Posts by cltrmx

    Netcup findet das scheinbar ok so, weil "E-Mails kein Echtzeitmedium sind"

    Ich verstehe den Unmut und stimme voll und ganz zu: Die Bearbeitung der Mails durch den Spamfilter/den Server sollte nicht im Minutenbereich liegen.


    Dass 5 Sekunden/2 Minuten/welche Zeitspanne auch immer keine Echtzeitbedingungen halten können, ist aber ein hartnäckiger und verbreiteter Irrglaube. "Echtzeit" heißt lediglich, dass die Anfrage in einer fest vorgegebenen Zeitspanne verarbeitet werden muss:

    Quote

    Unter Echtzeit versteht man den Betrieb eines Rechensystems, bei dem Programme zur Verarbeitung anfallender Daten ständig betriebsbereit sind, derart, dass die Verarbeitungsergebnisse innerhalb einer vorgegebenen Zeitspanne verfügbar sind. Die Daten können je nach Anwendungsfall nach einer zeitlich zufälligen Verteilung oder zu vorherbestimmten Zeitpunkten anfallen.

    Quelle: https://de.wikipedia.org/wiki/Echtzeit#Definition

    Irgendein Programm wird da schon dauerhaft auf deinem Server laufen müssen damit sowas geht…

    Jein. Geht auch ohne Programm, was irgendwo dauerhaft läuft. Ich hab vor einiger Zeit mal suri auf Github gefunden, das kann auch mit einem einfachen Webspace einen URL-Shortener realisieren - zum Update müssen dann aber irgendwo neue statische Dateien gebaut und auf dem Webspace aktualisiert werden.

    Die IP aus deinem Log-Auszug gehört laut whois auf jeden Fall zu Vodafone/Unitymedia:


    Falls das sowohl für IPv4 als auch für IPv6 möglich ist und du auch deine "Host"-Einstellung auf der Synology-Kiste einstellen kannst, könnte es gehen.


    Ich schließe mich aber TBT an: Zu hause einfach keinen Mailserver hosten (auch nicht mit Synology Software) -> Das macht eher mehr Probleme, als es löst.

    Schnellschuss-Idee: Dein Kabel-Anschluss hat eine IP aus einem Bereich, der von den großen Providern als "Privatanschluss" identifiziert wird. Mails werden aus diesen Bereichen von den meisten großen Anbietern automatisch als Spam zurückgewiesen.


    Edit:

    Quote

    MTA helo: xyz.de, MTA hostname: unknown[2a02:0908:0f68:c640:0211:32ff:fee4:18ed] (helo/hostname mismatch)

    Deutet für mich darauf hin, dass die IP-Adresse deines Anschlusses (logischerweise) keinen passenden reverse DNS Eintrag hat (der zu xyz.de passt). Das lässt sich an einem privaten Anschluss auch nicht ändern (denn dies müsste dein ISP für dich erledigen).

    Viele Tools zum Testen der DNS-Infrastruktur empfehlen auch, dass beide DNS-Server in unterschiedlichen AS liegen. Kann ich auch nur empfehlen!

    Es gibt ein Workaround, den ich seit einigen Monaten so selber erfolgreich auch auf meine Webseiten so anwende.


    Wenn man zufälligerweise einen Server-Monitoring-Dienst, wie z.B. den vom Anbieter serverg****24.de verwendet, der auch in der Lage ist, auf der betroffenen Webseite nach einer bestimmten vorhandenen Textzeile im Header und auch auf der Webseite selber zu suchen, und dieser Dienst alle 5 Minuten nach dieser Textzeile sucht, ist dieses Problem beseitigt, da dieser Dienst die Webseite so aufsucht, wie es auch ein normaler Nutzer tun würde.

    Also ist der Workaround im Grunde, dass ein externer Dienst den Cache des Hostings warmhält?

    Wenn man docker verwenden will, braucht man sowieso was größeres, so wie da mit dem Festplattenplatz umgegangen wird. ;)

    Hab auf mehreren VPS 200 G8 Docker am laufen, das geht schon gut, wenn man es nicht übertreibt :).

    ...macht man nur zu Hause und hinter einem NAT, nicht im Internet. Man lernt ja auch nicht mit einem Ferrari auf der Rennstrecke Autofahren.

    Er hat ja nicht gesagt, dass er die Systeme direkt ans öffentliche Netz routen möchte oder? Vielleicht läuft auf dem Host ja eine Firewall(-VM), die auch NAT machen kann.

    Soweit ich weiß, muss dafür durch den Support ein (kostenpflichtiges) Flag auf dem Host gesetzt werden, damit die Kerne nested Virtualization können. Das geht scheinbar nur auf manchen Host-Systemen und nicht bei allen.


    Ich empfehle zum Herumspielen einfach eine lokale Installation von KVM. Das funktioniert auf nahezu jedem Linux-System und ist recht einfach einzurichten. Nested KVM zusammen mit VirtualBox habe ich auch schon mal am Laufen gehabt (da braucht man nur entsprechend viel RAM).

    doch, Passwörter unter der Tischmatte, schau ich mir an, wie Du da 'ran kommst, ohne

    die Bude zu stürmen ...:D

    soll heißen, jeder Passwortsafe im Netz is f. Hugo od. die NSA;)

    Verstehe nicht, warum deine Aussage zeigen soll, dass es perfekte Sicherheit gibt?

    Stimmt schon. Solange die Anfragen nicht auf einmal kommen. Und seit dem Microsoft Fall (thezerohack.com/how-i-might-have-hacked-any-microsoft-account) ist diese Methode ja auch nicht gerade unbekannt... Hoffentlich ist das WCP/Plesk da Microsoft überlegen.

    Auch da frage ich mich, wieso das vorher niemandem aufgefallen ist. Im Falle von Netcup: Vor allem sind die fünf alphanumerischen Zeichen des Webhostings bereits >60 M Möglichkeiten und da ist ja noch kein einziges Passwort getestet worden ... Ich setze starke Hoffnungen in die Systeme von Netcup, dass solch ein Angriff detektiert werden würde :).

    Quote

    Andres Thema: Ist 2FA noch "sicher", oder lieber z. B. Yubikey (also MFA, evtl. physisch)?

    Diese Frage verstehe ich nicht ganz. Geht es dir hier darum, ob OTP-basierte 2FA noch sicher ist? Ansonsten ist ein Yubikey mit z. B. U2F auch "nur" ein zweiter Faktor. (Bin aber Fan der Yubikeys und empfehle sie auch gerne anderen.)

    Aber: Man kann das ja auch mit Brute-Force (also Ausprobieren) knacken. Selbst mit einem sehr guten Passwort nicht zu unterschätzen. Und da würden im Idealfall sogar mehrere Faktoren schon was bringen...

    Ich hoffe doch mal stark, dass die Komplexität aus Username und Passwort ausreicht, um bei einem solchen Angriff irgendein Rate-Limiting seitens Netcup zu triggern. Das sollte ja schon auffallen, falls da auf einmal zig Millionen Kombinationen getestet werden.


    Ansonsten: Vollste Zustimmung, 2FA all the things!