Posts by 17martin

    Mittlerweile haben viele ACME "Clients" (Certbot, dehydrated,...) auch ohne, dass man selbst einen CSR baut, die Option den Key gleich zu lassen beim Zertifikat erneuern.


    Aber wie mache ich das wenn ich ein RSA und ein ECDSA Zertifikate habe? Zwei Dane Records? Momentan löse ich das durch einen 2 0 1 Dane Record mit dem Hash des Let's Encrypt Intermediate Zertifikate X3. Dadurch umgehe ich auch das Problem mit wechselnden Keys. Aber irgendwie nicht so richtig schön.

    Da hat tatsächlich jemand eine eMail bei mir abgegeben und hat dazu IPv6, TLS1.3, das ECDSA Zertifikat und X25519 zum Schlüsselaustausch genutzt. Wie viele Jahre es wohl noch dauert bis das normal wird...?

    Eventuell für ein paar Leute hier interessant: In Buster-Backports gibt es jetzt ein aktuelles Roundcube. Das aus sid war ja nicht ganz problemlos zu installieren.

    Bin ich eigentlich der einzige, der hier weder in Puncto Leistung, noch in Puncto Preis einen Vorteil zu aktuellen Modellen (G8/G9) erkennen kann? :/ Vielleicht könnte hier ja mal ein bisschen was angepasst werden - könnte verkaufsfördernd wirken. ^^

    Vielleicht so?

    Da gibt es noch eine alte Aktion, die immer noch gültig ist:

    https://www.netcup.de/bestellen/produkt.php?produkt=1715 (G7SE VPS500, 2 vKerne, 2GB RAM, 40GB SAS für 2,99€)

    https://www.netcup.de/bestellen/produkt.php?produkt=1718 (G7SE VPS1000, 4 vKerne, 4GB RAM, 80GB SAS für 3,99€)

    https://www.netcup.de/bestellen/produkt.php?produkt=1721 (G7SE VPS2000, 6 vKerne, 8GB RAM, 160GB SAS für 7,99€)

    Klar nur DDR3 RAMs und keine SSD. Aber manchmal ist ja mehr Platz wichtiger als nur IO-Leistung. Ist halt die Frage, ob sich die virtuellen Kerne der Generationen vergleichen lassen. Mit der Karnevals Aktion können die nicht mit halten, aber mit den Standardpreisen...

    Die ECDSA-Sache sollte ich auch endlich mal angehen… :/


    Bisher nutze ich das nur auf einem neu geplanten System. Alle anderen verwenden ausschließlich RSA mit 4096 Bit.

    Ich wollte immer warten bis Letsencrypt ECDSA Intermediate oder Root-Zertifikate hat. Aber da das wohl doch noch länger dauert, habe ich das dann beim buster update mit gemacht.

    Mit dehydrated (Package in Backports) ist das eigentlich ganz einfach. Alles für RSA konfigurieren und für ECDSA beim Aufruf über die Parameter anderen Algo und Ausgabeverzeichnis festlegen (dehydrated -c && dehydrated -c -a prime256v1 -o /var/lib/dehydrated/certs-ecdsa).

    Was haltet ihr von solchen "Cashback" Anbieter? Ich würde mir aktuell einen Monitor kaufen wollen und würde dafür dann ~50€ Euro Cashback bekommen. Zahlt sich soetwas aus?

    Ich nutzte seit ein paar Jahren shoop. Das klappt ganz gut, wenn man vor der Bestellung den Adblocker ausmacht. Klar überlässt man denen ein paar Daten. Aber im Unterschied zu DeutschlandCard oder Payback bekommen die nicht die Info, was du gekauft hast. Früher hatte shoop 7% Cashback bei Zalando. Da hat sich das noch mehr gelohnt. Man darf sich nicht blenden lassen, der prozentualle Cashback wird immer auf den Nettopreis gerechnet.

    Sagt mal sehen ich das richtig, dass mit php 7.3 (aus Debian Buster) keine Verbindung über TLS1.3 aufbauen kann (https://github.com/php/php-src/blob/PHP-7.4/NEWS)? Meiner roundcube Instanz hätte ich das gerne zum Zugriff auf den IMAP-Server beigebracht...

    Der roundcube und IMAP-Server (dovecot) laufen eh auf dem selben VPS. Kennt jemand einen guten Weg wie ich den ganzen TLS-Overhead sparen kann ohne die Sicherheit für die anderen IMAP-Clients zu verringern?

    Hallo Forum,

    ich ziehe gerade meinen Mailserver von einem anderen Anbieter auf einen netcup Server um. In dem Zuge aktualisiere ich auch von Debian Stretch (bisher dovecot+postfix) auf Buster. Ich hoste Mails für mehrere Domains, die möglichst unabhängig sein sollen. Am liebsten sollten man auch von außen nicht so einfach sehen, dass die Domains zusammen gehören. Mir ist klar, dass am Ende alles auf der gleichen IPv4 endet und man somit immer herausfindet kann, dass das auf dem gleichen Server gehostet ist.


    Die User der Domain domain1.com können mit Hilfe von SNI imap und submission über mail.domain1.com betreiben. Mit dem neuen SNI fähigen postfix oder mit dem submission-proxy von dovecot sollte das ja gehen. Damit brauche ich kein Zertifikat mehr, in dem alle Domains zusammen enthalten sind. Die Mail-Clients sollten alle SNI beherrschen.


    Aber wie bekomme ich das für die smtp Kommunikation (Port 25, Server zu Server) am besten hin?

    Mein Server sendet Email: Da kommt der Spam-Check vom Empfänger ins Spiel. Ich habe bisher nicht gefunden, dass man den HELO/EHLO in Abhängigkeit der Absender Domain setzten kann. Den Reverse-DNS kann ich auch nur auf einen Wert setzten. Das heißt hier habe ich wenig Chance das domain-spezifisch zu machen und muss einen Namen nehmen, der dann für alle Domains genutzt wird. Auch mit exim, der ja schon lange SNI beherrscht, habe ich da keine Lösung gefunden. Oder kennt dafür jemand eine tolle Lösung?

    Mein Server empfängt Email: Hier könnte ich den MX domain-spezifisch (mail.domain1.com) setzten. Dann muss aber der sendende Server auf jeden Fall SNI beherrschen, sonst antwortet mein Server mit dem falschen Zertifikat. Hat jemand Erfahrungen, ob die TLS-fähigen Server auch SNI beherrschen? Wie reagieren die Server, die das nicht beherrschen, auf das falsche Zertifikat? Rückfall auf unverschlüsselte Kommunikation? Der EHLO und Reverse-DNS sollten hier ja keine Rolle spielen. Oder doch lieber als MX für alle Domains den Namen aus dem Sende-Fall nehmen?


    Ich bin doch sicher nicht der einzige mit dem Anwendungsfall. Habt ihr eine Lösung dazu gefunden (außer eigene IPv4 für die Domains)?

    Mein Mailserver steht noch nicht bei Netcup (Umzug geplant). Gestern ist auf gefallen, dass wir auf der T-Online Blackliste gelandet sind (Fehler 554 im SMTP Dialog). Genau genommen ist nicht unser Server auf der Blacklist gelandet, sonder der ganze IP Bereich, weil unsere IP-Nachbaren wohl Unfug treiben. Da muss ich Telekom mal loben, das ging alles sehr schnell und einfach. Hier gibt es eine gute Beschreibung, was man beachten sollte: https://postmaster.t-online.de (Allgemein eine gute Beschreibung, was man als Mail-Server einhalten sollte)

    Das Onlineformular ausgefüllt (mail-tester.com 10/10 Punkte erwähnt und dass wir auf sonst keiner verbreiteten Blacklist stehen). Antwort innerhalb von 1,5 Stunden. Nochmal 1,5 Stunden später haben sie unsere Mails wieder angenommen.

    ich habe schon seit langem das gefühl das mein Root Server (RS 1000 G8 (SAS)) mit der Nummer v22019034441984161 weniger CPU leistung bringt als angegeben, angeben sind 2 dedizierte kerne, mit mindestens 2,3Ghz je Kern, also insgesamt 4,6Ghz.


    Laut dem Tool i7z erhalte ich aber insgesamt nur 2293 MHz oder 2,293Ghz

    Na dann ist doch alles okay.

    Zwei Kerne mit 2,3Ghz sind NICHT 4,6Ghz, sondern eben zwei Kerne mit je 2,3Ghz.

    Ich werde meinen Server bald neu installieren (bisher ist der zum probieren) und möchte dann gleich mit Buster anfangen.

    Weiß eigentlich was netcup beim "Stretch minimal System" Image alles anpasst? Partitionierung und Deutsche Sprache weiß ich noch. Zyklisch fstrim? Irgendwas für KVM oder ihre Server?