Large File Transfer

Hinweis
Outlook 2016 und OneDrive bieten eine ähnliche Funktion, indem Anlagen auf OneDrive ausgelagert und mit einem Freigabe-Links versendet werden.

Auch wenn Sie vielleicht nicht gerade ISO-Images als Mail übertragen sollten, und Exchange immer besser wird, haben viele Firmen zurecht Obergrenzen für Mails eingerichtet. Exchange selbst hat eingebaut einige "Standardwerte", die übergroße Mails verhindern. Dies betrifft die interne Übermittlung aber auch den Versand als auch den Empfangs von Mail mit externen Systemen.

Auch Relay-Systeme, Spamfilter grenzen Mailgrößen ein und auch die "andere Seite" hat entsprechende Limits. Eine Mail kann also nur übertragen werden, wenn alle Stationen auf dem Weg der Mail die Nachricht ungehindert passieren lassen. Zudem sprechen natürlich auch andere Faktoren gegen die Übertragung von Anlagen in Mails, z.B.

  • Duplizierung und Versionierung
    Wer Dokumente per Mail rumsendet, die eigentlich auf einem zentralen Ablageort (Dateiserver, Sharepoint, DMS o.ä.) hin gehören, handelt sicher nicht im Sinne des Betreibers. Werden die Informationen aber nicht versendet, sondern nur bereitgestellt, dann können diese auch einfach aktualisiert werden. Auch später in den Informationskreis hinzu gefügte Informationen können auch auf frühere Informationen zugreifen.
  • Platzbedarf
    Damit verbunden ist natürlich auch der mehrfache Platzbedarf mehrere Versionen und im Ordner "Gesendete Objekte" des Senders als auch beim Empfänger. Vertrauen Sie besser nicht auf "Single Instance Store"-Ansätze
  • Datenschutz und Missbrauch
    Sicher können wichtige Informationen auch in wenigen Sätzen (oder Twittter-Meldungen) veröffentlicht werden. Aber Das Risiko ist doch recht hoch, wenn große Dateien gesendet werden, dass damit auch ungeplant Informationen den Inhaber wechseln.
  • Sicherheit
    Leider werden immer noch die meisten Mails "unverschlüsselt" übertragen und es ist nicht mal unwahrscheinlich, dass andere Personen im unternehmen Einblick nehmen. Wer Dokument sicher übertragen will, muss diese Verschlüsseln.

Als Firma wird man also früher oder Später damit konfrontiert sein, einen geordneten Weg zum Austausch von Daten anzubieten.

Protokolle und Wege

Dazu gibt es natürlich eine ganze Menge von Protokollen und Wegen, die aber unterschiedliche Vor und Nachteile haben.

Protokoll Bewertung Beschreibung

FTP

Früher war FTP sein sehr geläufiges Programm und auch heute werden noch viele Dateien per FTP herunter geladen. für die meisten Anwender ist dieser Weg zu komplex um Dateien hochzuladen. Gängige Browser unterstützen nur den Download. Und selbst dann ist Verschlüsselung üblicherweise ein Fremdword, auch wenn es FTPS und SFTP gibt.
FTP wird keine hohe Akzeptanz erhalten, wenn die Nutzerschar nicht technisch vorgebildet ist.

Fernwartung

Im "Support-Geschäft" ist es üblich, dass Fernwartungen mit Programmen wie Teamviewer, PCVisit, ausgeführt werden. Diese Programme erlauben auch die Übertragung von Dateien. Das ist sicher ein Weg, um auch größere Logdateien etc. zur Analyse zu übertragen. Wer will schon einen 64MB "MiniDump" vom Kunden im Postfach haben.

Peer2Peer-Dienste

Kommen Sie bitte nicht auf den Gedanken ihre Dateien über Plattformen wir eMule, Torrent o.ä. zu verteilen. Sicher können Sie ihrer verschlüsseln Datei einen besonderen Namen geben und der oder die Empfänger erhalten diese. Die meisten Firewalls blocken diese Versuche ab

IM/Lync

Auch Peer2Peer Lösungen aus dem Business-Bereich können als Dateitransfer genutzt werden. Aber auch wenn die Wachstumsraten hoch sind wird es noch einige Zeit dauern, bis Lync oder andere Plattformen als "etabliert" angesehen werden können. Und selbst dann werden viele Administratoren genau diesen Weg per Default erst mal stopfen.

HTTP/HTTP

Bleibt letztlich also doch nur der Weg über eine Art Portalplattform einen sicheren (HTTPS) Austauschbereich für Dokumente anzubieten. HTTPs und ein Browser sind gängige Hilfsmittel und den meisten Benutzern bekannte. Up- und Downloads können über Proxies mit Authentifizierung und Content-Kontrolle erfolgen. Es fehlt also nur noch eine geeignete Plattform

OneDrive, Dropbox u.a.

DropBox, OneDrive und andere erlauben in der Regel mehrere GB "Free Volumen", die jeder sich beantragen und per HTTP nutzen kann.

Denkbare Funktion für eine Firma

Gleich vorneweg: Ich habe (noch) keine eigene Lösung hierfür entwickelt und würde mich freuen, wenn ich Lösungen vorstellen könnte. Vielleicht auf Basis der Sharepoint Dienste oder eine einfache ASPX-Lösung.

Zur Sicherheit: Ohne eine solche Lösung können Anwender Mails mit Anlagen beschränkter Größe versenden aber die Absenderadresse ist dabei fälschbar und der Inhalt kann auch schädlich sein. Insofern muss die Lösung nicht "sicherer" sein als eine Mail es heute schon ist. Folgende Funktion könnte ich mir einfach vorstellen:

  • Webseite
    Wir betrieben eine Webseite, die von intern und extern per HTTPS erreichbar ist.
  • Authentifizierung
    Ideal wäre, dass die Webseite von intern eine Authentifizierung des Benutzers per NTLM/Kerberos erlaubt und von extern nur ein anonymer Zugriff möglich ist. Das geht recht einfach mit unterschiedenen URLs nach Client IP oder mehrere Webseiten oder die Vorschaltung einer Firewall mit Reverse Proxy
  • Einfache Web-GUI zum Upload einer Datei
    Über einen Dialog kann der Client eine Datei auswählen und hochladen. Zudem gibt er einen "Empfänger als SMTP-Adresse an"
    • Intern nach Extern
      Wenn der Benutzer authentifiziert ist, dann kann er eine beliebige SMTP-Adresse angeben.
      Der "Absender" der generierten Benachrichtigung kann aus dem AD übernommen werden
      Allerdings könnte da System auch eine Mail mit den Links nach intern senden, so dass der interne Absender diese dann weiter leitet und zur eigenen Verwendung hat.,
    • Extern nach Intern
      Anonyme User können auch einfach eine Datei hochladen und eine Mailadresse angeben. Die Zieladresse darf natürlich nur "intern" sein
      Der Absender muss seine Mailadresse bzw. Namen angeben. (klar kann er die fälschen, aber was hätte er davon)
      Das System sendet eine Info-Mail an den internen Empfänger mit Link
  • Download über die per Mail zugesandte URL
    Eigentlich muss der Anwender sonst keine Funktion haben.

Soweit die "Trivial-Funktion". Natürlich kann das System  beliebig erweitert werden, z.B.:

  • Verfallszeit
    Aufräumen ist wichtig. Wer eine Datei bereitstellt, macht dies auf diesem System nur für begrenzte Zeit, z.B. 30 Tage. Denkbar ist auch, das der interne Bereitsteller eine eigene Verfallszeit einstellt. Neben einen Download-Link könnte es aber auch einen "Remove"-Link geben oder die Datei nach einer gewissen Anzahl von Downloads oder nach dem Download selbst entfernt werden.
  • Rückruf
    Der Uploader könnte eine URL bekommen, um eine bereitgestellt Datei vorzeitig zu entfernen. z.B. in der Info-Mail oder als URL nach dem Upload
  • Zusätzliche Absicherung z.B. durch Captcha oder Throttling nach Client-IP.
    Wenn der Service auch ein Upload von anonymen externen Clients erlaubt, dann sind einige Sicherungsmaßnahmen ratsam.
  • Virenscanner
    Natürlich sollten sie alle bereitgestellte Dateien einem Virenscan unterziehen
  • Download-Information
    Gerade wenn ein interner Anwender eine Datei über den Weg nach extern bereitstellt, dann könnte die Plattform dem Bereitsteller eine Information zukommen lassen, wenn die Datei von extern herunter geladen wurde. Quasi wie eine "Empfangsbestätigung"

Für meinen Privatgebrauch kann ich natürlich einfach den FTP/HTTP-Server der MSXFAQ nutzen, dessen Zugangsdaten mir natürlich bekannt sind. für "interne" Bereitstellungen  hat sich der kleine HTTP-Fileserver HFS bewährt.

Ich bin neugierig ihre Lösungen und Ansätze zu erfahren. Vielleicht haben Sie ja eine pfiffige Lösung für ihre unternehmen geschaffen, auf die ich verlinken sollte.

Wo steht der Service ?

Wenn wir nun davon ausgehen, dass HTTP das geplante Protokolle ist und der Austausch über einen Server steht, dann stellen sich natürlich nach:

  • Wer betreibt den Service ?
  • Wo steht der Server ?
  • Welche Software ist darauf installiert ?
  • Kosten, Wartung, SLA, Integration, Brandiing ?

Bei der Platzierung und Betrieb eines solchen "Austauschservice" gibt es in der Regel drei Optionen

Option Standort Kosten Integration

öffentlicher Service

"Irgendwo" Internet

kostenfrei aber werbefinanziert oder Abo

Keine

kommerzieller "Cloud"-Service

Bekannt beim Hoster

Meist "pro Anwender"

Denkbar

On-Prem Eigenbetrieb

Eigenes LAN

Anschaffung und Wartung für Server, Software und Bandbreite

Einfach

Auch die anderen Aspekte wie SLAs, Branding etc. sollten Sie  bewerten. Schauen wir uns die verschiedenen Optionen und exemplarische Vertreter einmal genauer an.

Internet Plattformen

Sie sollten schon aus organisatorischen Gründen dafür sorgen, dass eine Plattform durch die Firma oder einen Anbieter mit Vertrag stattfindet, denn es gibt schon heute eine Vielzahl von Plattformen, um große Dateien über das Internet zu sharen.

Mozilla Thunderbird hat mit der Version 14 sogar die Funktion direkt in den Mailclient eingebaut. Allerdings ist zuerst nur YouSendIt integriert.

Ich weiß leider nicht, wann und nach welchen Kriterium anderen Anbieter hinzu kommen.

Diese Plattformen haben aber allesamt den Nachteil, dass Sie nie sicher sein können, wer die Daten noch einsieht, dass die Daten oft in anderen Ländern mit anderen Rechtsordnungen stehen und dass die kostenfreien Dienste sich per Werbung finanzieren. Es ist also kein professionelle Außendarstellung eines Unternehmens, wenn Sie wichtige Daten verteilen wollen. Oder die Daten sind auf einmal weg, wenn eine Ermittlungsbehörde am Beispiel von megaupload.com gut zu sehen ist.

Spezialisierte Dienstleister

Entsprechend gibt es natürlich auch kommerzielle in Deutschland beheimatet Firmen, die solch eine Plattform als "Hosting" anbieten. Oft dies ist mit der Dienstleistung "Hosted Spamschutz" verbunden. So können auch Mehrwertfunktionen umgesetzt werden, z.B.

  • Abtrennen großer Anlagen bei eingehenden Mail
    Der Anbieter trennt die Anlagen ab und legt sie auf einem geschützten Bereich ab. Nach intern geht nur die Mail und ein Hinweis, unter welcher URL der Anwender die Anlage herunter laden kann. Voraussetzung ist natürlich, dass der Anwender zumindest diese Internetadresse mit dem Client auch ansurfen kann. Schön ist, dass das interne Mailsystem keine große Anlagen zulassen muss. Allerdings bleibt die Frage, ab wann der Anbieter die Anlage dann entfernen kann.
  • Service für ausgehende Mails
    Auch beim Versand großer Mails kann so ein Anbieter unterstützen, indem große ausgehende Mails ebenfalls abgetrennt und auf einem Webserver abgelegt werden. Der externe Empfänger bekommt ebenfalls eine Mail.

Durch die Kopplung an das Mailsystem für Spamschutz kann der Anbieter auch Zusatzfunktionen anbieten. So kennt er eventuell alle internen Empfänger über einen DirSync (zur Abwehr von Mails an ungültige Empfänger) und kann so sogar Berechtigungen auslesen.

Der eigene Service

Wenn alles "Hosting" nicht gewünscht ist und auch interne Mails mit Übergröße trotz Limit im Mailsystem möglich gemacht werden sollen, dann ist eine entsprechende Plattform, die intern als auch kontrolliert Extern erreichbar ist, die vielleicht bessere Version.

Intern kann die Authentifizierung ja noch mit den Bordmitteln und dem bestehenden Active Directory Credentials erfolgen. Aber sie werden kaum einem externen Partner ein Anmeldekonto geben wollen. Hier müssen Sie dann überlegen, wie sich ein externer Kommunikationsteilnehmer identifiziert:

  • Ausgehend: Gar nicht und lange URLs
    Wenn es nur um Dateien geht, dann könnte ein Anwender diese einfach auf eine Webseite "Hochladen" und erhält im Anschluss eine ausreichend lange URL. Diese kann er an den Empfänger senden. Der Server sollte unter der Adresse natürlich extern zu erreichen sein.
  • Eingehend: Anonym
    Genauso könnte man einem externen Sender eine Adresse nennen, unter der dieser die Anlagen hochladen und eine Mailadresse des Empfängers hinterlassen kann. Das System könnte dann eine Mail mit den Links nach intern weiter senden. Captcha o.ä., sollten einen Missbrauch natürlich erschweren.
  • Eigene Benutzerverwaltung mit Kennwort
    Wenn die Plattform eine Anmeldung erfordert, könnte dies mit einer lokalen Benutzerdatenbank erfolgen. Verschiedene Verschlüsselungsgateways arbeiten ähnlich, dass ein Anwender erst über eine Mail-Challenge-Verfahren ein Konto bekommen und dann damit kommunizieren können. Ich selbst stehe solchen Dinge aber kritisch gegenüber, denn als externer Empfänger habe ich immer mehr Identitäten zu verwalten. So eine Plattform ist aber z.B. mit Sharepoint relativ einfach möglich. Oft ist dies sogar von Vorteil, wenn nicht nur Dateien ausgetauscht werden sollen, sondern quasi ein "Projektweb" Zugänglich gemacht wird, in dem auch Kontakte, Termine, Aufgaben etc. liegen.
  • Federation mit anderen "Anmeldediensten" wie Live-ID, OpenID, Facebook etc.
    um das Problem der vielen Identitäten zu reduzieren könnte man natürlich einen der verschiedenen Anmeldedienste nutzen, die es eh schon gibt. Um hier aber keinen Zwang auszuüben, solch eine Anmeldekennung erst beschaffen zu müssen.

Als eigener Dienst benötigen Sie natürlich Server und Software. Hier ein paar Beispiele und Produkte:

Weitere Links