Posts by marpri

    Hallo Zusammen, ist ein Passwortmanager mit der Möglichkeit OTPs für Logins zu speichern sicher? Oder sollten OTPs immer getrennt vom Passwortmanager abgelegt werden?

    Oh nein, jetzt hast du eine Grundsatzdiskussion über 2FA losgetreten :D
    Meine Meinung:
    Wenn du 2 Faktor Authentifizierung nutzt, um dich vor Angriffen durch Belauschen des Passworts aus der https Verbindung, oder Angriffe durch über-die-Schulter-schauen zu schützen, dann ist das eine valide Möglichkeit mit hohem Komfort


    Du untergräbst allerdings ein Stück weit die Sicherheit, weil du aus 2 Faktoren eben einen machst.

    Lieber Arasword ,

    dies ist ein Forum, in dem Kunden versuchen, anderen Kunden bei Problemen zu helfen. Bei Kleinigkeiten werden hier oft Tipps gegeben und bei größeren Geschichten werden hier oft Anleitungen und Codeschnipsel gepostet.

    Aber in deinem Fall scheinen sich alle einig zu sein, dass es für dich (und uns) am besten wäre, wenn du den Server zurückgibst und erst nochmal lokal an einer VM die Serveradministration übst. Niemand will dich bevormunden oder angreifen, aber du musst verstehen, dass ein Server kein Spielzeug ist.


    Einfach "irgendwas per WinSCP am Server ändern" und irgendwelche auswendig gelernten Befehle irgendwo eintippen reicht bei Weitem nicht aus, um einen Server sicher direkt im Internet zu betreiben. Wenn du dich in das Thema eingearbeitet hast, wirst du sicher verstehen, warum wir jemandem, der sein Passwort nicht ändern kann, nicht guten Gewissens empfehlen können, einfach seinen Server weiter laufen zu lassen.


    Niemand muss alles wissen oder alles können. Aber für mache Dinge muss man sich vorher Grundkenntnisse aneignen, sonst geht's schief.

    Ich kann z.B. keinen LKW fahren. Ich maße mir aber auch nicht an, mit einem gemieteten 40tonner auf die Autobahn (mit anderen Verkehrsteilnehmern) zu fahren und danach erst zu fragen, wo die Bremse ist

    Ich hoffe du verstehst die Analogie.


    Ich muss hier geekmonkey und H6G zustimmen und schlage vor, deinen Server kostenlos mit der Zufriedenheitsgarantie zurückzugeben.


    Viele Grüße

    marpri

    Da hast du Recht, aber "nur als SAN" ist doch kein Nachteil, oder? Subject-CN ist in meinen Augen ein "deprecated" Attribut. Es gibt mittlerweile einige CAs, z.B. diese, da ist das CN Feld der Zertifikate schlicht leer. Übrigens kann man auch die public Google DNS Resolver (DOH Endpunkt) seit einiger Zeit per https über https://8.8.8.8 ansprechen. Damit wären dann die beiden Probleme inkl. Henne <-> Ei theoretisch gelöst.
    Nichtsdestotrotz sind 358 USD für eine IP Adresse im Zertifikat natürlich jenseits von gut und böse. Da sind ja auch noch weitere Hürden, z.B. muss einem das Subnet der IP Adresse (ASN...) laut whois gehören. Daher werden solche Zertifikate wohl eine Seltenheit bleiben

    hier hast 2 Probleme

    Problem nummer 1: das was Du gerade als Truststore im OS od. im Browser erwähnst sind CAs, welche

    Dir kein SSL-Zertifikat geben, die im CN eine IP(v6)-Adresse haben

    [...]

    Hier muss ich dir widersprechen :P Siehe:

    https://1.1.1.1/

    https://crt.sh/?q=1.1.1.1

    https://support.globalsign.com…ddress---ssl-certificates


    Das Problem Nr. 2 wird momentan wohl oft so gelöst:

    "The DOH server is given with a host name that itself needs to be resolved. This initial resolve needs to be done by the native resolver before DOH kicks in."


    [Blocked Image: https://i.ibb.co/fkLpBD3/Bilds…n-2019-09-11-22-48-54.png]

    Vielen Dank euch 4 für eure Hinweise und Vorschläge! Das hat mir schonmal sehr weitergeholfen.


    marpri Willst Du am anderen Server tatsächlich den originalen HTTP-Hostnamen haben? Kannst Du den dort richtig zuordnen/verarbeiten?

    Das Ziel der Proxyverbindung ist ein anderer Server, auf dem mehrer Instanzen einer Software mit embedded tomcat laufen. Der jeweilige tomcat, der die Verbindung entgegennimmt, arbeitet ohne vHost und dementsprechend ist für den der Hostname-Header nicht relevant. Ich möchte ja nur über den Port definieren, an welche Instanz der meiner Software die Verbindung geht


    Ich würde hier auch lieber auf explizite Ports prüfen. Denn ansonsten wird das ggf. zu einem Einfallstor.

    Die Links zu regex101 haben sehr geholfen. Mein Problem ist, dass ich nicht jedes mal, wenn ich eine neue Instanz meiner Software starte, die nginx Konfiguration um einen expliziten Port erweitern möchte, daher möchte ich ja die Subdomains (und damit die Ports) implizit per Regex auswerten. Aber die Idee, die Subdomain mit capturing groups weiter einzugrenzen, finde ich gut.

    Spricht etwas dagegen, die Firewall des "Zielservers" so zu konfigurieren, dass sie z.B. nur Verbindungen vom "nginx-Proxy-Server" auf Ports 1000 bis 2000 durchlässt? Dann könnte ich auf dem Zielserver Instanzen meiner Software starten, die tomcats an Ports in dieser Range binden und die Inszanzen über die Subdomains p1000 bis p2000 erreichen. Wenn dann auf Port 1234 keine Instanz meiner Software lauscht, gibt der Proxy halt Fehler 502 Bad Gateway zurück.

    Hätte ich dann ein Einfallstor oder wäre das aus eurer Sicht legitim?

    Danke und schönen Abend noch

    marpri

    Hallo alle zusammen,

    ich habe ein Problem mit der Konfiguration von nginx und hoffe hier hat jemand eine Idee.

    Mein Vorhaben: Ich möchte einen nginx vhost anlegen, der basierend auf der subdomain die Verbindung an einen anderen Port auf einem anderen Server weiterproxiet.

    Also z.B.
    p1234.example.com -> proxy zu http://andererserver:1234

    p1111.example.com -> proxy zu http://andererserver:1111

    p2222.example.com -> proxy zu http://andererserver:2222

    hallo.example.com -> Error 444


    Also alle gültigen Subdomains beginnen mit p, dann eine vierstellige Nummer, das Ziel der Proxyverbindung ist immer der gleiche Server, der Port entspricht der Nummer nach dem "p".

    Ungültige Subdomains (ohne p am Anfang) sollen mit Error 444 quittiert werden.


    Ausgangssituation:

    Diese Konfiguration funktioniert schon "ein Bisschen" ^^
    Ich habe aktuell das Problem, dass die Subdomains mit "p" beginnen. In der Variable $1 wird die Subdomain gespeichert, also wird eine Verbindung der Subdomain p1000.example.com geproxiet an "http://andererserver.domain.tld:p1000" , was natürlich ungültig ist...


    Also wie bekomme ich das p am Anfang der Variable $1 weg?

    Vielleicht kann mir ja ein Meister hier einen Rat geben :)


    Vielen Dank schonmal und viele Grüße

    marpri

    Hallo Josef ,


    das ist bei netcup eigentlich ganz einfach. Wenn deine Domain zu netcup transferiert wurde, werden bei der Denic alle alten Inhaberdaten mit den Daten überschrieben, die du im CCP findest. Im CCP unter "Stammdaten" kannst du deine E-Mail Adresse (E-Mail Vertragspartner) hinterlegen, die u.A. bei allen Domains deines Accounts als Inhaber-E-Mail eingetragen wird.


    Wenn die Domain gerade erst zu netcup transferiert wurde, würde ich noch einen Tag warten und dann sollte bei einer Abfrage der Denic die E-Mail an die Adresse aus dem CCP gesendet werden.


    LG marpri

    Hi chrko
    ich gebe hier mal meine persönliche Meinung zu dem Thema preis:


    Ich hatte auch schon das Problem, dass der netcup Support meine Anfrage nicht beantworten wollte, weil sie nicht von der autorisierten und im CCP hinterlegten Adresse kam. Grundsätzlich ist natürlich klar, dass der Support sicherstellen muss, dass Anfragen nur dann beantwortet werden, wenn man sich sicher sein kann, dass sie vom Kunden selbst kommen und nicht von jemandem, der sich nur als Kunde ausgibt. Zum einen könnte netcup ganz schnell einen Datenschutzverstoß begehen, wenn ein Mitarbeiter z.B. an eine wildfremde Adresse Zahlungsdetails, personenbezogene Daten oder Infos über gebuchte Produkte des Kunden sendet.

    Andererseits könnte ein Angreifer großen Schaden anrichten, wenn er z.B. gefälschte Kündigungen in fremdem Namen an netcup verschickt oder etwa: "Hilfe, ich komme nicht mehr an meine Server ran...bitte setzen Sie alle meine Server zurück, löschen Sie die Festplatte oder setze Sie sie neu auf!"

    Das sicherste Passwort, 2-Faktor-Authentifizierung, etc. hilft nicht, wenn ein Angreifer sich einfach als Kunde ausgibt und dann eine "menschliche Schwachstelle" im Support ausnutzt um Server zu übernehmen oder lahmzulegen. (Stichwort: Social Engineering)

    Es ist also klar, dass netcup so eine mögliche Schwachstelle ausschließen muss. Einerseits könnte man von vornherein jegliche Aufträge oder Anfragen über "unsichere Kanäle" blockieren und dem Kunden nur noch das Kontaktformular im CCP nach erfolgter Authentifizierung erlauben. Das wäre aber wenig komfortabel.


    Eine weitere Möglichkeit (mein persönlicher Favorit, wird von einigen anderen Firmen so gemacht) wäre, im CCP einen regelmäßig neu generierten Support-Pin anzuzeigen, den der Kunde am Telefon, per Mail etc. immer angeben muss. So ist sichergestellt, dass niemand in fremdem Namen den Support missbrauchen kann.


    Man könnte auch (macht netcup glaube ich am Telefon) die Kundennummer abfragen. Das ist m.M.n. sehr unsicher und sollte nicht zur Authentifizierung genutzt werden, da ich ja z.B. im Partnerprogramm die Kundennummern meiner geworbenen Kunden sehen kann. Die Kundennummer ist also nicht geheim.


    Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst. Natürlich kann jedes Script-Kiddy den From-Header einer Mail manipulieren, aber das heißt noch lange nicht, dass diese Mail dann vom netcup Support angenommen und bearbeitet wird. Wenn du im CCP eine Mail-Adresse einer Domain mit aktivem SPF, DMARC und DKIM hinterlegst, wird es ein Angreifer schwer haben, dem netcup-Mailserver eine gefälschte Mail zuzustellen. Und "seriöse" SMTP-Server wie z.B. die von GMAIL prüfen natürlich, ob du als User die im From-Header angegebene Adresse überhaupt verwenden darfst.

    (Natürlich setzt das Voraus, dass der netcup-Mailserver des Ticketsystems auch SPF, DKIM, etc. prüft, bevor ein Supportmitarbeiter die Mail zu Gesicht bekommt)

    Weiterhin kannst du die E-Mail Adresse im CCP einfach ändern und so sicherstellen, dass niemand außer dir überhaupt weiß, welche Absenderadresse du gerade autorisiert hast.

    Alles in allem finde ich, dass du einerseits Recht hast, dass man das vorhandene System verbessern könnet, andererseits muss ich deiner Aussage, jeder könne diese Absender-Prüfung umgehen, widersprechen.

    Eine weitere Diskussion dieses Themas auch mit einem netcup Mitarbeiter wäre super :thumbup:


    Viele Grüße

    marpri

    Ich sehe gerade, dass in deinen Logs nur steht, dass du SKIP_LETS_ENCRYPT=y benutzen kannst. Daher ist mein Vorschlag von weiter oben natürlich in deinem Fall nicht zielführend, sorry. Habe ich heute Nacht um halb 2 wohl nicht gecheckt :S

    Der Server ist über Port 80 erreichbar. Ein Reverse Proxy existiert nicht. Die Ports gehen direkt zum Container.

    Die Logs zeigen folgendes:

    Code
    1. 26.5.2019, 00:49:57 Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
    2. 26.5.2019, 00:49:57 Cannot validate hostnames, skipping Let's Encrypt for 1 hour.
    3. 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)
    4. 26.5.2019, 00:49:57 Found AAAA record for mail.domain.tld: IPv6 - skipping A record check
    5. 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname autodiscover.domain.tld (IPv6)
    6. 26.5.2019, 00:49:57 Found AAAA record for autodiscover.domain.tld: IPv6 - skipping A record check
    7. 26.5.2019, 00:49:53 OK
    8. 26.5.2019, 00:49:05 Detecting IP addresses...
    9. 26.5.2019, 00:49:05 Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
    10. 26.5.2019, 00:49:05 Using existing domain key /var/lib/acme/acme/key.pem

    In den Logs steht ja eigentlich schon ganz genau wo der Hund begraben liegt: Im obersten Ordner deiner Mailcow (z.B. /opt/mailcow-dockerized) liegt eine Datei mailcow.conf (ist glaube ich ein Symlink zu einem docker-compose file)

    In mailcow.conf gibt es eine Zeile "SKIP_LETS_ENCRYPT" welche bei dir auf Y gestellt ist. Also wird Let's Encrypt nicht verwendet. Stelle die Zeile auf "N" und nach einem

    Code
    1. docker-compose down
    2. docker-compose up -d

    sollte ein Zertifikat mit Let's Encrypt erstellt und von Mailcow verwendet werden.


    Viele Grüße

    marpri

    ikar.us Du hast aber schon gesehen, dass der Thread und vor allem das Zitat von Felix mehr als 7 Jahre und 4 Monate alt ist !?!?

    Und dir ist schon klar, dass sich seit Felix' damaliger Aussage viel getan hat?

    Ein paar Beispiele: GlobeSSL hat eine deutlich bessere Akzeptanz, dank Let's Encrypt bekommst du in jedem netcup Webhosting mittlerweile kostenlose Zertifikate für alle Subdomains, ...
    Warum gräbst du ein so altes Zitat aus?

    Ach ja E-Mails auf dem Handy sind schon was feines ^^

    Ich komme da nicht drauf klar. Vor allem regt es mich auf, dass sie auf keine Fragen antwortet, keine Vorschläge annimmt und stattdessen nur wirres Zeug antwortet. Vielleicht bin ich da auch heute leicht reizbar...

    Aber mal im Ernst: Ich habe mit vielen Leuten zutun, die technisch nicht versiert sind und mir am Telefon ähnliche Probleme schildern. Aber sowas hab ich noch nicht erlebt. Ich glaube wir haben hier den nächsten Troll...

    Hallo Munnie2008 ,


    dein Problem könnte mittlerweile schon 3 mal gelöst sein. Ich (und wahrscheinlich viele andere hier) habe schon einen Verdacht woran es liegen könnte. Auch auf die Gefahr hin, dass ich mich wiederhole: Wenn du Hilfe möchtest, beantworte bitte meine Fragen, sonst kann dir niemand helfen! Du hast die Hälfte der Fragen ignoriert!

    Quote

    Du möchtest also deine E-Mails auf deinem Android Handy abrufen. Wie gehst du da vor? Hast du eine App installiert oder verwendest du eine vorinstallierte "E-Mail" App? Versuchst du, dein E-Mail konto in so einer App hinzuzufügen?

    Oder öffnest du erst einen Browser (Firefox, Chrome, etc.) und öffnest dann eine Webseite um deine E-Mails abzurufen? Wenn ja, welche Webseite? https://webmail01.netcup.net/ ?

    Bitte beantworte mal diese Fragen ganz präzise!

    Dass du nicht technisch versiert bist, ist kein Problem, aber ein paar Fragen musst du beantworten, sonst versteht man nicht, was du möchtest. Aktuell wissen wir noch nicht mal genau, was du eigentlich vor hast (ja, deine Mails empfangen, aber wie?)


    Viele Grüße

    marpri

    Hallo Munnie2008 ,

    wenn man dir weiterhin alles aus der Nase ziehen muss, brauchst du nicht auf Hilfe zu hoffen. Du erzählst aus technischer Sicht ziemliches Durcheinander!

    Bitte gib uns jetzt mal ein paar klare Informationen, damit wir dir helfen können!


    Also, welches Netcup Produkt hast du? Ein Webhosting 1000?

    Du möchtest also deine E-Mails auf deinem Android Handy abrufen. Wie gehst du da vor? Hast du eine App installiert oder verwendest du eine vorinstallierte "E-Mail" App? Versuchst du, dein E-Mail konto in so einer App hinzuzufügen?

    Oder öffnest du erst einen Browser (Firefox, Chrome, etc.) und öffnest dann eine Webseite um deine E-Mails abzurufen? Wenn ja, welche Webseite? https://webmail01.netcup.net/ ?

    Bitte beantworte mal diese Fragen ganz präzise! Momentan widersprichst du dir selbst in deinen Beiträgen.


    Viele Grüße

    marpri

    Hi, ich würde dir gerne helfen, habe aber leider gerade meine Kristallkugel nicht zur Hand :(


    Quote

    ich habe den Server

    Welchen Server? Welches Produkt? Rootserver? VPS?


    Quote


    bis her hatte ich nie eine Fehlermeldung

    Nicht eine einzige Fehlermeldung im syslog? Respekt :thumbup:


    Quote


    habe ich im error log folgende Meldung

    Vielleicht ein paar zusätzliche Infos? Distribution? Version? Welcher error log?



    Vielleicht hilft dir das ja weiter:

    https://forum.netcup.de/admini…led-to-add-default-route/


    Viele Grüße

    marpri

    Ein Improvement wäre hier, wenn man mehrere Secrets erstellen könnte. Wenn dann ein Mitarbeiter das Unternehmen verlässt, kannst du sein Secret löschen. Aber die korrekte Lösung ist das vermutlich nicht..

    Das wäre schonmal ein gewisser workaround :thumbup:

    Vielleicht ist das für netcup ja als erster Schritt eingermaßen einfach zu implementieren