Beiträge von DaSch22

Zitat von aRaphael

Dafür hat man dann mit TB das Problem, dass es inzwischen fast unmöglich ist ein O365-Konto einzubinden.

Ja, Microsoft gibt sich da recht Mühe.

Siehe hier:

Zitat von DaSch22

Da ich auch Zugriffsprobleme bei einem Altlasten Outlook/Hotmail Account von mir hatte.

Musste meinen POP3/SMTP Zugriff für Thunderbird auf OAuth2 umstellen, da es von einem Tag auf den anderen nicht mehr mit SSL/TLS funktionierte. Eine Vorwarnung bekam ich nicht.

Musste nach Umstellung beim ersten Zugriff über OAuth2 einmalig Thunderbird als Anwendung über ein Popup in Thunderbird "freischalten", was du sicherlich im Admin Panel irgendwo machen kannst.

Hier ein paar informative Links dazu:

https://support.mozilla.org/en…ation-and-thunderbird-202

https://learn.microsoft.com/en…pplication-by-using-oauth

Alles anzeigen

Alles scheinbar sicherer machen.

Mich würde es mittlerweile aber nicht mehr wundern, wenn solche 2FA Daten plötzlich zur freien Verfügung stehen...

https://www.heise.de/news/Details-zum-Microsoft-Leak-Ueber-eine-Million-interne-Dateien-waren-oeffentlich-9681391.html

Zitat von NieSommer

Ich denke das ist eine Glaubensfrage.

Viele Konzerne haben überhaupt kein Problem ihre Daten/Code z.B. bei Azure DevOps oder Github zu lassen.

Das ist aber in der Regel Dinge, die nicht streng vertraulich sind. Quellcode ist oft sensibel, aber eben selten vertraulich.

Oder ihre Wikis/Projektverwaltung/Ticketsysteme ala Confluence und Jira.

Zitat von tab

Der ehemalige nginx-Entwickler mag sich ja in Moskau sicher fühlen...

Den politischen Beißreflex mal außen vor...

Der Fork ( https://freenginx.org ) betrifft doch den Open Source Teil ( https://nginx.org ) von Nginx und nicht den kommerziellen Teil davon ( https://www.nginx.com ), oder sehe ich das falsch?

Oder habe ich Open Source falsch verstanden.

Zitat von tab

...Markenrechte von F5 verletzen sollte,...

Mir ist schon klar, daß Juristen gern alles verklagen was denen irgendwie über den Weg läuft.

Das scheint dann wohl das einzig funktionierende bei F5 sein.

Zitat von m_ueberall

Ein sofortiger Wechsel auf einen Fork, ohne dessen Zukunftsaussichten mit etwas (auch zeitl.) Abstand einzuschätzen, erschien mir schon immer ausgesprochen risikobehaftet (wenn ich nicht bei selbigem Fork involviert bin). Wenn sofortiger Handlungsbedarf bestünde, würde ich in diesem Fall ggf. sogar einen Produktwechsel vorziehen (wenn es einen etablierten Mitbewerber gibt).

Sehe ich auch so. Man wird ja sehen was im Changelog bei https://nginx.org zukünftig passiert.

Ich habe in meinem Webhosting ein Mailformular, welches über den netcup Mailserver mxXXXX.netcup.net Port 465 authentifizert Mails verschickt.

Folgendes Verhalten:

1. Mail an E-Mail Empfänger welcher auf netcup Mailserver mxXXXX.netcup.net gehostet ist. DKIM wird nicht verwendet, da Benutzer authentifiziert.
2. Mail an E-Mail Empfänger welcher nicht netcup Mailserver mxXXXX.netcup.net gehostet ist (E-Mail Adresse des Nachrichtenversenders). DKIM, SPF werden verwendet und es gibt keine Fehlermeldungen.

Da du Port 465 angegeben hast, gehe ich mal davon aus, dass du die Mail auch authentifizert versendest. Test meinerseits auf Port 465 ohne Authentifzierung geht nicht. Mailversand nicht authentifiziert wäre für mich Port 25.

Zitat von duckr

Laut Gematik direkt war wohl was bei Arvato: https://www.gematik.de/newsroo…ll-telematikinfrastruktur

Da war wohl nicht nur das E-Rezept betroffen: https://fachportal.gematik.de/ti-status/stoerungen

Zitat

Letzte Aktualisierung: 14.02.2024 11:00 Uhr:

Zurzeit liegt eine zentrale Störung in der Telematikinfrastruktur vor. Dies kann zu Störungen beim Ausstellen des E-Rezepts, Einlesen von eGKs, Zugriff auf die elektronische Patientenakte oder auch beim Versenden von KIM-Nachrichten führen

2024-02-15_11-20-56.png

Ihre Daten in besten Händen...

Zitat von Paul

Ich teile das hier mal. Ist sicher für den ein oder anderen auch relevant: https://www.phoronix.com/news/Nginx-Forked-To-Freenginx

Erinnert mich an Oracle und MySQL.

Mit F5 willst du auch nicht wirklich was zu tun haben. Musste mich 2 Jahre mit deren Zeugs rumschlagen. Waren viele zusätzliche Nachtschichten zum beseitigen von Bugs und Sicherheitsproblemen.

Was willste erwarten:

Zitat

Unfortunately, some new non-technical management at F5 recently

decided that they know better how to run open source projects. In

particular, they decided to interfere with security policy nginx

uses for years, ignoring both the policy and developers’ position.

Nginx war und ist hoffentlich mit dem Fork auch weiterhin sehr wartungsfreundlich (Changelog).

Im Gegensatz zu dem was F5 produziert.

Zitat von Baconpie

Mit meinem Global Admin Account der meinen Namen enthalten sendet Wordpress E-Mails raus. Dann habe ich einen Benutzt mit noreply@*** angelegt, dem eine Lizenz gegeben und versucht damit den Wordpress Mailversand zum laufen zu bekommen. Ich bekomme durchwegs die Fehlermeldung dass die Authentifizierung nicht möglich ist. Ich habe versucht den Account, ebenso wie meinen mit dem es ja funktioniert, ins 2fa aufzunehmen und allgemein irgendwie zu schauen wo der Unterschied zwischen den Accounts ist. Keinerlei Lösung bekommen.

Vielleicht hilfreiche Hinweise für dich.

Da ich auch Zugriffsprobleme bei einem Altlasten Outlook/Hotmail Account von mir hatte.

Musste meinen POP3/SMTP Zugriff für Thunderbird auf OAuth2 umstellen, da es von einem Tag auf den anderen nicht mehr mit SSL/TLS funktionierte. Eine Vorwarnung bekam ich nicht.

Musste nach Umstellung beim ersten Zugriff über OAuth2 einmalig Thunderbird als Anwendung über ein Popup in Thunderbird "freischalten", was du sicherlich im Admin Panel irgendwo machen kannst.

Hier ein paar informative Links dazu:

https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202

https://learn.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth

Zitat von Baconpie

Warum auch immer, ich habe vorher dort nichts angefasst (Ich schwöre bei meinem RAM!), ist es dem Global Admin Account durch explizite Nennung des Accounts erlaubt die MFA zu umgehen/ignorieren. Deswegen war mein Wordpress in der Lage mit dem Account die SMTP Verbindung herzustellen und Noreply durfte es nicht und war traurig. Stumpfe Lösung: Noreply ist jetzt auf Platz zwei in der Ausnahmeliste.

Den Global Admin Account würde ich nicht in Anwendungen benutzen. Einen Generalschlüssel gibt man ja auch nicht in der ganzen Firma rum. Dafür legt man weitere "Standard Accounts" an.

Zitat von Baconpie

Yes, hab nen Webhosting. Geht mir nur darum, ob ich jetzt alle auffordern muss ihre Mails aus dem alten Account zu sichern. Aber wenn sie weiterhin drauf zugreifen können ist es entspannt.

Nicht ganz ernst gemeint, aber macht Datenmigration nicht mehr der Admin?

Zitat von oOLokiOo

Thunderbird läuft,

Das würde ich als Lösung ansehen. Tschüß Outlook.

Zitat von Skulduggery

Kannst du ggf. kurz dein Setup erläutern?

Mein Setup bzw. meine Verwendung ist recht einfach.

Heimnetzwerk (verschiedene Subnetze) -> Heimnetzwerkrouter/Firewall (OpenWrt) -> GatewayServer (VPS piko G11s) -> Internet

Der OpenWrt Router baut den WG-VPN zum VPS Server auf, welcher dann per NAT den Traffik ins Internet weiterleitet. Damit auch kein Problem mit dynamischer IP-Adresse des Heimnetzwerkes.

Die Subnetze im Heimnetzwerk verwenden die WG-VPN Interface IP-Adresse des OpenWrt Routers (NAT/Masquerading) in Richtung VPS. Damit keine zusätzlichen Routen in Richtung Heimnetzwerk auf dem VPS nötig.

Im WG-VPN Interface des OpenWrt Router ist als Allowed IPs 0.0.0.0/0 hinterlegt und somit geht aller Traffik in Richtung VPS Server.

Das war es auch schon.

Hilfreiche Informationen.

Debian: https://wiki.debian.org/SimplePrivateTunnelVPNWithWireGuard

OpenWrt: https://casept.github.io/post/…server-on-openwrt-router/

Zitat von Valkyrie

...

EDIT: Jetzt musste ich doch kurz schauen. Hab auf dem WG Interface jeweils die MTU auf 1420 gesetzt und bei meinen ersten Tests scheint es mit voller Geschwindigkeit zu laufen.

...

MTU 1420 ist doch eigentlich der Default Wert des wg Interface. Zumindest bei mir.

Ohne MTU Parameter in der Konfigurationsdatei des VPS Servers sieht es so aus:

root@vxxx:~# ip -d -s -s -h address show wg0
wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none  promiscuity 0  allmulti 0 minmtu 0 maxmtu 2147483552 
    wireguard numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 tso_max_size 65536 tso_max_segs 65535 gro_max_size 65536 
    inet 10.x.x.x/24 brd 10.x.x.255 scope global wg0
       valid_lft forever preferred_lft forever
    inet6 fc00:10:x::x/64 scope global 
       valid_lft forever preferred_lft forever
    RX:  bytes packets errors dropped  missed   mcast           
         10.1M    103k    458       0       0       0 
    RX errors:  length    crc   frame    fifo overrun
                     0      0     458       0       0 
    TX:  bytes packets errors dropped carrier collsns           
          165M    139k      0       0       0       0 
    TX errors: aborted   fifo  window heartbt transns
                     0      0       0       0       0

Zitat von VeePay

Meine Geschwindigkeit ist bei einer MTU von 1420 sogar noch schlechter als im auto. Aktuell fahre ich mit 1320 am besten.

Mein wg0 Interface hat ja auch paar RX Fehler. Eine Änderung der MTU Größe auf z.B. 1380 hat diese aber nicht beseitigt. Muss ich mir nochmal mit tcpdump anschauen, was das verursacht. Auf den Datendurchsatz haben diese Fehler aber bislang keine Auswirkung. Vielleicht laufen diese Fehler auch im IPv6 auf, was ich aber nicht verwende.

Zitat von Valkyrie

Auf was für Geschwindigkeiten kommst du da so?

Habe noch keine Messung auf dem Server direkt gemacht, aber bei Downloads aus meinem Netzwerk auf eher geringe Werte, da mein Kabelanschluss der "Bremsklotz" ist. Downloads laufen aber stabil runter.

Beispiel:

76,50M  6,01MB/s    in 13s

Zitat von Valkyrie

Bin neulich aber auf einen VPS nano umgestiegen. Überlege sogar auf einen piko runter zu gehen, weil ich glaube, dass der ausreichen würde. Die 80TB Traffic der normalen VPS hätte ich niemals erreicht.

Also ich bin mit meinem VPS piko G11s als VPN (wireguard) Gateway zufrieden. Läuft mittlerweile über eine Woche 24/7 ohne Probleme.

Wegen latest handshake. Nutze PersistentKeepalive nicht.

wg show wg0
interface: wg0
  public key: xxxx
  private key: (hidden)
  listening port: xxx

peer: xxxx
  preshared key: (hidden)
  endpoint: xxx
  allowed ips: xxx
  latest handshake: 1 minute, 45 seconds ago
  transfer: 656.63 MiB received, 13.84 GiB sent

Da ich keine "Dauerdownloads" laufen habe, sollte mich das mit dem Traffik auch nicht treffen bzw. stören.

Zitat von [netcup] Claudia H.

Traffic: Wenn der durchschnittliche Datenverkehr in den letzten 24 Stunden über 100 MBit/s liegt, erfolgt eine vorübergehende Drosselung auf 100 MBit/s

Zitat von nitram

Den hab ich in der mir immer noch unbekannten JSON nicht gefunden.

Nein spaß, da gabs nen Gutscheincode dafür, weil ich wohl zu den 50 aktivsten Membern hier gehöre.

Habe da auch einen..., den ich aber nicht benötige. Habe ja jetzt ein VPS piko G11s, sonst hätte ich den RS Cyber Quack vielleicht genommen.

Zitat von VeePay

Sollte jemand einen RS Cyber Quack bekommen aber nicht benötigen, ich würde mich sehr freuen

Noch Bedarf?

Zitat von KB19

Nein, aber ich habe mittlerweile mehr Angst vor der Tauschbörse. Die gibt es ganzjährig 24/7 und die ist (aus finanzieller Sicht) tödlich

Um dem noch eins drauf zu setzen.

Sagt mal, hier sind doch viele "Jäger und Sammler" unterwegs. Könnt ihr auch was mit so richtig physischen HDDs anfangen?

Hätte da noch 3 gebrauchte WD RED NAS 1TB 3,5" auf Lager und gegen etwas Kleingeld abzugeben.

Vielleicht reichen die damit erziehlten Einnahmen dann für eine Weile zur Finanzierung meiner Netcup Produkte.

Zitat von tomi

was heisst das genau ? Müsste ich mich per ssh auf den linux Server verbinden ?

Denn dazu habe ich keine Daten. Und Managed Server heisst, dass soweit alles von Seiten netcup erledigt/managed wird.

Ja, deswegen hatte ich den Hinweis mit der Konfiguration per CLI dazugeschrieben.

Ich hatte noch keinen Managed vServer und weis nicht wie eingeschränkt der Zugriff da ist. Wenn Du aber selbst nichts groß konfigurieren kannst, was im weitesten Sinne administrativ ist, dann sollte das Netcup eigentlich machen. Denn DKIM würde ich mittlerweile als eine Stanbdard Anforderung für einen Mailserver verstehen.

Wenn der Managed Server eine "UserGUI" für DKIM Einstellungen besitzt, dann solltest du das eventuell auch selbst machen können.

Zitat von tomi

Ansonsten, gibt es eine Anleitung wie ich die keys erstellen kann auf dem Server von netcup ? Danke

Ist mir noch nicht über den Weg gelaufen. Müsste ich auch suchen gehen.

Zitat von tomi

spf habe ich folgendes drin stehen - was aber nicht zu funktionieren scheint laut test:

Host = @

Type = txt

Destination = =spf1 a mx ip4:xxx.xxx.xxx.xxx ~all

SPF Wert sieht soweit in Ordnung aus. Verwende ich genau so. Bis auf -all, da bin ich restrictiver.

Was sagt denn das Mailserver Logfile?

Der Google Mailserver gibt ja einen Code zurück, wenn eine Mail abgelehnt wird. Am SPF sollte die Ablehnung eigentlich nicht mehr liegen.

Zitat von tomi

Wo bekomme ich den privat/public Key ( DKIM ) her ?

Sollte die Anwendung auf deinem Server erstellen können, welche auch die ausgehenden E-Mails mit DKIM versieht.

Ich nutze Rspamd. Damit generiere ich die Keys und trage diese dann im DNS und im Rspamd DKIM Modul (https://rspamd.com/doc/modules/dkim_signing.html) ein.

Zitat von tomi

p.s. Ich habe einen Managed Server

Ich weis nicht was auf deinem Managed Server installiert ist. Mit Rpamd muss man mein beschriebenes per CLI machen. Eine WebGUI gibt es nicht.

Zitat von cadeyrn

Da ich selbst eine Matomo-Instanz bei netcup hoste, kann ich in jedem Fall bestätigen, dass es möglich ist, wirklich jeden Test der Systemprüfung zu bestehen.

Ich dachte schon der Zugriffcheck würde im Webhosting jetzt funktionieren...

Zitat von DaSch22

Matomo läuft auch auf meinem Webhosting 2000.

Einziger Punkt der nicht geht, ist im Matomo Adminpanel der Zugriffscheck für die Verzeichnisse. Da schlägt ModSecurity zu.

Aber die Auflösung, warum es immer noch nicht geht, kam ja umgehend.

Zitat von cadeyrn

Da ich einen Managed Server habe...

Zitat von Bud

Was spricht dafür, es auf einem Server laufen zu lassen? Theoretisch ist es auf dem Webhosting wartungsfreundlicher, oder?

Ich habe Matomo auch auf meinem vServer installiert. Benötigt - wenn man nur kleine Webseiten analysiert - nicht wirklich viele Ressourcen.

Ich nutze Nginx Light + PHP-FPM + MariaDB + Letsencrypt. Da ist nicht wirklich viel zu installieren und konfigurieren. Im Matomo Repo sind die Konfigurationsdateien für Nginx enthalten. Wartung ist auch simple. Update Routine vom OS und Matomo Update Button, fertig.

Sehe keinen großen Unterschied im Wartungsaufwand zwischen vServer (wenn er eh schon am laufen ist) und Webhosting.

Zitat von eripek

Wie, kein VPS 50?

Sowas in der Größe könnte ich auch gebrauchen...

Möchte ja ungern bei anderen Anbietern kaufen.