Beiträge von CmdrXay

Hay gunnarh,

lol - ich würde ja gerne einen Screenshot während einer Bestellung machen, aber ich habe noch einen seit 14 Tagen unbeantworteten Thread im Reseller-Bereich, bevor ich zig Domains rüberziehe. Ich dachte aber, ich hätte den Punkt auch schon beim Transfer gesehen, kann mich aber irren.

Ok, Dein Szenario ist jetzt klarer, da habe ich nur auf ein paar Hotwords geschaut das hat natürlich mit der TTL nichts zu tun.

Allerdings gibt es in dem Zusammenhang noch eine weitere wichtige Information, die mir bislang noch nicht beantwortet wurde. Ich hatte den Eindruck, dass trotz Anlegen eines kompletten DNS-Eintrages während des Transfers diese Einträge nur verspätet berücksichtigt wurden. Die Domains lösten nach Transfer zuerst auf 46.xxx.xxx.xxx IP-Adressen auf (="Diese Domain wurde geparkt", z.B. wie meine http://www.schichtforum.de / das ist gewollt, andere sollten direkt auf meinen Server). Erst nachdem ich noch einmal in den ccp ging und die (vorhanden) DNS Einträge noch einmal gespeichert habe, ging es nach ein paar Stunden. Ob es auch so nach einer gewissen Zeit sowieso funktioniert hätte oder es mein nochmaliges Speichern war, kann ich jetzt allerdings nicht sagen.

CU, Peter

Hay,

Zitat von Georg

Soweit ich weiß, werden bei Domainbestellungen (auch Transfer) standardmäßig die netcup Nameserver eingetragen. Dass eine Eintragung von eigenen NS-Servern im Bestellprozess möglich ist, ist mir nicht bekannt. Vielleicht ist dies für Reseller möglich?

Meinst Du das? Die üblichen DNS Einträge können z.B. bei der Bestellung der Domain schon angelegt werden, dazu gibt es noch diese Option:

Läuft so in meinem ccp, habe ich aber nicht benutzt, ich nutze die netcup domainserver.

Beim Umzug jedenfalls sollte die TTL auf dem ursprünglichen Server vorab (2-3 Tage vorher) möglichst klein gewählt werden, falls möglich. Dann geht der Übergang zum Zeitpunkt des Wechsels schneller und selbst wenn der Wechsel eine kurze Outage erzeugt, bleibt diese minimal und muss nicht erst über 48h propagiert werden.

CU, Peter

Hay,

die Frage root oder nicht finde ich schon berechtigt.

Bevor ich meinen ersten Root-Server gemietet habe, habe ich fleißig an eigenen und dann an meinen firmeneigenen Servern in einem abgesicherten Netz geübt, bis ich den ersten mal Richtung Internet exponiert habe.

Das Problem ist halt, wenn man sich schon grundlegend nicht mit der Verwaltung und mit Internet-Kerntechnologien auskennt, dann ist man eine potenzielle Gefahr für andere - so ein Server oder ein Dienst ist schnell mal von unbekannten Dritten übernommen und mein root-Server wird z.B. wegen eines nicht konfigurierten SMTP-Relays deswegen vollgespammt und vielleicht trifft eine Mail mit einem wannacry-Ableger dann einen meiner User. Oder Du betreibst eine Webseite, vielleicht sogar mittels Wordpress oder Drupal, auf dem nicht abgesicherten Server und plötzlich bist Du eine Phishing-Site oder verkauftst für andere verschreibungspflichtige Medikamente für den "großen Zeh"

Was ich damit sagen möchte: Unabhängig vom IST-Stand ist JETZT der passende Zeitpunkt, sich intensiv damit auseinander zu setzen.

CU, Peter

Hay,

super, danke. Liegt auf dem Lesestack

CU, Peter

Hay,

da mittlerweile wieder vier Wochen ins Land gegangen sind, frage ich mal vorsicht an, wie die weitere Planung zu reseller-Preisen ausschaut?

Ich müsste im Oktober ein paar Domains umziehen (idealerweise natürlich hierher), ich muss noch ca. 10-20 für Kunden neu anlegen und habe selbst noch eine lange Liste, was ich gerne hier hätte, damit mein Server auch mal eine Load >0.04 entwickelt

Im Moment lege ich nur an, was absolut notwendig ist, und ich bin mir nicht sicher, ob das im Sinne des Reseller-Programmes ist Schließlich sollte ich theoretisch irgendwann auch mal noch einen zweiten oder dritten Server buchen, sobald der erste platzt.

Ferner gehe ich natürlich davon aus (bitte bestätigen oder negieren), dass jetzt bereits bestehende Domains (zumindest die mit Standardpreisplan) auf Resellerpreise umgewandelt werden.

Danke im voraus für eine Antwort.

CU, Peter

Hay,

sorry - wenn man was aus dem Kopf schreibt. Bei mir ging das domainfile im bind und ccp durcheinander...

Natürlich im ccp, danke killerbees19...

@ - für die Domain als solche

* - für jede beliebige Subdoman

dns.PNG

also

@ {IP Server 2}

* {IP Server 1}

CU, Peter

Hay,

Zitat von m_ueberall

fail2ban keine IPv6-Adressen sperren kann... ("Meta-Fail"? )

ja, so ist es, habe ich nicht erwähnt - weil ich auf dem Auge leicht blind bin

Zum einen sind die meisten meiner Dienste nur per IPv4 erreichbar (den Bug umgehe ich aktiv, indem ich meine RegEx nur auf IPv4 getrimmt habe) und zum anderen hatte ich bei denen, die für IPv6 offen sind, bislang noch keinen einzigen Angriff...sollte man sich mal drauf vorbreiten und ich bin voll der guten Hoffnung, dass die Leute von fail2ban das in den Griff bekommen toitoitoi.

CU, Peter

Hay,

wieso "drauflegen"? - netztopologisch gesehen ist das Problem identisch mit dem ursprünglich gefragten, also ist die Lösung dieselbe nur mit anderen IP-Adressen. Außer dass man den "static" Eintrag weglassen muss und die Domain mit der server2 Adresse eintragen muss.

Also

beispiel.de A {IP Server2}

* A {IP Server 1}

CU, Peter

Hay,

das ist alles sehr unpräzise, Du musst mehr Infos sammeln. Wenn diese Fehler regelmäßig vorkommen, dann gibt es in der Regel ein Muster, das man herausfinden muss. Ich würde mich auch erstmal davon lösen, dass nginx oder haproxy das Problem verursachen, sondern erst mal einen normalen Windows-Troubleshoot lostreten. Der mag sich dann schließlich auf diese Programme verengen, aber aufgrund des unklaren Fehlerbildes würde ich nichts ausschließen.

Ich würde die Ereignisanzeige mal genau im Auge behalten, selbst normale Info-Einträge können weiter helfen. Insbesondere sollte man sich ganz genau ansehen, was kurz vor dem Bluescreen passiert ist, vielleicht auch ein Ressourcenmonitoring parallel laufen lassen. Und so seltsam es klingt: Du hast hier ein nicht-Server-OS auf einem Server - da würde ich mal mit einem chkdisk kräftig reintreten, nicht dass das Filesystem einen Fehler hat.

Also die Klassiker: "sfc /sannow" (kann ja auch ne Systemdatei sein) und "chkdsk /f" (fürs Filesystem).

Eine Alternative - sofern Du Dir den Ausfall erlauben kannst - wäre auch mal über einen Tag memtest laufen zu lassen oder andere Lasttest (Prime etc.), denn abgesehen von faulen Treibern kann es auch faule Hardware sein. Da sind meine Hauptverdächtigen Speicher und CPU. Das sollte dann aber ein dediziertes System sein, sonst werden sich Deine Mitbewohner freuen

CU, Peter

Hay,

sofern der Server "Docker-Container" kann (wie z.B. mein RS8000), würde ich empfehlen, einen Docker mit Java einzusetzen. Das wäre mE die ideale Ergänzung mit Managed Server, weil man dann auf der einen Seite den Server selbst verwalten lassen kann und zum anderen "nur" noch die Aufgabe hat, die Java-Umgebung sauber zu halten. Ist alles eine Frage, wieviele Kosten und wie viel Arbeit man investieren (oder verteilen ) möchte

CU, Peter

Hay,

natürlich. Läuft bei mir auf verschiedenen Servern, auch hier bei Netcup. Beispielsweise https://webmail.pkleemann.de/

Lets Encrypt Certifikat mit webmail-Domain beantragen, https-Umleitung rein, irgendwo in den E-Mail-Einstellung war noch was mit "Zertifkat für webmail aussuchen", mehr weiß ich jetzt auch nicht mehr, ist schon eine zeitlang her Am Anfang musste ich noch eine extra webmail-Subdomain anlegen um dafür ein Cert zu bekommen, das ist aber jetzt Vergangenheit.

P.S.: Mit Plesk jedenfalls. Per Hand gehts natürlich auch ...

CU, Peter

Hay,

jedenfalls bei ssh den root abklemmen und nur mit Keys & sicherer Passphrase arbeiten.

Ergänzend - so läuft es bei mir - fail2ban installieren.

Das ist ein Logfile-Beobachter, den man mit regulären Ausdrücken auf Einbruchsversuche trimmen kann und man kann auch die Sensitivität einstellen. Wenn jemand sich z.B. innerhalb von 10 Minuten 5x erfolglos per ssh einloggen wird, wird die IP gesperrt und zwar für eine ganze Woche (ist gusto, wie lange). Man kann auch Einträge whitelisten (zum Beispiel indem man einen bestimmten User whitelistet - sollte natürlich nicht ausgerechnet root sein), so dass man sich selbst eine Lücke offen lässt. fail2ban läuft bei mir auf ssh, postfix und asterisk-Logfiles (plus andere empfindliche Dienste). Wenn man schon bei ssh-Hackversuchen wach wird... Ihr könnt Euch gar nicht vorstellen, was abgeht, wenn jemand da draußen im wilden weiten Netz einen offenen SIP-Port findet, da gibt es mehr Angriffsvektoren als nur ein Login

Nachteil von fail2ban... wenn jemand mit großer Bandbreite angreift (deswegen vielleicht in Kombination mit dem obigem Vorschlag), sind schon 200 Loginversuche durchgelaufen, bis fail2ban die IP sperrt...

CU, Peter

Hay,

"xn--test@"? Kann es sein, dass auch im Username selbst ein Umlaut ist? Das würde ich auf jeden Fall dringenst vermeiden, auch wenn es grundsätzlich zulässig ist! Hier sollte man Praktikabilität unbedingt über Schönheit stellen. Und wenn Dir auffällt, was das Forum aus der Mailadresse macht... klickbar ist alles ab test@, das xn-- vorher ist nicht klickbar bzw. unter dem automatisch generierten Link liegt schon hier nur die unvollständige Adresse!

Siehe als schnelle Referenz mal hierher, das ist zwar nur ein relativ kurzer Stackoverflow-Beitrag, aber enthält alle relevanten Infos und auch weitere Links.

https://stackoverflow.com/ques…alid-in-the-local-part-of

Und nur mal als Gedanke am Rande... angenommen, Du möchtest Leute aus allen Teilen der Welt ansprechen. Wüsste ein Nordamerikaner, wie er Dich unter günstereinkaufen@example.com kontaktieren kann, wenn er das ü nicht auf seiner Tastatur findet Dieses Argument gilt natürlich sowohl für alles vor- wie hinter dem @-Zeichen

CU, Peter

Hay,

Hast Du Zugriff auf einen Webmailer bei Deiner Domain? Mal da versuchen, ob die Daten grundsätzlich korrekt sind.

Schon mal mit punycode-Domains versucht?

Mit Umlaut-Domains gibt es immer noch Probleme. Wenn beide Domains grundsätzlich gleich sind (also wie Schäfer.de und Schaefer.de), würde ich nur die ohne Umlaute wirklich bedienen (also als Konto in Outlook anlegen) und alles auf der Umlaut-Mailadresse forwarden auf die ohne Umlaute. Es ist lächerlich, dass wir uns im UTF-Zeitalter mit so etwas herumschlagen müssen.

Das ist ein Workaround und keine wirkliche Lösung.

CU, Peter.

Hay,

danke & super, dass Du die Lösung mitteilst.

Ergänzend: Für sichern und restaurieren ist iptables-persistent da, aber wenn zwei Tools dieselbe Konfiguration bearbeiten, gibt es natürlich Zweideutigkeiten. Allerdings sollte iptables-persistent beim Herunterfahren die Regeln in /etc/iptables/rules.v4 bzw .v6 speichern, sonst würde das ja keinen Sinn machen . Also sollte auch MIT beiden Tools die iptables identisch sein beim reboot, weil iptables wirklich nichts anderes macht als speichern und laden. Ich stehe auf Kriegsfuß mit systemd, deswegen weiß ich nicht, wie das dort geht, aber mit sysVinit fehlte vermutlich der K-Eintrag im passenden /etc/rcx.d-Verzeichnis. Möglich, dass den ufw entfernt hat. Hätte dann aber den S-Eintrag auch entfernen müssen.

CU, Peter

Hay,

es gibt auch einen Grund, warum der Anbieter [selbstzensur] Server mit aktuellen NVIDIA-Grafikkarten anbietet... Wobei ich es auch dort schon in Zweifel ziehe, dass es sich lohnt, auch wenn zig tausend Shader Kerne rechnen. Es "lohnt" sich wahrscheinlich nur, wenn jemand anderer die Kosten dafür übernimmt und dieser andere nichts davon weiß oder mitbekommt (z.B. ein IT Mitarbeiter mit Zugang zum Firmenserverraum, schon hier aufgetreten und ganz schnell gefeuert).

CU, Peter

Hay,

irgendwie raffe ich das eigentliche Problem immer noch nicht. Zumindest ausgehend müsste Postfix das schon in der Standardinstallation können, sofern er für Deine Domain senden darf (z.B. ptr Einträge in DNS). Das authentifizierte Login (Dein UserA@domain.tld) ist eben nur fürs Login auf den Postfix, die Mails werden unverändert durchgereicht (also ohne Manipulation von "from:" und "to:") und verteilt, außer Du legst zB. mittels transport rewrite etwas anderes fest. Vielleicht ist das auch zu einfach...

Es geht doch nur um ausgehende E-Mail? Jedenfalls Deiner Beschreibung nach. Eingehend wirds (aber nur leicht) komplizierter (siehe: http://edoceo.com/howto/postfix-gateway).

Da ich leider keine Möglichkeiten habe, das nachzustellen, bin ich ab dem Moment raus

CU, Peter

Hay,

ich sehe gerade, ich habe vermutlich etwas mißverstanden. Es sollen (wenn ich es jetzt verstanden habe) alle User durch einen einzigen Useraccount geschickt werden. Bei mir sind selbstverständlich alle externen Accounts eins zu eins mit internen Accounts verknüpft und beide auf beiden Servern als Mailnutzer angelegt, das ist natürlich etwas anderes, sorry confusing you.

CU, Peter

Hay,

für mich sieht es nicht so aus, als ob die Lösung unbedingt im Postfix/Froxlor zu suchen wäre - sondern vielleicht in diesem Exchange-Ersatz Kerio als ersten Mailhop.

Die Mitarbeiter bei mir haben eigene E-Mail-Adressen, senden aber auch über diverse abweichende Domains auch generischen E-Mail-Adressen (info@, support@ z.B.) ab. Insofern fühlt sich das so an, wie Dein Setup. Zudem habe ich leider auch noch smtp-Mailer, die keine Verschlüsselung können und da ich am Postfix des Providers nichts machen kann (wird nicht hier über meinen Netcup-Server verschickt), übersetzt bei mir ein interner Postfix alle internen Accounts sauber in externe E-Mail-Adressen (sender_canonical.cf und sasl_auth.cf für die Verschlüsselung nach außen) und schickt die dann über die Einzelnaccounts des Providers.

Natürlich ist es verständlich, dass Du diverse Gründe hast, Kerio einzusetzen und niemand wird aufgrund eines Forentypen (wie mich) das ändern wollen Aber vielleicht lässt sich ein entsprechendes Mapping ähnlich dazu in Kerio eintragen - wobei ich die Software leider nicht kenne, um dort Tipps geben zu können.

CU, Peter

Hi,

wie die anderens schon geschrieben haben, gibst Du wenige Informationen - "geht nicht" reicht nicht. Was ist in den http-Logs zu finden? Nginx als Proxy? Schafft der vielleicht das durchreichen an den Apache nicht?

Ich würde erstmal in Plesk nachschauen, ob die Services alle da sind (apache, nginx) und diese neu starten. Wenn das nicht geht, den Server mal neu starten.

Ich arbeite in einer Hotline und "nichts geändert" ist dort die meist genutzte Aussage. Dass sich Dinge manchmal von selbst ändern, hat man nicht auf dem Radar (zB automatische Updates sind eingeschaltet, neues Update kommt, schaltet Dienste einfache ab und schon ist es passiert). Und manchmal ändern sich Dinge, indem man eben einfach nichts tut - z.B. wichtige Updates einspielt, Festplatte aufräumt etc. Das muss hiermit alles nichts zu tun haben, vielleicht ist es wirklich nur ein nicht laufender Service und jemand hat in den Hostingeinstellung (nginx Caching ist ein Favorit dafür) "nichts (wichtiges) geändert".

So, genug des blabla, jetzt kommen wir mal zum Entscheidenden, ich habe frecherweise mal einen nmap von Deinem Server gemacht:

nmap berliner-sound.com

Starting Nmap 6.40 ( http://nmap.org ) at 2017-07-23 16:50 CEST
Nmap scan report for berliner-sound.com (188.68.38.241)
Host is up (0.00036s latency).
rDNS record for 188.68.38.241: v22017064713450519.megasrv.de
Not shown: 989 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
106/tcp  open  pop3pw
110/tcp  open  pop3
143/tcp  open  imap
465/tcp  open  smtps
993/tcp  open  imaps
995/tcp  open  pop3s
8443/tcp open  https-alt

Nmap done: 1 IP address (1 host up) scanned in 30.02 seconds

Wenn kein http-Port bedient wird, kommt da auch nichts als Webseite ... Firewall zu oder Dienst ist nicht oben. Sobald Du dieses Problem gelöst hast, funktioniert Deine Webseite auch wieder. BTW: Wenn Dein sogenannter "Programmierer" das nicht rausbekommen konnte... aber ich innerhalb von 2 Minuten... sollte das bei Dir dringend einen Gedankengang auslösen...

Cu, Peter