Verschlüsselung + Fehler in Outlook!

  • Huhu.


    Vorab gibt es zu sagen, dass ich noch recht neu im Umgang mit Linux bin und das meiste über Anleitungen im Netz mache.


    Mein vServer läuft unter Debian Jessie in Verbindung mit Froxlor. Als Mailsystem kommen Postfix und Dovecot dazu.


    SSL-Zertfikat
    Ich habe jetzt gestern ein SSL-Zertifikat für kanu-XXXX.com angefordert. (Diese Domain läuft aber erst Mitte nächste Woche auf meinem Server! (Transferzeit)) Auf den Server sollen aber noch div. andere Domains laufen. Beispielsweise kanu-XXXX.de. Die Verschlüsselung dür die erste Domain wird funktionieren, das ist mir schon klar. Aber wird das ganze dann auch ohne weiteres für die .de Domain funktionieren? Oder gilt das ausschließlich für XYZ@kanu-XXXX.com? (Sprich der E-Mail-Domain die beim Zertifikat angegeben wurde) (Ich erstelle die Mailadressen/-Konten einfach über das Froxlor-Kundenwebinterface, sollte das wichtig sein.)


    Mailserver - Posteingang/-ausgang
    Und derzeit ist es so, dass ich ein paar Test-Mails schon versendet habe. (Über den Hostnamen: mail@site.vXXXX.yourvserver.net)
    Beim Telekom Postfach kommen diese im Posteingang an. Beim Outlook (Bzw Microsoft-Live) Account jedoch nichtmal in den Junk-Mail-Ordner. Setze ich die E-Mail dort auf die Whitelist, ist alles wieder gut.
    Sende ich eine E-Mail an diesen Account, so wird mir im Posteingang von Thunderbird nichts angezeigt. Schalte ich eine Weiterleitung auf abc@t-online.de kommt dort die E-Mail an. (! bei Microsoft Live wie oben beschrieben nicht !)
    Wenn ich nun für meine Domain, welche ein SSL-Zertifikat (eigenes) hat, ein Mail-Konto einrichte, funktioniert das ganze dann?


    (Dazu gibt es zu sagen, dass ich erst die dovecot.conf-Perm. falsch hatte und danach noch nicht alles ausgiebig getestet habe. Von Microsoft Live kam zu meinem Versuch eine Mail zu senden noch keine Fehlermeldung zurück! (Mail kam trotzdem nicht an) Auf einem Mailserver eines Bekannten (Debian Wheezy) kam eine Meldung es sei lediglich zu einer Verzögerung gekommen. Dort wurde ebenso alles nach Froxlor-Anleitung eingerichtet!)


    Der Outlook Fehler
    Ich nutze Windows 7 64-bit. Mein Outlook 2010 (Professional Plus Lizenz, falls von Bedeutung), versucht sich zum Server zu verbinden, wenn ich meine Daten eingebe. Dann kommt eine Meldung von Avast (Verschlüsselung und so) welche ich ignoriere und den Server auf die Ausnahmeliste setze. Danach kommt nochmal dasselbe vom Outlook selbst und dann läuft der Balken durch und durch und macht nix. Bzw es hört nicht auf und ich muss auf abbrechen klicken. (Hab das ganze mal so 15 Minuten laufen lassen)




    Erstmal Gratulation wer sich das grade gegeben hat. Solltet ihr ein bisschen mehr Ahnung von dem ganzen haben und mir helfen können, wäre das echt nice!


    ~ Simon




    (Nachtrag: Bitte nicht schlagen, sollte ich jetzt Dünnschiss schreiben! Ist es möglich das ganze über Roundcube bzw einem anderen Webmailsystem zu umgehen? Also zumindest den Posteingangsfehler? --- Es kann auch sein, dass die Telekom das ganze rausfiltert (also was auf meinem PC ankommt). Wir hatten da mal vor nem Jahr so nen nettes schreiben, unser Router sei unsicher)

  • Zunächat einmal gibt es keine blöden Fragen, sondern nur blöde Antworten.
    Du musst also (zumindest bei den versierteren Usern des Forums) keine Angst haben für "Dünnschiss schreiben" geschlagen zu werden ;)
    Das schlimmste was Dir passieren kann ist dass Dich jemand fragt ob Du Dir sicher bist dass ein Rootserver für Dich die richtige Wahl ist...


    Ich habe dein Problem nun kurz überflogen, werde es später nochmal genauer lesen.


    Du erwähnst, dass Du Anfänger im Bereich vServer bist.
    Das ist nicht schlimm!
    Ich möchte Dir nur an dieser Stelle ans Herz legen Dich zu allererst mit dem Absichern eines Rootservers zu befassen, ehe Du Dienste darauf anbietest.
    Sicherlich möchtest Du nicht zu den "noob-admins" zählen, deren schlecht konfigurierten Server schuld an einem Großteil des weltweiten Spamaufkommen sind.
    Wie man einen Server gut absichert geht aus mehreren Threads hier im Forum hervor.
    Wenn Du dabei Hilfe brauchst, mach bitte einen neuen Beitrag auf, damit dieser hier nicht zu sehr offtopic wird. :)



    Nun zu Deiner Frage:
    Was für ein SSL Cert ist dies?
    Erfolgte die Authentifizierung auf Domainebene (Letsencrypt oder diese kostenlosen Zertifikate aus Israel) oder auf einer höhren Ebene (z.B. Inhaber-Validierte Produkte von Thawte)


    Wenn das Cert Domainvalidiert ist und die Domain noch nicht umgezogen ist wird das wohl nicht klappen.

    [table='liebe Grüße - schentuu, ']
    [*]~[*] Tutorial-Empfehlung: vi(m) lernen
    [*]Betreibt 3 netcup Root-Server mit Funtoo-Linux [*] IRC von Kunden für Kunden: #nc-kunden (iz-smart.net)
    [*]darunter Minecraft Gameserver, git server, etherpad u.v.m.[*]Für Server Anfänger: Linux Selbsttest
    [/table]

  • Zu dem Zertifikat.


    Das ist wie im Netcup Wiki beschrieben einfach mit openssl angefordert worden. 20XXbit. Also nichts gekauftes!


    Ja die Domain ist gerade dabei umzuziehen. Es macht aber keine Unterschied, ob ich jetzt oder später das Zert. anfordere, richtig? (Von der momentanen Funktionalität abgesehen.(

  • Da wir hier im IMAP / POP Bereich sind und du die Zertifikate selbst erstellst, brauchst du so oder so nicht mehr als ein Zertifikat für beide / alle Domians.
    Beim Erstellen kannst du angeben welche Domains validiert werden sollen. Dort gibst du entweder beide an oder alternativ, weil du und andere Nutzer dem Zertifikat sowieso erst vertrauen müssen, kannst du dieses Feld auch leer lassen.

  • Also Zertifikate gelten eigentlich meistens nur für eine Domain! (manchmal ists sogar ein Unterschied ob mit oder ohne www.).
    Es gibt Zertifikate die gelten für eine Domain und alle Subdomains (wildcard) aber die sind Schweineteuer!


    Was dein Mailen betrifft so wette ich darauf dass du den Reverse-DNS für die IP deines Mailservers nicht richtig gesetzt hast!


    Google mal nach "mx toolbox" geh auf die Seite und klick auf "diagnostics". Wenn du dort die Adresse (Ip oder Domain) deines Mailservers eintippst sagen die dir was falsch ist - weswegen manche deine Mails ablehnen. Gerade die großen Maildienste sind da sehr penibel!


    Thomas

  • Also Zertifikate gelten eigentlich meistens nur für eine Domain! (manchmal ists sogar ein Unterschied ob mit oder ohne www.).
    Es gibt Zertifikate die gelten für eine Domain und alle Subdomains (wildcard) aber die sind Schweineteuer!


    Nein, es gibt auch Zertifikate die für mehr als eine Domain gelten. Aber hier ist das sowieso egal, denn bei selbst erstellten Zertifikaten gibt es von allen Clients eine Warnung. Erst wenn dem entsprechenden Zertifikat vertraut wurde, können Mail abgerufen werden.


    Deshalb ist es egal ob er diese für Domains "validiert" sind oder nicht. Die Warnung gibt es in beiden Fällen.

  • Also die meisten Zertifikate sind ja Domain-Validiert das bedeutet, das Zertifikat ist nur für deine Domain gültig die validiert wurde. So nun hast du ja ein Froxlor gespann am start und willst mehrere Domains hosten. Da gibt es zwei Varianten:


    • Du kaufst dir ein Zertifikat für z.B. mail.domain.tld, so heißt auch dein Mail-Server dann und alle Kunden bekommen dann eine Mail mit m.mustermann@mail.domain.tld was einfach wäre aber Geschmackssache ist. Dann kannst du dir ein Wildcard-Zertifikat kaufen was bedeutet alles was <hiersteht>.domain.tld mit dem Zertifikat gültig ausgeliefert wird in Browser und andersweitig. Der Vorteil ist das du nun als Provider nur domain.tld hast und alle Kunden sich dahinter ihre eigene Domain noch klatschen können. Wie bei Netcup-SoGo z.B. domain-tld.netcup-mail.de, wird aber vermutlich bei Froxlor nicht so easy sein in der Umsetzung. Hab mit Froxlor schon lange nicht mehr gearbeitet.
    • Let's Encrypt bedeutet cross-signed Zertifikate für jeder Mann und das umsonst und guter Akzeptanz. Da könntest du ein Plugin für Froxlor schreiben womit der Kunde in Froxlor einfach ein Zertifikat erstellen kann und direkt sauber einfügen, oder er beantragt es per Workflow du generierst es und baust es ein. Umsonst ist es auch wenn du es einfach per openssl baust was jedoch halt nicht akzeptiert wird von vorne an weil es nicht im Zertifikatsspeicher des Clients hinterlegt ist.


    Schlusswort:


    Einsicht ist ein Weg zum Erfolg. Ich finde es gut das du von vorneherein sagst du hast keine fundierende Erfahrung mir Linux hast, Problem ist aber das Mail-Server nicht unbedingt eine 15-60 Minuten Aufgabe ist. Du solltest dich zunächst mit Linux vertraut machen sprich wie konfiguriere ich die Netzwerkkarte statisch oder wie update ich mein System richtig halt Linux benutzen können ohne Tutorials. Wie schentuu bereits angesprochen hat 'Absichern' das große schlimme Wort worauf Anfänger leider recht wenig Wert legen. Dein Server mag zwar auf dem ersten Blick schön aussehen jedoch gibt es Menschen die das ausnutzen in dem sie deinen Mail-Server als Newsletter-Verteiler für Viren Trojaner etc. benutzen. Das hat oft die Folge das die anderen Mail-Server dich blockieren weil Spamfilter dich als Spammer indentifizieren obwohl du ja 'eigentlich' genau genommen 'keiner' bist. Was auch immer gut ist die Dokumentation des Software herrausgebe zu lesen das bringt dich unfassbar weit weil du am Ende verstehst (halbwegs) wie die Software arbeitet. Also wenn du bereit bist diesen Weg zu gehen dann sind hier sicher eine Menge Leute die sich darauf freuen dir einwenig was zu zeigen. Nur machen musst du es!

  • Wobei man -meiner Meinung nach- doch sagen muss dass es mit der Absicherung gerne übertrieben wird. Da liest man dann von Leuten die:
    a) SSH auf einem anderen Port haben,
    b) SSH nur mit Keys erlauben,
    c) SSH sowieso nur nach Portknocking erlauben,
    d) root garnicht per SSH erlauben...


    Ich denke man kann es auch übertreiben!


    Wichtig ist:
    - Das du niemals irgendwo ein schwaches Passwort verwendest,
    - Genau weißt was auf deinem Server läuft,
    - Und gerade alle Arten von Websoftware (CMS, Forum, ...) immer aktuell hälst


    Damit hat man schon die 99% der automatischen Angriffe weg. Und wenns doch mal das letzte Prozent (also der wirklich intelligente Hacker) auf dich abgesehen hat, hast du sowieso fast keine Chance. Wenn der Weg durch due Vordertür gut gesichert ist nutzt man halt den Kellereingang. Spear Fishing oder Social Engineering...


    Und außerdem ist ein Linux direkt nach der Installation erstmal sicher. Solange man also nicht wild irgendwas installiert sondern vorsichtig vorgeht und sich informiert hat man ned gleich unfreiwillig nen HoneyPott. Ein Ubuntu mit nem starken Passwort für alle User sowie der Standardinstallation aus den Paketquellen für Apache, Mysql, PHP und Postfix ist immer noch sicher. Bis zu dem Moment wo man Einstellungen verändert die man nicht versteht!


    Thomas

  • Ok.


    Zum Thema Absichern habe ich jetzt eine Frage.
    Rkhunter hab ich installiert, sowie den Rootlogin verboten und den SSH Port geändert.


    Nun komme ich mit meinem Root-User ja nicht mehr ins FTP rein. Ist ja irgendwie klar. Nur wie komme ich da jetzt wieder rein? (Mit meinem Standartbenutzer hab ich ja nur auf meinem Verzeichnis Rechte)


    Und zu Fail2Ban. Ich habe jetzt 3mal das Passwort falsch eingegeben. Danach kam kein Popup oder ähnliches (benutze fail2ban zum ersten mal. Weiß nicht, wie bzw ob man einen Error kriegt) Habe dann nach dem vierten und fünften Fehlversuch das richtige Passwort eingegeben. Und war drin. Hat jemand eine Lösung?



    Zu den Keys:
    Derzeit logge ich mich mit XY ein und wechsel dann immer mit "su" auf root. Denkt ihr Keys sind dann noch nötig oder eher zuviel des Guten? Denn wenn würde ich mich ja mit dem Key auf XY einloggen und dann wieder mit "su" wechseln, richtig?




    ~ Simon

  • Ja das stimmt.


    Nur grade in der "Anfangsphase" hab ich viele Stellen wo ich einfach den root-Nutzer brauche. (Pakete installiere, einrichten etc). Ich denke wenn ich wirklich mal den root brauche um was zu editieren wo ich in putty keine Nerven zu habe, wir der rootuser für 10min wieder aktiviert. Dass genau dann bzw überhaupt einer angreift ist dann doch recht unwahrscheinlich. Und dann gibts ja noch das gute alte fail2ban.


    Nochmal zu dem Mailserver... Ich jetzt grade dran die ganzen configs nochmal zu ändern, da ja "yourvserver.net" nicht wirklich funktioniert. (Dachte davor ich hab meinen Server zerschossen/hatte davor auch nen anderen Hostnamen (supersrv.de)) (Postfix hostname ändern – netcup Wiki)


    Nunja die confgis sind soweit fertig. Nur mit dem Hostnamen bin ich mir noch unschlüssig. In den configs steht überall "mail.XY.com" (habe das auch so genommen, damit ich die DNS-Records nicht neu machen muss, ja ich bin faul). Nurnoch der Hostname muss geändert werden. Dieser wird dann doch auch XY.com (also ohne mail.___) geändert, da ja die Website evt auch noch funktionieren möchte. Nur muss ich jetzt auch in den Tiefen meines vServer irgendwo den Hostname umändern bzw in irgendwelchen configs umschreiben?


    Mir würde da spontan nurnoch froxlor einfallen Mehr jedoch nicht.


    ~ Simon

  • Ok gut zu wissen. Dachte die config (bzw die zeile) muss mit dem Hostname aus dem CCP übereinstimmen.


    Dann werde ich das nächste Woche wenn die Domain endlich übertragen ist mal ausprobieren. Funktioniert es nicht, werde ich brav das Wiki befolgen und den Hostnamen aus dem CCP auch ändern.


    ~ Simon

  • So...ich würde gerne noch einen Punkt klarer machen, der bisher vermutlich zu knapp gekommen ist:


    Wenn du den Mailserver/hostname/rdns auf mail.deinedomain.de konfigurierst, gibst du dem Mailserver auch einfach das SSL Zertifikat für die .de domain (also ganz logisch). Kleine Anmerkung: probieren letsencrypt - ist wirklich cool.


    Nun kannst du aber bei deiner .com-domain den hostname (mail.deinedomain.de) als MX record angeben und für die Abrufe der Mails der .com-domain einfach immer mail.deinedomain.de (also als smtp/imap-Server) verwenden und als Nutzer die .com-Mailadresse. Ich kenne die Config mit Froxlor nicht 100%, bin mir aber sehr sicher, dass das klappt!


    Viel Erfolg
    tldev


    PS: sorry für die Rechtschreibung - ist am Handy getippt

  • Gut. Nach dem letsencrypt werde ich morgen mal schauen.


    Und danke, dass du mich an die Zertifikate erinnerst. An sowas hätte ich zuletzt gedacht.




    Zu Froxlor: Das sind die Standartconfigs nur, dass eben schon alles eingetragen ist. (Man kriegt dann was zum copy pasten) Solange man in Froxlor selbst keinen Mist eingestellt hat, funktioniert das auch. (Abgesehen von lauter Anbietern, die random hostnamen sperren.)


    ~ Simon


    // Hat letsencrypt aucg eine deutsche Seite? Bei dem Englisch schalt ich irgendwann ab xD

  • Habe mittlerweile mit der Toplevel Domain alles eingerichtet bekommen.




    Ob die Verschlüsselung schon funktioniert weiß ich allerdings noch nicht... Habe den Posteingang am iPad eingerichtet, als noch ein altes Zert. (Andere Domain) eingestellt war, sprich ich hab eingewilligt alles ohne SSL zu nutzen.
    Habe danach aber den Pfad zum richtigen angegeben. Kann ich jetzt prüfen, ob die Verschlüsselung an ist?



    /// Als ich den Fehler hatte, bekam ich in der Logdatei die Meldung, SSL seie aus. Wenn ich jetzt seitdem diese Zeile nichtmehr erhalte kann ich dann sicher davon ausgehen, das alles funktioniert wie ich es mir vorstelle?


    PROBLEM GELÖST

    Einmal editiert, zuletzt von Gelöscht05 ()

  • Ich benutze von zu Hause aus testssl.sh, um die Verschlüsselungseinstellungen meines Mailservers (oder auch auch des Webservers) zu überprüfen.


    Beispiele:

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus