Servus,
hab jetzt in Outlook 2013 ein neues Konto für "myvserver.info" eingerichtet.
Eingangsserver: 993 mit SSL
Ausgangsserver: 465 mit SSL
Senden und Empfangen klappt einwandfrei, damit dürfte das Thema wirklich gegessen sein.
Vielen Dank für eure Hilfe! 
Ich habe in meinen PEM Dateien erste den Private Key, dann das Zertifikat und dann das CA Zertifikat
alle jeweils mit Begin und End .... oder ist es andersrum?
EDIT:
Mit deinem Zusatz kommt jetzt Status 0 raus (ok)
Super, danke!
EDIT2:
bei Tests von einer externen Seite kommt immer noch die Meldung mit dem "mail.myvserver.info" ... das dauert wohl echt ne Weile bis das überall durch ist.
Hier der Bericht:
[000.119] Connected to server
[000.251] <-- 220 myvserver.info ESMTP Postfix (Debian/GNU)
[000.251] We are allowed to connect
[000.252] --> EHLO checktls.com
[000.369] <-- 250-myvserver.info
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.370] We can use this server
[000.370] TLS is an option on this server
[000.370] --> STARTTLS
[000.488] <-- 220 2.0.0 Ready to start TLS
[000.488] STARTTLS command works on this server
[000.738] Cipher in use: ECDHE-RSA-AES256-GCM-SHA384
[000.738] Connection converted to SSL
[000.753] Certificate 1 of 3 in chain:
subject= /OU=GT82378225/OU=See www.rapidssl.com/resources/cps (c)15/OU=Domain Control Validated - RapidSSL(R)/CN=www.myvserver.info
issuer= /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
[000.766] Certificate 2 of 3 in chain:
subject= /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
issuer= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
[000.780] Certificate 3 of 3 in chain:
subject= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
issuer= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
[000.780] Cert VALIDATED: ok
[000.780] Cert Hostname DOES NOT VERIFY (mail.myvserver.info != www.myvserver.info)
[000.780] So email is encrypted but the host is not verified
[000.781] ~~> EHLO checktls.com
[000.900] <~~ 250-myvserver.info
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.901] TLS successfully started on this server
[000.901] ~~> MAIL FROM:<test@checktls.com>
[001.024] <~~ 250 2.1.0 Ok
[001.025] Sender is OK
[001.025] ~~> RCPT TO:<administrator@myvserver.info>
[001.147] <~~ 250 2.1.5 Ok
[001.147] Recipient OK, E-mail address proofed
[001.148] ~~> QUIT
[001.266] <~~ 221 2.0.0 Byehab die DNS Einstellungen der Domain bei "MX" auf "myvserver.info" gesetzt und auch in Postfix/Dovecot taucht der "mail" Zusatz nicht auf
Klasse, nun ist auch klar (zumindest hoffe ich das) was nicht funktioniert.
Hier ein Auszug aus dem Ergebnis:
echo QUIT | openssl s_client -connect "myvserver.info:993" -status
CONNECTED(00000003)
OCSP response: no response sent
depth=0 OU = GT82378225, OU = See www.rapidssl.com/resources/cps (c)15, OU = Domain Control Validated - RapidSSL(R), CN = www.myvserver.info
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = GT82378225, OU = See www.rapidssl.com/resources/cps (c)15, OU = Domain Control Validated - RapidSSL(R), CN = www.myvserver.info
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = GT82378225, OU = See www.rapidssl.com/resources/cps (c)15, OU = Domain Control Validated - RapidSSL(R), CN = www.myvserver.info
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/OU=GT82378225/OU=See www.rapidssl.com/resources/cps (c)15/OU=Domain Control Validated - RapidSSL(R)/CN=www.myvserver.info
i:/C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
---
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: F7E6A3F79CF44F50EFDBBF1673F81844E993A3EF7C3D01B7B113A3EB3D3FFA27
Session-ID-ctx:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
Compression: 1 (zlib compression)
Start Time: 1440404050
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
DONEMeine Interpretation ist, dass er versucht die "www.myvserver.info" Domain zu nehmen anstatt "myvserver.info". Denke das liegt daran, dass ich die www Adresse als Zertifikatsursprung genommen habe.
Stimmt das??
Was ich bist jetzt gemacht habe ist folgendes:
Habe die beiden Datein
/etc/postfix/postfix_default.pem
/etc/dovecot/private/ssl-cert-and-key.pem
editiert und mein Zertifikat (Private Key und Certificate) eingefügt (inkl. Serverneustart). Das scheint auch zu funktionieren denn der Test liest ja "www.domain.com" aus.
Eventuell liegt es vielleicht wirklich noch am DNS Eintrag der vorher auf "mail.domain.com" lief und jetzt noch nicht aktualisiert wurde.
PS:
Das mit dem FTP und dem Default Zertifikat muss ich zu Hause probieren, habe keinen FTP Client hier
PSS:
Das mit dem Cipher ist Neuland, muss ich mich erstmal einlesen
EDIT:
Scheint so als wenn er jetzt "Domain.com" als Mailserveradresse hat.
Gibt es ein zuverlässiges Tool um zu prüfen ob das Zertifikat funktioniert und erkannt wird?
Hab im Moment nur eine, aber es kommt eine zweite dazu.
Das mit dem Default scheint wohl nicht zu klappen da Plesk (soweit ich weiss) das Default nur für HTTP(S) benutzt. Die für die Mailserver als auch die FTP Server sind wohl einzeln
Ach so, nee ich habe einen vServer
Guten Morgen,
habe mir gestern ein RapidSSL Zertifitkat für meine Domain ausstellen lassen. Nun ist es ja so dass wenn man ein Zertifikat für "www.domain.com" bestellt, die "domain.com" Variante inbegriffen ist.
Funktioniert bei HTTPS auch wunderbar nur bin ich mir nicht sicher ob das auch für imapS und smtpS funktioniert. Da das einbinden via Plesk ja nur gegen weitere Bezahlung funktioniert habe ich das per Console gemacht.
Wenn ich nun über die Webseite "CheckTLS" den Test durchführe bemängelt er folgendes:
Cert Hostname DOES NOT VERIFY (mail.domain.com != www.domain.com)
Habe den DNS Eintrag mit "mail.domain.com" bereits geändert (dauert ja bis 48h) weil der Mailserver unter Plesk (soweit ich weiss) unter der Domain läuft, sprich domain.com (als Beispiel).
Kann ich hierfür mein bereits ausgestelltes Zertifikat verwenden oder "kapiert" das der Webserver nicht?
Und wenn ich schon gleich dabei bin, gibt es eine Möglichkeit die Verbindung OHNE SSL auf den Mailserver zu unterbinden?
Ein Link zu einer aktuellen Anleitung (Plesk 12, Dovecot, Postfix) die auch wirklich funktioniert genügt 
Naja, wäre halt schön gewesen wenn die nicht mehr auf den vServer zeigen würde aber eigentlich haste Recht
Genau, das wollte ich erreichen
hab jetzt die rDNS auf "Domain.com" und den Hostnamen auf dem Server ebenfalls geändert. Dann werde ich einfach abwarten und von Zeit zu Zeit probieren, eilt ja nicht. Danke!
aber mein vServer ist doch (wenn man den rDNS Eintrag sowie den Hostname auf dem Server) nicht mehr via "vx.yourserver.net" erreichbar oder habe ich da was übersehen?
Oder kann man diese Zuweisung nicht aufheben?
Moin,
habe heute früh den rDNS Eintrag im VCP von vXXXX.yourserver.net auf meine Domain geändert und auch den Hostname auf dem vServer.
Dauert die Aktualisierung hier ebenfalls bis 48 Stunden?
Habe es schon auf einem anderen Rechner probiert (anderes Netzwerk) aber komme immer noch über die "yourserver.net" Seite auf den Server.
Naja local geht schlecht, hab hier kein Linux zur Verfügung. Im Moment ist der vServer eh kein Livesystem. Ich werde den erstmal n Monat oder so laufen lassen (volle Installation) und dann fortlaufend die Logfiles auswerten.
Falls dann nichts verdächtiges auftaucht nochmals die Sicherheit prüfen und erst dann "live" schalten
Super, dann mache ich das ohne Froxlor, der Lerneffekt dürfte wesentlich höher sein und für die Schwierigkeiten kann man sich ja Notizen machen
Danke!
Also, ich habe mich jetzt einige Tage mit Froxlor, Nginx und Co beschäftigt ... und natürlich wie ich das Ganze richtig absichern kann. Komme je länger je mehr zum Schluss das ich kein Froxlor installieren sollte da ich es einfach nicht brauche (1 Domain mit 3 Subdomains und jeweils 1-2 eMail Adressen sowie FTP Accounts). Wenn ich nun mit einem "Minimal Image" anfange, erstmal den Laden dicht mache (fail2ban, etc...) und dann Nginx und PHP-FastCGI installiere ist der grösste Teil schon geschafft. Einen "SFTP only FTP" Server kriege ich auch hin, ebenso wie den MySQL Kram (ob nun MySQL oder MariaDB da bin ich mir noch nicht im Klaren drüber zumal es wohl im Moment "nur" auf eine Wordpress DB und ev. kleinere Sachen wie eMail Konten und Co hinaus läuft, die da gespeichert werden).
Was mir ein wenig "Kopfschmerzen" bereitet ist der eMail Server (Dovecot, Postfix, Spamassassin). Kriegt den ein "Laie" anhand diverser Anleitungen installiert und abgesichert oder stelle ich mir zu 80% eine potentielle Spamschleuder ins Netz?
Habs nun mit dieser Anleitung hingekriegt.
Habe eigentlich nichts anderes gemacht als 2 neue IP/Port Einträge gemacht (ingesamt 3 Stück jetzt) und der Apache lauscht auch auf Port 81
ServerIP und Port 80
ServerIP und Port 81 EDIT: NICHT NOTWENDIG, EINFACH DEN UNTEREN EINTRAG (127.0.0.1 und Port 81) AUF LISTEN SETZEN
verweisen jetzt auf /var/www/default/ und
127.0.0.1 und Port 81
verweist auf den Froxlor Ordner
Damit kann ich nun via SSH Tunnel auf das Froxlor Panel zugreifen. Wenn nun jemand raus kriegt das der Apache auch auf 81 lauscht wird er trotzdem im Default Ordner landen. Hoffe habe hier nichts übersehen, funktionieren tut es zumindest
sorry, war beruflich etwas eingespannt. Werde auch deine Tipps berücksichtigen, vielen Dank!
Edit:
Stehe aber nun irgendwie auf dem Schlauch. Wie ein SSH Tunnel funktioniert ist mir relativ klar, aber wie kann ich denn von meinem Heimrechner (Windows 8.1) auf meinen vServer zugreifen wo Froxlor von aussen nicht "direkt" erreichbar ist und die Webseite öffnen?
Vielen Dank für deine sehr ausführliche Antwort!
Das mit der Benutzergruppe kam mir vorhin auch in den Sinn, werde ich auch gleich so umsetzen. Habe mir damals Froxlor nur kurz angeschaut aber auch nicht wirklich weiter verfolgt. Denke du hast Recht, lieber etwas länger dran "arbeiten", dafür ist man unabhängig und baut sich nicht neue potentielle Schwachstellen ein. Werde mir deine Anregungen zu Gemüte führen, vielen Dank.
Das mit dem "NotfallBackup" "muss" ich dann wohl weiterhin per USB Drive im Büro regeln.
PS: Das mit Mumble sehe ich auch so, nur nutzen alle anderen Teamspeak .... werde sozusagen genötigt 
Guten Tag,
ich hatte bereits vor einiger Zeit einen vServer, bin dann aber aus Zeitmangel und ungenügender Vorbereitung in Punkto Serverbetreuung zum Webhostingangebot gewechselt.
Nun würde ich gerne wieder (brauche des Öfteren einen Teamspeak 3 Server und Onlinespeicher) wieder zurück zum vServer, diesesmal aber mit etwas mehr zeitlichem Spielraum (die Webseiten funktionieren ja unabhängig vom vServer).
Vielleicht erst zu dem was ich gerne realisieren würde:
Webserver mit einer Domain (inkl. 3 Subdomains) -- 2 weitere Domains werden in 1-2 Jahren folgen
Mailserver für jeweils eine "postmaster" Adresse sowie eine weitere unter der entsprechenden Domain
MySQL
Teamspeak3 Server (max. 10 User)
Online Speicher mit der Storagemöglichkeit via NFS für meine Digitalfotos (Notfallbackup)
Nun habe ich im Zuge der Vorbereitung ein paar Fragen:
1. Sicherheit
Bevor auch nur irgendwas installiert wird möchte ich den Server so gut als möglich absichern (die anderen Dienste werden entsprechend auch gesichert). Nach einigen Webseiten habe ich mir folgende Sachen notiert:
Fail2Ban (einzelne Dienste entsprechend absichern), SSH Port ändern, kein Root-Login via SSH möglich, rkhunter, chkrootkit, IPtables (und dann nur Stück für Stück die Ports freigeben), Dienste nur noch verschlüsselt zulassen, eMail bei neuen Serverupdates, eMail bei Login via SSH
2. Webserver
Ich habe das letzte Mal mit dem Apache 2 gearbeitet und wollte es auch dieses Mal tun. Gibt es triftige Gründe für mich (Seite für private Urlaubsbilder; max. 30 Besucher am Tag) nginx als Webserver zu nehmen oder kann ich mit dem gewohnten Apache 2 arbeiten?
3. Froxlor / Plesk
Da ich praktisch keine Ahnung in Punkto "manuelles Einrichten von eMail Konten, etc" habe würde ich mir gerne etwas als grafisches Frontend installieren (oder gleich das Image "Wheezy + Froxlor/Plesk" draufhauen)
Spricht hier was dagegen wenn ich die oben genannten Sicherheitspunkte umsetze?
Für Anregungen bin ich gerne offen
Gruss
Moritz
