Kommt die PermitRootLogin Zeile vielleicht mehr als einmal vor in der sshd_config?
Beiträge von sdellenb
-
-
Dein Server versendet schon Emails, aber im Beispiel oben nimmt GMX sie nicht an, weil der PTR Eintrag nicht passt (wahrscheinlich ist noch der default Wert drin, nicht deine Domain).
Diesen Reverse DNS Eintrag (PTR) kannst du im VCP ändern. Nach ein paar Minuten sollte es dann gehen, wenn sonst alles korrekt konfiguriert ist.
-
Jeder Mailserver kommt mit Greylisting klar.
Ein richtig konfigurierter Webserver wird es bei einer 450-Meldung regelmässig wieder versuchen, bevor er aufgibt. Richtige Mails werden immer durchkommen, sonst hat der Admin des Senders geschlampt und dann ist es wohl auch besser, wenn man von da keine Mails annimmt.
Die meisten Spambots ziehen gleich weiter und suchen sich ein neues Opfer.
RBL, Content-Filter
Ich benutze SQLGrey, die zen.spamhaus.org und bl.spamcop.net RBLs, Spamassassin als Content-Filter und eine eigene access.local, die Sender-Domains, von denen nur SPAM erkannt wurde, blacklistet.Das funktioniert relativ gut:
1-2 unerwünschte Mails pro Woche kommen noch durch, werden als SPAM erkannt und landen im Junk-Ordner. -
Mein VPS 500 G7 zeigt das:
Code
Alles anzeigen$ cat /proc/cpuinfo processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 6 model name : QEMU Virtual CPU version 2.1.2 stepping : 3 microcode : 0x1 cpu MHz : 2199.998 cache size : 4096 KB physical id : 0 siblings : 1 core id : 0 cpu cores : 1 apicid : 0 initial apicid : 0 fpu : yes fpu_exception : yes cpuid level : 4 wp : yes flags : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pse36 clflush mmx fxsr sse sse2 syscall nx lm rep_good nopl pni cx16 x2apic popcnt hypervisor lahf_lm bogomips : 4399.99 clflush size : 64 cache_alignment : 64 address sizes : 40 bits physical, 48 bits virtual power management:
Scheinen 2.2 GHz zu sein.
-
Meiner Meinung Nach ist es auch besser, statt einem Catch-All diverse Aliase einzurichten (z.b. abuse@ admin@ postmaster@ webmaster@ etc.).
Von all dem Backscatter, dass auf meinem Server aufschlägt, ist noch kein einziges Mail auf eine tatsächlich existierende Adresse gelangt und immer sofort mit "User unknown in virtual mailbox" abgelehnt worden.
-
Da mir die Sieve Syntax zu komplex war, habe ich mir Roundcube mit dem Managesieve Plugin installiert und kann mir nur meine Filterregeln im Web-UI zusammenstellen.
Eine Beispiel für eine Filterregel, die nach Keywords im Mail Body sucht und dann zur nächsten Regel weiterreicht (in dem ganz einfach die letzte FIlter Action nicht 'Stop processing filters' ist), habe ich als Screenshot angehängt.
Eine Konfigurationsoption ist 'Redirect message to', welche ich mit anderen Mailboxen auf dem selben Server verwende (daher kein Problem mit SPF/DMARC). -
Hallo Gido,
Die DNS-Einstellungen schauen meiner Meinung nach gut aus.
Was du noch machen kannst: WireShark installieren und dem Aktivierungsprozess bei der Arbeit zuschauen (wohin er verbinden will, wo Fehler zurückkommen, etc).Sonst hab ich auch keine Idee mehr.
Gruss,
SimonP.S. 'e1000' ist der beste Treiber für das Netzwerk und rDNS ist nur für den Mailversand relevant.
-
Vom wichtigsten Dialog hast du leider noch keinen Screenshot gepostet: den Netzwerkverbindungs-Details (hab grad nur Englisches Windows hier "Local Area Connection Status" > "Details" > "Network Connection Details")
Dort sieht man nämlich die aktuell verwendeten DNS Server, das Default Gateway und auch den DHCP Server (vielleicht stimmt ja da was nicht).Anderer Ansatz: Wenn du manuell die Google DNS Server 8.8.8.8 und 8.8.4.4 einträgst (statt 'automatisch beziehen'), klappt die Updatesuche dann?
-
-
Zuerst die blöde Frage: Hast du IPv6 im VCP eingeschaltet (Allgemein > Netzwerk)?
Ich habe in meinem CentOS 7 den NetworkManager komplett deaktiviert und alles auf meine fixen IPs, wie sie im VCP angezeigt werden, umgestellt.
/etc/sysconfig/network ist leer.
Meine /etc/sysconfig/network-scripts/ifcfg-eth0 sieht so aus (IPs maskiert):Code
Alles anzeigen# Configuration for eth0 DEVICE=eth0 TYPE=Ethernet HWADDR=52:54:5D:26:**:** BOOTPROTO=none ONBOOT=yes # Adding a public IP address. # The netmask is taken from the PREFIX, netcup requires /22, because the gateway is on 37.120.172.x. IPADDR=37.120.175.*** PREFIX=22 # Specifying the gateway GATEWAY=37.120.172.1 IPV6INIT=yes # Hier die IPv6 Adresse wie im VCP angezeigt. IPV6ADDR=2a03:4000:6:****::/64 # Adding IPv6 addresses from pool. IPV6ADDR_SECONDARIES="2a03:4000:6:****::1/32 2a03:4000:6:****::2/32 2a03:4000:6:****::3/32 2a03:4000:6:****::4/32 2a03:4000:6:****::/64" IPV6FORWARDING=no IPV6_AUTOCONF=no IPV6_DEFAULTDEV=eth0 IPV6_DEFAULTGW=fe80::1
Vielleicht hilft dir das etwas.
-
Also ich hab das so gelöst:
- In der VM meine Domains in /etc/hosts auf 127.0.0.1 mappen
- In Putty einen SSH Tunnel (Connection > SSH > Tunnels > Source port '8888' / Dynamic) hinzufügen
- Mit Putty auf die VM connecten, damit der Tunnel aktiv wird
- Im Browser (am einfachsten mit einer Proxy-Erweiterung, wie z.B. "Proxy SwitchySharp" für Google Chrome, damit man die Einstellungen nicht ständig von Hand ändern muss) als SOCKS Host localhost:8888 angeben
- Alle Anfragen auf meine Webseiten (mit der URL wie beim Live-Server) werden nun von der VM zurückgeliefert
Das funktioniert wunderbar mit 4 Wordpress-Seiten, adminer, webmin, und was ich sonst noch so drauf habe.
-
Ich benutze von zu Hause aus testssl.sh, um die Verschlüsselungseinstellungen meines Mailservers (oder auch auch des Webservers) zu überprüfen.
Beispiele:
-
Nur die Partition zu vergrössern reicht auch nicht, da das Filesystem auch noch erweitert werden muss.
GParted übernimmt das auch gleich (ausser für LVM Volumes, aber das ist ja bei dir eh nicht der Fall).Du schreibst nicht, welches Linux du verwendest. Ich vermute, /dev/vda2 ist /boot und /dev/vda3 ist / (kannst du in /etc/fstab sehen), und zumindest letzere ist mit ext4 formatiert.
Daher reicht es aus, wenn du /dev/vda3 mit GParted auf die maximal mögliche Grösse veränderst (/boot ist vermutlich gross genug für deine Zwecke).Ich selber arbeite auch nur mit GParted (meist mit der SystemRescueCD) an Partitionen, mit den Konsolentools mach ich mehr kaputt.
-
Ich verwende den offiziellen CentOS Mirror von netcup für base und updates, welche ich nach der Installation des minimal-CD-images eingetragen habe.
Im verlinkten Thread ist auch der n-ix.net mirror erwähnt, aber über den finde ich nichts auf der CentOS Mirror Statusseite. Die URL in deinem .repo file ist aber korrekt und da liegen auch die CentOS 7.2 updates. Keine Ahnung, warum er die nicht anbietet. Zeigt die Ausgabe von
etwas besonderes an?
Meine /etc/yum.repos.d/CentOS-Base.repo sieht ungefähr so aus (priority hab ich rausgeschmissen, da ich das von Hand gemacht habe):
Code
Alles anzeigen# CentOS-Base.repo # # The mirror system uses the connecting IP address of the client and the # update status of each mirror to pick mirrors that are updated to and # geographically close to the client. You should use this for CentOS updates # unless you are manually picking other mirrors. # # If the mirrorlist= does not work for you, as a fall back you can try the # remarked out baseurl= line instead. # # SDE 2015-03-10: Point baseurl to netcup mirror and remove mirrorlist. [base] name=CentOS-$releasever - Base baseurl=http://centosmirror.netcup.net/centos/$releasever/os/$basearch/ gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 # PHP 5.6 kommt von remi, dovecot und postfix von mailserver-guru. exclude=php-*,dovecot*,postfix* #released updates [updates] name=CentOS-$releasever - Updates baseurl=http://centosmirror.netcup.net/centos/$releasever/updates/$basearch/ gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 exclude=php-*,dovecot*,postfix* #additional packages that may be useful [extras] name=CentOS-$releasever - Extras baseurl=http://centosmirror.netcup.net/centos/$releasever/extras/$basearch/ gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 #additional packages that extend functionality of existing packages [centosplus] name=CentOS-$releasever - Plus baseurl=http://centosmirror.netcup.net/[1~centos/$releasever/centosplus/$basearch/ gpgcheck=1 enabled=0 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
-
Hallo maartn,
Wenn du den "manual" authenticator verwenden willst (willst du das wirklich?), musst du den CSR vorher von Hand erstellen und viel mehr Parameter angeben (bsp. https://github.com/diafygi/let…/5#issuecomment-117283651).
Ich verwende nur das certonly mit dem webroot authenticator, da mein Webserver schon läuft. Daher kann ich zum "manual" nicht mehr dazu sagen.
-
Code
Received: from v2201507xxxxxxxx0.yourvserver.net (37.120.XXX.XXX) by mx-gate05.cloudservice.ag; Thu, 10 Dec 2015 08:03:54 +0100 [..] X-antispameurope-Connect: v2201507xxxxxxxx0.yourvserver.net[37.120.XXX.XXX],TLS=0
Sind diese beiden Einträge in Ordnung? Oder sollte das auch noch geändert werden? Wenn ja, welche Einträge sind das?Es kann eine Weile dauern, bis alle Server den neuen rDNS Eintrag haben, da dieser aus Performancegründen seitens der Empfänger gecached wird (auf der erwähnten AOL Postmaster Seite steht ja auch was von 48-72 Stunden).
-
Das geht bei LE? Das wäre ein echter Mehrwert, auch ganz ohne Wildcard-Certs!Ja, bis zu 100 Domains dürfen für das SAN Feld angegeben werden (Link).
Ich habe für meine Subdomains einzelne Zertifikate erstellt und schnell das Per-Domain-Limit erreicht.
Sobald's wieder geht, werde ich die zusammenfassen. -
Das macht das ganze irgendwie weniger attraktiv. Wer hat schon Lust vier mal im. Jahr neue Zertifikate zu erstellen
Die Idee ist ja, dass man das automatisiert machen lässt, siehe das A von ACME (Automated Certificate Management Environment).
Das 'Kein Aufwand für den Admin' ist das hauptsächlich attraktive für mich.ZitatA shorter lifetime will hopefully encourage people to automate the renewal process, and we'll provide tools to help with that.
- Cron Skript prüft mittels OpenSSL das Expiration Date
- Falls < 30 / 14 / 7 Tage wird ein neuer CSR mit den gleichen Einstellungen wie der vorherige erstellt
- Über die API wird ein neues Zertifikat geholt und das alte installierte damit überschrieben
- service nginx reload
-
Im Moment benutze ich Start SSL Zertifikate für 'public' Webseiten mit eigener Domain sowie den Mailserver, und von meiner eigenen CA signierte Zertifikate für die Admin-Tools (jeweils auf einer eigenen Subdomain).
Ich werde neue Zertifikate von Let's Encrypt signieren lassen.
Aber nicht mit dem Standard-Skript, denn meine nginx Konfiguration ist ja schon vollständig. -
Eine Webmin-Instanz kann weitere Webmin-Server als 'Cluster' verwalten.
Ich hab das jetzt probehalber gemacht, funktioniert auch ganz OK und ich kann von einem Server zum anderen wechseln.
Wirklich integriert sind aber nur Webmin-eigene Funktionen (Themes, User etc.).Infinitewp mach ich mir jetzt auch drauf.