Posts by Askaaron

    Problem gelöst - selbst schuld :-(


    Ausführlicher:


    Ich nutze OnlyOffice in Nextcloud jetzt schon über ein Jahr. OnlyOffice läuft als lokaler Webserver mit eigenem Port. Davor sitzt Apache als Proxy für HTTPS.


    Auf dem ursprünglichen Server hatte ich zur der offiziell dokumentierten Proxy-Konfiguration noch ProxyTimeout 10 hinzugefügt, weil ich anfangs Probleme damit hatte, dass der Editor im Browser Verbindungen aufgebaut, aber scheinbar nie wieder zugemacht hat, auch wenn man ihn die Datei schon längst geschlossen hatte. Bei dem Test mit dem VPS habe ich genau diese Konfuguration auch 1:1 übernommen, denn ich wollte ja wissen, ob es nur am Server liegt.


    Genau diese Einstellung hat nun aber dafür gesorgt, dass bei Änderungen in der Datei (und nur dann) die dafür erzeugte Verbindung verloren gegangen ist, so dass der Editor logischerweise irgendwann meckert, weil die Verbindung weg ist. Ob es nun seitens OnlyOffice so schlau ist, HTTP-Verbindungen über mehr als 10 Sekunden lang offen halten zu müssen, sei mal dahingestellt - aber nachdem ich diese Einstellung entfernt habe, läuft es wieder völlig fehlerfrei.


    Aufgefallen ist mir das, als ich den "guten" mit dem nicht funktionierenden Server nochmal genau verglichen hatte und bei dem "guten" Server eben jene Einstellung nicht enthalten war.

    Testweise habe ich es mit einem VPS 500 G8 probiert auf dem außer dem OnlyOffice Documentserver nichts anderes lief.


    Auch hier das selbe Spiel: sobald Änderungen an den Documentserver gesendet werden, kommt irgendwann eine Fehlermeldung wegen Verbindungsabbruch. Es spielt auch keine Rolle, ob ich OnlyOffice 5.4, 5,5 oder 5.6 nutze - die Verbindung bricht zuverlässig und reproduzierbar ab.


    Mit dem anderen Server bei der Konkurrenz läuft es dagegen absolut stabil. Allerdings ist das auch ein echter Root-Server und nicht nur eine virtuelle Maschine.

    Ich habe jetzt noch eine virtuelle Kiste woanders bestellt, die ich wahrscheinlich am Montag einrichten kann, dann weiß ich vielleicht mehr.

    Ich weiß aber ganz sicher, dass bis vor einigen Monaten auch bei Netcup problemlos funktioniert hat. Daher frage ich mich, was sich seitdem geändert haben könnte.


    Irgendeine Idee?

    Aktuell kämpfe ich mit folgendem Problem: Nutzung des OnlyOffice Document Server auf einem Root-Server (RS 4000 SAS G8SE a1).


    Sowohl bei der Verwendung in einem Docker-Container wie auch "nativ" auf dem Server selbst, gibt es bei der Nutzung der Nextcloud-Integration reproduzierbar diesen Fehler nach -2 Minuten, wenn man Änderungen in Spreadsheets vornimmt:


    pasted-from-clipboard.png


    Dieser Fehler tritt nachweislich nicht auf, wenn exakt die selbe Version von OnlyOffice Document Server in einem Docker-Container auf einem Root-Server der Konkurrenz läuft.


    Leider kann ich den Fehler nicht genauer eingrenzen - alles andere läuft auf dem Server fehlerfrei - u.A. Apache mit ca. 40 Websites, MariaDB, Dovecot, Postfix. Der Server ist auch nicht sonderlich ausgelastet, CPU-Last bei ca. 5-10%, Load meist unter 0,5 und 22 GB RAM frei.


    In der Vergangenheit gab es mit OnlyOffice nie große Probleme - allerdings habe ich den Server innerhalb von Netcup vor einiger Zeit umgezogen eben auf diesen RS 4000 SAS G8SE a1, seit dem spinnt OnlyOffice rum. Selbst die alte Version, die ich früher auf dem anderen Server verwendet habe, macht in dieser Umgebung diverse Probleme. Daher bleibt als einzige Möglichkeit, dass es speziell in dieser Umgebung irgendein Problem gibt.

    Im SCP zu meinem Root-Server wird seit einiger Zeit angezeigt, ich sollte eine Speicheroptimierung ausführen. Wenn ich aber unter "Medien" nachsehe, wird an der unter "Speicher optimieren" diese Meldung angezeigt: "Es sind bereits andere Optimierungen am Laufen, daher kann auf dem Wirtssystem keine weitere Optimierung gestartet werden. Bitte zu einem späteren Zeitpunkt erneut versuchen." - siehe auch nachfolgenden Screenshot. Die Meldung verschwindet auch nicht, wenn ich den Server herunterfahre und komplett ausgeschaltet habe. Soll ich den Support kontaktieren oder verschwindet das von selbst?


    pasted-from-clipboard.png


    Verabschiede Dich von dem Gedanken, an Microsoft-Adressen von einem eigenen Rootserver aus dauerhaft E-Mail zustellen zu können!


    Microsoft sperrt nicht deine spezifische IP-Adresse sondern immer ganze Netzwerkblöcke. Wenn also irgendjemand anderer mit Microsoft ein Problem hat und dein Server dummerweise im selben /24er-Netzwerkblock liegt, bist Du auch gesperrt.


    Die Sperre dauerhaft aufgehoben zu bekommen, ist faktisch unmöglich. Und selbst wenn man nicht explizit gesperrt ist, führt Microsoft sehr oft auch "black holing" durch - die Mails werden nicht abgelehnt, kommen aber trotzdem nie an - ich kenne das aus eigener Erfahrung.


    Die einzig sinnvolle Lösung ist es, einen externen SMTP-Dienstleister zu nutzen, der bei Microsoft nicht so einfach gesperrt wird, wie z.B. Mailjet oder Sendinblue. Das geht auch kostenlos, wenn man nicht mehr als 200 Mails pro Tag zustellen muss.


    Ich habe dazu auch schon mal eine Anleitung in diesem Forum gepostet, wie man für Postfix einrichten kann, so dass nur Mails an Microsoft über externe Server geschickt werden - denn GMail, GMX, web.de usw. sind da nicht so problematisch: Workaround für Mails an Adressen bei Microsoft

    Schon bei netcup, war halt ein Aktionsangebot aus dem Adventskalender. So ähnliche Angebote gibts hier aber bestimmt 3-4 Mal pro Jahr. Ich denk mal netcup wird über kurz oder lang komplett auf SSD umsteigen. Aber das werden die anderen genauso machen.

    Solche "Aktionsangebote" taugen aber nicht als Referenz, wenn es darum geht, was Netcup generell für bestimmte Server verlangt.


    Aktuell zählt für Rootserver nur das hier: https://www.netcup.de/vserver/


    Und da kostet ein Server mit 320 GB SSD 14 EUR im Monat, das Modell mit 800 GB dann 27 EUR im Monat und bei 2 TB sind es 44 EUR im Monat.


    Ich selbst nutze derzeit eine Variante RS 4000 SAS G8SE a1 mit 960 GB SAS, 6 Kernen und 32 GB RAM für 22,99 EUR im Monat. Eigentlich hatte ich vor, in den kommenden Monaten noch ein zweites System dieser Art für bessere Ausfallsicherheit anzumieten und als Hot-Standby bereitzuhalten mit Synchronsation von Mailserver, Nextcloud etc.. Die Idee ist, beim Ausfall eines Servers idealerweise innerhalb weniger Minuten den Betrieb ohne Einschränkungen fortführen zu können - eine Failover-IP ist schon eingerichtet.


    Das vergleichbarste Angebot RS 4000 G9 kostet aber schon 4 EUR mehr monatlich und hat dafür 160 GB weniger Speicherplatz :-(. Die SSD-Performance brauche ich aber ganz sicher niemals. Und Storage dazu mieten ist ebenfalls sinnfrei, weil es ja genau darum geht, die komplette Umgebung redundant zu haben.


    Zumindest existiert der Link https://www.netcup.de/bestellen/produkt.php?produkt=2359 noch - ist aber auf der Übersicht nicht mehr genannt. Bedeutet das jetzt, dass es RS 4000 SAS nicht mehr gibt oder könnte man den über den Link dennoch bestellen?

    Generell finde ich es schon sehr "frech" seitens Netcup den Kunden einfach auf STARTTLS zu verweisen, wenn er doch SSL nutzen möchte. Wenn man dem Privacy Handbuch glauben kann (und das tue ich), dann ist STARTTLS nicht zu bevorzugen.

    Auch STARTTLS ist bezüglich der Login-Daten sicher, wenn der Client auf jeden Fall STARTTLS probiert und abbricht, wenn das nicht klappt. Unsicher wäre es dann, wenn ein Client trotz Einstellung "STARTTLS verwenden" es auch akzeptiert, wenn der Server STARTTLS nicht annimmt.

    He wants to express: There is no smarthost for this use case. If you don't want to use a mail service on your current VPS, you can always book another VPS that fulfills this purpose. In that case please be aware, that you should comply with all necessary standards and also take part in Microsoft JMRP and alike.


    Eventhough the original question is solved, just a few words about Microsoft:


    Microsoft will block your server sooner or later because someone else in the same /24 subnet may have a problem with spam and Microsoft will the block the whole subnet and not just the single IP address of the server.


    When you sign up to the JMRP (Junk Mail Reporting Partner Program) and SNDS (Smart Network Data Services) this will not help you either - you will then just be notified when your server get's blacklisted. But getting the server out of the blacklist again will always take a couple of days or even weeks and usually this will only last for a couple of weeks or months before blacklisting starts again.


    Therefore you should not run your own mailserver to send e-mail to Microsoft domains at all (hotmail.com, hotmail.co, hotmail.co.uk, hotmail.net, hotmail.dk, hotmail.se, hotmail.fr, hotmail.it, hotmail.de, hotmail.org, outlook.com, outlook.org, outlook.co, outlook.de, outlook.eu, live.com, live.co.uk, live.org, live.de). If you want to run an online shop etc. and need to send e-mails to your customers then get an account at Mailjet, Sendgrid, Postmark etc. and use their services to send mail for you. These services also offer integrations to Postfix, so you can still have your own mailserver to receive mail but use the SMTP provider for you transactional mails to customers.


    Die Datei muss ".htaccess" heissen und nicht ".htacsess".


    Und was soll das werden?


    Eine Umleitung von HTTP auf HTTPS und direkt danach von HTTPS auf HTTP - das ergibt keinen Sinn.


    Und was soll "Remove index.php from URLs" bewirken? Wie die Umleitung genau aussehen muss, hängt von der Anwendung ab. Kann index.php denn damit umgehen, dass ein Pfad angehängt wird?


    Normalerweise würde man von HTTP auf HTTPS so umleiten - unter Berücksichtung von Let's Encrypt was unbedingt(!) per HTTP auf /.well-known kommen muss:


    Code
    1. RewriteEngine on
    2. RewriteCond %{SERVER_PORT} 80
    3. RewriteCond %{REQUEST_URI} !^/\.well-known/.*
    4. RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

    richtig, ich hab keines, was die Problematik mit Microsoft angeht;:P

    Schön für Dich. Und wenn Du auch bei GMX, web.de, T-Online, Verizon etc. ebenfalls gesperrt wirst, ist Dir das vermutlich auch egal.


    Meine Nutzer haben aber ein Problem, denn die können es sich nicht aussuchen, wo ihre Kommunikationspartner - was auch zahlenden Kunden sein können - eine E-Mail-Adresse haben. Da muss die Zustellung einfach funktionieren.

    Ja, wenn man einen Server nur für sich privat betreibt, ist das sicher machbar. Wenn man aber auch andere Nutzer dort hat oder einen Online-Shop etc. betreibt, ist das keine Lösung. Und rspamd nimmt - im Gegensatz zu SpamAssassin mit amavisd - E-Mails ja eben NICHT an, wenn die Spam sind, sondern lehnt die aktiv schon bei der Zustellung mit 5xx-Fehler ab.

    das mache ich auch; weil bei einer doofen Skript-Kiddie-IP bleibt es nicht ...

    D.h. wenn ein anderer Kunde bei Netcup Mist baut, hast Du kein Problem damit, dass dein Server dann auch auf Blacklists landet, weil er blöderweise im gleichen Provider-Subnetz steht? Oder hast Du ein eigenes /20er- oder /22er-IPv4-Netz für Dich? IPv6 nimmt Microsoft bislang ja nicht an.

    Hättest du ein paar Tipps/Links wie man das am besten bewerkstelligt bzw. worauf man da zu achten hat? Macht dmarc da keine Probleme?

    Im Detail kommt es auf den Anbieter an, wie der das im Detail realisiert. Aber die grundlegenden Dinge sind eigentlich immer ähnlich:


    Bei SPF muss zusätzlich der oder die Server des Anbieters als zulässiger Absender drinstehen oder dessen SPF-Regeln eingebunden werden.


    Bei DMARC ändert sich nichts, weil dieser Eintrag im DNS ja nicht festlegt, wer schicken darf, sondern nur, wie mit Fehlern bei SPF/DKIM umgegangen werden soll.


    Für DKIM habe ich einen zusätzlichen Key im DNS eingetragen, wobei der selector mit vom Mailversender vorgegeben wurde. Das ist nötig, da der Mailversender selbst alles neu signiert und der Empfänger diese Signatur mit einem öffentlichen Key meiner Domain prüfen können muss.


    Das sieht dann beispielhaft z.B. so aus für meine eigene Domain:


    https://arnowelzel.de/tools/dn…?dns_domain=arnowelzel.de


    Und hier die DKIM-Keys einmal für meinen eigenen Server (DKIM-Selector "default") und den von Mailjet (DKIM-Selector "mailjet")für die Mails, die darüber laufen:


    https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de


    https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de


    Wenn Mailjet Mails für meine Domain schickt, sind auch die korrekt signiert und nach SPF auch zulässig. Ich kann aber weiterhin auch direkt über meinen Server etwas schicken.


    Es sollte bekannt sein, dass Microsoft eben nicht einzelne Server sperrt, sondern ganze IP-Netzwerke (Fehlercode S3150).


    Wenn also bei Netcup ein einziger Kunde seinen Server nicht im Griff hat, sind leicht einige dutzend oder hunderte anderer Kunden betroffen.


    Ich betreibe selbst seit vielen Jahren Server und mache das auch beruflich. Ein von mir betroffener Mailserver ist korrekt eingerichtet, rDNS für den Namen ist identisch zum Hostnamen mit dem der Server Mails ausliefert, SPF, DKIM und DMARC sind vorhanden, mail-tester.com meldet 10/10 und mxtoolbox.com findet auch keine Fehler. Auch steht der Server auf keiner öffentlichen Blacklist (geprüft mit http://multirbl.valli.org/).


    Dummerweise habe ich aber den Fehler gemacht, den Server umzuziehen, wodurch der Mailserver auch eine neue IP-Adresse bekommen hat. Und diese Adresse ist bei Microsoft seit mittlerweile einen Monat gesperrt (zumindest sagt SNDS das so, wo ich natürlich auch angemeldet bin, ebenso wie beim JMRP).


    Allerdings ich schicke schon seit mehreren Wochen garantiert gar keine E-Mail direkt an Microsoft-Server, weil ein transport in Postfix dafür sorgt, dass E-Mails an ein der diversen Domains von Microsoft über einen anderen SMTP-Dienstleister als Relay geleitet werden. Und ja, die SPF-Angaben sind natürlich entsprechend konfiguriert, dass der andere Server des Dienstleisters für die Domains auch schicken darf und DKIM-Signaturen passen ebenfalls. Die so geschickten E-Mails kommen auch problemlos bei Microsoft an.


    Aber die Sperre des Servers? Die wird wohl ewig bestehen bleiben, da ich ja keine Einfluss darauf habe, welche anderen Server im IP-Bereich von Netcup möglicherweise ein Problem haben. Solange Microsoft diese Praxis beibehält, wird sich da auch wenig ändern.


    Daher kann ich letztlich Betreibern von Online-Shops auch nur raten, für E-Mail-Versand gleich Dienstleister wie Mailjet, Sendinblue, Postmark etc. zu verwenden und den eigenen Mailserver primär nur den Mailempfang zu verwenden.

    Hallo zusammen,


    nun ich Schreibe jetzt mal hier rein da es das neuste zu S3150 ist. Kann mir hier jemand sagen warum das SPAM Problem hier so groß ist.

    Ich bin erst kurz hier habe aber noch nie so große Probleme mit Spam gehabt erst mit der Einrichtung IP, dann habe ich mir eine Zusatz IP geholt aber auch hier kommt keine Mail an MS an. Da ich zwei Shops betreibe kommt netcup für mich so nicht in Frage und ich muss wieder meinen managed PS 2000 SSD G8 Kündigen, obwohl ich mit der Erreichbarkeit und allen anderem sehr zufrieden bin.


    Für einen Shop ist es ohnehin sinnvoll, einen Anbieter für "Transactional Mail" zu verwenden, der dann auch die Zustellbarkeit garantiert. Genau das ist auch meine Lösung für Microsoft-Adressen, eben weil Microsoft gerne ganze Netze sperrt. Anbieter wie Mailjet, Postmark oder Sendinblue bieten für geringe Volumen kostenlose Zugänge und selbst wenn man bezahlen muss, geht das schon ab 7-8 EUR monatlich los für 40000 Mails pro Monat.

    Also: woher kommt der FQDN für das Zertifikat und wie ändere ich den?


    Danke!!!

    Steht im Script drin:


    Code
    1. DEB_CONF_RESULT=`debconf-show jitsi-meet-web-config | grep jvb-hostname`


    Wie man die Angabe ändert - da bin ich selber noch am Suchen. Das taucht an diversen Stellen in /etc/jitsi auf und NGINX muss auch angepasst werden.


    Update:


    Nein, das will man vermutlich nicht anfassen. Das sind einige hundert Stellen, wo überall der Hostname drinsteht. /etc/prosody hat auch noch diverse Referenzen.


    Nachdem da auch Dienstleistungen gegen Bezahlung verkauft werden - ganz im Ernst: beauftrage jemanden für die Serverbetreuung jemanden, der sich mit der Materie auskennt. Ein gehackter Server ist kein Spaß und die DSGVO sieht empfindliche Strafen vor, wenn Kundendaten wegen mangelnder fachlicher Kompetenz an unbefugte Dritte gelangen.