat het was in talen zoals C.

In het algemeen denk ik dat open source code een stuk vaker wordt gelezen dan proprietary software.
In het algemeen denk ik dat open source code een stuk vaker wordt gelezen dan proprietary software.
Dat is maar een gevoel wat vaak naar voor komt als argument maar in realiteit houd het geen steek. Immers als de code van iedereen is dan is ze van niemand, zelfde probleem als er 20 mensen getuigen zijn van een brand en de brandweer vervolgens kwaad is omdat niemand de brandweer gebeld heeft. Er staat zoveel volk op de brand te kijken dat iedereen denkt dat iemand anders wel al gebeld heeft maar omdat iedereen dat denkt heeft niemand gebeld. Als je in een afgelegen gebied in panne staat, die ene auto zal stoppen en hulp aanbieden, doe dat in Amsterdam en na een week komen ze je weghalen omdat ze denken dat je een dakloze bent.

Daarnaast heb je niet enkel ogen nodig, je moet de code ook doorgronden wat niet eenvoudig is als het code is die onbekend is. Voor security moet je echter nog veel dieper in de code gaan en dan geef je het zelf al aan, dan heb je een ver bovengemiddelde programmeur nodig.

Een ander issue met code van iedereen is dat iedereen ze kan schrijven of aanpassen, niemand gaat controleren of ik wel geschikt ben om opensource code te schrijven, het is pas als iemand mijn code nakijkt dat er mogelijks een belletje gaat rinkelen.

De succesverhalen van opensource code hebben allemaal een vast actief team achter hun, die draaien niet goed omdat er veel ogen zijn, die draaien goed omdat er passie & kennis achter zit van een select aantal mensen.

Maar opensource zonder een vast team achter? Niemand kijkt dat na, waarom zou je daar je tijd in steken? Het is pas als er iets gebeurd of niet werkt dat er ogen op de code komen. Dan word het wel snel gefixt omdat je meteen bijna oneindige resources ter beschikking hebt maar het is en blijft een achteraf verhaal.

Of je hebt bedrijven die een stuk opensource code gaan gebruiken en dus de code gaan onderhouden maar ook dat valt tegen want dan bouwt men er een eigen propertiere schil om en gebeurd de verdere ontwikkeling alsnog achter gesloten deuren.
Nou, een 'team' is een slecht voorbeeld van hoe een open source project georganiseerd zou moeten zijn. In de praktijk gebeurt dat voor veel projecten ook niet.

Kijk eens naar curl: https://github.com/curl/curl

cURL is een project waar Daniel Stenberg de lead is. Ik heb in een ander project met Daniel gewerkt en hij is een geweldig begaafde developer, maar vooral iemand die iedereen de ruimte geeft, en zelf de verantwoordelijkheid voor de kwaliteit draagt. De scope van zijn projecten is duidelijk. Daardoor geen onduidelijkheid over de 'richting' van een project.

Protocollen implementeren is een potentiële security nachtmerrie. Je hebt per definitie te maken met een 'vijandige' server of cliënt. Op geen enkele manier zie ik gebeuren dat een closed-source software development team iets kan maken van de kwaliteit van cURL. Dat is echt ondenkbaar. Hoe slecht OpenSSL trouwens ook was, het was helaas heel lang ook het best beschikbare. Ik zie geen enkele andere manier dat je een project als dezen op langere termijn zou kunnen onderhouden als middels open source.

cURL is waarschijnlijk de meest gebruikte code library ter wereld. Het zit in élk operating system dat ik ken, in élk apparaat dat ik heb met een CPU of microcontroller.

Open source leidt tot een open manier van werken, en daar ligt de kracht. Daar moet een lead de voorwaarden voor scheppen.

Closed-team ontwikkelen en het open source noemen is niet de manier en leidt tot hetzelfde innocent-bystander of blinde-vlek problematiek die ook in closed source software plaats heeft.

[Reactie gewijzigd door casberrypi op 14 april 2021 08:38]

Open source leidt tot een open manier van werken, en daar ligt de kracht. Daar moet een lead de voorwaarden voor scheppen.
Helemaal eens. Ik ben zelf betrokken bij een project van Apache Foundation en dat is vergelijkbaar. Ik heb destijds mijn code voorgesteld en die is beoordeeld door de lead.

Na goedkeuring kon ik zelf verder met integratie in het project, waarbij ik via een peer review mijn commits laat controleren. Werkt perfect: op kleine schaal kan ik mijn eigen weg volgen als maintainer, op de schaal van het project bewaakt de lead de architectuur.

Het enige wat lastig is, is de vrijblijvendheid; het project is afhankelijk van de beschikbaarheid van vrije tijd. Je kunt dus geen garanties geven over nieuwe functies in releases en dergelijke. Maar goed, het kost ook niks.
Grappig om die open manier van werken genoemd te zien in een discussie over een Microsoft product.
Bij Microsoft is al hun code intern open voor all andere Microsoft developers. (Waarbij developer een zeer ruime definitie heeft)
Natuurlijk zijn concepten als 'Shared code ownership' super belangrijk, en elk zichzelf respecterende organisatie die bezig is met softwareontwikkeling moet daar in de cultuur iets mee. 'Ja dat is Henk zijn project', of zelfs 'Nee, daar blijven we vanaf, dat is de verantwoordelijkheid van een ander team' zijn wel smells van een slechte cultuur. Daarmee bedoel ik niet dat er geen team is die de verantwoordelijkheid moet dragen over een project, maar wél dat iedereen vrij zou moeten zijn om te wijzigen, middels pull requests of merge requests zo je wilt. Maar zelfs dat is niet eens nodig.

De helaas overleden Belg Pieter Hintjes had zelfs de strategie om als het maar een klein beetje leek alsof iemand er werk in had gestoken bijna blind te mergen. Daarmee laat je nieuwe developers in je project zien dat je open bent, en alle andere developers meebepalen of een commit goed genoeg is.

Als je releaseproces goed genoeg is, ga je er met gemak voor kunnen zorgen dat code die niet goed genoeg is voor productie niet in een release terecht komt.

Wat betreft open source en het belang voor software ontwikkeling als vak geldt dat deze zienswijzen die we nu zien niet zijn bedacht in een corporate omgeving. Source code repositories zoals die van Microsoft, IBM zijn heel lang puur gebaseerd op autorisatie, en controle in plaats van écht werken vanuit een gedistribueerde filosofie. En dan niet de distributie van code, maar van verantwoordelijkheid.

Het is niet voor niets dat Linus Torvalds zich is bezig gaan houden met het schrijven van GIT. Dat was niet omdat hij tijd over had, maar uit pure frustratie van de op dat moment beschikbare opties.

Open source software is al decennialang de kartrekker van de technologische ontwikkeling in de software industrie, en van de software industrie zélf.

[Reactie gewijzigd door casberrypi op 14 april 2021 12:58]

Dat is maar een gevoel wat vaak naar voor komt als argument maar in realiteit houd het geen steek.
Nou, er is een heel interessante TED talk van Clay Shirky waarin hij met data (geen gevoel) laat zien dat het wel degelijk zo is dat heel veel meer mensen open source code bekijken.

Weliswaar is de kwantitatieve verdeling erg scheef (dat laat hij ook zien) maar ja, iemand die slechts 3 commits doet kan ook iets belangrijks bijdragen. Wat als dat een security patch was?
Het verschil in de motivatie om de software uit te brengen maakt wel uit lijkt me. Microsoft is een beursgenoteerd commercieel bedrijf, waar de aandeelhouders tevreden moeten blijven. Daar geldt een korte time to market. Bij Linux/Open Source is de drijfveer eerder de herbruikbaarheid en kwaliteit van de software. Duurt ontwikkeling wat langer, dan is dat prima. Er zijn geen geldwolven die opbrengsten eisen, dus kan je dat makkelijker doen.
Dit is allemaal wat kort door de bocht. Commerciële motieven staan niet gelijk aan ‘we brengen maar snel even wat rotzooi uit’. Sterker nog: als bedrijf wil je meestal geen imagoschade en het liefst terugkerende klanten. Dat lijkt ook aardig te lukken bij Microsoft. De kwalificatie geldwolven ga ik maar niet op in.
Commerciële motieven staan niet gelijk aan ‘we brengen maar snel even wat rotzooi uit’.
Ik heb zelf bij een groot Amerikaans software bedrijf gewerkt.
Kijk, mensen zeggen niet bewust "het is rommel maar we gaan het toch uitbrengen".

Maar de organisatie van dat soort bedrijven werkt dat wel in de hand; alles is gefocust op sales figures en revenue waarbij de product eigenaren meer verkopers zijn dan techneuten. Dus de kwaliteitscontrole loopt ver achter bij "nieuwe features" want dat verkoopt beter.

Voeg daar offshoring, scrum en zelfsturende teams aan toe, en je hebt een recept voor veel security fouten.
Als je op dit vlak over linux praat is het ook gewoon commercieel. In de zakelijke markt zijn het vooral commerciële bedrijven die meewerken aan de ontwikkelingen van Linux
Het probleem zit hem in marktdominantie

Niet alleen hoor, windows machines worden denk ik vaker beheerd en ge-update.

Linux draait vaak meer onzichtbaar en kan toch verbonden zijn met het internet,
denk aan Iot. Dus eenmaal gevonden lekken blijven daar toch langer actief,
of worden nooit gepatched. En dat levert toch ook aardig grote botnets op.

Maar als je punt is dat aanvallen op windows machines meer directe schade opleveren voor de eigenaars dan ben ik het wel met je eens.
Het probleem zit hem in marktdominantie. Microsoft heeft een enorm marktaandeel als je kijkt naar OS en softwarepakketten op bepaalde gebieden (zoals Exchange, Office, AD, etc.). Het vinden van een kwetsbaarheid in zo'n pakket zorgt meteen voor een ongekend aanvalsoppervlak, want iedereen gebruikt het. Daarmee is het dus ook interessant voor kwaadwillende actoren.
De 500 krachtigste supercomputers draaien allemaal Linux. Met bitcoin mining valt veel geld te verdienen. Hoezo Linux zou geen interessant doelwit zijn?
Je word weg gemod, maar ik vind het helemaal niet zo gek meer in deze tijd, om serieus te kijken naar linux. Geen licentie kosten, dus je kunt 3x zoveel man in dienst nemen en zelfs een development afdeling opzetten, of je betaald Microsoft met hun monopolie positie veel geld voor software die on-af is en vol met bugs zit.
Die licentiekosten zijn echt een schijntje vergeleken met de kosten voor linux/unix personeel.

En laten we eerlijk zijn: open source software bevat ook vaker wel dan niet de meest obscure bugs.

Het is niet zo dat het nooit geprobeerd is, volledig overstappen op open source. Dat werkt gewoon niet omdat elke partij weer alles op zijn eigen manier moet doen.
En voor commerciële software heb je natuurlijk geen personeel nodig: zodra je de licentiekosten hebt betaald, draait alles en onderhoudt het zichzelf..?
...je haalt daar volgens mij de grootste reden aan waarom het veel vaker misloopt met gesloten software. Die software wordt vaak aangekocht door mensen die zo denken.
En het grote verschil is dat de betalende open source support vaak beter is.
Met closed source software heb je ten eerste al vaak vendor lock-in dmv het product en ten tweede omdat de maker de enige partij is die support kan leveren.
Met open source heb je minder product lock-in (kan nog altijd, maar organisatie die voor open source kiezen maken zo'n keuze vaak bewuster), maar vooral ook minder support lock-in. Als het enige onderscheidende de support kan zijn, dan moet je wel goede support geven en niet gewoon geld binnen harken.
Kosten van Linux/Unix personeel hoeven niet hoger te zijn dan die van MCSE'ers in mijn ervaring. Komt bij dat je veel minder uren support nodig hebt dan op een MS platform (ook mijn ervaring) dat je uiteindelijk zelfs goedkoper uit kunt zijn.
Ik zit een jaar of 16 in deze business en in die 16 jaar heb ik èèn keer meegemaakt dat ik MS support nodig had.

Zo vaak is die support gelukkig ook echt niet nodig.

Je ervaringen staan verder haaks op de mijne dus weet niet of dat interessant is om verder op te gaan ;). Goed linux personeel is lastig om te vinden.
Dan werk je in een bijzondere omgeving. Ik heb de afgelopen 20 jaar een hoop schier onoplosbare ellende meegemaakt met alle commerciële software.

Het grootste probleem is vaak dat er alleen personeel aanwezig is dat net voldoende kennis heeft om de boel van dag tot dag draaiend te houden (je kent het wel, de periodieke reboot van een Windows-server, een certificaat vernieuwen), maar dat volslagen hulpeloos blijkt zodra er een keer iets in elkaar dondert. Breek me de bek niet open over het team dat bij mijn laatste werkgever verantwoordelijk was voor de Exchange-omgeving. Wat een drama was dat. Maanden zijn ze bezig geweest om de twee mailboxen die ik blijkbaar had, samen te voegen tot 1. Met als gevolg dat een van beide vervolgens toch ineens compleet verdwenen was. Heel fijn.

Zulk personeel is inderdaad makkelijker te vinden dan goede Linux-mensen, die redelijk wat tijd "kwijt" zijn (zo zal je het willen noemen) aan het zelf uitzoeken van hoe dingen in elkaar zitten. Dat betaalt zich echter direct terug zodra er een keer iets serieus misloopt: die mensen hebben dan namelijk *wel* een redelijk beeld van hoe een en ander precies in elkaar zit, niet zelden omdat ze het zelf hebben opgebouwd.

't Is net waar je je geld in wilt investeren natuurlijk: in een multinational of in je eigen personeel.
Dan werk je in een bijzondere omgeving.
Nee hoor. Gewoon een goed ontworpen omgeving. Maar ja, daar hebben de meeste tweakers geen ervaring mee, want dat is niet vanzelfsprekend.
Ik heb in de afgelopen 20 jaar nooit onoplosbare ellende meegemaakt met Exchange. Ook niet met Microsoft software in het algemeen. Maar ik heb dan ook altijd cart blanche gekregen om een goed ontwerp voor de Exchange omgeving neer te zetten.
De grote problemen zitten altijd in de software van kleinere bedrijven.

Maar ja, met Microsoft hebben we ook een premier contract, een full-time technical account manager.
Als er echt een keer shit is, heb je de volgende dag een escalation engineer on-site. (en toen ik dat nodig had was het geen shit veroorzaakt door Microsoft, maar juist een kleiner bedrijf waarbij Microsoft hielp)

Zoals je eigenlijk al toegeeft in je reactie was het probleem niet de software, maar onbekwame IT-ers.
Daar is niks tegen bestand.
Als je de tijd neemt om een goed ontwerp te maken en dat netjes te implementeren, zie ik nog steeds niet waarom commerciële software dan minder problemen zou geven dan open source. Een groot deel van het Internet draait op open source software (BIND, PowerDNS, Apache, HAproxy, nginx, Postfix/Dovecot) en ik durf te zeggen dat dat over het algemeen netjes werkt. Maar daar hebben we het dan inderdaad over omgevingen die goed doordacht zijn en beheerd worden door mensen die weten waar ze het over hebben.

Jij hebt goede ervaringen met Microsoft, maar zet eens op een rijtje wat dat nou per jaar kost aan licenties, account manager en niet te vergeten je eigen personeel plus trainingen? Ik denk dat zo'n omgeving prima na te maken is met open source software, en dat die net zo stabiel is als die van Microsoft. Een paar man die weten hoe ze met Postfix, Dovecot, LDAP en Kerberos moeten werken, bouwen zoiets echt na hoor. En dan ben ik heel benieuwd naar de kosten op langere termijn.

Maar zoals je zegt, tegen onbekwame IT'ers is geen kruid gewassen. Ik zie dat echter meer als een probleem in de wereld van de commerciële software dan in die van de open source. In die laatste ben je voortdurend bezig om dingen uit te zoeken, en daarmee dus met het vergroten van je kennis. Bij de commerciële jongens heb ik veel te vaak mensen gezien die hun MCSE of ander stempeltje hadden gehaald, maar daarmee alleen geleerde *hoe* ze iets moesten doen, niet *wat* ze nou eigenlijk moesten doen. En dan zit je dus met een probleem als het systeem een keer buiten de lijntjes kleurt, want dat zat nou net niet in je cursus. De opensourcejongens hebben dan al zoveel blogs, mails, reddits en weet-ik-wat gelezen, dat ze wel een idee hebben waar het probleem zit en hoe ze dat moeten aanvliegen.

Andere investering dus: ofwel investeren in licenties, software en ondersteuning, of in het kennisniveau van je IT-afdeling.
zie ik nog steeds niet waarom commerciële software dan minder problemen zou geven dan open source.
Dat heb ik dan ook nergens gezegd.
En andersom is het ook niet zo.
Jij hebt goede ervaringen met Microsoft, maar zet eens op een rijtje wat dat nou per jaar kost aan licenties, account manager en niet te vergeten je eigen personeel plus trainingen?
Dat heb ik gedaan. Zeer uitgebreide berekening inclusief al die TCO aspecten in een Enterprise omgeving. Vervolgens heeft Microsoft de licentie prijs die ze voor O365 wilde vragen moeten halveren om onder mijn TCO uit te komen. (terwijl ze van te voren al een hele forse korting hadden gegeven)

Ik kwam op €2,60 per gebruiker uit voor een Enterprise omgeving met alle Exchange functionaliteit die je maar kunt bedenken. Inclusief UM integratie met Skype etc.
In die laatste ben je voortdurend bezig om dingen uit te zoeken, en daarmee dus met het vergroten van je kennis.
Dat heeft natuurlijk geen zier met open source of closed source te maken. Dat heeft te maken met het beleid van een bedrijf en wat voor soort mensen je aan neemt.
Wij hadden Microsoft support zelden nodig, omdat wij zelf een zeer hoog kennisniveau hebben. We stonden dan ook al snel bij premier support bekend dat ALS wij belden, dat het dan ook altijd een zeer complexe zaak was.

Wij zaten ook continu in de Microsoft Early Adopters Programs, waarbij er geen trainingen beschikbaar zijn, de documentatie nog niet af is etc.
Doet niet elk bedrijf en zal niet iedereen kunnen bijbenen. Ik vond dat juist heel leuk.

Je bent extreem kortzichting in jouw idee van de verschillen in closed source en open source software beheerders.
Je bent extreem kortzichting in jouw idee van de verschillen in closed source en open source software beheerders.
Nee, dat denk ik niet. En ik denk ook dat onze ideeën veel dichter bij elkaar liggen dan je hier suggereert. We zijn het erover eens dat het kennisniveau van je IT-afdeling van heel groot belang is. Je zegt zelf dat je bij MS bekend staat als toko met kennis van zaken, dat onderschrijft precies het punt dat ik al maakte.

Juist het idee dat niet elk bedrijf zo van het early adopten is, betekent dat niet ieder bedrijf IT'ers heeft die actief bezig zijn met bijblijven. Jouw ervaringen bij jouw bedrijf klinken mooi, en zo zou het in veel meer omgevingen moeten gaan, maar je zegt zelf al dat dat de uitzondering is.

Het enige waar we mogelijk verschillen van opvatting, is dat ik denk dat de opensource-mensen veel meer gewend zijn aan voortdurend op zoek zijn naar kennis, dan de mensen die een keer een MCSE halen en dan "gecertificeerd" zijn en dus "af" zijn. Dat is niet de situatie in jouw omgeving, maar ik heb in veel omgevingen gewerkt waar het wel degelijk zo werkt.

En voor de duidelijkheid: jij zei niet dat commerciële software beter zou zijn dan open source, klopt. Dat was echter wel een thema in dit draadje, in het bericht waar ik in eerste instantie op reageerde, van @Glashelder, staat bijvoorbeeld
En laten we eerlijk zijn: open source software bevat ook vaker wel dan niet de meest obscure bugs.
Dat suggereert dat dat voor commerciële software niet, of in ieder geval minder geldt.
Bedrijven kijken bij software niet alleen naar de licentiekost. Je probeerd de volledige kost in rekening te brengen, de TCO oftewel Total Cost of Ownership. Naast licentiekosten komen daar ook de beheerskosten bij, de kosten voor de hardware, kosten voor training van gebruikers, ... . En dan begin je ineens een heel ander plaatje te krijgen.

Voldoende beheerders te vinden voor Microsoft omgevingen. Maar voor Linux zijn ze een stuk zeldzamer. Resultaat: wat je uitspaart aan licentiekosten verlies je weer aan beheerskosten.

En het is niet alsof er in FOSS geen bugs zitten. Alle software bevat bugs.
Je vergeet een belangrijke factor bij de keuze: wat doet de buurman/golfmaatje. Zolang MS een groot deel van de markt in handen heeft zal een gemiddeld bedrijf de overstap niet maken (zelfs niet als de TCO lager uit komt). Bedrijven zijn over het algemeen bijzonder conservatief in platformkeuze in mijn ervaring.
Licentie kosten is maar een deel van je totale IT kosten. Vaak niet eens het grootste deel. Ook producten voor Linux kosten gewoon geld, voor niets gaat de zon op. Soms betaal je dan voor de licentie, soms voor de support en soms voor beiden.

Overstappen op Linux enkel vanuit kostenoverweging is vaak geen goede overweging.
De meeste commerciële partijen willen support. En daar betaal je voor. Ook bij Linux.
De support van open source is vaak ook prima, ook al moet je ervoor betalen. Wat veel (grotere) partijen willen is een juridische entiteit die ze aansprakelijk kunnen stellen voor fouten, 'cover your ass', want als jouw toko dan kopje-onder gaat door zo'n gat, dan kun je in elk geval nog 5 jaar procederen om te zorgen dat het niet als jouw fout de boeken ingaat...
De support is ongetwijfeld goed. Mijn punt is dat open source niet gratis is.
Wat veel (grotere) partijen willen is een juridische entiteit die ze aansprakelijk kunnen stellen voor fouten, 'cover your ass',
Leuk zo'n complot theorie, maar in de praktijk werkt het niet zo.
Vergeet maar dat je Microsoft voor veel aansprakelijk kan stellen in O365. Als de zaak helemaal in de soep loopt, dan krijg je je licentie kosten terug. Niemand die om zo'n reden voor O365 kiest.

Bedrijven zijn niet geinteresseerd in procederen nadat je kopje-onder bent gegaan. Ze zijn geinteresseerd in NIET kopje-onder gaan en niet hoeven te procederen. De enigen die baat hebben bij procederen zijn de extern ingehuurde advocaten.
Het gaat hier om exchange ( en ja daar ligt windows onder) niet over de eindeloze linux versus windows discussies. Vandaar de modding ongetwijfeld.
Ik ben niet tegen Linux software, maar het is niet alsof daar dit soort issues niet bestaan.
https://www.cvedetails.com/top-50-products.php
Maar dat zei ik toch ook niet? Dat Linux nooit dit soort issues zou hebben? Maar als ik alles af zou wegen dan ga ik voor linux software om de redenen die hierboven allemaal zijn besproken.

- Open source
- Geen hijgende aandeelhouders
- Jaren met passie ontwikkeld
- Stabiel(er)
- Voor mijn gevoel sneller
- Geen licentiekosten (vaak)
- Code aanpasbaar
Allemaal argumemten die in het bedrijfsleven er totaal niet toe doen. (behalve stabiliteit)

Daar zijn TCO, Integreerbaarheid, goede support, scalability etc veel belangrijker.

Je kan leuk fantaseren over hijgende aandeelhouders, maar dat boeit niet als het product een goede track record heeft. En dat heeft Exchange absoluut.
Zowel wat betreft vulnerabilities, stabiliteit en snelheid.
Licentiekosten zijn maar een fractie van de totale TCO.
Ik denk dat dat wel een gevoelsdingetje is. Maar, dat is dan weer mijn gevoel.

Nu denk ik wel dat specifiek Exchange aan het internet hangen niet heel slim meer is tegenwoordig.
Ik denk dat het sowieso geen goed idee is welke server dan ook rechtstreeks aan het internet te hangen. Er bestaan niet voor niets firewalls, proxy’s etc. Die dingen hebben een bestaansrecht.

En als we de vergelijking trekken met mail servers. Een van de populaire mail servers op Linux heeft in 2019 2 mega hoge cvss scores gehad van een 10.0. Dat houdt in: patch binnen 24 uur anders ben je de lul. https://www.cvedetails.co...t_id-19563/Exim-Exim.html en daarnaast in dat jaar 2 met een 7.5. Microsoft Exchange had er dat jaar 1 op 10.0 en 1 met 7,8 en verder alleen niet critical cve’s met een score van 5 of lager. Wat mij betreft deed Exchange het dat jaar beter.

Dus dit soort dingen komen in elke software voor. Dat het minder vaak in het nieuws komt, maakt het niet veiliger. Je zou zelfs kunnen zeggen dat als er zo weinig Cve’s zijn ontdekt ervoor en erna, dat er weinig naar gaten gekeken wordt.
Ik draai al jaren mail packages op Linux en persoonlijk, en wellicht gevoelsmatig, draaien deze veel stabieler dan toentertijd dat ik een MCSEér was. Ik heb zelfs linux servers draaien die al 5 jaar non stop lopen zonder reboot.

Dus het kan een gevoelsdingetje zijn, maar ik vind Linux toch echt wel beter voor enterprises.
Ik hoop dat je Exim up-to-date is, of dat je geen Exim gebruikt.
Die had een paar jaar geleden een probleem.
Als het goed is, is dat dan volautomatisch gepatched, de service herstart zonder dat er een reboot nodig is. Zo werkt dat tegenwoordig op een fatsoenlijk besturingssysteem...
Wordt dit in O365 automatisch gepatcht? Of... wat?
In Outlook (van mijn O365-abo) staat mijn Hotmailadres verbonden met Microsoft Exchange.
Is dit dan ook weer kwetsbaar, of valt dit erbuiten?
Kan ik in het artikel niet terug vinden.
Dit is alleen van toepassing als je zelf een Exchange server hebt draaien.
Gebruikers van O365 gebruiken de mailservers die bij Microsoft staan en deze hebben geen last hiervan.
Dit geldt ook voor gebruikers van Hotmail.
Als je O365 als bedrijf draait heb je vaak nog 1 of meerdere hybrid servers draaien met Exchange erop - deze moet je WEL zelf patchen, ook al draaien er geen mailboxen op.
Maar is er voor die mailserver dan geen firewall ingesteld dat deze alleen kan communiceren met O365 voor die hybride omgeving? Er van uitgaande dat je lokale Exchange geen mailboxen meer heeft.

Sidenote: Zo een hybride omgeving is helemaal niet nodig, je kan prima zonder.
Microsoft is hier zelf duidelijk in:
https://techcommunity.mic...rity-updates/ba-p/2254617
My organization is in Hybrid mode with Exchange Online. Do I need to do anything?
While Echange Online customers are already protected, the April 2021 security updates do need to be applied to your on-premises Exchange Server, even if it is used only for management purposes. You do not need to re-run the Hybrid Configuration Wizard (HCW) after applying updates.
En of je Hybrid server, of andere vorm van Exchange server on-prem, nodig hebt als je O365 gebruikt hangt af van je omgeving af - als je spul als legacy ERP systemen hebt wat een SMTP relay nodig heeft om met O365 te werken, kan het nodig zijn

[Reactie gewijzigd door hellknight op 14 april 2021 10:34]

Eens, technisch is het nergens voor nodig.

Echter vervalt je support op alles Exchange (online) gerelateerd als je de server uitfaseerd.

Het wordt tijd dat die onzin regel opgeheven wordt!
Echter vervalt je support op alles Exchange (online) gerelateerd als je de server uitfaseerd.
Heb je daar persoonlijk ervaring mee?

Ik heb de afgelopen 7-8 jaar heel veel klanten beheerd die zo een setup hadden, ik ben nooit bij MS afgepoeierd omdat er geen hybride omgeving aanwezig was met een lokale Exchange zodra er een AAD sync draaide.
Nee, geen ervaring mee, maar die ervaring wil ik ook zeker niet tegenaan lopen.
Weet iemand of 2010 ook kwetsbaar is?
Waar ik de patches kan vinden?
Is there no update for Exchange Server 2010?
No, Exchange 2010 is not affected by the vulnerabilities fixed in the April 2021 security updates.
https://techcommunity.mic...rity-updates/ba-p/2254617

Ik zou toch eens kijken om 2010 te migreren. Is al sinds 13 oktober 2020 end of support.
Of niet als alle leaks gevonden worden in nieuwere versies zit je met 2010 wellicht beter (ook al omdat er veel minder installaties van zijn dus een veel minder interresant platform om hacks voor te maken).
Zou het ook nog kunnen dat een lek in een nieuwe versie ook in de oude zit? Met als verschil dat het lek wel gedicht wordt in de nieuwe versie maar niet in de oude?
Dat zou kunnen. Maar in de laatste twee lekken was 2010 veel minder kwetsbaar, en helemaal niet kwetsbaar. Dus dat is wel grappig, maar natuurlijk geen reden om 2010 te blijven gebruiken.
Dit zal ongetwijfeld te maken hebben met hacks welke via Pwn2Own naarvoren zijn gekomen.

https://www.securityweek....ts-first-day-pwn2own-2021

@Tweakers Misschien toch even het gehele Pwn2Own event doornemen?
Eerdere link van @martinvdm zou ook moeten voldoen, voor alles zie:
https://www.youtube.com/watch?v=dA3aIMgRFY8
https://www.youtube.com/watch?v=smav9ljrgSE
https://www.youtube.com/watch?v=6FYfUv1pwAg

Er komen namelijk flink wat fixes onze kant op voor kritische software.

[Reactie gewijzigd door Jonathan-458 op 13 april 2021 21:01]

Zover bekend niet, gevonden door de NSA en MS zelf. Maar vrij grote kans dat het wel dezelfde lekken zijn natuurlijk.
Niet volgens deze Microsoft engineer

https://www.reddit.com/r/...curity/gufkiy9/?context=3
P2O happened last week and they reported to us last week. Thing to remember is that P2O is not public disclosure (I get it why it drove news, though). Our teams are still reviewing those submissions. When updates for those are available (if needed) - we will release them. That's kind of what Patch Tuesdays are for. But no - we did not turn those update packages around since last week (we would not be able to test within that time to have confidence enough to release).

[Reactie gewijzigd door segil op 14 april 2021 10:34]

Ik zou zeggen: het zou beter zijn als niet te veel organisaties allemaal dezelfde software/diensten gebruiken, voor zover mogelijk. Je eigen e-mailsysteem opzetten is niet makkelijk, en het zal vast ook allerlei kwetsbaarheden hebben, maar dan krijg je tenminste niet dat een miljoen organisaties allemaal tegelijk kwetsbaar worden zoals nu. Je kunt ook je e-mailsysteem door een kleinere partij laten maken in plaats van het zelf te doen.
Exchange is iets meer dan alleen e-mail. Als je alleen e-mail wil, postfix server en klaar.

Exchange/Outlook zijn ook enorm belangrijk voor organisaties voor het plannen van vergaderingen en uberhaupt het kunnen laten samenwerken van mensen en afdelingen binnen een bedrijf.

Functionele mailboxen, delegatie, groepsafspraken, kalenderbeheer. Dat is net even iets meer dan je zelf makkelijk opzet. En ik werkte bij een bedrijf waar ze ooit een Zimbra-server hadden...

Het allerbelangrijkste ook: het integreert goed met Active Directory. Voor 'Enterprise'-niveau bedrijven is dat het levensbloed.

Wel het advies: neem een hosted of SaaS oplossing. Tenzij je echt een *goeie* IT-afdeling hebt, laat het lekker door iemand anders doen.

[Reactie gewijzigd door Keypunchie op 13 april 2021 21:22]

Ook in de opensource wereld zijn er pakketten die naast mail ook agenda en adresboek doen. Je hebt zelf al Zimbra aangehaald. Ik gebruik zelf bijvoorbeeld SOGo
En dat is met 1 commando geinstalleerd als je dit via nethserver gebruikt
Geen MAPI, dus ook geen native outlook support. Je zal je client als IMAP client moeten configureren. Maar goed, over noodzaak van MAPI kan je twisten, zo ook over de kreupele implementatie van IMAP in outlook.
Jup, agenda en adresboek... nu nog de functionele mailboxen, delegatie, goede integratie met de AD, en nog een belangrijke die Keypunchie niet genoemd heeft, integratie met andere oplossingen en applicaties.
Ik heb met Kerio, SoGo, Zimbra en Google Apps gewerkt, maar Exchange blijft in mijn ogen de beste oplossing voor een wat grotere organisatie.
Wel toch met de openchange implentatie.
IMAP is een legacy protocol en onveilig. Dat is dus zeker geen goede vervanger voor een enterprise product zoals bijvoorbeeld Exchange. Daarnaast kan je op de meeste IMAP implementaties geen MFA activeren, wat not done is in 2021.

[Reactie gewijzigd door Shattering op 13 april 2021 22:08]

Er is niks onveilig en legacy aan IMAP. Het wordt zelfs nog continu uitgebreid met meer mogelijkheden.
Ja het bestaat ook unencrypted, maar het is aan de serverbeheerder om encryptie af te dwingen.
Het transport van IMAP mag dan inderdaad veilig zijn, als encryptie gebruikt wordt, maar door het ontbreken van MFA blijft het ondergeschikt aan andere oplossingen. Niet voor niks dat bijvoorbeeld Google IMAP standaard uit zet voor accounts, en ook waarschuwt bij het aanzetten.
IMAP wordt dan ook misbruikt door hackers om MFA te omzeilen op oa Google Apps en Office 365
https://threatpost.com/im...mpromise-accounts/142824/
Nee, IMAP wil je niet gebruiken als je een echt veilig email-systeem wilt hebben.
De meeste IMAP servers implementeren SASL voor authenticatie. Bij SASL kan je gebruik maken van Kerberos of OTP. Probleem is alleen dat geen hond het client side implementeert, iedereen wil user+password.
Je weet dat alle mail uiteindelijk over smtp uitgewisseld wordt? Oké, met ssl/tls maar verder... 🤷🏻‍♂️ Met imap is niks mis. En mfa is een optie.
Ik zie IMAP toch zeer regelmatig geschaard worden in het rijtje van Legacy protocollen.
Het bestaat al een jaar of 30, maar wordt ook nog altijd actief uitgebouwd. Bekendste implementaties zijn Cyrus IMAP en Dovecot, beide ontwikkeld door teams die actief bijdragen aan de standaard.
TCP is ook een legacy protocol :-p
Ik gebruik IMAP met client-side certificates. Veel veiliger dan dat krijg jij je mail niet.
OK, hangt ervan af wat je van Exchange gebruikt, maar daar zijn ook allemaal alternatieven voor. En zelfs als die iets minder fijn werken, is veiligheid toch een belangrijk argument.

[Reactie gewijzigd door Cerberus_tm op 13 april 2021 22:04]

Maar hoe kom je erbij dat een alternatief automatisch veiliger zou zijn?
Als iedereen zijn eigen mailserver zou programmeren ipv. er een te kopen is de kans dat je met 1 script 50% van de mailservers overneemt nul geworden. Dus ja, homogene IT oplossingen lopen een groter risico op hacks dan een heterogene. Zie de bananen crisis: er 1 is maar 1 banaan DNA in gebruikt en momenteel waart er een virus rond waartegen deze niet bestand is. Dus kan het virus vrij rondgaan en planten infecteren.
Als iedereen zijn eigen mailserver gaat programmeren (en zijn eigen os, mail cliënt, Office, etc) dan betaald iedereen een vermogen aan programmeurs en zit iedereen met gaten in de security waar ze geen enkele weet van hebben en is het misschien nog wel simpeler voor een aanvaller om binnen te komen.
En op het moment dat je dan een beveiliging probleem hebt, sta je ook zelf om dat probleem op te lossen.
Het is niet simpeler om ze allemaal te hacken.

En natuurlijk gaat niet 'iedereen zijn eigen mailserver programmeren': er zijn heel veel bestaande systemen die je kunt gebruiken of inkopen. Misschien is Exchange wel het 'beste' qua gebruiksgemak en efficiëntie, maar dan heb je dus het probleem waar we het hier over hebben: "homogene IT oplossingen lopen een groter risico op hacks dan een heterogene", zoals Latka het mooi verwoordt.
Het ligt iets genuanceerder, want als ik elke week een tiental systemen moet patchen ipv 1, zal die tijd ergens vandaan moeten komen.
En zelfs als die iets minder fijn werken, is veiligheid toch een belangrijk argument.
En dan gebruik je open source software, denk je dat alles goed gereviewd wordt en zitten er gaten in Open SSL. Dat is nog niet zo heel lang geleden dat het mis ging.
Security through obscurity was in 2002 al passé.....
Dat is simplificatie. Ten eerste gaat het erom de risico's te spreiden: de kans is kleiner dat tien verschillende pakketten tegelijk gehackt worden dan één. Ten tweede is obscurity beter dan niks.
De kans dat één van de 10 pakketten op een gegeven moment niet up to date is, of dat die weer losse dependencies hebben die niet up to date zijn, is groter dan wanneer je één pakket hebt...
Ik ga écht geen verschillende pakketten met verschillende functionaliteiten onderhouden met verschillende leveranciers met verschillende patchrondes of opensource meuk die bij de gratie van een random onbekende knutselaar onderhouden wordt.

Elk zichzelf respecterend bedrijf hopelijk ook niet.
Dan koop je een Red Hat licentie en gebruik je enkel software uit de standaard bundel. En "open source meuk", echt welk jaar leef je in.
Ja, en dan gebruikt iedereen red hat en verleggen de aanvallers en beveilingsonderzoekers hun focus naar red hat. Krijg je hetzelfde probleem, maar dan met een ander os en andere software die erop draait.

Daarnaast is support van red hat ook niet zo goedkoop....
Daarom is het beter als er allerlei verschillende soorten software bestaan en gebruikt worden. Geen central point of failure hebben is een groot voordeel qua veiligheid.
Zucht, en hoeveel verschillende alternatieven gaan er zijn denk je? Als je systemen hebt die zo uitgebreid zijn als Exchange dan ga je er misschien een handvol hebben. Dan blijf je met een situatie zitten waarbij fouten in 1 van die systemen alsnog enorm veel bedrijven treffen.

En waarom moet je nu in hemelsnaam China er weer bij betrekken? Deze bug zit in software van Microsoft, een Amerikaans bedrijf en is door MS en de NSA ontdekt.
Omdat telkens bericht is dat Chinese hackers massaal Exchange-servers gehackt hebben, staat ook op Tweakers en NRC e.d.

Misschien moeten bedrijven hun allerbelangrijkste dingen niet allemaal geïntegreerd online toegankelijk maken. Ja, dat kost meer geld en manuren, maar dan heb je wel meer veiligheid. Soms is 'efficiëntie' kortetermijndenken.
Daar zou ik niet al te zeker van zijn. Zodra je een exploit gebruikt, ben je m kwijt.
Niet echt... Zolang een aangevallen bedrijf niet weet hoe het gehackt werd, heeft niemand anders hem. De patch die binnenkort komt zal wèl aan anderen laten zien waar de fout (ongeveer) zit, dus nu is het goede moment de bug te misbruiken.
Wel als je m over grenzen heen gebruikt. Ik vermoed dat bv China best wel veel verkeer logged en probeert te analyseren.
Da's waar, als je een honeypot (of gemonitord verkeer) binnentrapt kan het mis gaan.
Bijvoorbeeld. Ik weet dat het in het verleden wel gebeurde, maar dat ze juist om deze reden nogal terughoudend zijn geworden. Ik kan me ook niet voorstellen dat je Exchange aan dergelijke grappen wilt blootstellen. Er zijn nogal wat overheidsinstanties en bedrijven, ook of wellicht m.n. in de VS die Exchange gebruiken.
Het bijhouden van een mail server en voorkomen dat deze op spam lijsten terecht komt, daar zit het meeste werk in. Tenminste, dat is mijn ervaring. En dat ligt er ook nog eens aan waar de mail server is gelocaliseerd. Hier in Paraguay is het best "makkelijk" om op spamlijsten terecht te komen. Ook al is het niet door je eigen toedoen.

In de laatste 2 maanden 2 keer geflagged door UCE (een Zwitserse anti-spam organisatie). Deze flagden alle IP adressen van een bepaald cluster die aan mijn ISP is toegewezen. Het is de enige ISP die op dat adres levert, dus overstappen naar een betere ISP is simpelweg niet mogelijk. Deze organisatie wil graag 25 Zwitserse Franken (huidige koers is zo'n beetje gelijk aan de Euro) per maand om mijn specifieke IP adres niet te flaggen als de ISP een IP adres uit het cluster koppelt aan een (onwetende) spammer.

Je komt automatisch op zo'n lijst en je word ook weer automatisch van de lijst verwijderd, maar daar gaan al gauw 2 weken overheen. En ondertussen heb je behoorlijk wat moeite om mail af te leveren.

Het gezeik eromheen maakt het zelf beheren van een mail server steeds minder aantrekkelijk. Niet het beheren van de mail server zelf. Verwacht niet dat er veel verschil zit tussen een Linux mail server en de mailer sectie van Exchange, aangaande de troelala broehala rondom mail servers.

Waar wel een enorm verschil in zit zijn de resources die nodig zijn voor een Linux mail server en een Exchange server. Draai al ruim 10 jaar de Linux mail server op een met 1 TByte aan opslag, een Core Duo (E8200) CPU en 2 GByte aan RAM. Ding komt nooit boven de 1 GByte aan RAM uit, verbruikt 56% van de opslag capaciteit en houdt zo'n 70 accounts bij. En ja, dit zijn allemaal actieve accounts die tientallen mails en sommigen zelfs meer dan 100 (niet-spam) berichten binnen krijgen. Ontvang veel Word en PDF bestanden met issue reportages, documentatie voor nieuwe, nog te bouwen features enz.

Met bovengenoemde specs start Exchange 2010 en hoger niet eens, zelfs al gebruik je alleen maar de mailer van Exchange. Voor mijn doeleinden bevalt een Linux mail server me 1000x keer beter dan een Exchange server. Maar goed, dat is mijn n = 1.
Zijn genoeg alternatieven. Maar bepaalde groepen bedrijven zijn nogal Microsoft georiënteerd. Die leren het nooit af 🤷🏻‍♂️
Wat is dan echt een serieus alternatief voor Exchange?

Ik ken er eigenlijk geen èèn. Je doet altijd wel een aantal serieuze consessies of mist functionaliteit of integraties :)
Kopano (Nederlands bedrijf) draai ik thuis, dat komt functioneel aardig de buurt. Incl Activesync. Ik typ dit terwij ik Exchange aan het patchen ben.

[Reactie gewijzigd door YoMarK op 13 april 2021 22:25]

Ziet er best interessant uit. Ga ik eens bekijken.
Ik gebruik MailEnable (https://www.mailenable.com).
Geen opensource, maar wel bijna alle Exchange features.
Zelfs een redelijk goede MAPI client voor Outlook. Alhoewel ik liever een echte MAPI over HTTP koppeling zoals Exchange zou zien.

En het belangrijkste punt, een erg goede ActiveSync optie (in de Premium versie).
Ik kan waarderen dat ze heel eerlijk zijn. Van hun site:
From a functionality perspective, Microsoft Exchange is exhaustive and in a class of its own. Quite simply, anyone who claims to compete as a functional replacement is kidding themselves - and their prospective customers.
MailEnable's solution provides the primary functionality which any business requires, etc etc

[Reactie gewijzigd door mjtdevries op 14 april 2021 11:19]

Zou je er een aantal willen delen? Ik ben wel benieuwd wat jij een goed alternatief vindt.(uit interesse, niet omdat ik een discussie wil starten).
Postfix en exim zijn de voornaamste 2 voor mail. Sendmail is wat achterhaald en qmail zullen we het maar niet mee over hebben.

Om de mail dat weer op te halen kom je meestal uit op dovecot als pop3/imap server. Roundcube webmail er naast en je hebt de webmail ook afgehandeld.
Nu nog een agenda, delegatie, gedeelde contacten en integratie met andere platformen en applicaties....
Plak je er een CalDAV en CardDav implementatie aan vast? 👍 Of je pakt een opensource pakket die dat alles in 1 hebben.
Lotus bestaat al lang niet meer. Noemt al heel wat jaren IBM Notes.
Klopt! Maar ik ben ook oud
Ik ook en ik vond Lotus Notes wel geweldig. Wij draaiden onze Domino op AS400.
Het ellendige aan Notes was de client, hadden ze daar een Outlook -achtige client met drag en drop en aangehangen was Domino/Notes een fantastisch alternatief geweest.
Ik kon echter de eindgebruikers geen ongelijk geven toen de feedback kwam dat een agenda entry maken moeilijker was dan een Betamax video te programmeren om een televisie programma op te nemen.

Desalniettemin was Notes zijn tijd ver vooruit met Certificaten per gebruiker en Sharepoint achtige sites.
Elke mailbox was een database. Hoe handig is dat !

Onze CRM zat er mee in en een Sales van Italië met een dial up lijntje mocht 2 maal daags zijn mail en gegevens binnentrekken over een VPN oplossing van BT.

Wat me erg opvalt is dat die lekken steeds bovenkomen als er een duur betalend alternatief beschikbaar is in de cloud.

Heb voor een groot ingenieursbedrijf een studie mogen maken van de TCO van 250 servers in alle mogelijke vormen, IAAS, PAAS , eigen beheer en Cloud.

Voor de prijs van Cloud konden we 3 (dure) werknemers in dienst nemen. Er is gekozen voor de IAAS.
De verrassingsfacturen van Microsoft voor Cloud gaven de doorslag , geen kat die perfect kon berekenen hoeveel die cloud-ellende nu maandelijks ging kosten. Als je in staat bent om die berekening te maken heb je zoveel kennis dat je het allemaal al zelf kan hosten en hou je een paar 100K€ over per jaar.

Langs de andere kant begrijp ik de overgang van de mystery server in de kelder naar een managed omgeving in de cloud ook wel ergens.
Notes was idd zijn tijd daar ver vooruit.

Word af en toe een beetje moe van dat cloud gebeuren. Zoals je al aangaf zitten er veel verborgen kosten. Mooie wat ze dan vertellen dat je snel kan op en afschalen, maar je moet vaak veel afschalen wil je dat terug verdienen.

Laat me maar lekker over capaciteit inkopen dan weet ik tenminste wat ik heb en opschalen is meestal niet zo'n punt (natuurlijk afhankelijk van de usecase)
Lotus die dood is ;) maar de term Lotus Klotus heb ik vaak gebruikt moet ik zeggen
Ja, echt jammer is dat. Daarom vind ik het heel goed dat allerlei overheden proberen meer openbronprogrammatuur te gebruiken.
Openbronprogrammatuur
Hoewel ik de vertaling snap, in het Nederlands heeft het de sex-appeal van een visstick op deze manier 🤣
Ik noem het toch liever opensourcesoftware dan 😉

Zijn gelukkig heel veel bedrijven die het al jaren volop inzetten. Kom weinig anders tegen in mijn werk. 😇
Dat heeft niets met specifieke pakketten te maken.
Je doet net alsof alles weet niet Microsoft is losse frutsels zijn...
... wat?
Je doet net alsof alles weet niet Microsoft is losse frutsels zijn...
Je reactie bestaat uit losse frutsels, Microsoft is één en al integratie. Zeker met M365... veel meer integratie ga je niet gauw vinden.
9.8 score van de 10.
Schijnt hier ontdekt te zijn, maar niet geheel duidelijk.
https://www.zerodayinitia...schedule-and-live-results

[Reactie gewijzigd door martinvdm op 13 april 2021 20:56]

Ik heb de eerste servers al gepatched. Ex2016 en 2019 en gelukkig geen issues ondervonden. Komen gewoon via windows update binnen.
Ook een manier om iedereen met een eigen Exchange server naar MS365 te krijgen.
Alsof ze het willen dat je overstapt op MS Azure.
als je een office 356 business standaard neemt zit voor een tientje per gebruiker heb je bijna alle functies van het microsoft ecosysteem. office, onedrive,
teams, SharePoint enzv. alleen jammer genoeg een intune
10 euro per gebruiker.

100 euro als je 10 gebruikers hebt
1000 euro als je 100 gebruikers hebt
10.000 euro als je 1.000 gebruikers hebt
100.000 euro als je 10.000 gebruikers hebt

Elke maand opnieuw.

Dat kan behoorlijk in de papieren gaan lopen.
Die Office 365 licentie omhelst meer dan alleen Exchange, denk aan AAD, denk aan persoonlijke en bedrijfs file storage (OneDrive/Teams/Sharepoint), denk aan interne communicatie (Teams), stapel security features zoals MFA/SSO, etc.

Bij 300+ gebruikers zal je naar een duurdere Enterprise variant moeten gaan, daarnaast kan je prima onderhandelen qua kosten voor een Enterprise agreement.

In 95% van de gevallen is de TCoO goedkoper met O365, mits je het gros van de functionaliteit gebruikt en je daarmee (flink) wat servers/fte kan uitfaseren. De besparingen op beheer zijn enorm namelijk.
OneDrive/Teams/Sharepoint
OneDrive wil (met de standaardinstellingen) problemen geven met synchronisatie; dan krijg je bijv. meerdere bestanden met dezelfde naam; waarbij de werknemer in het ene bestand 30 wijzigingen heeft gedaan, en 40 andere wijzigingen in het andere bestand; vervolgens krijg je een conflict binnen OneDrive; probeer er dan nog maar eens soep van te maken...
En Sharepoint en Teams zijn onwerkbaar traag (komt omdat alles via internet en in de browser gaat); en missen allerlei functionaliteit zoals die wel in File Explorer zitten. En veel te veel witruimtes.

Nee... ik kan niet positief zijn over die zaken. Verre van dat.
Dat heb je met mensen die 110 jaar oud zijn, helemaal geen flexibiliteit meer met veranderingen... ;-)

Wat is er exact onwerkbaar traag in SPO?

De syncclient kan altijd problemen geven, de syncclient is nog steeds ongeloofelijk veel beter dan die van een paar jaar geleden. Wat ik tegenwoordig merk, nu iedereen thuis zit, is dat veel mensen die issues hebben thuis een bagger internetverbinding hebben of een bagger wifi netwerk. O365 is zeker aan de backend af en toe enorm traag, veel erger dan voor de crisis.

Met Teams/Outlook, eigenlijk altijd de client gebruiken!

Wellicht een tip, maar laat gebruikers die Word/Excel/Powerpoint/etc. gebruiken niet het document zelf syncen maar openen vanuit de lokale applicatie naar de ODfB of SPO, dat werkt heel veel beter. Laat ze ook bij grote files, deze opsplitsen in kleinere en werkbaarder files (bv. per hoofdstuk of minder tabs in een workbook). Het aanleren van dat als de sync een kruisje geeft, dat ze ook direct gaan kijken wat het issue is, helpt ook enorm.

Mensen gaan anders werken, dan moet men ook andere processen aanleren.
de syncclient is nog steeds ongeloofelijk veel beter dan die van een paar jaar geleden
De syncclient is nog steeds niet volwassen; er treden nog steeds het genoemde soort problemen op.
Wat is er exact onwerkbaar traag in SPO?
Het is traag, omdat het allemaal in een trage browser 'gerendert' moet worden, en simpelweg omdat het via internet gaat. (Elke aanvraag naar internet moet ook door een firewall. Als er 1000 rules zijn, moet voor elk internet pakketje die 1000 rules worden afgehandeld. En je bedrijf ligt gewoon plat als er een DDOS is.) File Explorer is 'een miljoen' keer sneller. Ff snel sorteren of zoeken is er niet bij. Of je moet scrollen (wat in een browser gewoon trager is). In File Explorer kan je eenvoudig een bestand selecteren door de eerste letters van de bestandsnaam in te typen. Etc. Als je File Explorer i.c.m. de software Everything vergelijkt met SPO, lijkt SPO uit het tijdperk van de dino's te komen. Verder zitten er teveel witruimtes in, en is het geheel onoverzichtelijk en onduidelijk, en missen er essentiële zaken zoals een kolom over grootte van mappen. (Trouwens, ook in File Explorer heb ik meerdere aanpassingen gedaan op de defaults; ook daar is het default uiterlijk lang niet optimaal. En in File Explorer is er ook geen kolom Foldersize; dat is de nek omgedaan na Windows7, geloof ik. Maar In Everything heb je dat wel. Hoe laat je Everything los op Sharepoint?)
Natuurlijk, er zijn voordelen aan Sharepoint: zoals gezamenlijk en online werken. Maar mijn ervaringen ermee zijn niet echt positief.
Het aanleren van dat als de sync een kruisje geeft, dat ze ook direct gaan kijken wat het issue is, helpt ook enorm.
Veel collega's kennen dat hele wolkje rechtsonder niet eens; ondanks dat ze hun documenten in OneDrive opslaan. Denk je dat doorsnee-collega's kunnen uitvogelen wat zo'n kruisje betekent... laat staan dat ze begrijpen hoe ze het kunnen oplossen. Ik ken een ICT'er die eigenlijk altijd overal wel vlot een oplossing voor weet; maar op dit moment heeft ie te maken met een collega met zo'n kruisje en zelfs hij weet even zo snel niet een oplossing.
Vroeger zette je alles gewoon in c:\doc, of d:\doc, of evt. h:\ op een bedrijfsnetwerk. Makkelijk, duidelijk en vooral: 100x zo snel. Ja, vaak letterlijk 100x zo snel als in Teams. (Natuurlijk wel lastig als de c of d stuk ging, en je niet een automatische backup zoals Cobian had geconfigureerd...)
Mensen gaan anders werken, dan moet men ook andere processen aanleren.
Da's mooi, maar Sharepoint / OneDrive zijn nog niet volwassen. Laat staan makkelijk en doorzichtig in gebruik.

[Reactie gewijzigd door kimborntobewild op 23 april 2021 00:09]

Het zijn niet uitsluitend besparingen op beheer. Want met nieuwe applicaties komen er ook nieuwe werkzaamheden bij. Opeens is er een Teams beheerder en een Sharepoint beheerder nodig. ;-)

Je beheer voor Exchange zal ook niet verdwijnen. Je Exchange ECP staat alleen ergens anders. Het zijn enkel de updates die je niet hoeft te te doen
Ik zit me nu echt af te vragen of je ooit wel eens een Exchange server heb beheert en een Exchange Online omgeving... Dat is echt een enorme wereld van verschil! Als je een skilled helpdesk heb dan kan je zelfs het gros offloaden daar naartoe, je heb zeer zeker niet meer meerdere dedicated Exchange beheerders nodig. Het beheer gaat niet naar 0, maar zeer zeker wel naar 10-20% van wat het was.

Zelfde geld eigenlijk voor Sharepoint/Teams (wat je eigenlijk door dezelfde persoon zou moeten laten beheren). Voorheen had je ook iemand die de fileserver beheerde en de interne communicatie software. Als je van een lokale Sharepoint komt dan heb je die beheerder al, als je dat niet komt kan je SPO ook prima inrichten als filestorage zonder al teveel poespas.

Het is veel meer dan alleen geen updates meer te hoeven doen, het is allemaal geintegreerd wat je niet zelf meer hoeft te onderhouden, alle server OSen, VMs, fysieke servers waar dat op draaide hoef je ook niet meer te beheren/updaten.

Wat een hoop interne systeembeheerders niet begrijpen is dat alles kosten heeft en alles aan elkaar hangt. Als je een paar jaar bij een MSP werkt heb je ervaring in het doorbelasten van kosten/werkzaamheden naar klanten. Daarmee kan je dus heel goed een degelijke vergelijking maken in kosten tussen een eigen server en een cloud oplossing zoals O365. Een MSP verdient over het algemeen meer aan een lokale server dan aan O365 oplossing en dat is ook waarom zoveel van die MSPs dat maar al te graag verkopen aan de klant, totdat er andere MSPs zijn die laten zien dat het significant goedkoper kan zijn als ze die klanten naar O365 verhuizen.

In een aantal gevallen is O365 wellicht de goedkopere oplossing, maar niet de juiste. Dat kan zijn door een zeer beperkte internet verbinding die met geen mogelijkheid geupgrade kan worden, het handjevol organisaties die niet al hun data in de cloud moeten hebben en nog een aantal die zitten met technische beperkingen (integraties die anders niet meer werken).
En aan de andere kant bespaar je vele manuren in je eigen IT afdeling doordat er minder onderhoud nodig is aan de eigen IT infrastructuur.
Sterk afhankelijk van de grootte van je bedrijf en hoe ruim je in de IT’ers zit. Maar het is zeker iets wat je moet meenemen in je berekeningen om te kijken wat de beste keus is.
Juist bij kleine bedrijven zijn de kosten voor een competente IT afdeling relatief hoog.

Voor hele grote bedrijven is je TCO veeeel lager dan die 10 euro per gebruiker, maar grote bedrijven krijgen ook gigantische kortingen van Microsoft.
Kortingen van 80% zijn niet ongewoon. (Zeker niet als je een goede berekening van je on-prem TCO hebt en ze willen daar onder gaan zitten :))
Als je de kosten tegenover een Exchange on premise zet. dan ben je die kosten ook kwijt. (als je alle licenties netje betaald natuurlijk en in 1 keer buiten de hardware/stroom) want de kosten zijn ongeveer 3 jaar on premise. alleen met office365 heb je altijd recht op de laatste software en met on premise licenties moet je alles weer opnieuw kopen.
Een groot verschil is dat je bij onprem de kosten kan aftikken in een tijd dat je voldoende middelen hebt en vervolgens maximaal 10 jaar klaar bent. Een abonnementsvorm moet je elke maand aftikken, in goede en slechte tijden. Tevens heb je in dat geval helemaal geen controle meer als er iets gebeurd wat je niet zint (bv. verhoging kosten per abo).

Toevallig recent ervaring mee, pakket draaide onprem en kostte 250 euro per maand. Leverancier heeft geforceerd dat we naar hun online omgeving moesten (geen updates meer voor onprem). Dat was maar 300 per maand en nooit meer zorgen. Nu 1,5 jaar verder zijn de kosten naar 500 per maand gegaan en hebben we gemiddeld 1 maal per maand een storing langer dan 1 uur.
Nee :)

Hoewel ik ze veracht voor de werkwijze ga ik niet aan naming en shaming doen :)
Microsoft is ook niet gek. Exchange Online Plan 1 is 3 euro per gebruiker per maand, krijg je een mailbox van 50GB.

Windows 900
Exchange 800
Windows CAL 40
Exhange CAL 93
Hardware
Backup
Beheer

Exchange 2019 is end of life in oktober 2025. Houdt in dat je nu nog 4,5 jaar kunt genieten van je aanschaf. Per gebruiker ben je al 133 euro kwijt voor de CALs, daar kan je ook 4 jaar Exchange Online voor afnemen. Dan moet je de hardware, software, manuren en backup daar nog bij tellen.

Microsoft heeft niet voor niks SBS laten uitsterven en heeft ook niet voor niks die CALs zo duur gemaakt.
2019 heeft in tegenstelling tot eerdere versies een 5 jaar kortere support periode op dit moment. De vraag is wat er na die periode gebeurd. Komt er een Exchange 2024 of wordt de support verlengd?

Het is onderdeel van de vele variabelen die meetellen in een overweging welke kant je als bedrijf op moet gaan.
Microsoft zet vol in op cloud en wil liefst iedereen over hebben naar Microsoft 365. 10 jaar support op Office/Exchange hoort niet in dat plaatje thuis, dus hebben ze dat aangepast naar 5 jaar. Dat zie je bij zowel Exchange als Office. Van Office is ook niet bekend of er na 2019 nog een nieuwe versie komt. Dat terwijl Office365 gewoon lekker doorrolt qua updates en features.

Verder wil je als Microsoft zijnde ook een keer afscheid nemen van oude zooi, je kunt oude protocollen om samen te werken met verouderde versies van Outlook en Exchange niet eindeloos blijven ondersteunen. Voorbeeldje is RPC over HTTP, wat een maand na het beëindigen van de support op Office2007 uit Office365 is gesloopt.
Bij 10.000 gebruikers een goeie M365 licentie bespaart je een veelvoud. Security, management van devices, Intune, MDM, Windows licentie, alles heb je dan in één. Best een prima deal.
Dat is te goedkoop, ze willen dat je compleet pakket aanschaft natuurlijk.
Je mag geen exchange draaien in Azure. Dus je kunt je complot theorie weg gooien.


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True