Beiträge von chaosrind

Hallo,

TLS 1.0 lasse ich nicht mehr zu.. Ich habe mein openssl etwas getuned und nun diesen String in Benutzung:

(Ich hab mein openssl mit em chacha20-poly1305-patch "aufgehübscht"

ssl_ciphers '-AES128:!kRSA:!LOW:-ALL:!eNULL:!aNULL:!EXP:!SSLv3:aRSA:kEDH:kDHE:EDH:ADH:kEECDH:kECDHE:kECDHr:kECDHe:kECDH:ECDHE:EECDH:AECDH:aECDH:aECDSA:ECDSA:AES256:AESGCM:CAMELLIA256:AESCCM:CHACHA20:+ECDHE-ECDSA-AES128-GCM-SHA256:@STRENGTH';

Bei Qualys gibt das A+ bei hoher Kompatibilität und immerhin die 90% bei Cipherstrength. Das kommt durch die kleien Ausnahme am Ende mit dem 128-Bit AES, wodurch die hohe Kompatibilität zustande kommt.

Ich hab da erstmal ausprobiert, optimiert ists noch nicht.

Ich hab auch den 2000er mit SAS. Verglichen mit dem älteren Produkt, das ich noch produktiv nutze, kommt da schon einiges mehr, hat Netcup wirklich gut gemacht

Nachgeliefert: die Sache mit dem Einstellen des Timeouts hier.

Moin moin, ich hab zwar kein Ubuntu, aber vielleicht dennoch einige Tipps. Bei meinen Systemen ist ein Root-Login grundsätzlich nicht möglich, die liefern da auch immer die Meldung Passwort incorrect.

Ich habe auch sehr lange Passwörter, man kann allerdings irgendwo (sorry, habs gerade vergessen,. wo) das timeout für die Eingabe festlegen.

Vielleicht hilfts ja!

Sind wir nicht immer wieder irgendwobei Anfänger?

in meiner letzten Mail an meine User hab ich das schon thematisiert. Ich habe denen geschrieben, dass sie ruhig Bekannten usw. von Konten bei MS abraten sollten. Was diese Praxis des Blockens angeht, arbeiten selbst AOL und Yahoo professioneller.

Juut, das hab ich dann also scheinbar wirklich richtig verstanden Das Ganze kann ich ja auf dem neuen noch nicht produktiven Server problemlos testen. Dazu werde ich den wohl mal als mx für die einzige noch nicht genutze Domain einrichten.

Ich müsste dann allerdings PLAIN-Logins verlangen, wenn ich das richtig sehe. Grundsätzlich kein Problem, da der Server eh nur tls akzeptiert.

Mal gucken, wann ich den Kopf dafür hab. Im Grundsatz find ich die Idee Klasse.

MfG Sven

Hallo Leute,

ich hab das Gefühl, dass hier durchaus einiges an Wissen herumgeistert, darum hier meine Frage:

hat schon jemand das posteo scrambler-plugin (das verschlüsselt die Postfächer im Dovecot transparent und individuell pro user)

erfolgreich eingerichtet? Die Dokumentation ist leider nicht so wirklich umfangreich.

Ich habe die Datenbank bereits um die Felder für die Schlüssel etc erweitert und die sql-Abfragen des Dovecot angepasst. Das Plugin wird auch bei Login erfolgreich initialisiert.

Mich macht allerdings eines stutzig: wenn ich das richtig sehe, muss Dovecot ein cleartext-Passwort aus der DB lesen, was die Sache irgendwie für mich sinnlos erscheinen lässt.

Achja, der Quellcode liegt hier.

Ich würde mich da über Tipps freuen, falls möglich.

(Die Verschlüsselung der Postfächer soll nicht irgendwelchen merkwürdigen Dingen dienen, bevor jemand fragt. Ich finde, zu heutigen Zeiten kann man nicht genug auf Sicherheit und Privatsphäre achten.)

...jetzt bekomm ich Angst. Ich hab nun gleich 2 Mails aus Indien, d.h. mein Fall wird durch ZWEI Mitarbeiter bearbeitet. Hoffentlich geht das gut...

Nö, bei größeren Sachen, wo ich nicht weiß, ob das so reibungslos geht, mach ichs auch tagsüber mit entsprechender Info an die User vorab.

oh gott, da freu ich mich ja schon, da ist mein neuer Server drin, den ich gerade einrichte....

Wie dem auch sei, der Support ist mal (wieder) dran. Man hat ja auch sonst nix zu tun...

Juhu, nachdem ich das Ganze ja neulich zum Laufen gebracht habe, ist mein Server nun geblockt. Obwohl ich an beiden entsprechenden Programmen angemeldet bin, kam NIX: einfach nur n Block. Ticket eröffnet.

Outlook online gestartet, um nachzusehen, ob was im Junk ist. Eine Umfrage, ob ich outlook weiter empfehlen würde, negativ beschieden mit entsprechender Begründung.

Das liegt an Microsoft, es ist ne unendliche Geschichte. Irgendwo da im Forum hab ich mal geschrieben, wie ichs ans Laufen gebracht hab. Oder hier:

Mein Blog

Na das ist doch mal ne Nachricht! Herzlichen Glückwunsch und für das Kleine wird euch sicher ein weniger negativ besetzter Name einfallen.

Ich bin der Meinung, das ganze Team hat gute Arbeit geleistet. Dafür, dass es während der Patcherei nun auch noch diverse böse Überraschungen gab, könnt ihr ja nichts und ich habe auch das Gefühl, dass unsere Kritik während der harten Tage auch angenommen wurde. Das ist nicht so selbstverständlich, wenn ich mir diverse Kundenbewertungen anderer Anbieter so ansehe.

Ich mags nicht an den anderen Thread schreiben, um Felix' Bitte nachzukommen, aaaaaber: mein neuester Server hatte seinen Neustart vor wenigen Minuten und der lief gegenüber dem anderen absolut sauber.

Hmmm... btrfs hab ich vor einiger Zeit mal getestet und ganz schnell wieder gelassen, habe jetzt ext4 auf nem luks-crypt.. Das Wirtsystem dieses Servers ist auch schon aktualisiert.

Ich habe meinen ssh-port woanders hin gelegt, 22 dicht gemacht, Passwort-Logins und Root-Logins verboten. Alles ruhig.

DAS ist jetzt mal n Timing, McRoot

hmmm.... ich habe auch Centos 7, aber schon mit Kernel

3.10.0-693.11.6.el7.x86_64 und es läuft sauber.

Laut /proc/cpuinfo ist pcid vorhanden.

schau mal in dein maillog (sofern vorhanden), ob da google vielleicht anklopft und ein "temporary unavailable" bekommt, das könnte ein greylisting sein. Da die viele Server haben und immer wieder ein anderer anklopft, dauerts die erste Zeit etwas. Sobald dann ein bereits bekannter Host Mails abliefern möchte, darf er dann auch. Man macht das, um Spamschleudern das Leben nicht ZU einfach zu machen.