Posts by marpri

    Hi chrko
    ich gebe hier mal meine persönliche Meinung zu dem Thema preis:


    Ich hatte auch schon das Problem, dass der netcup Support meine Anfrage nicht beantworten wollte, weil sie nicht von der autorisierten und im CCP hinterlegten Adresse kam. Grundsätzlich ist natürlich klar, dass der Support sicherstellen muss, dass Anfragen nur dann beantwortet werden, wenn man sich sicher sein kann, dass sie vom Kunden selbst kommen und nicht von jemandem, der sich nur als Kunde ausgibt. Zum einen könnte netcup ganz schnell einen Datenschutzverstoß begehen, wenn ein Mitarbeiter z.B. an eine wildfremde Adresse Zahlungsdetails, personenbezogene Daten oder Infos über gebuchte Produkte des Kunden sendet.

    Andererseits könnte ein Angreifer großen Schaden anrichten, wenn er z.B. gefälschte Kündigungen in fremdem Namen an netcup verschickt oder etwa: "Hilfe, ich komme nicht mehr an meine Server ran...bitte setzen Sie alle meine Server zurück, löschen Sie die Festplatte oder setze Sie sie neu auf!"

    Das sicherste Passwort, 2-Faktor-Authentifizierung, etc. hilft nicht, wenn ein Angreifer sich einfach als Kunde ausgibt und dann eine "menschliche Schwachstelle" im Support ausnutzt um Server zu übernehmen oder lahmzulegen. (Stichwort: Social Engineering)

    Es ist also klar, dass netcup so eine mögliche Schwachstelle ausschließen muss. Einerseits könnte man von vornherein jegliche Aufträge oder Anfragen über "unsichere Kanäle" blockieren und dem Kunden nur noch das Kontaktformular im CCP nach erfolgter Authentifizierung erlauben. Das wäre aber wenig komfortabel.


    Eine weitere Möglichkeit (mein persönlicher Favorit, wird von einigen anderen Firmen so gemacht) wäre, im CCP einen regelmäßig neu generierten Support-Pin anzuzeigen, den der Kunde am Telefon, per Mail etc. immer angeben muss. So ist sichergestellt, dass niemand in fremdem Namen den Support missbrauchen kann.


    Man könnte auch (macht netcup glaube ich am Telefon) die Kundennummer abfragen. Das ist m.M.n. sehr unsicher und sollte nicht zur Authentifizierung genutzt werden, da ich ja z.B. im Partnerprogramm die Kundennummern meiner geworbenen Kunden sehen kann. Die Kundennummer ist also nicht geheim.


    Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst. Natürlich kann jedes Script-Kiddy den From-Header einer Mail manipulieren, aber das heißt noch lange nicht, dass diese Mail dann vom netcup Support angenommen und bearbeitet wird. Wenn du im CCP eine Mail-Adresse einer Domain mit aktivem SPF, DMARC und DKIM hinterlegst, wird es ein Angreifer schwer haben, dem netcup-Mailserver eine gefälschte Mail zuzustellen. Und "seriöse" SMTP-Server wie z.B. die von GMAIL prüfen natürlich, ob du als User die im From-Header angegebene Adresse überhaupt verwenden darfst.

    (Natürlich setzt das Voraus, dass der netcup-Mailserver des Ticketsystems auch SPF, DKIM, etc. prüft, bevor ein Supportmitarbeiter die Mail zu Gesicht bekommt)

    Weiterhin kannst du die E-Mail Adresse im CCP einfach ändern und so sicherstellen, dass niemand außer dir überhaupt weiß, welche Absenderadresse du gerade autorisiert hast.

    Alles in allem finde ich, dass du einerseits Recht hast, dass man das vorhandene System verbessern könnet, andererseits muss ich deiner Aussage, jeder könne diese Absender-Prüfung umgehen, widersprechen.

    Eine weitere Diskussion dieses Themas auch mit einem netcup Mitarbeiter wäre super :thumbup:


    Viele Grüße

    marpri

    Ich sehe gerade, dass in deinen Logs nur steht, dass du SKIP_LETS_ENCRYPT=y benutzen kannst. Daher ist mein Vorschlag von weiter oben natürlich in deinem Fall nicht zielführend, sorry. Habe ich heute Nacht um halb 2 wohl nicht gecheckt :S

    Der Server ist über Port 80 erreichbar. Ein Reverse Proxy existiert nicht. Die Ports gehen direkt zum Container.

    Die Logs zeigen folgendes:

    Code
    1. 26.5.2019, 00:49:57 Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
    2. 26.5.2019, 00:49:57 Cannot validate hostnames, skipping Let's Encrypt for 1 hour.
    3. 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)
    4. 26.5.2019, 00:49:57 Found AAAA record for mail.domain.tld: IPv6 - skipping A record check
    5. 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname autodiscover.domain.tld (IPv6)
    6. 26.5.2019, 00:49:57 Found AAAA record for autodiscover.domain.tld: IPv6 - skipping A record check
    7. 26.5.2019, 00:49:53 OK
    8. 26.5.2019, 00:49:05 Detecting IP addresses...
    9. 26.5.2019, 00:49:05 Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
    10. 26.5.2019, 00:49:05 Using existing domain key /var/lib/acme/acme/key.pem

    In den Logs steht ja eigentlich schon ganz genau wo der Hund begraben liegt: Im obersten Ordner deiner Mailcow (z.B. /opt/mailcow-dockerized) liegt eine Datei mailcow.conf (ist glaube ich ein Symlink zu einem docker-compose file)

    In mailcow.conf gibt es eine Zeile "SKIP_LETS_ENCRYPT" welche bei dir auf Y gestellt ist. Also wird Let's Encrypt nicht verwendet. Stelle die Zeile auf "N" und nach einem

    Code
    1. docker-compose down
    2. docker-compose up -d

    sollte ein Zertifikat mit Let's Encrypt erstellt und von Mailcow verwendet werden.


    Viele Grüße

    marpri

    ikar.us Du hast aber schon gesehen, dass der Thread und vor allem das Zitat von Felix mehr als 7 Jahre und 4 Monate alt ist !?!?

    Und dir ist schon klar, dass sich seit Felix' damaliger Aussage viel getan hat?

    Ein paar Beispiele: GlobeSSL hat eine deutlich bessere Akzeptanz, dank Let's Encrypt bekommst du in jedem netcup Webhosting mittlerweile kostenlose Zertifikate für alle Subdomains, ...
    Warum gräbst du ein so altes Zitat aus?

    Ach ja E-Mails auf dem Handy sind schon was feines ^^

    Ich komme da nicht drauf klar. Vor allem regt es mich auf, dass sie auf keine Fragen antwortet, keine Vorschläge annimmt und stattdessen nur wirres Zeug antwortet. Vielleicht bin ich da auch heute leicht reizbar...

    Aber mal im Ernst: Ich habe mit vielen Leuten zutun, die technisch nicht versiert sind und mir am Telefon ähnliche Probleme schildern. Aber sowas hab ich noch nicht erlebt. Ich glaube wir haben hier den nächsten Troll...

    Hallo Munnie2008 ,


    dein Problem könnte mittlerweile schon 3 mal gelöst sein. Ich (und wahrscheinlich viele andere hier) habe schon einen Verdacht woran es liegen könnte. Auch auf die Gefahr hin, dass ich mich wiederhole: Wenn du Hilfe möchtest, beantworte bitte meine Fragen, sonst kann dir niemand helfen! Du hast die Hälfte der Fragen ignoriert!

    Quote

    Du möchtest also deine E-Mails auf deinem Android Handy abrufen. Wie gehst du da vor? Hast du eine App installiert oder verwendest du eine vorinstallierte "E-Mail" App? Versuchst du, dein E-Mail konto in so einer App hinzuzufügen?

    Oder öffnest du erst einen Browser (Firefox, Chrome, etc.) und öffnest dann eine Webseite um deine E-Mails abzurufen? Wenn ja, welche Webseite? https://webmail01.netcup.net/ ?

    Bitte beantworte mal diese Fragen ganz präzise!

    Dass du nicht technisch versiert bist, ist kein Problem, aber ein paar Fragen musst du beantworten, sonst versteht man nicht, was du möchtest. Aktuell wissen wir noch nicht mal genau, was du eigentlich vor hast (ja, deine Mails empfangen, aber wie?)


    Viele Grüße

    marpri

    Hallo Munnie2008 ,

    wenn man dir weiterhin alles aus der Nase ziehen muss, brauchst du nicht auf Hilfe zu hoffen. Du erzählst aus technischer Sicht ziemliches Durcheinander!

    Bitte gib uns jetzt mal ein paar klare Informationen, damit wir dir helfen können!


    Also, welches Netcup Produkt hast du? Ein Webhosting 1000?

    Du möchtest also deine E-Mails auf deinem Android Handy abrufen. Wie gehst du da vor? Hast du eine App installiert oder verwendest du eine vorinstallierte "E-Mail" App? Versuchst du, dein E-Mail konto in so einer App hinzuzufügen?

    Oder öffnest du erst einen Browser (Firefox, Chrome, etc.) und öffnest dann eine Webseite um deine E-Mails abzurufen? Wenn ja, welche Webseite? https://webmail01.netcup.net/ ?

    Bitte beantworte mal diese Fragen ganz präzise! Momentan widersprichst du dir selbst in deinen Beiträgen.


    Viele Grüße

    marpri

    Hi, ich würde dir gerne helfen, habe aber leider gerade meine Kristallkugel nicht zur Hand :(


    Quote

    ich habe den Server

    Welchen Server? Welches Produkt? Rootserver? VPS?


    Quote


    bis her hatte ich nie eine Fehlermeldung

    Nicht eine einzige Fehlermeldung im syslog? Respekt :thumbup:


    Quote


    habe ich im error log folgende Meldung

    Vielleicht ein paar zusätzliche Infos? Distribution? Version? Welcher error log?



    Vielleicht hilft dir das ja weiter:

    https://forum.netcup.de/admini…led-to-add-default-route/


    Viele Grüße

    marpri

    Ein Improvement wäre hier, wenn man mehrere Secrets erstellen könnte. Wenn dann ein Mitarbeiter das Unternehmen verlässt, kannst du sein Secret löschen. Aber die korrekte Lösung ist das vermutlich nicht..

    Das wäre schonmal ein gewisser workaround :thumbup:

    Vielleicht ist das für netcup ja als erster Schritt eingermaßen einfach zu implementieren

    Alternativ könnt ihr euch ein eigenes Interface bauen über die API von netcup. Je nachdem was ihr vorhabt hält sich der Aufwand halbwegs in Grenzen (Herunterfahren/Starten/Neustarten). Dann könnt ihr selbst die Berechtigungen an die entsprechenden Mitarbeiter geben und loggen.


    https://www.netcup-wiki.de/wiki/Netcup_SCP_Webservice

    Vielen Dank für den Hinweis, allerdings ist die API dazu noch zu eingeschränkt. Man müsste Server auch neu aufsetzen, rDNS verwalten und z.B. ISOs mounten können.

    Außerdem sind CCP und SCP meiner Meinung nach wirklich schick und funktionieren super, daher würde ich meine Kollegen lieber darin arbeiten lassen, als in einer von mir zusammengeschusterten Weboberfläche ;)

    Hallo alle zusammen,

    weiß jemand, ob es geplant ist, im neuen CCP bzw. SCP die Funktion einzubauen, Unterkonten anzulegen? Also z.B. ein Unterkonto, dem man nur Zugriff auf das SCP, oder nur auf die Rechnungen, nur auf einzelne Produkte, etc. gibt?
    Wenn man netcup als Firma nutzt und einige Maschinen laufen hat, ist es äußerst unschön, allen Mitarbeitern das Passwort für das CCP zu geben, das 2FA-Secret mit allen zu teilen, und jedes mal wenn jemand die Firma verlässt, das Passwort zu ändern. Hier wäre es äußerst wünschenswert, personalisierte Zugänge einrichten zu können (von mir aus erstmal ohne spezifische Einschränkungen, hauptsache personalisiert). Auch im Hinblick auf die Nachvollziehbarkeit einzelner Aktionen wäre das super (z.B. eine Spalte "Benutzer" in den Logs im SCP) sodass man sehen kann, welcher Benutzer einen Server neu gestartet hat etc.

    Wir haben aktuell noch einige Maschinen bei der großen Cloudtochter (3 Buchstaben) des Onlineshoppingriesen und aktuell ist die Mehrbenutzerfähigkeit das einzige, was uns davon abhält, diese alle in Rootserver bei netcup umzuwandeln.


    Würde mich mal interessieren, was [netcup] Felix dazu sagt, und ob es noch andere Kunden gibt, die diesen Vorschlag unterstützen.


    Danke und schönen Abend noch!

    marpri

    Hi,

    Oder trag alternativ für den SMTP-Server direkt dessen IP ein, falls das bei einem iPhone möglich ist. Dann kannst Du DNS schon mal ausschliessen.

    Das kann man zum testen mal kurzfristig machen, ist generell aber eine ganz schlechte Idee! Wenn du die IP anstatt eines korrekten FQDN einträgst, zwingst du deinen Mailclient dazu, den auftretenden Certificate-Name-Mismatch der TLS Verbindung zu ignorieren und stumpf jedes Zertifikat zu akzeptieren. Damit öffnest du jedem MITM-Angriff Tür und Tor. Das würde ich also lieber lassen.


    Also das Problem besteht nur in meinem WLAN @ Home. Also muss es doch an den Ports liegen. Komisch ist nur das ich meine ich alle gängigen Ports offen habe...

    Welche Ports brauche?

    Wie schon von anderen gesagt: Das hat mit offenen Ports nichts zu tun! Ports in deiner Fritzbox öffnest du, wenn du z.B. einen Webserver in deinem lokalen Netzwerk von außer erreichbar machen willst. (Stichwort Portweiterleitung) Öffne bloß nicht einfach irgendwelche Ports, damit reißt du ein Loch in deine Firewall und machst dich angreifbar, wenn du dich nicht auskennst!


    Was du stattdessen mal schauen könntest, ist, ob evtl. die "Kindersicherung" deiner FritzBox dazwischengrätscht. Damit kann man einzelnen Clients z.B. den Zugriff auf Torrents etc. verbieten. Schau mal, ob deine Clients alle das Profil "unbeschränkt" in der FB haben.


    Viele Grüße

    marpri

    Du gibst uns hier wirklich sehr wenige Informationen. Ich finde, es gehört zum guten Ton, die Leute, die man nach Hilfe fragt, mit genügend Informationen zu versorgen...

    Was bedeutet "meine SOGo Startseite" ? Groupware von netcup? selbst auf einem Server installiert? Über welche Domain erreichbar? Welches Server OS? Hinter einem Proxy? Über http oder https erreichbar?


    Was bedeutet "den normalen PC"? Welches Betriebssystem? Welcher Browser? Was bedeutet "nicht aufrufen"? Bekommst du einen Fehler angezeigt (Error 404, Error 403, ...) oder ein TimeOut Error? Wie ist dein PC mit dem Internet verbunden? DSL? IPv4, IPv6, beides?


    Es wäre super, wenn du wenigstens ein paar dieser Fragen beantworten würdest.


    Ich rate jetzt mal spontan ins blaue -> Deine SOGo Instanz ist korrekt über IPv4 erreichbar, über IPV6 gibt es einen Fehler. Je nachdem, ob dein Browser sich gerade für v4 oder v6 entscheidet, kannst du die Seite erreichen oder nicht. Über das Mobilfunknetz triff der Fehler nicht auf, weil du da nur eine IPv4 Verbindung hast


    Viele Grüße

    marpri

    Ich finde, man kann sich die OTPs ruhig in Bitwarden generieren lassen. Das untergräbt den Sinn von 2FA meiner Meinung nach höchstens ein bisschen. Grundsätzlich ist 2FA ja eine zusätzliche Hürde, falls jemand an dein Passwort gekommen ist. Das kann auf unterschiedlichste Weisen passieren:

    - unverschlüsselste oder minderwertige SSL/TLS Verbindung (MITM Angriffe)

    - Keylogger

    - jemand schaut dir über die Schulter

    - Du gibst das Passwort auf einer Phishing Seite ein


    Genau davor schützt 2FA auch dann noch, wenn du es in Bitwarden hinterlegst, denn das 2FA Secret bleibt geheim. Und wenn jemand tatsächlich Zugriff auf deinen Passwortmanager bekommen sollte, was einer mittleren Atomkatastrophe gleich käme, dann ist Hopfen und Malz sowieso verloren und du hast wahrscheinlich ganz andere Probleme als 2FA.


    Mal ganz abgesehen davon ist Bitwarden in meinen Augen ein hervorragender Passwortmanager (open-source, self-hosted, ...) und kann ruhigen Gewissens empfohlen werden!

    Leider stehen da nicht mehr Details. Kann nur einen Mail Check auf https://mecsa.jrc.ec.europa.eu/ machen und dort steht es.

    Doch da stehen sehr wohl Details. Wenn du das Ergebnis aufrufst, hast du 2 Schaltflächen: "Summary" und "Advanced"


    Ich möchte dir nicht auf die Füße treten, aber weißt du, was der von dir genannte Test testet? Kannst du das Ergebnis deuten und weißt, was damit gemeint ist? Weißt du, was DNSSEC ist?

    Folgende (sehr wahrscheinlich korrekte) zusammenfassende Vermutung von mir:

    - Du nutzt einen Webhosting-Tarif von netcup für Web und Mail mit deiner Domain; diese nutzt die Netcup Nameserver und Mailserver.

    - Die Zone deiner Domain ist dank deiner Einstellung im CCP nun via DNSSEC signiert.

    - Der MX-Record deiner Domain zeigt sowohl auf mail.deinedomain.de als auch auf mx000.netcup.net

    - mail.deinedomain.de ist via DNSSEC signiert, allerdings tritt bei der Verbindung ein TLS-Certificate-Name-Mismatch auf

    - mx000.netcup.net ist nicht via DNSSEC signiert

    So lässt sich auch das negative Ergebnis dieses Europa-Mail-Tests erklären.


    o.G. Sachverhalt ist normal für netcup-Webhostings und hier im Forum schon mehrmals diskutiert worden. "netcup.net" kannst du nicht signieren, weil du die Zone nicht verwaltest. das müsste netcup machen. Du kannst aber den Cert-Mismatch beheben, in dem du mail.deinedomain.de als MX Record entfernst.


    Viele Grüße

    marpri

    Ich habe die o.g. Bewertung auch mal zum Anlass genommen, meine Erfahrungen mit netcup auf Trustpilot zu teilen. Ich finde, wenn zornige Wutkunden die Plattform nutzen, um kurzfristigem Ärger Luft zu machen, dann kann ein sonst eher stiller Langzeitkunde auch mal seine Zufriedenheit zum Ausdruck bringen.


    (Vielleicht haben langjährige, sehr aktive Kunden wie z.B. Hecke29 , H6G , CmdrXay , eripek usw... ja auch Lust, mal eine Bewertung abzugeben, falls noch nicht geschehen ;) Ich denke, dass Erfahrungsberichte von euch für Neukunden echt hilfreich sein könnten)