cXU1JIjddYkXkDhaEoGjCgIDSABbby7mRwmFHmPJr+Un6PgZBDo9uT8oor7XYj07IjZLm9rTtVxQirjjbwQD0g==
Das ist dein öffentlicher Schlüssel
257
Flag = KSK (257)
13
Algorithmus = ECDSA (13)
cXU1JIjddYkXkDhaEoGjCgIDSABbby7mRwmFHmPJr+Un6PgZBDo9uT8oor7XYj07IjZLm9rTtVxQirjjbwQD0g==
Das ist dein öffentlicher Schlüssel
257
Flag = KSK (257)
13
Algorithmus = ECDSA (13)
In der Regel fährt man gut, wenn man einen Provider wählt, der separate eMail-Konten anbietet, die nicht Teil eines Hostingpaketes sind.
So wie netcup oder meintest du "einen Provider, der nur separate E-Mail-Konten anbietet"?
Dafür gibt es das certbot-dns-cloudflare Plugin: https://certbot-dns-cloudflare.readthedocs.io/en/stable/
Hier gibt es eine kurze Zusammenfassung zum Einrichten: https://labzilla.io/blog/cloudflare-certbot
Eventuell hast du für die IPv6-Adresse einfach keinen Reverse-DNS-Eintrag gesetzt (musst du 1x für IPv4 und für IPv6 seperat machen). IPv6 würde ich nur deaktivieren, wenn es wirklich notwendig ist und es keine andere Lösung gibt.
Beim roten H wurde auf die Abuse-Meldungen bisher immer innerhalb von 24h reagiert und die IP gesperrt. 0\/H lässt sich da anscheinend mehr Zeit und hat bisher noch gar nicht geantwortet (evtl. gibt es dort überhaupt keine Antworten auf die Abuse-Meldungen).
Spam-Filter funktioniert
Eventuell ist damit die geänderte IP-Adresse (dadurch von Cloudflare) gemeint?
Der Cloudflare Proxy unterstützt übrigens nur HTTP(S). Alles andere wird mit dem normalen Proxy-Modus nicht funktionieren.
Macht Netcup das nicht auch?
Vor einem halben Jahr jedenfalls nicht und jetzt anscheinend auch nicht (bzw. nicht immer).
Wir werden zukünftig Phishing-Fälle, bei denen die Phishing-Seite nicht auf dem System selbst gehostet wird, sondern lediglich darauf weitergeleitet wird, so behandeln, dass der betroffene Kunde, wie in vielen anderen Fällen auch, eine gewisse Zeit hat, auf die Meldung zu reagieren. Erfolgt innerhalb dieses Zeitrahmens eine angemessene Reaktion, wird das Produkt dann nicht gesperrt. Wir haben uns dazu entschieden, diese Unterscheidung vorzunehmen, da ein qualitativer Unterschied in der Schwere des Vorfalls vorliegt, je nachdem ob nur ein öffentlicher Dienst missbraucht wird, wie es im Fall eines Link-Shorteners wäre, oder ob ein Hosting einer entsprechenden Seite betrieben wird (in diesem Fall wäre von einer Kompromittierung des Produkts, oder im schlimmsten Fall gar von Absicht auszugehen).
Vorausgesetzt diese Aussage von Januar 2023 trifft noch zu, sollte eine Kontaktaufnahme nur dann vor der Sperre erfolgen, wenn die Schwere des Vorfalls eher gering ist.
Meiner Meinung nach sollte eigentlich auch bei einer sofortigen Sperre vorher zumindest ein Telefonanruf erfolgen, insbesondere wenn wie hier die Abuse-Meldung nicht mal ansatzweise verstanden wurde.
Moin Leute, heute kommen mal wieder relativ viele Phsing Mails rein.
Bei mir diesmal aus Frankreich (0\/H). Die Domain im Betreff hat lediglich DNS-Einträge (A/AAAA/MX) auf einen netcup-Server. Vermutlich wieder so den (in meinem Fall falschen) Domainanbieter ermittelt. Ich dachte zuerst fast, dass irgendwas mit der Kündigung nicht richtig funktioniert hatte, weil die Domain vor Monaten mal bei netcup war. Dann habe ich den Absender gesehen
1. Für die beiden Punkte "SSL/TLS-Zertifikat für Webmail" und "SSL/TLS-Zertifikat für E-Mail" gibt es im Dropdown-Menü keine Auswahlmöglichkeiten.
Was hat das zu bedeuten?
Wofür ist die SSL/TLS Verschlüsselung im Kontext von Webmail/E-Mail genau wichtig bzw. relevant?
Steht diese Verschlüsselungsart im Zusammenhang mit Ende-zu-Ende Verschlüsselung? (Ich glaube nein?)
Das ist irrelevant. Für Webmail kannst du https://webmail01.webhosting.systems/ verwenden und dort ist bereits ein gültiges TLS-Zertifikat vorhanden. Ansonsten nutzt IMAP/SMTP das TLS-Zertifikat von netcup (Wildcard für *.netcup.net). Also musst du im Mail-Client mxe99z.netcup.net (bzw. wie der Hostname deines Mailhostings lautet) verwenden.
Wozu ist TLS bei Webmail/E-Mail wichtig? Damit dein Internetanbieter, Nachbarn in WLAN oder sonstige Dritte deinen Mailverkehr nicht mitlesen können.
Und nein, TLS ist keine Ende-zu-Ende-Verschlüsselung in dem Sinne, dass die Daten zwischen Sender (der E-Mail) und Empfänger (der E-Mail) verschlüsselt sind und nur von diesen entschlüsselt werden können.
2. Wenn für WebMail die Einstellungen "ohne" ausgewählt ist, kann ich trotzdem über das netcup WebMail-Interface auf die entsprechende E-Mail Adresse zugreifen.
Inwieweit steht also diese Einstellung damit in Verbindung?
Welche Konsequenzen hätte hier die Einstellung "Webmailserver 01"?
Diese Einstellung hat keinen Effekt. Einfach ignorieren
Ich werfe Mal das rote H in den Raum. Passt zu deinen Anforderungen.
Dort ist DNSSEC nicht verfügbar. Ohne DNSSEC funktionieren auch die Nameserver von netcup.
Wenn DNSSEC nicht verfügbar ist, kann deSEC nicht genutzt werden.
§4 Secure Delegation Required
Domains created at deSEC which do not include deSEC's nameservers in their set of authoritative nameservers ("NS records") or which fail to establish a DNSSEC chain of trust may receive a deletion warning and may be deleted four weeks thereafter if that condition still applies.Anyone who can prove ownership of a domain name by an upstream registry may claim control over this domain at all deSEC nameservers, even if a corresponding deSEC zone has been created by another user. During the transfer of control, the zone's DNS information and signing keys will be deleted; a backup of the zone's record sets will be made available to the user account that previously held the domain at deSEC.
Eine bestehende Lizenz eines anderen Anbieters kann aber nicht einfach bei Netcup benutzt werden.
Wieso nicht?
Sichere dabei erstmal alle Daten (Dateien vom alten Webhosting herunterladen & Datenbank exportieren), bevor du die Domain wechselst. Ansonsten könnte es durchaus sein, dass netcup die Daten beim Wechsel der Domain zum neuen Webhosting löscht. Das gleiche gilt für E-Mails bzw. was sonst noch auf dem Webhosting liegt und mit der Domain verbunden ist.
Manuell müsste es auf jeden Fall gehen: Dateien auf den neuen Server kopieren und Datenbank exportieren/importieren.
Der Aufwand sollte relativ gering sein, selbst wenn man es manuell machen muss. Eine automatische Möglichkeit ist mir bisher nicht bekannt.
Übrigens: Bietet deSEC die Möglichkeit, den DNS per API anzupassen?
Ja, hier: https://desec.readthedocs.io/en/latest/
EDIT: Da war jemand schneller
du meinst, das problem tritt nur auf, wenn man keine TXT-einträge hat?
Nein. Durch das Erstellen eines TXT-Eintrags (kann auch jeder beliebige andere DNS-Eintrag sein), werden die DNS-Einträge erneut signiert (Signatur wird wieder gültig). Das muss man immer dann tun, wenn die Signatur ungültig wird. Sinnvoll ist so eine Lösung nicht. Deswegen am besten zu einem anderen DNS-Anbietern wie deSEC wechseln (Domain kann trotzdem bei netcup registriert blieben). Ob man einen TXT-Eintrag hat oder nicht, ist irrelevant.
ich meine aber für nen Modded Java Server braucht's ne x86/x64 CPU und da sehen die Preise schon etwas anders aus
Soweit ich weiß, sollte ein Minecraft Server mit Java auch problemlos mit arm64 laufen (Java-Anwendungen sind in der Regel plattformunabhängig und laufen überall dort, wo auch Java läuft mit der gleichen .jar-Datei). Für 1-2 Cent pro Stunde kann man das dann doch ausprobieren
Ah ne, vorher noch eine Frage: Welche Ports sollte ich denn nicht verwenden? Kann ich mir irgendeinen Port als SSH einfallen lassen? Was ist die maximale länge eines Ports? Denn ich denke mal Ports wie 993 fallen raus, auch wenn ich keine Mails über den Server laufen lassen möchte.
Ein ausreichend hoher Port (z.B. 5-stellig, aber max. bis 65535) sollte in der Regel eine gute Wahl sein.
Virinum Und was hätte 2FA in diesem konkreten Fall gebracht?
Wenn der Angreifer den Login direkt im Hintergrund ausprobiert, fragt er diesen Code halt auch noch ab. Die gültige CCP-Session nutzt er dann einfach in den nächsten Minuten (automatisiert) aus und ändert z.B. Zugangsdaten von Direktlogins ohne 2FA ab. (Plesk, FTP, Mailaccounts, …)
2FA hätte den Prozess jedoch deutlich komplizierter gemacht. Der Angreifer kann die Login-Daten dann nicht einfach speichern und später ausprobieren, sondern muss diese direkt nutzen. Das ist zusätzlicher Aufwand, um ein solches System zu entwickeln. Eventuell könnte netcup dann auch verdächtige IP-Adressen erkennen (wer meldet sich schon innerhalb kurzer Zeit mit mehreren unterschiedlichen Accounts an?) und sperren. Phishing könnte dadurch zwar nicht vollständig unterbunden, aber deutlich erschwert werden.
2FA bei Roundcube hat gar keinen Nutzen, wenn IMAP/POP3 keine 2FA-Unterstützung hat.
Ein 2FA-Plugin hätte also gar keinen Vorteil für die Sicherheit und würde 2FA nur vortäuschen, weil man sich über IMAP/POP3 immer ohne 2FA anmelden könnte.
EDIT: Virinum war schneller