Posts by marpri

Wo wir gerade beim Thema Domains sind: Vielleicht hat ja jemand von euch eine Idee...

Ich frage mich, ob es eine Möglichkeit gibt, zu erkennen, wann genau eine .DE Domain nach der Redemption Grace Period wieder zur Registrierung frei wird. Mir ist es schon mehrmals passiert, dass ein ein Auge auf eine Domain geworfen habe, die gerade gelöscht wurde und jedes mal lief es so ab:

• Laut denic.de: Die Domain example.de wurde am 12.02.2019 gelöscht und befindet sich derzeit in der 30 tätigen Redemption Grace Period
• ich stelle mir eine Erinnerung auf den 13.03 um 23:55 (30 Tage später wäre der 14.03.)
• ich versuche die Domain zu registrieren, gleiche Meldung wie im ersten Punkt
• 14.03. 00:01 Uhr immernoch gleiche Meldung
• 14.03. 01:45 Uhr immernoch gleiche Meldung. Ich bin genervt, traurig und gehe schlafen
• 14.03. 08:00 Uhr Meldung auf denic.de: Die Domain example.de ist bereits registriert

Es ist jedes Mal das gleiche. Irgendeine verd*mmte Domaingrabber Firma hat die Domain registriert und will sie jetzt verkaufen für 999999999€

Irgendwann wird die Domain von denen wieder gelöscht und das Spiel geht von vorne los.

Manchmal ist die Domain um um 14 Uhr Mittags immer noch nicht zur Neuregistrierung frei, manchmal gegen 4 Uhr nachts...und manchmal wird sie schon am 29. Tag wieder neu registriert. Ich erkenne da kein System.

Gibt es eine Möglichkeit, vorher den genauen Zeitpunkt zu kennen, damit ich die Domain bei netcup in Echtzeit registrieren kann? Bekommt netcup als Denic-Mitglied da mehr Informationen von der Denic-API?

Ich finde das undurchsichtige System mit der RGP der Denic total bescheuert.

So jetzt habe ich mir mal zu diesem Thema den Frust von der Seele geschrieben und hoffe, jemand hat eine Idee

Gute Nacht an alle!

03simon10 wrote:

Öhm ich hab da mal so n gewaltiges Problem:

Die Druckdaten müssen raus, da führt kein Weg dran vorbei. Schwarz wird überdruckt. Farben sind CMYK.

Die Adobe Vorschau mit Überdruckenvorschau und Farbproof aktiv sieht aus, wie ich es später haben will.

Die autom. Miniaturvorschau der Druckerei sieht gräuslich aus.

Wem darf ich mehr Vertrauen schnenken? Adobe oder dem autom. Minivorschaubild?

Siehe:

https://bit.ly/39LwBlq

https://bit.ly/2P8c82d

(URLs sind gekürzt, da ich die Grafiken auf meinem Webspace habe und morgen lösche.)

Die weißen Ränder usw. sind natürlich meinen Screenshotkünsten zu verdanken.

Display More

WTF
Was ist das bitte für eine Domain und was ist der Sinn dieser Website mit dem YT Video im Vollbild?

made my day...

Was bedeutet Windows Installation?

Windows 10? Wenn du dieses nicht aktiviert hast (keine gültige Lizenz) dann ist das normal, dass er sich automatisch herunterfährt

Windows Server 2016? Wenn du dieses nicht aktiviert hast bzw. wenn die Evaluationslizenz abgelaufen ist, ist dieses Verhalten auch normal

Ich kann mich meinen Vorrednern nur anschließen. In den letzten Jahren/Versionen ist die E-Mail-Konto-Konfiguration von Outlook immer besch*** geworden.

Die korrekten Parameter, also als Ein- und Ausgangsserver mx....netcup.net, Port 993 und 465, SSL/TLS aktivieren, Authentifizierung am SMTP Server, all das kann man m. M. n. nur in der Systemsteuerung unter dem Eintrag "Mail" richtig konfigurieren (Outlook vorher schließen). Wenn man den Assistenten in Outlook nutzt, hat man keine Chance zu sehen, welchen Mist Outlook sich da zusammenkonfiguriert.

Hi, das geht bei netcup leider nicht. Wenn du ein Webhosting buchst, hast du X Inklusivdomains dabei. Wenn du eine Domain als Inklusivdomain buchst und dann wieder zu einem anderen Anbieter wegtransferierst, wird der Platz für Inklusivdomains leider nicht wieder frei.

VVV wrote:

Im Vergleich zu üblichen Spams ist der Text wirklich gut geschrieben. Was aber stutzig macht ist die scheinbare Absenderadresse. Da würde ich erwarten, dass sie zumindest etwas glaubwürdigeres vortäuschen würde, wie "service@sparkasse.de" oder so.

Das sehe ich etwas anders. Ich weiß nicht, ob ich vielleicht paranoid bin, aber mir sind gleich beim ersten Durchlesen des Textes ein paar Kleinigkeiten aufgefallen, die in einem legitimen Schreiben eines deutschen Finanzinstituts nicht vorkommen sollten und mich daher stutzig machen:

• "Dies" nach der Anrede groß geschrieben statt klein
• Relativsatz-Komma fehlt im ersten Satz
• "Tan" statt "TAN"
• Komma im zweiten Satz fehlt
• Terminologie "[...] Konto [...] eingefroren" klingt nach Umgangssprache und unseriös
• Das gleiche gilt für "[...] müssen Sie sich einem kurzen Abgleich Ihrer Daten unterziehen [...]"
• Der Satz "[...] Kontoauszüge können [...] gezogen werden" lässt mich schmunzelnd an ein 13 jähriges Script Kiddie denken
• Aller-aller-spätestens beim Button mit der Aufschrift "Durchführung" und der Signatur "Ihr Sparkasse Finanzportal" ist mein Bullshit-Detektor aber völlig am Anschlag
  

...just my 2 cents...

-marpri

Die derzeitige Form des Vorausbezahlens mit der Rücküberweisung scheint nur eine Übergangslösung bzw. Notlösung zu sein. Felix hat schon öfter hier im Forum geschrieben, dass im Q2/2019 Q4/2019 hoffentlich im Laufe dieses Jahres das geplante Guthaben- bzw. Prepaidsystem von netcup fertig sein wird. Ich gehe davon aus, dass diese Probleme des "Hin- und Herüberweisens" dann damit auch erledigt sein sollten.

Edit:

Hier 2 passende Threads

https://forum.netcup.de/netcup…gsvorschlag-vorauszahlung

https://forum.netcup.de/admini…vserver-auf-stundenbasis/

hkb Könntest du deine DNS Einträge nochmal hochladen? Ich kann deine Screenshots nicht öffnen.

Evtl. verwendest du in Outlook die falschen Ports. Du musst explizit in den erweiterten Kontoeinstellungen

IMAP Port 993 SSL und

SMTP Port 465 SSL einstellen

Sowie für den SMTP Server erfordert Authentifizierung aktivieren

Hey Pedaaa

Pedaaa wrote:

IP Adressen stimmen definitiv und ein A-Eintrag ist ebenfalls auf beiden vorhaben.

Das bedeutet, du hast als Nameserver den hostnamen und IP Adresse eingegeben? Das funktioniert so nicht. Die IP Adresse der DNS Server trägst du nur ein, wenn es sich um sog. Glue-Records handelt. Das ist nur dann der Fall wenn deine Domain snabbup.ch lautet und die DNS Server der Domain irgendwas.snabbup.ch als Hostnamen verwenden. In deinem Fall solltest du nur die Hostnames ns.hostpoint.ch eintragen und die Felder für IPv4 und IPv6 leer lassen.

Dann noch ein Tipp von mir:

Pedaaa wrote:

ich besitze eine Domain (snabbup.ch) die bei netcup gehostet wird, aber extern verwaltet wird.

Eine Domain wird nicht gehostet und verwaltet. Sie hat auch keinen Hoster. Eine Domain hat exakt einen Registrar. Nicht mehr und nicht weniger. In deinem Fall ist netcup der Registrar, da du bei netcup die autoritativen DNS Server deiner Domain festlegst. Versuche, dir die korrekte Terminologie anzugewöhnen. Das hilft anderen Leuten sehr, dein Problem zu verstehen.

Viele Grüße

marpri

llehirgen wrote:

timkoop , Thank you for your support.

What happens if a leave as host the whole mail._domainkey.example.com, instead of mail._domainkey, and _dmarc.example.com in place of _dmarc?

From my experience I can say: If you enter mail._domainkey.example.com in the Host field of the netcup-CCP, you will not be able to resolve mail._domainkey.example.com afterwards. Instead the record you created will be mail._domainkey.example.com.example.com.

wolfatadfilm wrote:

Keine Ahnung, um ehrlich zu sein. Sieht aber überhaupt nicht aus wie Plesk:
pasted-from-clipboard.png

Das ist Plesk Das ist ein ganz normales Webhosting aus der aktuellen Generation und das WCP ist ein von netcup optisch angepasstes Plesk Onyx.

In deinem ersten Post schreibst du was von SiteBuilder...das ist auch ein Plesk Feature

Olgsi wrote:

Hallo Zusammen, ist ein Passwortmanager mit der Möglichkeit OTPs für Logins zu speichern sicher? Oder sollten OTPs immer getrennt vom Passwortmanager abgelegt werden?

Oh nein, jetzt hast du eine Grundsatzdiskussion über 2FA losgetreten
Meine Meinung:
Wenn du 2 Faktor Authentifizierung nutzt, um dich vor Angriffen durch Belauschen des Passworts aus der https Verbindung, oder Angriffe durch über-die-Schulter-schauen zu schützen, dann ist das eine valide Möglichkeit mit hohem Komfort

Du untergräbst allerdings ein Stück weit die Sicherheit, weil du aus 2 Faktoren eben einen machst.

Lieber Arasword ,

dies ist ein Forum, in dem Kunden versuchen, anderen Kunden bei Problemen zu helfen. Bei Kleinigkeiten werden hier oft Tipps gegeben und bei größeren Geschichten werden hier oft Anleitungen und Codeschnipsel gepostet.

Aber in deinem Fall scheinen sich alle einig zu sein, dass es für dich (und uns) am besten wäre, wenn du den Server zurückgibst und erst nochmal lokal an einer VM die Serveradministration übst. Niemand will dich bevormunden oder angreifen, aber du musst verstehen, dass ein Server kein Spielzeug ist.

Einfach "irgendwas per WinSCP am Server ändern" und irgendwelche auswendig gelernten Befehle irgendwo eintippen reicht bei Weitem nicht aus, um einen Server sicher direkt im Internet zu betreiben. Wenn du dich in das Thema eingearbeitet hast, wirst du sicher verstehen, warum wir jemandem, der sein Passwort nicht ändern kann, nicht guten Gewissens empfehlen können, einfach seinen Server weiter laufen zu lassen.

Niemand muss alles wissen oder alles können. Aber für mache Dinge muss man sich vorher Grundkenntnisse aneignen, sonst geht's schief.

Ich kann z.B. keinen LKW fahren. Ich maße mir aber auch nicht an, mit einem gemieteten 40tonner auf die Autobahn (mit anderen Verkehrsteilnehmern) zu fahren und danach erst zu fragen, wo die Bremse ist

Ich hoffe du verstehst die Analogie.

Ich muss hier geekmonkey und H6G zustimmen und schlage vor, deinen Server kostenlos mit der Zufriedenheitsgarantie zurückzugeben.

Viele Grüße

marpri

mainziman wrote:

das ist leider kein Widerspruch; hast die Zertifikate mal genauer angesehen?

diese haben die IP(v6)-Adresse nicht im Subject-CN sondern nur als SAN

es gibt hier bei DNS-over-HTTPS aber keine FQDNs sondern ausschließlich IP(v6)-Adressen ...

und wenn Du zwischen den Zeilen bei GlobalSign liest, merkst dass das ganze

aus Kostengründen bereits zum Scheitern verurteilt ist ...

https://www.globalsign.com/en/ssl/organization-ssl/

(pro IP(v6) f. 2 Jahre nur schlappe 358 USD)

Display More

Da hast du Recht, aber "nur als SAN" ist doch kein Nachteil, oder? Subject-CN ist in meinen Augen ein "deprecated" Attribut. Es gibt mittlerweile einige CAs, z.B. diese, da ist das CN Feld der Zertifikate schlicht leer. Übrigens kann man auch die public Google DNS Resolver (DOH Endpunkt) seit einiger Zeit per https über https://8.8.8.8 ansprechen. Damit wären dann die beiden Probleme inkl. Henne <-> Ei theoretisch gelöst.
Nichtsdestotrotz sind 358 USD für eine IP Adresse im Zertifikat natürlich jenseits von gut und böse. Da sind ja auch noch weitere Hürden, z.B. muss einem das Subnet der IP Adresse (ASN...) laut whois gehören. Daher werden solche Zertifikate wohl eine Seltenheit bleiben

mainziman wrote:

hier hast 2 Probleme

Problem nummer 1: das was Du gerade als Truststore im OS od. im Browser erwähnst sind CAs, welche

Dir kein SSL-Zertifikat geben, die im CN eine IP(v6)-Adresse haben

[...]

Hier muss ich dir widersprechen Siehe:

https://1.1.1.1/

https://crt.sh/?q=1.1.1.1

https://support.globalsign.com…ddress---ssl-certificates

Das Problem Nr. 2 wird momentan wohl oft so gelöst:

"The DOH server is given with a host name that itself needs to be resolved. This initial resolve needs to be done by the native resolver before DOH kicks in."

[Blocked Image: https://i.ibb.co/fkLpBD3/Bilds…n-2019-09-11-22-48-54.png]

Vielen Dank euch 4 für eure Hinweise und Vorschläge! Das hat mir schonmal sehr weitergeholfen.

killerbees19 wrote:

marpri Willst Du am anderen Server tatsächlich den originalen HTTP-Hostnamen haben? Kannst Du den dort richtig zuordnen/verarbeiten?

Das Ziel der Proxyverbindung ist ein anderer Server, auf dem mehrer Instanzen einer Software mit embedded tomcat laufen. Der jeweilige tomcat, der die Verbindung entgegennimmt, arbeitet ohne vHost und dementsprechend ist für den der Hostname-Header nicht relevant. Ich möchte ja nur über den Port definieren, an welche Instanz der meiner Software die Verbindung geht

perryflynn wrote:

Ich würde hier auch lieber auf explizite Ports prüfen. Denn ansonsten wird das ggf. zu einem Einfallstor.

Die Links zu regex101 haben sehr geholfen. Mein Problem ist, dass ich nicht jedes mal, wenn ich eine neue Instanz meiner Software starte, die nginx Konfiguration um einen expliziten Port erweitern möchte, daher möchte ich ja die Subdomains (und damit die Ports) implizit per Regex auswerten. Aber die Idee, die Subdomain mit capturing groups weiter einzugrenzen, finde ich gut.

Spricht etwas dagegen, die Firewall des "Zielservers" so zu konfigurieren, dass sie z.B. nur Verbindungen vom "nginx-Proxy-Server" auf Ports 1000 bis 2000 durchlässt? Dann könnte ich auf dem Zielserver Instanzen meiner Software starten, die tomcats an Ports in dieser Range binden und die Inszanzen über die Subdomains p1000 bis p2000 erreichen. Wenn dann auf Port 1234 keine Instanz meiner Software lauscht, gibt der Proxy halt Fehler 502 Bad Gateway zurück.

Hätte ich dann ein Einfallstor oder wäre das aus eurer Sicht legitim?

Danke und schönen Abend noch

marpri

Hallo alle zusammen,

ich habe ein Problem mit der Konfiguration von nginx und hoffe hier hat jemand eine Idee.

Mein Vorhaben: Ich möchte einen nginx vhost anlegen, der basierend auf der subdomain die Verbindung an einen anderen Port auf einem anderen Server weiterproxiet.

Also z.B.
p1234.example.com -> proxy zu http://andererserver:1234

p1111.example.com -> proxy zu http://andererserver:1111

p2222.example.com -> proxy zu http://andererserver:2222

hallo.example.com -> Error 444

Also alle gültigen Subdomains beginnen mit p, dann eine vierstellige Nummer, das Ziel der Proxyverbindung ist immer der gleiche Server, der Port entspricht der Nummer nach dem "p".

Ungültige Subdomains (ohne p am Anfang) sollen mit Error 444 quittiert werden.

Ausgangssituation:

Diese Konfiguration funktioniert schon "ein Bisschen"
Ich habe aktuell das Problem, dass die Subdomains mit "p" beginnen. In der Variable $1 wird die Subdomain gespeichert, also wird eine Verbindung der Subdomain p1000.example.com geproxiet an "http://andererserver.domain.tld:p1000" , was natürlich ungültig ist...

Also wie bekomme ich das p am Anfang der Variable $1 weg?

Vielleicht kann mir ja ein Meister hier einen Rat geben

Vielen Dank schonmal und viele Grüße

marpri

Hallo Josef ,

das ist bei netcup eigentlich ganz einfach. Wenn deine Domain zu netcup transferiert wurde, werden bei der Denic alle alten Inhaberdaten mit den Daten überschrieben, die du im CCP findest. Im CCP unter "Stammdaten" kannst du deine E-Mail Adresse (E-Mail Vertragspartner) hinterlegen, die u.A. bei allen Domains deines Accounts als Inhaber-E-Mail eingetragen wird.

Wenn die Domain gerade erst zu netcup transferiert wurde, würde ich noch einen Tag warten und dann sollte bei einer Abfrage der Denic die E-Mail an die Adresse aus dem CCP gesendet werden.

LG marpri

Hi chrko
ich gebe hier mal meine persönliche Meinung zu dem Thema preis:

Ich hatte auch schon das Problem, dass der netcup Support meine Anfrage nicht beantworten wollte, weil sie nicht von der autorisierten und im CCP hinterlegten Adresse kam. Grundsätzlich ist natürlich klar, dass der Support sicherstellen muss, dass Anfragen nur dann beantwortet werden, wenn man sich sicher sein kann, dass sie vom Kunden selbst kommen und nicht von jemandem, der sich nur als Kunde ausgibt. Zum einen könnte netcup ganz schnell einen Datenschutzverstoß begehen, wenn ein Mitarbeiter z.B. an eine wildfremde Adresse Zahlungsdetails, personenbezogene Daten oder Infos über gebuchte Produkte des Kunden sendet.

Andererseits könnte ein Angreifer großen Schaden anrichten, wenn er z.B. gefälschte Kündigungen in fremdem Namen an netcup verschickt oder etwa: "Hilfe, ich komme nicht mehr an meine Server ran...bitte setzen Sie alle meine Server zurück, löschen Sie die Festplatte oder setze Sie sie neu auf!"

Das sicherste Passwort, 2-Faktor-Authentifizierung, etc. hilft nicht, wenn ein Angreifer sich einfach als Kunde ausgibt und dann eine "menschliche Schwachstelle" im Support ausnutzt um Server zu übernehmen oder lahmzulegen. (Stichwort: Social Engineering)

Es ist also klar, dass netcup so eine mögliche Schwachstelle ausschließen muss. Einerseits könnte man von vornherein jegliche Aufträge oder Anfragen über "unsichere Kanäle" blockieren und dem Kunden nur noch das Kontaktformular im CCP nach erfolgter Authentifizierung erlauben. Das wäre aber wenig komfortabel.

Eine weitere Möglichkeit (mein persönlicher Favorit, wird von einigen anderen Firmen so gemacht) wäre, im CCP einen regelmäßig neu generierten Support-Pin anzuzeigen, den der Kunde am Telefon, per Mail etc. immer angeben muss. So ist sichergestellt, dass niemand in fremdem Namen den Support missbrauchen kann.

Man könnte auch (macht netcup glaube ich am Telefon) die Kundennummer abfragen. Das ist m.M.n. sehr unsicher und sollte nicht zur Authentifizierung genutzt werden, da ich ja z.B. im Partnerprogramm die Kundennummern meiner geworbenen Kunden sehen kann. Die Kundennummer ist also nicht geheim.

Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst. Natürlich kann jedes Script-Kiddy den From-Header einer Mail manipulieren, aber das heißt noch lange nicht, dass diese Mail dann vom netcup Support angenommen und bearbeitet wird. Wenn du im CCP eine Mail-Adresse einer Domain mit aktivem SPF, DMARC und DKIM hinterlegst, wird es ein Angreifer schwer haben, dem netcup-Mailserver eine gefälschte Mail zuzustellen. Und "seriöse" SMTP-Server wie z.B. die von GMAIL prüfen natürlich, ob du als User die im From-Header angegebene Adresse überhaupt verwenden darfst.

(Natürlich setzt das Voraus, dass der netcup-Mailserver des Ticketsystems auch SPF, DKIM, etc. prüft, bevor ein Supportmitarbeiter die Mail zu Gesicht bekommt)

Weiterhin kannst du die E-Mail Adresse im CCP einfach ändern und so sicherstellen, dass niemand außer dir überhaupt weiß, welche Absenderadresse du gerade autorisiert hast.

Alles in allem finde ich, dass du einerseits Recht hast, dass man das vorhandene System verbessern könnet, andererseits muss ich deiner Aussage, jeder könne diese Absender-Prüfung umgehen, widersprechen.

Eine weitere Diskussion dieses Themas auch mit einem netcup Mitarbeiter wäre super

Viele Grüße

marpri

Hallo schousda ,

dazu gibt es schon einen Thread: https://forum.netcup.de/anwend…light=wildcard#post120097

tldr: Damit Plesk LE-Wildcard-Zertifikate beantragen kann, muss Plesk das DNS der Domain verwalten. Bei netcup hat Plesk keinen Zugriff auf das DNS, daher sind wildcard-Zertifikate nicht automatisiert möglich.