Posts by mavmedia

    Danke für den ganzen Input bisher, das hat mir auf jeden Fall schon sehr geholfen :)

    Ob das Kontaktformular noch zeitgemäß ist, steht natürlich auf einem anderen Blatt geschrieben.

    Aufgrund von Lernzwecken würde ich euch gerne trotzdem nochmal um Rat bzgl. serverseitiger Validierung der Usereingaben bitten.


    Ich habe mir jetzt ein Script mit PHPMailer zusammengebastelt, welches den Userinput prüft und dementsprechend dann eine E-Mail schickt (siehe Anhang).

    Nach meinem aktuellen (recht vagen) Kenntnisstand sollten solche Plausibilitätschecks in zwei Schritten erfolgen:

    1. Escape

    2. Validate


    Dazu werden mit der Funktion escapedata() sämtliche Whitespaces und Backslashes entfernt sowie alle Specialchars in Entities umgewandelt. Mit validate() wird dann noch die Länge der Parameter überprüft.


    Jetzt folgende Fragen:

    1. Sind solche Checks ausreichend, um ein gesundes Maß an Sicherheit zu erreichen? Was ist eurer Meinung nach ausreichend, bzw. wie geht ihr hier vor?

    2. Könnte ich mir den Aufruf von htmlspecialchars() nicht sparen? Die Mail sende ich ja nicht im HTML-Format, wodurch die große Gefahr ja schonmal gebannt sein müsste. Wenn ein User im Formular nun aber z.B. < oder > nutzt, wird die Mail auch zusätzlich noch schwer lesbar.



    Herzlichen Dank schonmal für eure Zeit :)


    contact.php.txt

    Sorry wenn ich hier deinen Thread kurz kapere Georg


    Ich habe selbst ein PHP Kontaktformular, welches dann entsprechend eine über SMTP eine E-Mail weiterschickt.


    Das Skript selbst kriegt seine Daten über ein Post Request beim Ausfüllen der Form.

    Jetzt ist mir gerade ein Gedanke bzgl. Sicherheit gekommen, den ich mir nicht erklären konnte.

    Was hindert potenzielle Angreifer daran, mein Skript zum Versenden von Spam zu missbrauchen?

    Es müsste doch lediglich ein Post-Request gefälscht werden und an dasd Skript weitergereicht werden.

    Ich müsste doch daher irgendwie in PHP prüfen, ob denn das Post-Request legitim ist, z.B. ob der Referrer meine Domain ist.

    Oder denke ich hier falsch?


    Würde mich über Tipps/Ideen freuen.

    und genau das kannst aber selbst beeinflußen ...

    (nur eine Frage des Aufwands, und ob man es denn will)

    In Thunderbird müsste das recht einfach durch einen weiteren Parameter in der Konfig gehen: general.useragent.override

    Lässt man den String leer, dann wird kein User Agent mehr geschickt

    Weiß jemand, ob es möglich ist, aus einem bestehenden Webhostingtarif heraus auf einen Tarif aus dem Osterangebot zu upgraden?

    Hi,


    hier ein paar Artikel, um die ganzen Verfahren mal grob zu erklären:

    https://www.ionos.de/digitalgu…t/was-ist-ein-spf-record/

    https://www.digicomp.ch/blog/2…rc-verstaendlich-erklaert


    Diese Einträge kannst du in den DNS-Einstellunge deiner Domain setzen und anpassen.

    Vielleicht hilft dir auch hier der Beitrag weiter: https://forum.netcup.de/anwend…/9656-spf-dkim-und-dmarc/


    Ein ganz gutes Tool, um fehlerhafte Einstellungen zu erkennen, ist https://www.mail-tester.com/

    Keine Sorge, jeder hat mal irgendwo angefangen :)

    Hast du für die Wordpressinstallation das Toolkit genutzt oder alles manuell installiert? Leider habe ich nur Erfahrungen mit der manuellen Installation. Falls jedoch durch das Toolkit zwei neue Datenbanken automatisch angelegt wurden und diese direkt mit den entsprechenden Installationen verknüpft wurden, sollte es keine Probleme geben. Zur Kontrolle kannst du ja immer mal schauen, welche Datenbank genau in deiner wp-config.php der jeweiligen WP-Installation hinterlegt ist.


    Um deine Seite mit Lets Encrypt-Zertifikaten zu versorgen, musst du zweierlei Dinge erledigen:

    1. Unter den Domaineinstellungen > Let's Encrypt ein Zertifkat für deine Domain und am besten alle Subdomains beantragen. Soweit ich das verstanden habe, hast du das ja bereits erledigt.

    2. In deinen Hostingeinstellungen unter "Sicherheit" muss SSL noch aktiviert werden ("SSL/TLS-Unterstützung"). Denke auch daran, den Haken bei "Dauerhafte, für SEO geeignete 301-Weiterleitung von HTTP zu HTTPS" zu setzen, damit alle Besucher automatisch zu SSL umgeleitet werden. Als letztes musst du aus dem Dropdown-Menü noch dein Let's Encrypt Zertifikat auswählen. Dann sollte alles passen und SSL müsste aktiv sein.


    Wichtig ist noch anzumerken, dass du in den Wordpresseinstellung auch die https://-Version deiner Seite als URL hinterlegt hast, da es sonst zu Problem kommen kann.

    Folgende Antwort habe ich vom Netcup-Support bekommen:

    Quote


    Unsere Dienstleistungen werden stetig aktualisiert und davon ist auch das System auf welchem Ihr Webhosting basiert nicht ausgenommen. Mit den anstehenden Upgrade des Betriebssystems wird sich auch in der TLS Konfiguration einiges ändern. Zum Beispiel wird TLS 1.0 und TLS 1.1 nicht mehr zur Verfügung stehen. Folgende Suite wird dann auch bei den von Ihnen genutzten E-Mail System per Standard ausgeliefert: https://ciphersuite.info/cs/TL…CHACHA20_POLY1305_SHA256/ Bevor wir die Systeme aktualisieren erhalten Sie von uns einen Newsletter.

    Nach einer Nachfrage bezüglich des zeitlichen Rahmens in dem die angekündigten Änderungen umgesetzt werden, wurde mir mitgeteilt, das obige Änderungen in den kommenden Wochen umgesetzt werden. Bin sehr gespannt auf die Umstellung.

    Hallo zusammen,


    ich habe eine schnelle Anfängerfrage zum Webmailer.

    In den E-Mail-Einstellungen des Webhostings lässt sich ja der Server für den Webmailer domainweise auswählen bzw. auf "Ohne" setzen.


    Was hat die Option "Webmailer 01" für einen Nutzen? Unabhängig der tatsächlich ausgewählten Option lässt sich das Postfach über jegliche zur Verfügung gestellten Roundcube-Interfaces abrufen.


    Wäre super, wenn mir das jemand kurz erklären könnte.

    Vielen Dank schonmal

    Herzlichen Dank für die ausführliche Antwort. Das erklärt sehr gut, warum ein modernes Setup nicht auf diese Funktion angewiesen ist. Wieder etwas gelernt :) Ich habe diesen Thread mal beim netcup-Support eingereicht, in der Hoffnung hierzu eine Stellungnahme zu bekommen, wieso dann trotz Kompatibiliätseinstellungen keine sicheren Suites bevorzugt werden.

    Hallo,

    ich bin Neukunde bei netcup (Webhosting 4000) und soweit sehr zufrieden mit der Performance und dem überaus attraktiven Preis-/Leistungsverhältnis.

    Eine Sache verunsichert mich jedoch, die ich so bei vorherigen Hostern als selbstverständlich erachtete, nämlich die sichere Konfiguration der Mailserver.

    Beim Überprüfen der TLS-Konfiguration der E-Mails mit dem Tool hardenize.com, bin ich auf folgende fragwürdige Einstellungen gestoßen:

    - Der Server schlägt keine eigene Cipher-Suite vor, die bevorzugt genutzt werden soll. Welchen Hintergrund hat das? Wieso werden Suites mit ECDHE oder DHE nicht bevorzugt?

    - Der Server unterstützt den Schlüsselaustausch DHE mit 1024 Bit. Spätestens seit der Logjam-Attacke 2015 werden hier Gruppen mit mindestens 2048 Bit empfohlen (https://weakdh.org/sysadmin.html).

    - Es wird noch TLS 1.0 und 1.1 unterstützt, jedoch kein TLS 1.3. Wie sind diesbezüglich die Planungen? Alle großen Browserhersteller schalten in der ersten Jahreshälfte 2020 die als unsicher geltenden Versionen TLS 1.0 und 1.1 ab, weswegen ich keinen Grund sehe, wieso diese alten Protokollversionen weiter unterstüzt werden sollten.


    Vielen Dank im Voraus für eure Antworten und Hilfe.

    Liebe Grüße