Beiträge von margau

  • Basis Tips für Website installation gesucht

    Hallo!
    Der einfachste Einstieg ist generell das Froxlor-Image, ABER:
    Solche Serveradministration ist nicht gerade einfach.
    Du wirst viel lernen müssen, nur auf der Kommandozeile arbeiten, etc.
    Besonders wichtig ist die Sicherheit, ein Root-Server, der im Netz steht mit einer 100er oder 1000er-Anbindung wird gerne von Spammern gekapert.
    Das kann richtig teuer werden, ganz abgesehen von der Arbeit und eventuellem Verlust von Nutzerdaten.


    Ein guter Einstieg bietet dieser Thread: Anleitung: (V)Server Grundabsicherung


    Aber man sollte sich eigentlich vorher Lokal, z.B. in einer Virtuellen Maschine, in die Thematik "Linux" und "Serverbetrieb" einarbeiten, bevor man seine Server ins Netz stellt.


    Zurück zu den eigentlichen Fragen:
    Man nimmt meistens einen LAMP-Stack (Linux, Apache, MySQL, PHP), das ist auch bei Froxlor mit dabei. Froxlor ist quasi das "Webhostingmanagementtool" für deinen eigenen Server.


    Zum lernen kann man den Webserver (Apache oder nginx), PHP, MySQL etc. natürlich auch selbst einrichten, ist eben mehr Arbeit.


    FTP hat Froxlor dabei, ansonsten nutzt man als Admin meist SCP (Im Prinzip FTP über SSH). SCP ist meistens sicherer als FTP, wenn man den Server alleine benutzt ist das die bessere Wahl.


    Zur letzten Frage:
    Welche Daten? "Äußere" Daten gibts im servercontrolpanel oder bei Ersteinrichtung per Mail, andere Daten musst du dir eben da holen wo sie sind (Stichwort Kommandozeile).


    Wenn du das wirklich durchziehen willst, denke UNBEDINGT und ALS ERSTES an die Sicherheit:
    SSH Root Login verbieten
    Fail2Ban zur Vermeidung von Brute-Force-Einbrüchen (gepaart mit starkem Passwort)
    Firewall (ufw)
    Login-Notification (z.B. SSH-Security: Login-Benachrichtigung – marvingaube.de )
    usw. -> Google


    Wenn ein Mail-Server dazukommt, wird das ganze nochmal spannender :D


    Viele Grüße!
    margau


    Edit: Verstehe mich bitte nicht falsch, aber man unterschätzt die Arbeit und Verantwortung als Einsteiger häufig. Ist mir auch passiert, obwohl ich damals kein Linux-Neuling war.

  • Das längste Thema


    Dankeschön!
    Ich habe jetzt teile deiner Konfiguration übernommen, und es geht.


    Keine Ahnung, woran es lag...


    Danke und Viele Grüße!
    margau

  • Das längste Thema

    Hallo zusammen!
    Ich habe das Problem, das mein Postfix nur noch TLS 1.2 Verbindungen akzeptiert - leider müssen Accounts auf meinem Server noch Mails von Providern empfangen, die bisher nur Version TLS 1.0 umgesetzt haben.


    Vom Postmaster wurde mir mitgeteilt, "sie sind grade dabei, alle Kunden umzuziehen" :S


    Der tls-Teil meiner main.cf sieht so aus:

    Code
    smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2
smtpd_tls_exclude_ciphers = RC4, aNULL, SSLv3


    Details zu dem Mailserver sieht man hier:
    marvingaube.de - TLS / STARTTLS Test · SSL-Tools


    Wie schaffe ich es jetzt, dass mein Postfix auch TLS 1.0 und TLS 1.1 zulässt (ja, ich kenne die bedenken bei TLS 1.0) ?(


    Danke und Viele Grüße!
    margau


    PS: OpenSSL-Version ist 1.0.1t, Postfix 2.9.6

  • [Warnung/Erinnerung] Benutzt SSH Keys!

    Viel wichtiger als SSH-Keys finde ich eigentlich Fail2Ban und eine Mailbenachrichtigung bei erfolgreichem Login,
    so beugt man Brute-Force effektiver vor und bekommt auch im Notfall bescheid.


    Dienste wie blocklist.de finde ich auch sehr interessant dafür.


    Viele Grüße!
    margau

  • Das längste Thema

    Zitat von killerbees19

    Was spricht gegen Mailman? Da brauchst Du nur an einer einzigen Stelle beim Mailserver das Alias definieren, versendet wird dann z.B. über SMTP mit oder ohne Auth (oder ohne Patch über ssmtp), was Du wahrscheinlich eh schon hast. Ich sehe da keinen großen Eingriff, der notwendig wäre. Maximal noch die Domain in die Datenbank eintragen, damit er sich zuständig fühlt.


    Oder alternativ ohne Eingriff beim Mailserver über POP3 bzw. IMAP/getmail/Maildir: mailman/USER_GUIDE.md at master · mailman/mailman · GitHub

    Danke für den Tipp, ich werde es mir mal genauer ansehen.
    Andererseits reizt mich das selbstentwickeln einer Lösung mit PHP auch irgendwie, nachdem ich mir gestern mal die entsprechenden (PEAR-)API's angeschaut habe.
    Ein DAU-fähiges Webinterface brauche ich ja sowieso :huh:


    Viele Grüße!
    margau

  • Das längste Thema

    Hallo zusammen!


    Ich bin zurzeit am Suchen nach einer Lösung, Mailverteiler für größere Organisatorische Dinge zu erstellen (Konkret: Abijahrgang),
    am liebsten hätte ich eine Art moderierte Mailingliste.
    Problem an der Sache: Ich will aus verschiedenen Gründen nicht in die MTA-Konfiguration rein (wird via MySQL gemanagt, Failover mit mehreren MX der gleichen Priorität, verschiedene Domains f. Mailingliste).
    Mein Wunschprogramm/Script klingt sich per IMAP ein, checkt das ganze per Cron, und ist über ein Webinterface bedien-/modierbar.


    Kennt jemand irgendetwas in diese Richtung oder muss ich da selbst tätig werden?


    Danke und Viele Grüße!
    margau

  • Domain von Freund zu netcup holen

    Hallo!
    Inhaber kann er nur mit eigenem Konto bleiben -> Er braucht einen Domain-Reseller, Netcup macht "nur" Domains glaube ich noch nicht. Aber ich meine mal gehört zu haben, dass Domain-Reselling in Planung ist.
    Dann biegt er die DNS-Nameserver der Domain auf welche, wo du Zugriff hast (Primary auf deinem VServer, und irgendwo einen Secondary Nameserver).
    Schon ist er Eigentümer, du hast aber Zugriff auf das DNS.
    Vielleicht kann das ja der jetzige Anbieter schon?
    Die Alternative wäre natürlich, dass er dir "vertraut", und du die Domain komplett zu dir transferierst.


    Viele Grüße!
    margau

  • Postfix: Nicht nachvollziehbare "Milter service needs transport:endpoint instead of" - Warnung

    Hallo!
    VI mit eingeblendeten Zeilenumbrüchen sagt aus, das sie da sind:

    Code
    non_smtpd_milters = inet:localhost:12222$
$
$
#Ciphers$


    und postconf zeigt mir an, das es an den non_smtpd_milters liegt:

    Code
    non_smtpd_milters = inet:localhost:12222 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_ciphers = medium smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_ciphers = medium



    Wenn ich den entsprechenden non-smtpd-milter auskommentiert habe, rutschen die SSL-Einstellungen einfach "nach vorne":

    Code
    smtpd_milters = inet:localhost:12222 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_ciphers = medium smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_ciphers = medium



    Wenn ich die 4 SSL-Einstellungen auskommentiert habe, geht es komischerweise. Gibt es eine "neuere" Methode, die alten SSL-Versionen zu deaktivieren?



    Danke und Viele Grüße!
    margau

  • Postfix: Nicht nachvollziehbare "Milter service needs transport:endpoint instead of" - Warnung

    Hallo zusammen!
    Ich habe leider bei mir eine nicht nachvollziehbare Warnung von Postfix, in der mail.warn steht folgendes:

    Code
    Aug 10 10:22:28 x postfix/cleanup[1958]: warning: Milter service needs transport:endpoint instead of "smtpd_tls_protocols"
Aug 10 10:22:28 x postfix/cleanup[1958]: warning: Milter service needs transport:endpoint instead of "="


    usw.


    Der betreffende Block der main.cf sieht folgendermaßen aus:


    Der Milter auf Port 12222 ist OpenDKIM (was auch hervorragend funktioniert), und einen Syntax Error konnte ich auch nicht entdecken.
    Hat jemand eine Idee, wo das Problem liegen könnte?


    Danke und Viele Grüße!
    margau

  • Froxlor: Courier auf Dovecot migrieren

    Hallo!
    Ich habe die Migration mittlerweile erfolgreich durchgeführt, falls jemand vor dem selben Problem steht:
    Man muss einfach das oben genannte Script über alle Maildir's laufen lassen.
    Desweiteren muss man natürlich die von Froxlor erzeugten Dovecot-Konfigurationen einspielen, und in der Datei 10-mail.conf folgende Anpassungen vornehmen:

    Code
    #mail_location = mbox:~/mail:INBOX=/var/mail/%u
mail_location = maildir:~
namespace inbox {
  inbox = yes   }



    Sowie in master.cf von Postfix folgendes anhängen:

    Code
    #Dovecot LDA
dovecot   unix  -       n       n       -       -       pipe        flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}




    Viele Grüße!
    margau

  • Froxlor: Courier auf Dovecot migrieren

    Hallo zusammen!
    Ich stehe vor der Aufgabe, bei meiner Froxlor-Installation den IMAP-Server von Courier auf Dovecot umzustellen. Benötigt wird das ganze unter anderem wegen Sieve, und der Möglichkeit, in Zukunft die Replikation zu nutzen.


    Da das ganze ein Produktivserver ist, habe ich das Interesse, das alles möglichst reibungslos (und schnell) funktioniert.


    Meine Aktuelle Strategie beinhaltet, nach der Dovecot-Installation zunächst über die Froxlor-Konfiguration die Dovecot Config-Templates einzuspielen, und dann wie unter
    http://wiki.dovecot.org/Migration/Courier
    beschrieben die dovecot-uidlist generieren zu lassen.


    Da ich mich allerdings mit dem Postfach-Teil von Froxlor noch nicht 100% auskennen, würde es mich freuen, wenn mit andere Nutzer noch Tipps geben könnten, oder vielleicht habe ich sogar etwas grundlegendes vergessen?


    Danke und Viele Grüße!
    margau

  • Sender Rewriting Scheme mit Postfix und mehreren Domains

    Hallo!

    Zitat von killerbees19

    Du sprichst vom Paket postsrsd? Was meinst Du mit "nicht für mehrere Domains"? Normalerweise reicht es, wenn Du in der Datei /etc/default/postsrsd bei SRS_DOMAIN eine allgemeine Subdomain für SRS angibst. Diese wird dann für alle Umschreibungen genutzt. Unter SRS_EXCLUDE_DOMAINS kannst Du die auf dem Server verwalteten Domains eintragen, da für diese keine Umschreibung notwendig ist. Das könnte man auch mit einem Script automatisch befüllen.



    MfG Christian

    Genau, postsrsd. Danke für den Hinweis, ich habe das jetzt so erfolgreich konfiguriert, stört ja auch keinen wenn die "falsche" Domain im Header steht.

    Zitat von m_ueberall

    Hallo margau,


    Ist die im Heise-Artikel zitierte Beschränkung "Angenommen werden nur noch Mails, bei denen Absenderadresse und tatsächliche Versand-Domain übereinstimmen." tatsächlich so zu lesen, daß es nicht ausreicht, den SPF-Eintrag der Domäne "example.org" um die IPv4/IPv6-Adressen Deines VHosts zu ergänzen? Das hast Du schon (erfolglos) ausprobiert?

    Für Mails von dem eigenen Server ist mit einem ganz normalen SPF-Record zu verfahren, dass funktioniert auch bei United Internet. Problematisch wird es nur, wenn ein alias als Weiterleitung/Verteiler/Mailing-Liste konfiguriert ist, in meinem Fall für die Vorstandsmitglieder. Weil dann steht als Absender der ursprüngliche Absender drin, der mir logischerweise nicht erlaubt von meinem Server in seinem Namen zu senden. Dafür braucht man SRS, nun ändert Postfix den Absender auf meine Domain, die das gemäß SPF wieder darf.


    Nochmal Danke und Viele Grüße!
    margau

  • Sender Rewriting Scheme mit Postfix und mehreren Domains

    Hallo!
    Ich habe einen V-Server mit Froxlor und Postfix. Darauf wird in ein paar Tagen auch eine Domain eines Vereines, für den ich die Mails verwalte, umziehen.
    Nun mein Problem: Leider hat United Internet in den letzten Tagen den SPF-Filter scharfgeschaltet (United Internet verschärft Spam-Bekämpfung | heise online ) und der Verein wünscht eine Art Verteiler.
    Soll heißen: Es gibt die Adresse vorstand@example.com, die an alle Vorstandsmitglieder weitergeleitet wird. Diese haben ihrerseits ihre Privatadressen natürlich bei web.de oder gmx. :S
    Für Postfix und SRS habe ich auch bereits Lösungen gefunden, jedoch nicht für mehrere Domains. Da mein Server noch ein paar weitere Domains, über die auch Mailverkehr läuft, beherbergt, würde ich das System natürlich gerne für alle verwenden.


    Hat jemand bereits mit einem solchen Szenario Erfahrung oder einen Lösungsvorschlag?


    Danke und Viele Grüße!
    margau

  • Wie / Womit & Wohin sichert Ihr Eure Server?

    Hallo!
    Ich sichere alles in ein TAR-Archiv per Cron, was dann per rsync und DynDNS zunächst auf einen Raspberry bei mir zuhause geht. Der schiebt die Sicherung dann bei Gelegenheit auf die NAS (NAS ist älter und laut, läuft nur Tagsüber). Von da aus wandert die Sicherung ab und zu mit dem NAS-Backup in den Tresor.


    Intervalle sind:
    wöchentlich alles
    täglich Mail und DB
    alle 6 Stunden logs.


    Das ganze muss ich aber nochmal überarbeiten, 1) soll ein inkrementelles Backup werden und die logs eigentlich häufiger aber inkrementell.


    Viele Grüße!
    margau

  • wie kann ich server instalieren

    Hallo!
    Da du wohl neu im Serverbereich bist:
    Ich empfehle dir dringend, dich generell mit dem Server auseinanderzusetzen. Nimm zum Beispiel SSH zum administrieren, zumindest bei Linux, überlege dir welches Image du installierst (siehe Wiki), und ganz wichtig die Absicherung: Fail2Ban, rkhunter und iptables/ufw als Firewall sind nur einige Stichpunkte. Ich habe mir schon 2 mal per Teamspeak irgendwelche Trojaner eingefangen, die versucht haben, meinen Server zu kapern. Dank der Sicherheitsvorkehrungen gelang das nicht, aber: wenn was passiert, beispielsweise dein Server wird unfreiwillig Teil eines Botnetzes, bist du dafür verantwortlich.


    Ich will dich jetzt nicht abschrecken, aber ein Server ordentlich aufsetzten dauert ein wenig. Dafür macht es um so mehr Spaß wenn man es geschafft hat, durch die Materie durchsteigt etc.


    Viele Grüße!
    margau


    Edit: Zur Frage: Normalerweise gibt es ein Admin/Root-Passwort und man loggt sich mit dem Benutzername root und dem gegebenen Passwort ein. Welches Image ist es denn?

  • simples soziales Netzwerk - goshb

    Mit "echten" HTML-Tags kann man aber fast alles anstellen -> ganz böße. Nimmt htmlspecialchars/htmlentities, das konvertiert z.B. < zu &lt; was der Browser dann wieder als < anzeigt ohne Code (wie Javascript, Flash, designzerstörendes etc.) auszuführen. Alles andere ist grob fahrlässig. Für Formatierung schau mal in Richtung BBCode.