Posts by infinitnet

    Autsch, da hast du allerdings Recht! Das wäre dann das beste Beispiel für einen unsicher konfigurierten SMTP, "kleiner" Denkfehler meinerseits. :rolleyes:


    @OP: Übrigens scheint es bei dir um Dovecot zu gehen (zumindest bezieht sich dein Error-Log oben auf Dovecot). Also poste bitte auch die Dovecot Config. Hier muss man dann nachsehen, warum Dovecot keine Verbindung zu der Datenbank mit den Usern bekommen kann. Error Log habe ich auch nur zur Hälfte gesehen, da ich mir die erste Zeile gar nicht genau angesehen habe. Die Fehlermeldung ist eigentlich recht eindeutig und damit hat Postfix erst mal gar nichts zu tun.

    SSL macht deinen Mailserver nicht sicherer, es verschlüsselt lediglich die Verbindung zwischen Client und Server.


    Port 25 ist nach RFCs auch gar nicht passend, sondern Port 465, auch wenn 25 immer wieder gerne als SMTP Port verwendet wird. Also schau mal nach, ob der Dienst auf Port 465 lauscht. Falls nicht, schau nach, ob der Postfix Dienst überhaupt erfolgreich startet und sieh dir die Error Logs an.

    Dann solltest du auch noch beachten, dass du in Deutschland als Betreiber des Servers persönlich für Schäden haftbar bist, die entstehen können, wenn bspw. der Mailserver nicht sicher genug konfiguriert ist und für Spam missbraucht wird, o.Ä.


    Das stellst du nicht am Server ein, sondern entfernst einfach den Haken bei "SSL" im Android Mail-Client. In deiner main.cf änderst du dann noch "mynetworks = 127.0.0.0/8" auf "mynetworks = all" und startest, bzw. lädst danach Postfix neu.

    Leitest du die Ausgabe des Skripts auch an den Browser weiter (print "Content-type: text/html\n\n";), damit das Skript nicht STDOUT verwendet? Falls ja, kannst du versuchen das Ganze zu debuggen, indem du "use CGI::Carp qw(fatalsToBrowser);" oben in das Skript einfügst, direkt unter der Deklaration des Interpreters.

    Bei kurzem Überfliegen deiner Config sind mir bereits zwei Fehler aufgefallen.


    1.) Du hast die SMTP-Empfänger sowie -Clients auf "mynetworks" beschränkt und unter "mynetworks" ist nur localhost eingetragen. Setze hier "all", wenn du auch von Außerhalb verbinden möchtest.


    2.) Du scheinst zu versuchen die Verbindung über SSL herzustellen, obwohl keinerlei Zertifikate in der Config eingetragen sind. Das Problem dabei sollte sich selbst erklären.

    Tut mir leid, dass ich dieses Thema wieder ausgrabe, aber unter Anderem das ist der Grund, warum ich mich hier registriert habe. Einige Informationen hier sind doch sehr fragwürdig.


    Jein;)
    Naja es gibt ein paar Möglichkeiten bloß wenn ein richtiger DDoS kommt (also nicht 200-500k pc´s) Dann hast du eh ein Problem :D:p

    Jein. Etwa 300k PPS SYN lassen sich noch relativ einfach mit einem Quadcore blocken, mit Hilfe von entsprechenden iptables Regeln und deaktiviertem ip_conntrack zum Beispiel. Etwa 800k PPS lassen sich auch noch mit einem Quadcore blocken, solange man *BSD verwendet, entsprechende ACLs für pf erstellt und desweiteren noch pf synproxy einsetzt. Man könnte so ein ganzes Subnet per GRE schützen.


    Wenn bei einem DDoS ganz gewöhnliche Anfragen an einen Webserver geschickt werden, kann diesen keine Firewall erkennen.

    Falsch. Es gibt etwas, das nennt sich "Behavior Analysis" und ist beispielsweise in einige spezielle Boxen zum Schutz gegen DDoS integriert und man könnte so etwas auch selbst schreiben. Je nach dem was man unter "ganz gewöhnlichen Anfragen" versteht, könnte man sogar so etwas wie fail2ban oder BARF verwenden, um mit entsprechender Regex zu viele Requests von der selben IP per iptables zu blocken. Dies funktioniert natürlich nur, wenn die angreifenden IPs mehr Anfragen versenden, als gewöhnliche Besucher.
    Darüber hinaus gibt es noch Browser Integrity Checks. Hier wird überprüft, ob es sich um einen vollständigen Browser-Stack handelt, bevor die Anfrage an den eigentlichen Webserver übergeben wird. Beispielsweise indem die Anfrage nur übergeben wird, wenn ein kurzer JavaScript- oder Flash-Code erfolgreich verarbeitet wurde. Dies ist auch in entsprechende Anti DDoS Firewalls integriert, kann aber auch selbst mit beispielsweise NGINX + LUA (oder Perl) geschrieben werden. Das Konzept demonstriert das NGINX Modul "Roboo" (yuri-gushin/Roboo · GitHub) recht gut, auch wenn es für den Produktiveinsatz nicht so geeigent ist.


    Einen pauschalen DDoS-Schutz gibt es nach unserer Auffassung (Geschäftsführer beide Dipl.-Ings. (BA) für IT) nicht :)

    Dazu sage ich mal gar nichts, außer entsprechender Upstream und: NSFOCUS, Arbor Networks, RioRey, Andrisoft, F5, Fortigate.


    Ja, Sonderzeichen dürfen vorkommen. Es kann theoretisch schon sein, dass dein PuTTY Probleme macht. Versuche es mit einem anderen SSH-Client (am besten nativ unter Linux), oder eben über das Panel von Netcup.

    '/etc/hosts' öffnen und etwa so bearbeiten:


    1.2.3.4 server1.example.com server
    11.2.3.5 mail.example.com mail


    PTR entsprechend anpassen - fertig!


    In '/etc/hostname' setzt du am Besten "mail" und in '/etc/mailname' "mail.example.com".