Ob ca 3 Personen eine Statistik bilden
in Kärnten ist das ein ganzer chor!
Posts by hoedlmoser
-
-
heißt der MX einer mailcow dann eigentlich MC? fragen vor dem schlafen gehen.
-
andere Definition von SMTP und MX
das eine ist ein protokoll, das andere ein dns record type. unpassend. schöner zb die einteilung nach MxA wie in https://gitlab.com/muttmua/mutt/-/wikis/MailConcept
die als MX fungieren und dem eigentlichen Mail-Server die Mails übergeben.
oje, backscatter gleich vorprogrammiert.
-
kann an Dinge wie 2FA oder MFA geknüpft
das macht dann aber der oauth server. aber oauth selbst ist nicht 2fa! und wie schon erwähnt wurde, man schränkt sich bei der client auswahl sehr stark ein. thunderbird und roundcube mit plugin. hurra. massentauglich.
Clients arbeite ich mit App Passwörtern
das ist nicht 2fa, Du hast lediglich ein passwort durch ein anderes ersetzt.
-
oauth2 ist nicht 2fa. oauth2 ersetzt, einfach gesprochen, das passwort durch einen token.
-
grundsätzlich beginnen zu diskutieren
ich lass Dir den vortritt.
-
Sogo auch 2FA
die sinnhaftigkeit bei zugrundeliegenden protokollen die keine 2FA unterstützen hält sich da ganz stark in grenzen. oder hat netcup IMAP, Card- und CalDAV nicht exponiert?
-
bei 1NWX habe ich die erfahrung gemacht, daß nur person-handles komplett anonymisiert werden, bei org ist nur telefonnummer und email unterdrückt. an role kann ich mich nicht mehr im detail erinnern.
-
Was ist mit email - einen soliden Drittanbieter?
hier gings doch um dns?! aber: ja, mail will man sich als greenhorn nicht selbst machen. also empfangen vielleicht schon nur versenden nicht.
-
autoritative DNS … NIS-2 Regulierung betroffen.
was imho totaler schwachsinn ist. aber die diskussion hatten wir hier irgendwo schon mal bzgl privatperson.
-
wie funktioniert das
mein registrar ist 1nwx, dns betreib ich selber bei h3tzn3er und n3tcup.
und so ein piko reicht als secondary.
-
deshalb ist es imho besser keinen domainprovider haben zu müssen. die sind nur durchlauferhitzer und das meist schlecht!
-
reden wir vom registrar der etwas verbockt hat oder vom dns betreiber?
aber redundanz in diesem bereich tut hier mehr als gut, mein registrar ist 1nwx, dns betreib ich selber bei h3tzn3er und n3tcup.
klar, der registrar ist immer spof, andererseits stellt der nur services zur änderung der ns einträge selbst.
auch bei einem webhosting würde ich mindestens einen anderen registrar empfehlen!
-
warum sollte man als spam erkannte mails als spam melden wollen?
wenn dann false negatives, die verschiebt man wie gewohnt in den spam folder und für solche aktionen hat zb dovecot einen hook. auf meinem mta zb wird dann diese mail an den bayes filter verfüttert.
-
Die Korrektur bestand dann darin, die IPv4-Adresse ebenfalls statisch einzutragen und DHCP komplett abzuschalten. Zusätzlich musste ich auch einen DNS-Server manuell eintragen, da auch diese Information nicht mehr per DHCP zugewiesen wurde.
und das ist auch die lösung! man will auf einem server konfigurierte IP adressen haben! es gibt hier in diesem umfeld genau keinen einzigen grund im normalen betrieb DHCP verwenden zu wollen!
-
ein paar Feature ausgehende Verbindung benötigen
Du hast nur TCP und UDP nach aussen erlaubt, ICMP nicht. sprich, mindestens ping wird nicht funktionieren.
-
Ich teste das ganze am Wochenende.
sieht gut aus. die "alles offen" ausgehend brauchst imho nicht, solange Du keine ausgehende regel hast sollte die dazugehörige implizite regele eh auf accept stehen. bin schon neugierig auf Deine erfahrungen mit diesem regelwerk.
wireguard benutzt ephemeral ports.
-
Ss -ulpn
sieht gut aus, das pärchen auf diesen high ports habe ich auch. bei mir noch zusätzlich ein unbound.
Coderoot@guru:~# ss -ulpen Failed to open cgroup2 by ID Failed to open cgroup2 by ID State Recv-Q Send-Q Local Address:Port Peer Address:Port Process UNCONN 0 0 0.0.0.0:44746 0.0.0.0:* ino:15258 sk:1 cgroup:unreachable:ccd <-> UNCONN 0 0 [::]:44746 [::]:* ino:15259 sk:2 cgroup:unreachable:ccd v6only:1 <-> UNCONN 0 0 [::1]:53 [::]:* users:(("unbound",pid=951,fd=3)) ino:15195 sk:3 cgroup:/system.slice/unbound.service v6only:1 <-> root@guru:~# -
aber im speziellen für mailcow (und auch sonst was man so in container laufen hat) und allgemein würde ich persönlich folgendes setup empfehlen:
alles was man nicht exponieren will bindet man auf localhost. sieht in der mailcow.conf dann zb so aus:
CodeHTTP_BIND=127.0.0.1 HTTPS_BIND=127.0.0.1 POP_PORT=127.0.0.1:110 POPS_PORT=127.0.0.1:995 DOVEADM_PORT=127.0.0.1:19991 SQL_PORT=127.0.0.1:13306 REDIS_PORT=127.0.0.1:7654oder für eine nextcloud-aio in der compose.yaml:
Codeports: - 127.0.0.1:8047:8080 environment: APACHE_IP_BINDING: 127.0.0.1oder für einen lokalen unbound als resolver in unbound.conf.d/local.conf
Codeserver: interface: ::1das ist bei docker sowieso von nöten wenn man zb als firewall ufw verwenden will, denn das docker gedöns greift schon in der nat table und somit vor ufw.
denn prinzipiell gilt: mach dein system so sicher, daß es keiner firewall bedarf.
und fürn lokalen rest dann halt zb die eben erwähnte ufw (ich hab hier am host einen nginx für tls-offloading laufen).
Coderoot@guru:~# ufw status Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere(IPv6 sieht genauso aus)
-
ganz genau, es ging um UDP, denn bei TCP muß man dank state-full firewall ja nicht die ports >= 1024 aufmachen.
und bitte entweder mit sudo oder mit dem parameter -e damit man auch gleich die prozesse sieht die da lauschen.
