Beiträge von mainziman

DMARC hat auf das auch keinen Einfluß, es handelt sich hier ausschließlich um Reports, welche auch fragwürdig sind;

wichtig ist hier einzig, korrekte SPF-Einträge im DNS zu haben, und die IP-Adresse mit welcher man sich zu anderen Mail-Servern verbindet muss als rDNS einen Eintrag haben, welcher als forwardDNS wieder die IP ergibt; und mit dem HELO-Host übereinstimmen;

f. den Fall, daß jemand Postfix einsetzt folgendes ...

smtp_header_checks = pcre:/etc/postfix/smtp_hdr_chks.pcre
smtp_mime_header_checks = $smtp_header_checks
smtp_nested_header_checks =

und in smtp_hdr_chks.pcre folgendes ...

# ignore received header entr(y/ies)
/^received:[[:space:]].*$/
   IGNORE

schließlich soll ein etwaiger Netzaufbau nicht nach außen dringen...

(bei RFC1918-Adressen sollte man besonders darauf achten)

Hallo,

auch wenn der Exchange im Internet steht, ich würde dennoch ihn nicht direkt per MX-Record im DNS adressieren,

sondern einen Linux postfix oder was auch immer vorschalten ...

Kann es ein Transportnetz sein, welches hier im Spiel ist?

Zitat von Hecke29

Ich habe 2015 einen Angriff gehabt:

der an wahllose Ports ging

aber von einem bestimmten Port ausging, und darum ging auch die Website noch;

ein "Stecker ziehen" hätte den ganzen Server und somit auch die Website vom Netz genommen ....

wie der DDoS Filter tatsächlich funktioniert wissen wir nicht, aber wie gesagt, wenn

ein "Stecker ziehen" gemacht wird, ist es schon was gröberes ...

Ja und Nein, wenn bei IPtables an Stelle von REJECT ein DROP verwendet wird,

und die Default-Regel ebenfalls DROP an Stelle von ACCEPT(!) ist,

dann hat das z.B. die Konsequenz, daß EIN(!) nmap-Angriff nur ein Bruchteil

des Traffics in der Zeit verursacht, weil er wegen der DROPs eben keine Antwort bekommt

sondern auf ein Timeout wartet ...

und "Stecker ziehen" ist nur dann notwendig, wenn es ein DDoS mit wahllosen Portzugriffen ist,

betrifft es hingegen gezielt z.B. den HTTP-Server,

dann kann der Provider mittels so einer Regel auf seinem Router bereits den Traffic von seinem Netz ableiten;

und der Server bleibt z.B. mit SSH im Zugriff ...

Es hängt davon ab, was der Angriff veranstaltet; sind es wahllos irgendwelche Ports, bleibt einzig nur die Mglkt. die IP vom Netz zu trennen; handelt es sich hingegen gezielt um den Angriff auf einen bestimmten Dienst, kannst Du z.B. bei einem Router das vorher schon z.B. per iptables od. ip6tables blockieren ... und der Rest bleibt ganz normal im Zugriff ...

hinzu kommt bei einem solchen Angriff, daß die andere Richtung unter umständen sogar mehr Traffic verursachen kann, was meist bei Ausnutzung irgendwelcher Bugs z.B. zum Zwecke des illegalen Mailversands entsteht ...

daher ein Tipp: bei der Firewall defaultmäßig alles mit DROP zu beantworten; kein REJECT;

meine iptables sieht so aus

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# ICMP-packettypes: extra chain
-N RESTRICT-ICMP
-A RESTRICT-ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT
-A RESTRICT-ICMP -p icmp --icmp-type time-exceeded -j ACCEPT
-A RESTRICT-ICMP -p icmp --icmp-type parameter-problem -j ACCEPT
-A RESTRICT-ICMP -p icmp --icmp-type echo-request -m limit --limit 2/sec --limit-burst 4 -j ACCEPT
-A RESTRICT-ICMP -p icmp --icmp-type echo-reply -m limit --limit 2/sec --limit-burst 4 -j ACCEPT
-A RESTRICT-ICMP -p icmp -j DROP

# Allow anything on the local link
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# Block scanner
-I INPUT -i eth0 -m string --to 60 --algo bm --string "GET /w00tw00t.at." -p tcp --dport 80 -j DROP

# Allow anything out on the internet
-A OUTPUT -o eth0 -j ACCEPT
# Allow established, related packets back in
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Only pings with restricted icmp are allowed
-A INPUT -i eth0 -d #server-ip# -j RESTRICT-ICMP

# Enable restricted TRACEroute to me
-A INPUT -i eth0 -p udp --sport 32769:65535 --dport 33434:33523 -m limit --limit 2/sec --limit-burst 4 -j ACCEPT

# Enable SSH (private)
-A INPUT -i eth0 -s #ip-at-home# -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -m tcp -p tcp --dport 22 -m state --state NEW -j DROP

# Enable SMTP
-A INPUT -i eth0 -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT

# Enable DNS
-A INPUT -i eth0 -m tcp -p tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -m udp -p udp --dport 53 -j ACCEPT

# Enable HTTP/HTTPS
-A INPUT -i eth0 -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -m tcp -p tcp --dport 443 -m state --state NEW -j ACCEPT

COMMIT

Hallo,

irgendwo dürfte hier ein Perdefuß begraben sein,

denn dieser SingleSignOn funktoniert bei mir erst beim 2ten mal;

hingegen der SingleSignOn zum SCP klappt auf anhieb;

kann eine Referersperre schuld sein?

Nachtrag: bist Du Dir sicher, daß mit dem DNS alles in Ordnung ist?

sprich was verwendest Du als HELO namen?

welchen rDNS hast Du definiert?

es klappt ohne irgendwelcher Änderungen an der postfix-Konfig. (verwende 2.6.6)

Dec  3 17:26:30 vhost01 postfix/smtp[18458]: Host offered STARTTLS: [outlook-com.olc.protection.outlook.com]
Dec  3 17:26:31 vhost01 postfix/smtp[18458]: 1131D41D9B: to=<###@outlook.com>, relay=outlook-com.olc.protection.outlook.com[104.47.33.33]:25, delay=1.9, delays=0.13/0.01/0.62/1.1, dsn=2.6.0, status=sent (250 2.6.0 <5A2425B4.3060404@###> [InternalId=67615670188496, Hostname=BN3NAM01HT122.eop-nam01.prod.protection.outlook.com] 13057 bytes in 0.296, 42.991 KB/sec Queued mail for delivery)

smtp_helo_name = mail.domain.tld

smtp_bind_address = IPv4

smtp_bind_address6 = IPv6

und die rDNS lösen diese beiden IP-Adressen zu domain.tld auf ...

ebenso existieren die A bzw. AAAA DNS Einträge f. domain.tld;

Falls hier jemand - so wie ich - mehr als nur eine IPv6 Adresse vom /64-Prefix verwendet,

sei hier der Hinweis gegeben, daß

http://domain.tld bzw. https://domain.tld nur dann funktioniert,

wenn

(a) die selbe IPv6 auch f. den Apache verwendet wird

(b) diese IPv6 als weitere IP Adresse, auf welche der Apache horcht

f. diesen vHost verwendet wird;

Zitat von chaosrind

https://blog.chaosrind.de/mail…ofts-mailservern-geloest/

Hast Du eine Mailadresse, um zu testen ob ich evtl. auch dieses Problem habe ...?

Oder man sucht sich den ISP danach aus,

weil dieser stellt meist auch eine Mai-Infrastruktur wie

Postfach, SMTP und meist auch IMAP zur Verfügung - klar nur mit der Domain des 'ISPs';

ich habs mir bei meinem ISP angesehen,

sowohl eingehend als auch ausgehend

sind Mails mit bis zu 100 MBytes erlaubt;

(irgendwann mal waren das 20 MBytes);

Guten Tag.

zu Punkt 1: Danke für das schnelle Fixen;

zu Punkt 2: was war die Intention f. dieses Verhalten?

(reine neugierige Frage);

Hallo,

dieser Tage wurde im SCP die Möglichkeit geschaffen, im SCP die rDNS Einträge zu verwalten;

da es dort übersichtlicher ist, hatte ich dort weitere rDNS Einträge (IPv6-Prefix vom Root-Server) angelegt;

diese sind aber nicht im CCP - an der altgewohnten Stelle - sichtbar;

das 2te Problem; ich hatte einen Eintrag wieder entfernt und seltsamerweise

kommt kein NXDOMAIN, sondern nobody.yourvserver.net

Beispiel:

nslookup 2a03:4000:1c:49d:0:48:5454:5030

Danke

Hallo,

der technische Unterschied besteht in der notwendigen Bandbreite, beim E-mail sind es auf Grund der base64-Kodierung einen Faktor 4/3 mehr an Nettio-"Nutz"daten die übertragen werden müsen;

weiters steigen fast alle SPAM-Filter (allen voran SpamAssassin) bzw. serverseitige Antiviren-Lsg. aus Gründen des Resourcenverbrauchs bereits bei Mails ab meist ½-¾ MB aus bzw. werden so eingestellt;

ein weiterer Unterschied besteht noch;

bei E-Mails landen diese je nach Mailprogramm in einem einzigen riesigen oder nach Ordner aufgeteilte große Postfach-Files, und das macht bei solchen Mails, welche eigentlich nur Daten im Anhang haben wenig bis gar keinen Sinn, daß diese Postfach-Files damit aufgebläht werden;

(ich selbst verwende meinen eigenen IMAP-Server, dort besteht diese Problematik nicht, da darin jedes Mail ein eigener File ist, und sogar da gehe ich her, und hebe mir den Anhang auf, und lösch das Mail)

wenn Du die Cloud-Lsg. so wie geschildert konzipierst, ist es auch unproblematisch; ich würde aber dennoch den Absender in die Pflicht nehmen, ein derartiges System zu pflegen; da auch er derjenige ist, der das "Bedürfnis" hat, derartige Datenmengen versenden zu wollen;

ja, hier wird der Upload aber nicht vom Absender sondern vom Empfänger initiiert;

und es läuft hier eine Art 3-way-Handshake

(1) Sender -> Empfanger: "ich hab was"

(2) Empfänger -> Sender: "lege die Daten hier ab"

(3) Sender stellt die Daten bereit und entweder

das System selbst informiert den Empfänger oder der Sender über die erfolgte Datenbereitstellung;

ohne die Schritte (1) und (2) - in Analogie zum Mail - wird es schwierig den Mißbrauch zu verhindern;

und f. den Fall, daß jemand den Schritt (2) automatisiert, ist dies das Risiko des Empfängers und nicht zu empfehlen;

die Sache mit Cloud/FTP Server hat nur - so wie es Mara will - einen Pferdefuß - diese müssten "offen" sein, damit jeder etwas 'raufladen kann, was er/sie dann downloaden kann;

und das hieße auch Verbreitung von Unerwünschtem ...; derartiges ist tunlichst zu unterlassen;

sauber funktioniert es nur in der anderen Richtung, derjenige der absendet, stellt die Daten in einem einzig von ihm/ihr kontrollierten Datenspeicher durch Versand des Links per e-Mail zur Verfügung;

ein Hinweis: bei 20 MBytes effektiver maximalen Mailgröße, kann der Mailanhang auf Grund der Kodierung maximal 15 MBytes sein;

Wer sich nicht sicher ist, die maximale Mailgröße bekommt man so ...

ein telnet auf den Mail-server mit Port 25

# telnet smtp.netcup.net 25                                                                      
Trying 2a03:4000:0:1::e1aa...
Connected to smtp.netcup.net.
Escape character is '^]'.
220 smtp.netcup.net ESMTP Postfix (Debian/GNU)
ehlo test
250-smtp.netcup.net
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.

und da offenbart sich dann die maximale Mailgröße, hier sind 50 MBytes;

da beim Versand von Mails aber Dateianhänge mittels base64 codiert werden,

gilt hier 4/3 * Dateianhang nativ = Mailanhang base64

wobei man bei mehr als 10 MB bereits nachdenken soll,

den Mailanhang anderweitig zu übermitteln - siehe oben;

Juhu es ist gelöst, 1 schlappe Woche hats gedauert;

Hallo gunnarh,

ich würde es ohne dieser Krücke des CNAME Eintrages machen, und dann wäre es wieder eine echte Delegation,

ist aber dann auf einzelne IPs heruntergebrochen - sprich jede IPv4 ist dann eine eigene ZONE;

hab das mal auf meinem Router probiert und folgendes in der ZONE 20.23.172.in-addr.arpa. eingetragen

(habe leider keine publc IPv4 Adresse f. die ich einen auhoritativen DNS "hinstellen" kann, daher mit RFC1918)

$ORIGIN 20.23.172.IN-ADDR.ARPA.
200     IN NS  dns01.ipv6help.de.
200     IN NS  dns.ipv6home.eu.

und auf diesem DNS folgenden ZONE-file anglegt

$TTL 3H
@       IN SOA  dns01.ipv6help.de. root.ipv6help.de. (
                                        2017111900      ; serial
                                        1D              ; refresh
                                        1H              ; retry
                                        1W              ; expire
                                        3H )            ; minimum
        IN NS   dns.ipv6home.eu.
        IN NS   dns01.ipv6help.de.

        IN PTR  mickey.mouse.tld.
        IN PTR  dagobert.duck.tld.
        IN PTR  barney.geroellheimer.tld.
        IN PTR  fred.feuerstein.tld.

und siehe da, ein

host 172.23.20.200

liefert das

200.20.23.172.in-addr.arpa domain name pointer barney.geroellheimer.tld.
200.20.23.172.in-addr.arpa domain name pointer fred.feuerstein.tld.
200.20.23.172.in-addr.arpa domain name pointer mickey.mouse.tld.
200.20.23.172.in-addr.arpa domain name pointer dagobert.duck.tld.

um das Prinzip zu erkennen, habe ich beim BIND diese eine Zone auch noch ein 2tes mal

hinzugefugt, einmal so

zone "200.20.23.172.in-addr.arpa" IN {
        type master;
        file "named.rdns-test";
        allow-update { none; };
};

und einmal so

zone "8.8.8.8.in-addr.arpa" IN {
        type master;
        file "named.rdns-test";
        allow-update { none; };
};

testen kannst Du das so host 172.23.20.200 dns01.ipv6help.de bzw. host 8.8.8.8 dns01.ipv6help.de

man beachte welche Meldung bei z.B. host 8.8.8.9 dns01.ipv6help.de kommt;

bei mir im LAN genügt einfach host 172.23.20.200 ..., sprich der Router ist f. die Zone 20.23.172.in-addr.arpa authoritativ

und hat diese eine IP auf die beiden DNS (ist eigentlich nur einer) dns01.ipv6help.de und dns.ipv6home.eu delegiert;

von daher würde ich kosequenterweise nicht nur die DNS-Server-Delegation eines IPv6-Prefixes anbieten sondern auch

bei einzelnen IPv4-Adressen eine DNS-Server Delegation anbieten; falls jemand einige IPv4 Adressen auf die Art delegiert bekommt

ist es auch kein Hexenwerk, f. jede eine separate Zone zu haben ...

@gunnarh: Du kannst in der Tat bei IPv4 eine Delegation auf z.B. ein /26-Netz machen ...

dies erfolgt indem Du - in diesem Beispiel bei /26 - in der entsprechenden Zone des /24-Netzes

CNAME Einträge machst;

z.B. f. 192.168.10.0/26 soll eine Delegation gemacht werden

dann befindet sich in der Zone

0.10.168.192.in-addr.arpa folgendes

0-63 IN NS ns1.yours.tld.

0-63 IN NS ns2.yours.tld.

und mittels

$GENERATE 0-63 $ IN CNAME $.0-63.10.168.192.IN-ADDR.ARPA.

werden die entsprechenden CNAME Einträge gemacht

hier wird es nochmal gezeigt - anderes Beispiel:

http://www.netdaily.org/tag/29…-reverse-delegation-bind/

die Namensauflsg. ist da entsprechend über den Umweg des CNAME Eintrags;

ich habe auch entdeckt, daß eine bestimmte IPv4 mehrere rDNS Einträge hat: z.B. 62.218.34.10;

wobei kann mich jemand aufklären, welcher Sinn hinter soetwas steckt?

bei IPv6 wär ich mir nicht so sicher - wobei es da etwas seltsam/krank wäre - ob es hier nicht auch analog f. unorthodoxe Grenzen geht,

die nicht durch 4 teilbar sind ...

Hallo,

hat jemand eine Ahnung, wie lange es dauert vom Zeitpunkt an, wo man dies per E-mail authorisiert hat,

bis zu dem Zeitpunkt, wo man im CCP auch tatsächlich DNS-Einträge ändern/hinzufügen kann?

Danke