Das ist eben das Problem, da brauche ich weitere externe Systeme. Aber schön, das es prinzipiell klappt.
Brauchst du das nicht in jedem Fall, wenn du Erreichbarkeit von außerhalb garantieren willst?
Posts by cltrmx
-
-
Netcup findet das scheinbar ok so, weil "E-Mails kein Echtzeitmedium sind"
Ich verstehe den Unmut und stimme voll und ganz zu: Die Bearbeitung der Mails durch den Spamfilter/den Server sollte nicht im Minutenbereich liegen.
Dass 5 Sekunden/2 Minuten/welche Zeitspanne auch immer keine Echtzeitbedingungen halten können, ist aber ein hartnäckiger und verbreiteter Irrglaube. "Echtzeit" heißt lediglich, dass die Anfrage in einer fest vorgegebenen Zeitspanne verarbeitet werden muss:
QuoteUnter Echtzeit versteht man den Betrieb eines Rechensystems, bei dem Programme zur Verarbeitung anfallender Daten ständig betriebsbereit sind, derart, dass die Verarbeitungsergebnisse innerhalb einer vorgegebenen Zeitspanne verfügbar sind. Die Daten können je nach Anwendungsfall nach einer zeitlich zufälligen Verteilung oder zu vorherbestimmten Zeitpunkten anfallen.
-
Irgendein Programm wird da schon dauerhaft auf deinem Server laufen müssen damit sowas geht…
Jein. Geht auch ohne Programm, was irgendwo dauerhaft läuft. Ich hab vor einiger Zeit mal suri auf Github gefunden, das kann auch mit einem einfachen Webspace einen URL-Shortener realisieren - zum Update müssen dann aber irgendwo neue statische Dateien gebaut und auf dem Webspace aktualisiert werden.
-
Die IP aus deinem Log-Auszug gehört laut whois auf jeden Fall zu Vodafone/Unitymedia:
QuoteDisplay More$ whois 2a02:0908:0f68:c640:0211:32ff:fee4:18ed
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '2a02:908::/32'
% Abuse contact for '2a02:908::/32' is 'abuse@unitymedia.de'
inet6num: 2a02:908::/32
netname: DE-KNRW-20090121
country: DE
org: ORG-iGCK3-RIPE
abuse-c: UMAB-RIPE
admin-c: UMAC-RIPE
tech-c: UMTC-RIPE
status: ALLOCATED-BY-RIR
mnt-by: RIPE-NCC-HM-MNT
mnt-by: UNITYMEDIA-MNT
mnt-lower: UNITYMEDIA-MNT
mnt-routes: UNITYMEDIA-MNT
mnt-domains: UNITYMEDIA-MNT
created: 2009-01-21T09:36:59Z
last-modified: 2021-03-01T10:28:42Z
source: RIPE # Filtered
organisation: ORG-iGCK3-RIPE
org-name: Vodafone NRW GmbH
country: DE
org-type: LIR
address: Aachener Str. 746 - 750
address: 50933
address: Koeln
address: GERMANY
phone: +49 2273 605 8567
fax-no: +49 221 2991 9002
fax-no: +49 2273 605 4339
admin-c: MH3982-RIPE
admin-c: HZ1532-RIPE
abuse-c: UMAB-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: UNITYMEDIA-MNT
mnt-by: RIPE-NCC-HM-MNT
mnt-by: UNITYMEDIA-MNT
created: 2004-04-17T11:09:24Z
last-modified: 2020-12-16T13:10:25Z
source: RIPE # Filtered
role: Unitymedia Administration
address: Vodafone NRW GmbH
address: Aachener Strasse 746-750
address: D-50933 Koeln
admin-c: MH3982-RIPE
admin-c: HZ1532-RIPE
tech-c: UMTC-RIPE
nic-hdl: UMAC-RIPE
abuse-mailbox: abuse@unitymedia.de
mnt-by: UNITYMEDIA-MNT
mnt-by: KabelBW-MNT
created: 2009-07-10T11:13:10Z
last-modified: 2021-01-25T10:00:01Z
source: RIPE # Filtered
role: Unitymedia Technical Contact
address: Vodafone NRW GmbH
address: Aachener Strasse 746-750
address: 50933 Koeln
address: Germany
admin-c: UMAC-RIPE
admin-c: UMAB-RIPE
tech-c: MH3982-RIPE
tech-c: HZ1532-RIPE
nic-hdl: UMTC-RIPE
abuse-mailbox: abuse@unitymedia.de
mnt-by: UNITYMEDIA-MNT
mnt-by: KabelBW-MNT
created: 2009-07-10T11:13:10Z
last-modified: 2021-01-25T09:59:13Z
source: RIPE # Filtered
% Information related to '2a02:908::/33AS20825'
route6: 2a02:908::/33
descr: Unitymedia
origin: AS20825
mnt-by: UNITYMEDIA-MNT
created: 2016-02-11T13:23:16Z
last-modified: 2016-02-11T13:23:16Z
source: RIPE
% Information related to '2a02:908::/33AS3209'
route6: 2a02:908::/33
descr: Vodafone West
origin: AS3209
mnt-by: UNITYMEDIA-MNT
created: 2021-03-05T00:43:50Z
last-modified: 2021-03-05T00:43:50Z
source: RIPE
% Information related to '2a02:908::/33AS6830'
route6: 2a02:908::/33
descr: Unitymedia
origin: AS6830
mnt-by: UNITYMEDIA-MNT
created: 2016-02-11T14:57:27Z
last-modified: 2016-02-11T14:57:27Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.100 (BLAARKOP)
-
Display Morewäre das nicht evtl. eine Lösung?
pasted-from-clipboard.pngich kann einen revers dns eintrag zu meiner festen IP von vodafone hinzufügen lassen. Dann müsste das Problem doch eigentlich erledigt sein, oder?
vielen Dank für die Hilfe.
Wäre ich bestimmt alleine nicht drauf gekommen
Einen schönen Abend.
Bob
Falls das sowohl für IPv4 als auch für IPv6 möglich ist und du auch deine "Host"-Einstellung auf der Synology-Kiste einstellen kannst, könnte es gehen.
Ich schließe mich aber TBT an: Zu hause einfach keinen Mailserver hosten (auch nicht mit Synology Software) -> Das macht eher mehr Probleme, als es löst.
-
Schnellschuss-Idee: Dein Kabel-Anschluss hat eine IP aus einem Bereich, der von den großen Providern als "Privatanschluss" identifiziert wird. Mails werden aus diesen Bereichen von den meisten großen Anbietern automatisch als Spam zurückgewiesen.
Edit:
QuoteMTA helo: xyz.de, MTA hostname: unknown[2a02:0908:0f68:c640:0211:32ff:fee4:18ed] (helo/hostname mismatch)
Deutet für mich darauf hin, dass die IP-Adresse deines Anschlusses (logischerweise) keinen passenden reverse DNS Eintrag hat (der zu xyz.de passt). Das lässt sich an einem privaten Anschluss auch nicht ändern (denn dies müsste dein ISP für dich erledigen).
-
Ah, die Begründung ist natürlich einleuchtend.
QuoteStartpage.com hat einen Fehler festgestellt. Bitte versuche es erneut. Vielen Dank für dein Verständnis und deine Geduld.
-
-
Soweit mir bekannt sollte das bei vservern/root servern möglich sein. Da werden keinerlei Ports blockiert.
-
Viele Tools zum Testen der DNS-Infrastruktur empfehlen auch, dass beide DNS-Server in unterschiedlichen AS liegen. Kann ich auch nur empfehlen!
-
Gegenfrage: Was genau sollen die DNS-Server(-Instanzen) denn können? Siehe Vergleichsmatrix.
Die Vergleichsmatrix ist aber nicht vollständig. Es fehlt meine Empfehlung: CoreDNS.
-
Wer meint, er hätte ein schweres Los, der möge sich dieses einmal zu Gemüte führen–Schlimm, das! [Klicken auf eigene Gefahr]
Mir ist als erstes die Korrelation zwischen dem schweren Los und der hohen Anzahl an Ausrufezeichen aufgefallen. Scheinbar ist es wichtig, dass jeder Satz mit einem endet!
-
Es gibt ein Workaround, den ich seit einigen Monaten so selber erfolgreich auch auf meine Webseiten so anwende.
Wenn man zufälligerweise einen Server-Monitoring-Dienst, wie z.B. den vom Anbieter serverg****24.de verwendet, der auch in der Lage ist, auf der betroffenen Webseite nach einer bestimmten vorhandenen Textzeile im Header und auch auf der Webseite selber zu suchen, und dieser Dienst alle 5 Minuten nach dieser Textzeile sucht, ist dieses Problem beseitigt, da dieser Dienst die Webseite so aufsucht, wie es auch ein normaler Nutzer tun würde.
Also ist der Workaround im Grunde, dass ein externer Dienst den Cache des Hostings warmhält?
-
Wenn man docker verwenden will, braucht man sowieso was größeres, so wie da mit dem Festplattenplatz umgegangen wird.
Hab auf mehreren VPS 200 G8 Docker am laufen, das geht schon gut, wenn man es nicht übertreibt :).
-
...macht man nur zu Hause und hinter einem NAT, nicht im Internet. Man lernt ja auch nicht mit einem Ferrari auf der Rennstrecke Autofahren.
Er hat ja nicht gesagt, dass er die Systeme direkt ans öffentliche Netz routen möchte oder? Vielleicht läuft auf dem Host ja eine Firewall(-VM), die auch NAT machen kann.
-
Soweit ich weiß, muss dafür durch den Support ein (kostenpflichtiges) Flag auf dem Host gesetzt werden, damit die Kerne nested Virtualization können. Das geht scheinbar nur auf manchen Host-Systemen und nicht bei allen.
Ich empfehle zum Herumspielen einfach eine lokale Installation von KVM. Das funktioniert auf nahezu jedem Linux-System und ist recht einfach einzurichten. Nested KVM zusammen mit VirtualBox habe ich auch schon mal am Laufen gehabt (da braucht man nur entsprechend viel RAM).
-
doch, Passwörter unter der Tischmatte, schau ich mir an, wie Du da 'ran kommst, ohne
die Bude zu stürmen ...
soll heißen, jeder Passwortsafe im Netz is f. Hugo od. die NSA
Verstehe nicht, warum deine Aussage zeigen soll, dass es perfekte Sicherheit gibt?
-
Perfekte Sicherheit gibt es doch sowieso nicht :). Was genau sind denn deine Bedenken dabei?
-
Stimmt schon. Solange die Anfragen nicht auf einmal kommen. Und seit dem Microsoft Fall (thezerohack.com/how-i-might-have-hacked-any-microsoft-account) ist diese Methode ja auch nicht gerade unbekannt... Hoffentlich ist das WCP/Plesk da Microsoft überlegen.
Auch da frage ich mich, wieso das vorher niemandem aufgefallen ist. Im Falle von Netcup: Vor allem sind die fünf alphanumerischen Zeichen des Webhostings bereits >60 M Möglichkeiten und da ist ja noch kein einziges Passwort getestet worden ... Ich setze starke Hoffnungen in die Systeme von Netcup, dass solch ein Angriff detektiert werden würde :).
QuoteAndres Thema: Ist 2FA noch "sicher", oder lieber z. B. Yubikey (also MFA, evtl. physisch)?
Diese Frage verstehe ich nicht ganz. Geht es dir hier darum, ob OTP-basierte 2FA noch sicher ist? Ansonsten ist ein Yubikey mit z. B. U2F auch "nur" ein zweiter Faktor. (Bin aber Fan der Yubikeys und empfehle sie auch gerne anderen.)
-
Aber: Man kann das ja auch mit Brute-Force (also Ausprobieren) knacken. Selbst mit einem sehr guten Passwort nicht zu unterschätzen. Und da würden im Idealfall sogar mehrere Faktoren schon was bringen...
Ich hoffe doch mal stark, dass die Komplexität aus Username und Passwort ausreicht, um bei einem solchen Angriff irgendein Rate-Limiting seitens Netcup zu triggern. Das sollte ja schon auffallen, falls da auf einmal zig Millionen Kombinationen getestet werden.
Ansonsten: Vollste Zustimmung, 2FA all the things!
