Posts by Knud

    Hä?

    Bei deiner Beschreibung verschickt dein Server einen Bounce an den angeblichen Absender. Das heißt wenn ein "Angreifer" das Postfach einer Firma zuspammen möchte, sucht er sich eine Mailadresse die bei dir ziemlich sicher nicht existiert, schick im Namen dieser Firma an dich eine Mail und diese Firma bekommt dann von dir eine Bounce-Nachricht. Das Ganze dann 1000 mal und auf unterschiedlichen Servern und bums ist das Postfach zugespammt. Und du wunderst dich warum dein Server geblacklistet ist.


    Deswegen sollte ein SMTP-Server schon beim Kontakt dem verschickenden SMTP-Server mitteilen, dass er die Mail nicht zustellen kann. Dann ist der verschickende Mailserver für den Bounce zuständig. Wenn dann die falschen Bounce Nachrichten verschickt werden, dann wird halt der Angreifer geblacklistet, also alles richtig. Als Empfänger sollte man sich niemals um Bounce-Nachrichten für eine fremde Domain kümmern.


    Und das sicherzustellen wird durch ein Relay auf jeden Fall anspruchsvoller, wie wir hier ja gerade feststellen. Deswegen würde ich, wenn es nicht einen guten Grund dafür gibt, immer auf ein Relay verzichten. Ist nur eine weitere Fehlerquelle.

    Also soweit ich weiß unterstützt zumindest Postfix verschiedene Methoden zur Empfängervalidierung auch im Relay-Betrieb. Neben nativen LDAP/Datenbank/whatever-Abfragen auch dynamische Validierung, die noch während des originalen SMTP-Dialog den finalen Server anfragrt, ob die Adresse existiert. Die Antworten werden selbstverständlich gecached.

    Dafür müsste Netcup LDAP/Datenbank zur Verfügung stellen. Denn wir wollen hier einem Kunden helfen, der ein Webhosting Vertrag hat und keinen Server.


    Aber aus Interesse: wie verhält sich Postfix auf dem Relay dann, wenn der Server an den zugestellt wird nicht erreichbar ist?

    Ja so kann man es auch einrichten. Dann ist das Relay sichtbar und man hat einen Nachteil (so zumindest mein aktueller Stand) : Bounces (Nachrichten über Fehler bei der Zustellung) werden an den Relay-Server geschickt und der eigentlich Absender erfährt unter Umständen gar nicht, dass seine Nachricht nicht zugestellt werden konnte (Bounces werden immer an den Envelope-From und nicht an den Header-From geschickt).


    Mein aktuelles Setup ersetzt aber einfach nur den Empfänger, sodass sich schlicht nur die IP ändert und das gibt natürlich einen SPF-Fail.


    Für beide Formen des Relays ist es auf jeden Fall unschön, dass das Relay erst einmal alle Nachrichten für eine Domain annimmt und nicht weiß, welche Benutzerkonten existieren. Eine Bouncemessage muss dann durch den Empfänger generiert werden, was wiederum bei einem gefälschten Absender für ein Blacklisting des Empfängers sorgen kann (die Netcupmailserver sind auch hin- und wieder auf Blacklists zu finden). Deswegen sollte man Relayserver für den Empfang unbedingt vermeiden.


    Wenn ich das bei mir noch verbessern kann, dass lasse ich mich aber auch gerne eines Besseren belehren :-)

    Also als Workaround kann man einem kleinen vServer dazu buchen, der dann die Domain umschreibt und die E-Mails an den netcup-Mailserver weiterleitet. So mache ich es aktuell. Das Ganze macht dann aber logischerweise einen SDF Fail und ist daher eher unschön. Schön wäre wenn netcup als Workaround einfach einen Server für alle Kunden anbietet, der das umschreiben übernimmt. Dieser könnte dann auch Gewhitelisted werden, wodurch das SDF Problem umgangen wäre.


    Wäre das nicht möglich Felix Preuß ?

    Hallo liebes netcup-Team,


    ich überlege auf die Generation 8 der Root-Server zu wechseln (aktuell arbeite ich mit Gen. 7). Nun Frage ich mich, ob ihr die Generation 8 auf alle Server ausdehnen werdet oder nur für die 4 auf der Hauptseite(https://www.netcup.de/vserver/) angebotenen Server begrenzt.


    Sobald ich nämlich auf "Weitere vServer Produkte" (https://www.netcup.de/vserver/…icht_vserver_angebote.php) klicke, steht dort noch die Generation 7 und nichts von Generation 8.


    Ist hier noch etwas geplant?


    Danke!

    Hallo!


    Ich bin derzeit am überlegen mir zu meinem Rootserver zusätzlich noch Storagespace zu holen. Das einzige was mich davon abhält ist, dass ich keine Lust habe immer den Traffic im Auge zu behalten. Da der Storagespace ja im gleichen Rechenzentrum steht, sollte es meiner Auffassung nach kein Problem sein, den internen Traffic (Server bei Netcup zu Storagespace) unlimitiert anzubieten. Es gibt auch Konkurenten auf dem Markt, die genau das machen, habe ich schonmal recherchiert.


    Traffic von extern kann wegen mir gerne begrenzt bleiben. Hier verstehe ich auch klar warum es ein Limit geben muss.


    Wie sieht es aus Netcup?


    Würde euch NOCH etwas besser machen ;-)

    Hast du eine Lösung für den Apfelmüll (iPhone ist besonders interessant) gefunden?


    Für alle die es interessiert: bei Microsoft Outlook für Android, iPhone und PC (hier nur Outlook 2016) gibt es noch einen eigenen Config-Dienst von Microsoft der automatisch für eure Domains die (vermeintlich) richtigen Serverdaten speichert und für alle anderen Benutzer ausgibt und zwar BEVOR euer Autodiscover aufgerufen wird. Solltet ihr umziehen und sich die Serverdaten verändern führt das zu Problemen, denn außer Microsoft hat niemand Zugriff oder Einfluss auf die Daten. Mich hat das einige Stunden gekostet und letzendlich habe ich es nur mit Wireshark herausgefunden. Es gibt ein Thread im Microsoft-Tech-Forum indem Mitarbeiter dieses Verhalten der Server zugeben und auch die Einträge für einzelne Domains löschen können. Findet ihr hier: https://social.technet.microso…rum=Office2016setupdeploy


    Die Hotline, auch die für Business-Kunden, kann dagegen überhaupt nicht weiterhelfen.

    Ich habe genau das gleiche Problem. Alles an Microsoft kommt einfach nicht an. Rückmeldung gibt es auch nicht.


    Selbst Str**to also ein eher großer Anbieter hat diese Probleme (für Webhosting-Kunden). Die schreiben im Kundencenter, dass Microsoft wohl vor kurzem neue Einstellungen aktiviert hat.

    Ich tippe auch eher auf die IP-Adressen.

    Vielleicht wieder Failover-Ipv6.


    So richtig gute Rootserver angeboten waren diesmal aber auch nach meinem empfinden nicht dabei - schade.


    Zu der Datenvolumenregelung: so wie es da zu lesen ist, greift die Regelung mit mehr als 80mbit/s für über 60min ja erst sobald man ein Grundvolumen von 10TB verbraucht hat. Diese 10TB kann man aber verbrauchen wie man möchte. Ist das tatsächlich so?

    Naja wer ein Webhosting hat braucht den private Key eigentlich nicht. Derjenige will ja nur das es funktioniert (denke ich). Müsste natürlich so eingerichtet sein, dass die Kunden den Private Key nicht sehen können, da wie du schon richtig sagst, ansonsten ja theoretisch jeder alles dieser Domain entschlüsseln könnte und die Sinnhaftigkeit sehr anzuzweifeln wäre.

    Hallo,

    funktioniert wie bei jeder anderen Domain übers WCP.

    Habs gerade für dich getestet: siehe Fehlermeldung.

    Let's Encrypt erlaubt leider nur 20 Zertifikate pro Woche pro Domain.

    Also am Anfang der Woche um 0 Uhr probieren.

    In dem Zusammenhang eine Idee/Verbesserungsvorschlag für Netcup:

    Ab Januar könnte ihr einfach ein Wildcard-Zertifikat von LE holen. Dann kann das jeder Kunder einfach nutzen ohne das jedes mal eine neue Validierung für jede Subdomain stattfinden muss.

    Das ist statisch, siehe hier: http://autoconfig.netcup.net/m…?emailaddress=foo@bar.baz

    Anders als bei St**to werden auch die Mailadressen nicht validiert: hxxp://autoconfigure.st**to.de/mail/config-v1.1.xml?emailaddress=foo@bar.baz

    Wenn beim zweiten Link eine beim Anbieter gehostete Domain eingegeben wird, wird auch die Konfig angezeigt.


    Die fehlende SSL-Unterstützung ist natürlich nicht schön, da muss man dann in der Tat selbst einen Autoconfig/Autodiscover Dienst einrichten.

    Das ist definitiv falsch! Wenn ich meine Domain eingebe (Als Subdomain autoconfig und CNAME auf autoconfig.netcup.net ist eingerichtet) wird der Server geändert und die einzig mögliche Quelle woher Netcup den Server haben kann, ist der MX-Eintrag. Dieser zeigt nämlich nicht auf Netcup-Mailserver und sondern auf mail.meinserver.de und autoconfig von netcup liefert dann anderersubdomain.meinserver.de als Server (für alles). Finde das Verhalten sehr seltsam (also insbesondere, dass eine ganz andere Subdomain gewählt wird und nicht die, die ich im MX-Eintrag hinterlegt habe).


    Fehlende SSL-Unterstützung ist logisch, weil die Zertifikate nicht stimmen würden und es damit Fehler geben würde. Deswegen bietet Netcup vermutlich auch kein Autodiscover, weil hier (im Gegensatz zu autoconfig) SSL vorgeschrieben ist und es bei einer Weiterleitung schon einen Warnhinweis an den Benutzer gibt. Kann Netcup also überhaupt nichts dran machen.


    Witzige Info am Rande zu St**to am Rande: es ist dort weder über DNS-Einstellungen noch über das Anlegen von Subdomains möglich eigene Autoconfig oder Autodiscover-Daten durchzureichen. (Wildcard-A-Records sind verboten und die Subdomains ebenfalls). Habe da heute mit dem Support telefoniert und wie immer: maximale Unfähigkeit.

    Danke erstmal!


    Also grundsätzlich funktioniert es bei mir nun, mich würde aber nochmal interessieren woher Netcup die Informationen nimmt die angezeigt werden. Das scheint irgendwie mit den DNS-Einträgen zusammenzuhängen.


    Ich werde denke ich einfach selber die Dateien anlegen und dann einfach den CNAME löschen. Ist für ein sauberes Autodiscover aufgrund der erforderlichen Verschlüsselung ja sowieso notwendig.

    Hallo!


    Ich habe eines der neuen Webhostings. Ich würde meinen Benutzern gerne Autoconfig anbieten. Netcup legt ja automatisch einen DNS-Eintrag, der ein CNAME auf autoconfig.netcup.net ist an. Nun ich habe ein bisschen gelesen, aber ich bekomme es nicht auf die Reihe.


    Wenn ich allerdings auf http://autoconfig.netcup.net/m…emailaddress=test@test.de gehe, dann kommt dort auch ein 404-Fehler. Muss das so sein?


    Gerne einfach Bescheid sagen, falls das nicht mehr im Angebot ist, dann richte ich mir das selber ein (Autodiscover dann auch gleich).


    Danke!

    Moin!


    Was genau an der Domain bearbeitest du denn und wo tust du das? Am besten du sagst was dein Plan ist, dann können wir dir sagen, wie man das im Idealfall machen sollte (hoffentlich).


    Die Sicherheitswarnung kannst du einfach durch einrichten von LetsEncrypt im Webhostingcontrolpanel abstellen, wenn ich das richtig verstehe. Das erklärt sich eigentlich von alleine, wenn du auf den Punkt LetsEncrypt klickst.


    Viele Grüße

    [...]

    1. eine eigene Überprüfung einprogrammieren, dass von normalen Anwendern nur Subdomains von bestehende Domains als Hauptdomain hinzugefügt werden können - wohlgemerkt Entwicklungsaufwand für einen Workaround (!) - oder

    [...]

    Diese Überprüfung (ob ein Kund eine Domain, die er versucht hinzuzufügen auch besitzt) steht sowieso auf der ToDo-Liste von Netcup (für Aliasdomains) ist bisher aber nicht so hoch priorisiert, sodass sich hier vermutlich erst in einem Jahr etwas tun wird. Dabei ist der Entwicklungsaufwand wohl gar nicht so hoch (Aussage von Netcup).

    Vielleicht wird durch diese Anfrage die Priorität hochgeschraubt, denn nun könnte man mit dieser einen Lösung schon zwei Probleme lösen und die Anzahl der Anfragen ist hierdurch ja auch wieder gestiegen.


    Quelle: https://forum.netcup.de/netcup-intern/produkte/p86508-domain-alias-f%C3%BCr-e-mails/#post86508