Beiträge von sdellenb

Kommt die PermitRootLogin Zeile vielleicht mehr als einmal vor in der sshd_config?

Dein Server versendet schon Emails, aber im Beispiel oben nimmt GMX sie nicht an, weil der PTR Eintrag nicht passt (wahrscheinlich ist noch der default Wert drin, nicht deine Domain).

Diesen Reverse DNS Eintrag (PTR) kannst du im VCP ändern. Nach ein paar Minuten sollte es dann gehen, wenn sonst alles korrekt konfiguriert ist.

Zitat von .A.

Jeder Mailserver kommt mit Greylisting klar.

Ein richtig konfigurierter Webserver wird es bei einer 450-Meldung regelmässig wieder versuchen, bevor er aufgibt. Richtige Mails werden immer durchkommen, sonst hat der Admin des Senders geschlampt und dann ist es wohl auch besser, wenn man von da keine Mails annimmt.
Die meisten Spambots ziehen gleich weiter und suchen sich ein neues Opfer.

Zitat von .A.

RBL, Content-Filter

Ich benutze SQLGrey, die zen.spamhaus.org und bl.spamcop.net RBLs, Spamassassin als Content-Filter und eine eigene access.local, die Sender-Domains, von denen nur SPAM erkannt wurde, blacklistet.

Das funktioniert relativ gut:
1-2 unerwünschte Mails pro Woche kommen noch durch, werden als SPAM erkannt und landen im Junk-Ordner.

Mein VPS 500 G7 zeigt das:

$ cat /proc/cpuinfo
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 6
model           : 6
model name      : QEMU Virtual CPU version 2.1.2
stepping        : 3
microcode       : 0x1
cpu MHz         : 2199.998
cache size      : 4096 KB
physical id     : 0
siblings        : 1
core id         : 0
cpu cores       : 1
apicid          : 0
initial apicid  : 0
fpu             : yes
fpu_exception   : yes
cpuid level     : 4
wp              : yes
flags           : fpu de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pse36 clflush mmx fxsr sse sse2 syscall nx lm rep_good nopl pni cx16 x2apic popcnt hypervisor lahf_lm
bogomips        : 4399.99
clflush size    : 64
cache_alignment : 64
address sizes   : 40 bits physical, 48 bits virtual
power management:

Scheinen 2.2 GHz zu sein.

Meiner Meinung Nach ist es auch besser, statt einem Catch-All diverse Aliase einzurichten (z.b. abuse@ admin@ postmaster@ webmaster@ etc.).

Von all dem Backscatter, dass auf meinem Server aufschlägt, ist noch kein einziges Mail auf eine tatsächlich existierende Adresse gelangt und immer sofort mit "User unknown in virtual mailbox" abgelehnt worden.

Da mir die Sieve Syntax zu komplex war, habe ich mir Roundcube mit dem Managesieve Plugin installiert und kann mir nur meine Filterregeln im Web-UI zusammenstellen.

Eine Beispiel für eine Filterregel, die nach Keywords im Mail Body sucht und dann zur nächsten Regel weiterreicht (in dem ganz einfach die letzte FIlter Action nicht 'Stop processing filters' ist), habe ich als Screenshot angehängt.
Eine Konfigurationsoption ist 'Redirect message to', welche ich mit anderen Mailboxen auf dem selben Server verwende (daher kein Problem mit SPF/DMARC).

Hallo Gido,

Die DNS-Einstellungen schauen meiner Meinung nach gut aus.
Was du noch machen kannst: WireShark installieren und dem Aktivierungsprozess bei der Arbeit zuschauen (wohin er verbinden will, wo Fehler zurückkommen, etc).

Sonst hab ich auch keine Idee mehr.

Gruss,
Simon

P.S. 'e1000' ist der beste Treiber für das Netzwerk und rDNS ist nur für den Mailversand relevant.

Vom wichtigsten Dialog hast du leider noch keinen Screenshot gepostet: den Netzwerkverbindungs-Details (hab grad nur Englisches Windows hier "Local Area Connection Status" > "Details" > "Network Connection Details")
Dort sieht man nämlich die aktuell verwendeten DNS Server, das Default Gateway und auch den DHCP Server (vielleicht stimmt ja da was nicht).

Anderer Ansatz: Wenn du manuell die Google DNS Server 8.8.8.8 und 8.8.4.4 einträgst (statt 'automatisch beziehen'), klappt die Updatesuche dann?

Also ich kenn mich da auch nicht sonderlich gut aus. Ich war überrascht, dass es bei mir auf Anhieb funktioniert hatte.

Kannst du mal die Ausgabe von

sudo ifconfig

und

sudo route -n -6 -4

posten?

Zuerst die blöde Frage: Hast du IPv6 im VCP eingeschaltet (Allgemein > Netzwerk)?

Ich habe in meinem CentOS 7 den NetworkManager komplett deaktiviert und alles auf meine fixen IPs, wie sie im VCP angezeigt werden, umgestellt.

/etc/sysconfig/network ist leer.
Meine /etc/sysconfig/network-scripts/ifcfg-eth0 sieht so aus (IPs maskiert):

# Configuration for eth0
DEVICE=eth0
TYPE=Ethernet
HWADDR=52:54:5D:26:**:**
BOOTPROTO=none
ONBOOT=yes




# Adding a public IP address.
# The netmask is taken from the PREFIX, netcup requires /22, because the gateway is on 37.120.172.x.
IPADDR=37.120.175.***
PREFIX=22




# Specifying the gateway
GATEWAY=37.120.172.1




IPV6INIT=yes
# Hier die IPv6 Adresse wie im VCP angezeigt.
IPV6ADDR=2a03:4000:6:****::/64
# Adding IPv6 addresses from pool.
IPV6ADDR_SECONDARIES="2a03:4000:6:****::1/32 2a03:4000:6:****::2/32 2a03:4000:6:****::3/32 2a03:4000:6:****::4/32 2a03:4000:6:****::/64"
IPV6FORWARDING=no
IPV6_AUTOCONF=no
IPV6_DEFAULTDEV=eth0
IPV6_DEFAULTGW=fe80::1

Vielleicht hilft dir das etwas.

Also ich hab das so gelöst:

• In der VM meine Domains in /etc/hosts auf 127.0.0.1 mappen
• In Putty einen SSH Tunnel (Connection > SSH > Tunnels > Source port '8888' / Dynamic) hinzufügen
• Mit Putty auf die VM connecten, damit der Tunnel aktiv wird
• Im Browser (am einfachsten mit einer Proxy-Erweiterung, wie z.B. "Proxy SwitchySharp" für Google Chrome, damit man die Einstellungen nicht ständig von Hand ändern muss) als SOCKS Host localhost:8888 angeben
• Alle Anfragen auf meine Webseiten (mit der URL wie beim Live-Server) werden nun von der VM zurückgeliefert

Das funktioniert wunderbar mit 4 Wordpress-Seiten, adminer, webmin, und was ich sonst noch so drauf habe.

Ich benutze von zu Hause aus testssl.sh, um die Verschlüsselungseinstellungen meines Mailservers (oder auch auch des Webservers) zu überprüfen.

Beispiele:

# SMTP mit STARTTLS
./testssl.sh --starttls smtp <smtphost>.<tld>:587 




# IMAP mit STARTTLS
./testssl.sh --starttls imap <imaphost>.<tld>:143




# IMAP mit TLS
./testssl.sh <imaphost>.<tld>:993

Nur die Partition zu vergrössern reicht auch nicht, da das Filesystem auch noch erweitert werden muss.
GParted übernimmt das auch gleich (ausser für LVM Volumes, aber das ist ja bei dir eh nicht der Fall).

Du schreibst nicht, welches Linux du verwendest. Ich vermute, /dev/vda2 ist /boot und /dev/vda3 ist / (kannst du in /etc/fstab sehen), und zumindest letzere ist mit ext4 formatiert.
Daher reicht es aus, wenn du /dev/vda3 mit GParted auf die maximal mögliche Grösse veränderst (/boot ist vermutlich gross genug für deine Zwecke).

Ich selber arbeite auch nur mit GParted (meist mit der SystemRescueCD) an Partitionen, mit den Konsolentools mach ich mehr kaputt.

Ich verwende den offiziellen CentOS Mirror von netcup für base und updates, welche ich nach der Installation des minimal-CD-images eingetragen habe.

Im verlinkten Thread ist auch der n-ix.net mirror erwähnt, aber über den finde ich nichts auf der CentOS Mirror Statusseite. Die URL in deinem .repo file ist aber korrekt und da liegen auch die CentOS 7.2 updates. Keine Ahnung, warum er die nicht anbietet. Zeigt die Ausgabe von

sudo yum check-update

etwas besonderes an?

Meine /etc/yum.repos.d/CentOS-Base.repo sieht ungefähr so aus (priority hab ich rausgeschmissen, da ich das von Hand gemacht habe):

# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client.  You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
# SDE 2015-03-10: Point baseurl to netcup mirror and remove mirrorlist.




[base]
name=CentOS-$releasever - Base
baseurl=http://centosmirror.netcup.net/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
# PHP 5.6 kommt von remi, dovecot und postfix von mailserver-guru.
exclude=php-*,dovecot*,postfix*




#released updates
[updates]
name=CentOS-$releasever - Updates
baseurl=http://centosmirror.netcup.net/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
exclude=php-*,dovecot*,postfix*




#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
baseurl=http://centosmirror.netcup.net/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7




#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
baseurl=http://centosmirror.netcup.net/[1~centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

Hallo maartn,

Wenn du den "manual" authenticator verwenden willst (willst du das wirklich?), musst du den CSR vorher von Hand erstellen und viel mehr Parameter angeben (bsp. https://github.com/diafygi/let…/5#issuecomment-117283651).

Ich verwende nur das certonly mit dem webroot authenticator, da mein Webserver schon läuft. Daher kann ich zum "manual" nicht mehr dazu sagen.

Zitat von nudelholz8

Code

Received: from v2201507xxxxxxxx0.yourvserver.net (37.120.XXX.XXX) by mx-gate05.cloudservice.ag; Thu, 10 Dec 2015 08:03:54 +0100
[..]
X-antispameurope-Connect: v2201507xxxxxxxx0.yourvserver.net[37.120.XXX.XXX],TLS=0

Sind diese beiden Einträge in Ordnung? Oder sollte das auch noch geändert werden? Wenn ja, welche Einträge sind das?

Es kann eine Weile dauern, bis alle Server den neuen rDNS Eintrag haben, da dieser aus Performancegründen seitens der Empfänger gecached wird (auf der erwähnten AOL Postmaster Seite steht ja auch was von 48-72 Stunden).

Zitat von killerbees19

Das geht bei LE? Das wäre ein echter Mehrwert, auch ganz ohne Wildcard-Certs!

Ja, bis zu 100 Domains dürfen für das SAN Feld angegeben werden (Link).

Ich habe für meine Subdomains einzelne Zertifikate erstellt und schnell das Per-Domain-Limit erreicht.
Sobald's wieder geht, werde ich die zusammenfassen.

Zitat von quizzi

Das macht das ganze irgendwie weniger attraktiv. Wer hat schon Lust vier mal im. Jahr neue Zertifikate zu erstellen

Die Idee ist ja, dass man das automatisiert machen lässt, siehe das A von ACME (Automated Certificate Management Environment).
Das 'Kein Aufwand für den Admin' ist das hauptsächlich attraktive für mich.

Zitat

A shorter lifetime will hopefully encourage people to automate the renewal process, and we'll provide tools to help with that.

• Cron Skript prüft mittels OpenSSL das Expiration Date
• Falls < 30 / 14 / 7 Tage wird ein neuer CSR mit den gleichen Einstellungen wie der vorherige erstellt
• Über die API wird ein neues Zertifikat geholt und das alte installierte damit überschrieben
• service nginx reload

Im Moment benutze ich Start SSL Zertifikate für 'public' Webseiten mit eigener Domain sowie den Mailserver, und von meiner eigenen CA signierte Zertifikate für die Admin-Tools (jeweils auf einer eigenen Subdomain).

Ich werde neue Zertifikate von Let's Encrypt signieren lassen.
Aber nicht mit dem Standard-Skript, denn meine nginx Konfiguration ist ja schon vollständig.

Eine Webmin-Instanz kann weitere Webmin-Server als 'Cluster' verwalten.

Ich hab das jetzt probehalber gemacht, funktioniert auch ganz OK und ich kann von einem Server zum anderen wechseln.
Wirklich integriert sind aber nur Webmin-eigene Funktionen (Themes, User etc.).

Infinitewp mach ich mir jetzt auch drauf.