Beiträge von infinitnet

Autsch, da hast du allerdings Recht! Das wäre dann das beste Beispiel für einen unsicher konfigurierten SMTP, "kleiner" Denkfehler meinerseits.

@OP: Übrigens scheint es bei dir um Dovecot zu gehen (zumindest bezieht sich dein Error-Log oben auf Dovecot). Also poste bitte auch die Dovecot Config. Hier muss man dann nachsehen, warum Dovecot keine Verbindung zu der Datenbank mit den Usern bekommen kann. Error Log habe ich auch nur zur Hälfte gesehen, da ich mir die erste Zeile gar nicht genau angesehen habe. Die Fehlermeldung ist eigentlich recht eindeutig und damit hat Postfix erst mal gar nichts zu tun.

Auf welchen Ports lauscht Postfix denn nun überhaupt? netstat -tulpn

Das bedeutet nur, dass Postfix an diesem Punkt durch ein Signal beendet wurde, was z.B. bei "/etc/init.d/postfix restart" der Fall ist.

SSL macht deinen Mailserver nicht sicherer, es verschlüsselt lediglich die Verbindung zwischen Client und Server.

Port 25 ist nach RFCs auch gar nicht passend, sondern Port 465, auch wenn 25 immer wieder gerne als SMTP Port verwendet wird. Also schau mal nach, ob der Dienst auf Port 465 lauscht. Falls nicht, schau nach, ob der Postfix Dienst überhaupt erfolgreich startet und sieh dir die Error Logs an.

Dann solltest du auch noch beachten, dass du in Deutschland als Betreiber des Servers persönlich für Schäden haftbar bist, die entstehen können, wenn bspw. der Mailserver nicht sicher genug konfiguriert ist und für Spam missbraucht wird, o.Ä.

Das stellst du nicht am Server ein, sondern entfernst einfach den Haken bei "SSL" im Android Mail-Client. In deiner main.cf änderst du dann noch "mynetworks = 127.0.0.0/8" auf "mynetworks = all" und startest, bzw. lädst danach Postfix neu.

Leitest du die Ausgabe des Skripts auch an den Browser weiter (print "Content-type: text/html\n\n";), damit das Skript nicht STDOUT verwendet? Falls ja, kannst du versuchen das Ganze zu debuggen, indem du "use CGI::Carp qw(fatalsToBrowser);" oben in das Skript einfügst, direkt unter der Deklaration des Interpreters.

Bei kurzem Überfliegen deiner Config sind mir bereits zwei Fehler aufgefallen.

1.) Du hast die SMTP-Empfänger sowie -Clients auf "mynetworks" beschränkt und unter "mynetworks" ist nur localhost eingetragen. Setze hier "all", wenn du auch von Außerhalb verbinden möchtest.

2.) Du scheinst zu versuchen die Verbindung über SSL herzustellen, obwohl keinerlei Zertifikate in der Config eingetragen sind. Das Problem dabei sollte sich selbst erklären.

Tut mir leid, dass ich dieses Thema wieder ausgrabe, aber unter Anderem das ist der Grund, warum ich mich hier registriert habe. Einige Informationen hier sind doch sehr fragwürdig.

Zitat von Proyx

Jein;)
Naja es gibt ein paar Möglichkeiten bloß wenn ein richtiger DDoS kommt (also nicht 200-500k pc´s) Dann hast du eh ein Problem :D:p

Jein. Etwa 300k PPS SYN lassen sich noch relativ einfach mit einem Quadcore blocken, mit Hilfe von entsprechenden iptables Regeln und deaktiviertem ip_conntrack zum Beispiel. Etwa 800k PPS lassen sich auch noch mit einem Quadcore blocken, solange man *BSD verwendet, entsprechende ACLs für pf erstellt und desweiteren noch pf synproxy einsetzt. Man könnte so ein ganzes Subnet per GRE schützen.

Zitat von [netcup] Felix

Wenn bei einem DDoS ganz gewöhnliche Anfragen an einen Webserver geschickt werden, kann diesen keine Firewall erkennen.

Falsch. Es gibt etwas, das nennt sich "Behavior Analysis" und ist beispielsweise in einige spezielle Boxen zum Schutz gegen DDoS integriert und man könnte so etwas auch selbst schreiben. Je nach dem was man unter "ganz gewöhnlichen Anfragen" versteht, könnte man sogar so etwas wie fail2ban oder BARF verwenden, um mit entsprechender Regex zu viele Requests von der selben IP per iptables zu blocken. Dies funktioniert natürlich nur, wenn die angreifenden IPs mehr Anfragen versenden, als gewöhnliche Besucher.
Darüber hinaus gibt es noch Browser Integrity Checks. Hier wird überprüft, ob es sich um einen vollständigen Browser-Stack handelt, bevor die Anfrage an den eigentlichen Webserver übergeben wird. Beispielsweise indem die Anfrage nur übergeben wird, wenn ein kurzer JavaScript- oder Flash-Code erfolgreich verarbeitet wurde. Dies ist auch in entsprechende Anti DDoS Firewalls integriert, kann aber auch selbst mit beispielsweise NGINX + LUA (oder Perl) geschrieben werden. Das Konzept demonstriert das NGINX Modul "Roboo" (yuri-gushin/Roboo · GitHub) recht gut, auch wenn es für den Produktiveinsatz nicht so geeigent ist.

Zitat von [netcup] Felix

Einen pauschalen DDoS-Schutz gibt es nach unserer Auffassung (Geschäftsführer beide Dipl.-Ings. (BA) für IT) nicht

Dazu sage ich mal gar nichts, außer entsprechender Upstream und: NSFOCUS, Arbor Networks, RioRey, Andrisoft, F5, Fortigate.

Zitat von Dirk67

irgendwie habe ich Probleme mit Sonderzeichen
dürfen

Code

_-$#()[]{}@+*

im linux PW vorkommen ?

(oder irgendwie falsche zeichensatz-Translation zwischen Win<->putty<->SSH-Konsole ?)

Wie lang darf das root PW max. sein ?

Alles anzeigen

Ja, Sonderzeichen dürfen vorkommen. Es kann theoretisch schon sein, dass dein PuTTY Probleme macht. Versuche es mit einem anderen SSH-Client (am besten nativ unter Linux), oder eben über das Panel von Netcup.

An der Deklaration #!/usr/bin/perl sollte es nicht liegen. Kannst du dein Skript oder zumindest einen Teil davon zur Verfügung stellen, sowie Error-Logs? Habe meine Glaskugel gerade nicht hier.

Desweiteren solltest du noch eine Shell für den neuen User in '/etc/passwd' setzen.

'/etc/hosts' öffnen und etwa so bearbeiten:

1.2.3.4 server1.example.com server
11.2.3.5 mail.example.com mail

PTR entsprechend anpassen - fertig!

In '/etc/hostname' setzt du am Besten "mail" und in '/etc/mailname' "mail.example.com".