Das IPFire-Projekt hat mit DBL eine umfassende, gemeinschaftlich kuratierte Domain-Blockliste vorgestellt. Anders als konkurrierende Projekte kategorisiert DBL Millionen von Domains nach Bedrohungstypen, statt sie in einer riesigen, monolithischen Liste zusammenzufassen. Die Entwickler wollen damit Probleme bestehender Blocklisten lösen, die ressourcenintensiv seien und Nutzern die Kontrolle nähmen.

IPFire DBL umfasst derzeit mehrere Kategorien: Malware-Domains werden vor dem Abrufen schädlicher Payloads oder Command-and-Control-Verbindungen geblockt, Phishing-Sites zum Abfangen von Zugangsdaten gefiltert. Weitere Kategorien decken Werbung, Pornografie, Glücksspiel, Gaming-Plattformen und DNS-over-HTTPS-Server ab. Letztere Kategorie zielt darauf, die Netzwerksichtbarkeit zu erhalten und das Umgehen von DNS-Sperren zu verhindern.

Die Blockliste nutzt offene Standards wie DNS Response Policy Zones (RPZ) mit AXFR- und IXFR-Unterstützung für sofortige Updates, Squidguard für Proxy-basierte Filterung sowie das Adblock-Plus-Format. Dadurch lässt sich DBL in gängige Tools wie Pi-hole, BIND, Unbound, PowerDNS oder pfSense integrieren. Die Listen werden stündlich aktualisiert, um zeitnah auf neue Bedrohungen zu reagieren.

Über ein Online-Reporting-System können Nutzer zu Unrecht blockierte Domains (False Positives) melden und neue bösartige Domains einreichen. Die Community-Intelligence soll dafür sorgen, dass Korrekturen schnell eingepflegt werden. Die IPFire-Entwickler betonen, dass sie im Gegensatz zu vielen aggregierten Drittanbieterlisten die volle rechtliche Kontrolle über ihre Daten haben. Der Code steht unter der GPLv3+, die Listen selbst unter Creative Commons Attribution-ShareAlike 4.0 (CC BY-SA 4.0). Das bedeutet: Die Listen können frei genutzt und weitergegeben werden, abgeleitete Werke müssen jedoch unter derselben Lizenz stehen.

DBL entstand auch als Reaktion auf das Auslaufen der Shalla-List, die Anfang 2022 eingestellt wurde, was viele Nutzer von pfSense, pfBlockerNG und anderen Systemen betraf.

Integration in Core Update 200

IPFire DBL wird auch in Core Update 200 integriert, das seit dem 30. Januar 2026 als Testversion verfügbar ist. Die neue Version bringt neben Linux Kernel 6.18 LTS eine Vorschau von DBL im URL-Filter und in Suricata. Letztere Integration ermöglicht eine Deep Packet Inspection auf DNS-, TLS-, HTTP- und QUIC-Ebene, um umfassende Blockierungen durchzusetzen. IPFire wird damit selbst zum Provider von Suricata-Regeln. Die Entwickler sprechen von einer „beispiellosen Sichtbarkeit in Netzwerkaktivitäten“. Ein finaler Veröffentlichungstermin für das Core Update 200 steht noch nicht fest, die Community ist zur Evaluation der Beta-Version aufgerufen. Das Projekt hat zudem einen Fundraiser gestartet, um die Entwicklungszeit für Features wie die RPZ-Integration zu finanzieren.

Wer DBL in anderen Netzwerkumgebungen einsetzen möchte, findet Anleitungen zur Integration in DNS-Resolver, Browser-Erweiterungen und weitere Netzwerk-Tools. Alternativen im Open-Source-Bereich wie die StevenBlack-Hosts-Liste, OISD oder Hagezi bieten zwar ähnliche Funktionen, setzen aber weniger auf Community-Reporting und Kategorisierung.

Weitere Details hat das IPFire-Team in seinem Blog veröffentlicht.

(fo)

Fünf Schwachstellen gefährden Netzwerkspeicher (NAS) von Qnap. Die Lücken stecken in den Betriebssystemen QTS und QuTS hero. Nach erfolgreichen Attacken kommt es etwa zu DoS-Zuständen und somit zu Abstürzen.

Mehrere Schwachstellen geschlossen

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Sicherheitslücke (CVE-2025-66277), über die Angreifer im Zuge einer Path-Traversal-Attacke auf eigentlich geschützte Bereiche des Dateisystems zugreifen können. Was dann konkret geschieht, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Systeme danach als kompromittiert gelten.

Aus einer weiteren Warnmeldung geht hervor, dass die DoS-Lücken mit „mittel“ und „niedrig“ (CVE-2025-47205, CVE-2025-58466, CVE-2025-66274, CVE-2025-59386, CVE-2025-48725) eingestuft sind. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen. Die Entwickler versichern, die Sicherheitsprobleme in QTS 5.2.8.3350 build 20251216, QuTS hero h5.2.8.3350 build 20251216 und QuTS hero h5.3.2.3354 build 20251225 gelöst zu haben.

(des)

Die auf Datenschutz spezialisierten Mailanbieter Mailbox.org und Posteo haben laut ihren Transparenzberichten für 2025 zahlreiche Behördenanfragen abgewiesen, die nicht formal korrekt gestellt wurden. Mailbox.org hatte demnach fast 25 Prozent der Anfragen abgewiesen, meist, weil diese unverschlüsselt übertragen wurden. „Auch bei Auskunftsanfragen durch Behörden halten wir uns an die strengen Vorgaben der Bundesnetzagentur, die besagen, dass die Anfragen verschlüsselt vorgenommen werden müssen“, erklärte Balint Gyemant, Chief Product Officer von mailbox.

Insgesamt erreichten Mailbox.org im Jahr 2025 74 Auskunftsanfragen, davon 63 per Mail und davon wiederum 27 unverschlüsselt. Weitere sechs waren aus sonstigen Gründen unrechtmäßig. „Erfreulich ist, dass uns 2025 erstmals keine Anfragen mehr per Fax erreichten. Dies war noch bis 2024 der Fall, obwohl Auskunftsanfragen per Fax eigentlich schon seit 2021 untersagt sind“, sagte Gyemant.

Der Großteil der Auskunftsanfragen an Mailbox.org kam von deutschen Behörden, nur drei stammten von anderen EU-Staaten und eine Anfrage kam von außerhalb der EU. 72 Anfragen wurden im Rahmen der Strafverfolgung gestellt, zwei durch Nachrichtendienste. Nur zwei bezogen sich auf eine Postfachbeschlagnahmung, bei allen anderen ging es um Bestandsdatenabfragen.

Immerhin scheint es bei manchen Behörden einen gewissen Lerneffekt zu geben: In 15 Fällen hätten Ermittlungsbehörden unverschlüsselt übertragene Anfragen nachträglich korrigiert, sodass mailbox.org insgesamt 56 Anfragen beantwortete. 18 Anfragen wurden aber nicht korrigiert und daher abgewiesen. Der Großteil der Anfragen sei 2025 wie im Vorjahr per E-Mail mit PGP verschlüsselt eingegangen. Im Vorjahr wies der Mailanbieter noch eine Quote der Abweisungen von 30 Prozent aus.

Posteo: 27 Beschwerden bei Datenschutzbeauftragten

Posteo zählt für das Jahr 2025 insgesamt 85 Ersuchen, bei denen man nach Prüfung durch die eigenen Anwälte 35 als nicht korrekt einstufte. Das entspricht einer Quote von rund 41 Prozent. Auch hier scheint die Verschlüsselung ihrer Anfragen ein Hindernis für viele Behörden darzustellen: Posteo gibt nämlich an, 2025 27 Beschwerden bei Landesdatenschutzbeauftragten oder Behörden wegen rechtswidrigem, unverschlüsseltem Übermitteln der Behördenersuchen eingereicht zu haben. Ebenfalls sind Beschwerden wegen rechtswidriger Ersuchen nach Verkehrsdaten wie IP-Adressen geplant.

Wie bei mailbox.org richtete sich auch bei Posteo die Mehrzahl der Anfragen, nämlich 72, auf Herausgabe von Bestandsdaten. In vier Fällen ging es um Postfachbeschlagnahmungen, bei zweien um TKÜ, also die Überwachung eines Postfachs für einen bestimmten Zeitraum. In sieben Fällen blieb unklar, was das Anliegen der Behörden war. Auch bei Posteo kamen mit 81 Ersuchen die deutliche Mehrheit von Strafverfolgungsbehörden, vier von Nachrichtendiensten. Mit 79 Anfragen stammte die Mehrzahl von deutschen Behörden.

Anders als Mailbox.org nennt Posteo auch die Zahl der Fälle, in denen Daten herausgegeben wurden: 2025 waren es nur zwei, und zwar jeweils die Herausgabe von Inhaltsdaten im Rahmen einer TKÜ, die nach richterlichem Beschluss erfolgte. Herausgabe von Bestands- und Bezahldaten gab es keine, da die abgefragten Accounts offenbar anonym eingerichtet worden sind, was bei Posteo gegen Bargeldzahlung per Post möglich ist.

Posteo veröffentlicht seit 2014 seine Transparenzberichte und beklagt seitdem auch die Missstände bei Anfragen durch die Behörden, etwa weil darin sensible Daten unverschlüsselt übertragen wurden, die Ersuchen an den Kundensupport gingen und Ähnliches. Einige Fälle finden sich auf der Seite des Transparenzberichts dokumentiert.

Behörden nutzen selber Tuta-Accounts

Anders ist die Lage beim ebenfalls auf Datenschutz ausgerichteten Hannoveraner Mail-Anbieter Tuta (ehemals Tutanota). Der aktualisiert seinen Transparenzbericht halbjährlich und hat laut Zahlen von Anfang Januar insgesamt 75 Prozent aller Behördenersuchen abgewiesen. Die meisten Anfragen gehen auch hier auf Bestandsdaten, im zweiten Halbjahr 2025 waren es 165 Anfragen, bei denen in 19 Fällen Bestandsdaten freigegeben wurden.

Allerdings erfasst Tuta die Gründe für die Ablehnung nicht systematisch, erklärte eine Sprecherin des Unternehmens. Überwiegend würden keine Daten ausgeliefert, weil der angefragte Account nicht oder nicht mehr existiere oder weil die Anfrage fehlerhaft beziehungsweise ungerechtfertigt sei. Das Problem mit unverschlüsselten Anfragen komme allerdings fast gar nicht vor, da die Behörden sich selbst einen Tuta-Account erstellen. Damit könnten sowohl die Anfrage als auch die Auslieferung von Daten Ende-zu-Ende-verschlüsselt per Tuta Mail stattfinden.

(axk)