Posts by Askaaron


    Du musst in der Datei env/global.override.env innerhalb des Datenverzeichnisses der Bitwarden-Installation einen Mail-Server inkl. Username und Passwort konfigurieren, über den die Mails geschickt werden können.


    Siehe auch die Dokumentation dazu: https://bitwarden.com/de-DE/he…ung-nach-der-installation

    Vaultwarden hat alle Premium Funktion (2FA mit Yubico, Hinterlegung von OTPs und Private Dateien etc.) kostenlos und läuft wesentlich kosten effizienter.


    Vaultwarden ist zweifellos eine interessante Idee. Man sollte dennoch bedenken, dass Vaultwarden nur den Server darstellt und man weiterhin alle Clients von Bitwarden braucht. Das führt aber zwangsläufig zu gelegentliche Kompatibilitätsproblemen, wenn Bitwarden Clients ändert und Vaultwarden die Änderungen nicht zeitnah berücksichtigt (siehe z.B. https://github.com/dani-garcia/vaultwarden/discussions/2944).


    Das ist kein Problem, wenn man nur die Weboberfläche nutzt oder das auch nur für sich privat betreiben will. Sobald man aber mehrere Nutzer hat, muss man sehr genau darauf achten, dass niemand seine Clients aktualisiert, bevor das nicht mit dem Vaultwarden-Server getestet wurde.


    Dass die Clients für Smartphones oder Browser-AddOn irgendwann auch vom Vaultwarden-Projekt geforkt und selbst gepflegt werden, wird bis auf weiteres nicht der Fall sein.


    Ansonsten siehe dazu auch diesen Beitrag im Bitwarden-Forum: https://community.bitwarden.co…rden-vs-vaultwarden/42327


    Daher würde ich generell auch eher zu Bitwarden raten, wenn man das produktiv für den regulären Einsatz braucht - erst recht, wenn man das nicht nur für sich alleine nutzen will, sondern auch für andere Nutzer bereitstellen möchte. Dass nicht alles kostenlos ist, mag man als Nachteil sehen - aber am Ende müssen auch Open Source Projekte finanziert werden und freiwillige Spenden alleine funktionieren da in der Regel nicht (ich spreche aus eigener Erfahrung).

    Entschulde bitte, wenn ich hier so direkt bin, es ist nicht persönlich gemeint, sondern nur meine Meinung dazu.


    Ich halte die Idee von Krypto-Währungen, für die Strom und zuerst massiv Rechenleistung und jetzt eben massiv Speicherplatz verbraten wird, für eine Umweltsauerei erster Güte.


    200 TB Speicherplatz werden aufwendig produziert und einer anderen Nutzung entzogen. Man kann natürlich argumentieren, dass jede mit seinem Geld machen kann, was er will, solange er nichts verbotenes tut - aber die Auswirkungen sind durchaus spürbar. Als Grafikkarten für Mining noch attraktiv waren, sind die Preise zeitweise extrem nach oben gegangen und die Hersteller sind mit Lieferungen von Hardware kaum hinterhergekommen. Das wird jetzt mit Festplatten und SSDs genauso laufen - wer sie "nur" als normalen Speicher braucht, muss halt den gestiegenen Preis wegen Kryptominern bezahlen ohne, dass er was davon hat.


    Zudem bringen die Krypto-Währungen exakt gar nichts außer Gewinne mit Spekulation - die erwähnten 30 EUR pro Monat sind ja Einnahmen, die nur dadurch entstehen, dass man mit dem Speicherplatz neue Coins irgendeiner Kryptowährung erzeugt, für die man dann Geld bekommt. Gewissermaßen Kapitalismus pur. Man kauft sich Hardware und bekommt dann Geld dafür, dass die Hardware existiert und irgendas produziert, was niemandem etwas bringt, außer Spekulationsgewinne - sonst würde niemand die Kryptowährung kaufen.


    Lustigerweise ist die ursprüngliche Idee, dass man so eine Alternative zum Bankensystem und Fiat-Geld hat, komplett untergegangen - denn Fiat-Geld will der Miner ja auch weiterhin haben - eben den Erlös, den er sich dann sehr wohl in USD oder EUR auszahlen lässt. Alternativ hortet er die Währung in der Hoffnung, sie dann eben in der Zukunft möglichst gewinnbringen verkaufen zu können.


    Und zum angegebenen Bedarf: 95 kWh (bei 130 Watt, 24/7, 30,5 Tage) pro Monat, die man auch anderweitig einsetzen kann nur für sowas zu verbrauchen - muss das sein? Ja, es ist die eigene Solaranlage, schon klar - aber wir sollten als Gesellschaft insgesamt schon eher daran arbeiten, regenerative Energien dafür zu nutzen, auf Kohle, Gas und Atom verzichten zu können, statt ausgerechnet Kryptomining damit zu machen. Mit 130 Watt Grundlast kann ich hier schon fast den kompletten Zwei-Personen-Haushalt zur Hälfte versorgen.

    Problem gelöst - selbst schuld :(


    Ausführlicher:


    Ich nutze OnlyOffice in Nextcloud jetzt schon über ein Jahr. OnlyOffice läuft als lokaler Webserver mit eigenem Port. Davor sitzt Apache als Proxy für HTTPS.


    Auf dem ursprünglichen Server hatte ich zur der offiziell dokumentierten Proxy-Konfiguration noch ProxyTimeout 10 hinzugefügt, weil ich anfangs Probleme damit hatte, dass der Editor im Browser Verbindungen aufgebaut, aber scheinbar nie wieder zugemacht hat, auch wenn man ihn die Datei schon längst geschlossen hatte. Bei dem Test mit dem VPS habe ich genau diese Konfuguration auch 1:1 übernommen, denn ich wollte ja wissen, ob es nur am Server liegt.


    Genau diese Einstellung hat nun aber dafür gesorgt, dass bei Änderungen in der Datei (und nur dann) die dafür erzeugte Verbindung verloren gegangen ist, so dass der Editor logischerweise irgendwann meckert, weil die Verbindung weg ist. Ob es nun seitens OnlyOffice so schlau ist, HTTP-Verbindungen über mehr als 10 Sekunden lang offen halten zu müssen, sei mal dahingestellt - aber nachdem ich diese Einstellung entfernt habe, läuft es wieder völlig fehlerfrei.


    Aufgefallen ist mir das, als ich den "guten" mit dem nicht funktionierenden Server nochmal genau verglichen hatte und bei dem "guten" Server eben jene Einstellung nicht enthalten war.

    Testweise habe ich es mit einem VPS 500 G8 probiert auf dem außer dem OnlyOffice Documentserver nichts anderes lief.


    Auch hier das selbe Spiel: sobald Änderungen an den Documentserver gesendet werden, kommt irgendwann eine Fehlermeldung wegen Verbindungsabbruch. Es spielt auch keine Rolle, ob ich OnlyOffice 5.4, 5,5 oder 5.6 nutze - die Verbindung bricht zuverlässig und reproduzierbar ab.


    Mit dem anderen Server bei der Konkurrenz läuft es dagegen absolut stabil. Allerdings ist das auch ein echter Root-Server und nicht nur eine virtuelle Maschine.

    Ich habe jetzt noch eine virtuelle Kiste woanders bestellt, die ich wahrscheinlich am Montag einrichten kann, dann weiß ich vielleicht mehr.

    Ich weiß aber ganz sicher, dass bis vor einigen Monaten auch bei Netcup problemlos funktioniert hat. Daher frage ich mich, was sich seitdem geändert haben könnte.


    Irgendeine Idee?

    Aktuell kämpfe ich mit folgendem Problem: Nutzung des OnlyOffice Document Server auf einem Root-Server (RS 4000 SAS G8SE a1).


    Sowohl bei der Verwendung in einem Docker-Container wie auch "nativ" auf dem Server selbst, gibt es bei der Nutzung der Nextcloud-Integration reproduzierbar diesen Fehler nach -2 Minuten, wenn man Änderungen in Spreadsheets vornimmt:


    pasted-from-clipboard.png


    Dieser Fehler tritt nachweislich nicht auf, wenn exakt die selbe Version von OnlyOffice Document Server in einem Docker-Container auf einem Root-Server der Konkurrenz läuft.


    Leider kann ich den Fehler nicht genauer eingrenzen - alles andere läuft auf dem Server fehlerfrei - u.A. Apache mit ca. 40 Websites, MariaDB, Dovecot, Postfix. Der Server ist auch nicht sonderlich ausgelastet, CPU-Last bei ca. 5-10%, Load meist unter 0,5 und 22 GB RAM frei.


    In der Vergangenheit gab es mit OnlyOffice nie große Probleme - allerdings habe ich den Server innerhalb von Netcup vor einiger Zeit umgezogen eben auf diesen RS 4000 SAS G8SE a1, seit dem spinnt OnlyOffice rum. Selbst die alte Version, die ich früher auf dem anderen Server verwendet habe, macht in dieser Umgebung diverse Probleme. Daher bleibt als einzige Möglichkeit, dass es speziell in dieser Umgebung irgendein Problem gibt.

    Im SCP zu meinem Root-Server wird seit einiger Zeit angezeigt, ich sollte eine Speicheroptimierung ausführen. Wenn ich aber unter "Medien" nachsehe, wird an der unter "Speicher optimieren" diese Meldung angezeigt: "Es sind bereits andere Optimierungen am Laufen, daher kann auf dem Wirtssystem keine weitere Optimierung gestartet werden. Bitte zu einem späteren Zeitpunkt erneut versuchen." - siehe auch nachfolgenden Screenshot. Die Meldung verschwindet auch nicht, wenn ich den Server herunterfahre und komplett ausgeschaltet habe. Soll ich den Support kontaktieren oder verschwindet das von selbst?


    pasted-from-clipboard.png


    Verabschiede Dich von dem Gedanken, an Microsoft-Adressen von einem eigenen Rootserver aus dauerhaft E-Mail zustellen zu können!


    Microsoft sperrt nicht deine spezifische IP-Adresse sondern immer ganze Netzwerkblöcke. Wenn also irgendjemand anderer mit Microsoft ein Problem hat und dein Server dummerweise im selben /24er-Netzwerkblock liegt, bist Du auch gesperrt.


    Die Sperre dauerhaft aufgehoben zu bekommen, ist faktisch unmöglich. Und selbst wenn man nicht explizit gesperrt ist, führt Microsoft sehr oft auch "black holing" durch - die Mails werden nicht abgelehnt, kommen aber trotzdem nie an - ich kenne das aus eigener Erfahrung.


    Die einzig sinnvolle Lösung ist es, einen externen SMTP-Dienstleister zu nutzen, der bei Microsoft nicht so einfach gesperrt wird, wie z.B. Mailjet oder Sendinblue. Das geht auch kostenlos, wenn man nicht mehr als 200 Mails pro Tag zustellen muss.


    Ich habe dazu auch schon mal eine Anleitung in diesem Forum gepostet, wie man für Postfix einrichten kann, so dass nur Mails an Microsoft über externe Server geschickt werden - denn GMail, GMX, web.de usw. sind da nicht so problematisch: Workaround für Mails an Adressen bei Microsoft

    Schon bei netcup, war halt ein Aktionsangebot aus dem Adventskalender. So ähnliche Angebote gibts hier aber bestimmt 3-4 Mal pro Jahr. Ich denk mal netcup wird über kurz oder lang komplett auf SSD umsteigen. Aber das werden die anderen genauso machen.

    Solche "Aktionsangebote" taugen aber nicht als Referenz, wenn es darum geht, was Netcup generell für bestimmte Server verlangt.


    Aktuell zählt für Rootserver nur das hier: https://www.netcup.de/vserver/


    Und da kostet ein Server mit 320 GB SSD 14 EUR im Monat, das Modell mit 800 GB dann 27 EUR im Monat und bei 2 TB sind es 44 EUR im Monat.


    Ich selbst nutze derzeit eine Variante RS 4000 SAS G8SE a1 mit 960 GB SAS, 6 Kernen und 32 GB RAM für 22,99 EUR im Monat. Eigentlich hatte ich vor, in den kommenden Monaten noch ein zweites System dieser Art für bessere Ausfallsicherheit anzumieten und als Hot-Standby bereitzuhalten mit Synchronsation von Mailserver, Nextcloud etc.. Die Idee ist, beim Ausfall eines Servers idealerweise innerhalb weniger Minuten den Betrieb ohne Einschränkungen fortführen zu können - eine Failover-IP ist schon eingerichtet.


    Das vergleichbarste Angebot RS 4000 G9 kostet aber schon 4 EUR mehr monatlich und hat dafür 160 GB weniger Speicherplatz :-(. Die SSD-Performance brauche ich aber ganz sicher niemals. Und Storage dazu mieten ist ebenfalls sinnfrei, weil es ja genau darum geht, die komplette Umgebung redundant zu haben.


    Zumindest existiert der Link https://www.netcup.de/bestellen/produkt.php?produkt=2359 noch - ist aber auf der Übersicht nicht mehr genannt. Bedeutet das jetzt, dass es RS 4000 SAS nicht mehr gibt oder könnte man den über den Link dennoch bestellen?

    Generell finde ich es schon sehr "frech" seitens Netcup den Kunden einfach auf STARTTLS zu verweisen, wenn er doch SSL nutzen möchte. Wenn man dem Privacy Handbuch glauben kann (und das tue ich), dann ist STARTTLS nicht zu bevorzugen.

    Auch STARTTLS ist bezüglich der Login-Daten sicher, wenn der Client auf jeden Fall STARTTLS probiert und abbricht, wenn das nicht klappt. Unsicher wäre es dann, wenn ein Client trotz Einstellung "STARTTLS verwenden" es auch akzeptiert, wenn der Server STARTTLS nicht annimmt.

    He wants to express: There is no smarthost for this use case. If you don't want to use a mail service on your current VPS, you can always book another VPS that fulfills this purpose. In that case please be aware, that you should comply with all necessary standards and also take part in Microsoft JMRP and alike.


    Eventhough the original question is solved, just a few words about Microsoft:


    Microsoft will block your server sooner or later because someone else in the same /24 subnet may have a problem with spam and Microsoft will the block the whole subnet and not just the single IP address of the server.


    When you sign up to the JMRP (Junk Mail Reporting Partner Program) and SNDS (Smart Network Data Services) this will not help you either - you will then just be notified when your server get's blacklisted. But getting the server out of the blacklist again will always take a couple of days or even weeks and usually this will only last for a couple of weeks or months before blacklisting starts again.


    Therefore you should not run your own mailserver to send e-mail to Microsoft domains at all (hotmail.com, hotmail.co, hotmail.co.uk, hotmail.net, hotmail.dk, hotmail.se, hotmail.fr, hotmail.it, hotmail.de, hotmail.org, outlook.com, outlook.org, outlook.co, outlook.de, outlook.eu, live.com, live.co.uk, live.org, live.de). If you want to run an online shop etc. and need to send e-mails to your customers then get an account at Mailjet, Sendgrid, Postmark etc. and use their services to send mail for you. These services also offer integrations to Postfix, so you can still have your own mailserver to receive mail but use the SMTP provider for you transactional mails to customers.


    Die Datei muss ".htaccess" heissen und nicht ".htacsess".


    Und was soll das werden?


    Eine Umleitung von HTTP auf HTTPS und direkt danach von HTTPS auf HTTP - das ergibt keinen Sinn.


    Und was soll "Remove index.php from URLs" bewirken? Wie die Umleitung genau aussehen muss, hängt von der Anwendung ab. Kann index.php denn damit umgehen, dass ein Pfad angehängt wird?


    Normalerweise würde man von HTTP auf HTTPS so umleiten - unter Berücksichtung von Let's Encrypt was unbedingt(!) per HTTP auf /.well-known kommen muss:


    Apache Configuration
    RewriteEngine on
    RewriteCond %{SERVER_PORT} 80
    RewriteCond %{REQUEST_URI} !^/\.well-known/.*
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

    richtig, ich hab keines, was die Problematik mit Microsoft angeht;:P

    Schön für Dich. Und wenn Du auch bei GMX, web.de, T-Online, Verizon etc. ebenfalls gesperrt wirst, ist Dir das vermutlich auch egal.


    Meine Nutzer haben aber ein Problem, denn die können es sich nicht aussuchen, wo ihre Kommunikationspartner - was auch zahlenden Kunden sein können - eine E-Mail-Adresse haben. Da muss die Zustellung einfach funktionieren.

    Ja, wenn man einen Server nur für sich privat betreibt, ist das sicher machbar. Wenn man aber auch andere Nutzer dort hat oder einen Online-Shop etc. betreibt, ist das keine Lösung. Und rspamd nimmt - im Gegensatz zu SpamAssassin mit amavisd - E-Mails ja eben NICHT an, wenn die Spam sind, sondern lehnt die aktiv schon bei der Zustellung mit 5xx-Fehler ab.

    das mache ich auch; weil bei einer doofen Skript-Kiddie-IP bleibt es nicht ...

    D.h. wenn ein anderer Kunde bei Netcup Mist baut, hast Du kein Problem damit, dass dein Server dann auch auf Blacklists landet, weil er blöderweise im gleichen Provider-Subnetz steht? Oder hast Du ein eigenes /20er- oder /22er-IPv4-Netz für Dich? IPv6 nimmt Microsoft bislang ja nicht an.

    Hättest du ein paar Tipps/Links wie man das am besten bewerkstelligt bzw. worauf man da zu achten hat? Macht dmarc da keine Probleme?

    Im Detail kommt es auf den Anbieter an, wie der das im Detail realisiert. Aber die grundlegenden Dinge sind eigentlich immer ähnlich:


    Bei SPF muss zusätzlich der oder die Server des Anbieters als zulässiger Absender drinstehen oder dessen SPF-Regeln eingebunden werden.


    Bei DMARC ändert sich nichts, weil dieser Eintrag im DNS ja nicht festlegt, wer schicken darf, sondern nur, wie mit Fehlern bei SPF/DKIM umgegangen werden soll.


    Für DKIM habe ich einen zusätzlichen Key im DNS eingetragen, wobei der selector mit vom Mailversender vorgegeben wurde. Das ist nötig, da der Mailversender selbst alles neu signiert und der Empfänger diese Signatur mit einem öffentlichen Key meiner Domain prüfen können muss.


    Das sieht dann beispielhaft z.B. so aus für meine eigene Domain:


    https://arnowelzel.de/tools/dn…?dns_domain=arnowelzel.de


    Und hier die DKIM-Keys einmal für meinen eigenen Server (DKIM-Selector "default") und den von Mailjet (DKIM-Selector "mailjet")für die Mails, die darüber laufen:


    https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de


    https://arnowelzel.de/tools/dn…._domainkey.arnowelzel.de


    Wenn Mailjet Mails für meine Domain schickt, sind auch die korrekt signiert und nach SPF auch zulässig. Ich kann aber weiterhin auch direkt über meinen Server etwas schicken.


    Es sollte bekannt sein, dass Microsoft eben nicht einzelne Server sperrt, sondern ganze IP-Netzwerke (Fehlercode S3150).


    Wenn also bei Netcup ein einziger Kunde seinen Server nicht im Griff hat, sind leicht einige dutzend oder hunderte anderer Kunden betroffen.


    Ich betreibe selbst seit vielen Jahren Server und mache das auch beruflich. Ein von mir betroffener Mailserver ist korrekt eingerichtet, rDNS für den Namen ist identisch zum Hostnamen mit dem der Server Mails ausliefert, SPF, DKIM und DMARC sind vorhanden, mail-tester.com meldet 10/10 und mxtoolbox.com findet auch keine Fehler. Auch steht der Server auf keiner öffentlichen Blacklist (geprüft mit http://multirbl.valli.org/).


    Dummerweise habe ich aber den Fehler gemacht, den Server umzuziehen, wodurch der Mailserver auch eine neue IP-Adresse bekommen hat. Und diese Adresse ist bei Microsoft seit mittlerweile einen Monat gesperrt (zumindest sagt SNDS das so, wo ich natürlich auch angemeldet bin, ebenso wie beim JMRP).


    Allerdings ich schicke schon seit mehreren Wochen garantiert gar keine E-Mail direkt an Microsoft-Server, weil ein transport in Postfix dafür sorgt, dass E-Mails an ein der diversen Domains von Microsoft über einen anderen SMTP-Dienstleister als Relay geleitet werden. Und ja, die SPF-Angaben sind natürlich entsprechend konfiguriert, dass der andere Server des Dienstleisters für die Domains auch schicken darf und DKIM-Signaturen passen ebenfalls. Die so geschickten E-Mails kommen auch problemlos bei Microsoft an.


    Aber die Sperre des Servers? Die wird wohl ewig bestehen bleiben, da ich ja keine Einfluss darauf habe, welche anderen Server im IP-Bereich von Netcup möglicherweise ein Problem haben. Solange Microsoft diese Praxis beibehält, wird sich da auch wenig ändern.


    Daher kann ich letztlich Betreibern von Online-Shops auch nur raten, für E-Mail-Versand gleich Dienstleister wie Mailjet, Sendinblue, Postmark etc. zu verwenden und den eigenen Mailserver primär nur den Mailempfang zu verwenden.

    Hallo zusammen,


    nun ich Schreibe jetzt mal hier rein da es das neuste zu S3150 ist. Kann mir hier jemand sagen warum das SPAM Problem hier so groß ist.

    Ich bin erst kurz hier habe aber noch nie so große Probleme mit Spam gehabt erst mit der Einrichtung IP, dann habe ich mir eine Zusatz IP geholt aber auch hier kommt keine Mail an MS an. Da ich zwei Shops betreibe kommt netcup für mich so nicht in Frage und ich muss wieder meinen managed PS 2000 SSD G8 Kündigen, obwohl ich mit der Erreichbarkeit und allen anderem sehr zufrieden bin.


    Für einen Shop ist es ohnehin sinnvoll, einen Anbieter für "Transactional Mail" zu verwenden, der dann auch die Zustellbarkeit garantiert. Genau das ist auch meine Lösung für Microsoft-Adressen, eben weil Microsoft gerne ganze Netze sperrt. Anbieter wie Mailjet, Postmark oder Sendinblue bieten für geringe Volumen kostenlose Zugänge und selbst wenn man bezahlen muss, geht das schon ab 7-8 EUR monatlich los für 40000 Mails pro Monat.