Posts by .A.

    Sonst dürftest Du ja noch nichtmal Microsoft oder Ubuntu oder irgendeinen Namen einer beliebigen Software bzw. Softwareentwicklers nennen...

    Das tue ich auch nicht mehr, seit mir für weniger der Vorwurf der Verletzung von Vereinbarungen gemacht wurde. Ihr könnt natürlich gerne ausprobieren, wie weit dies geduldet wird, aber ich würde nach meiner Erfahrung mit netcup vorher die Daten sichern und für einen alternativen Provider sorgen, der die Leistung übernehmen kann.

    Das ist exakt einer der Gründe, warum SPF nicht das leisten kann, wofür es geschaffen wurde. Nutze statt dessen mit DKIM die korrekte Lösung.


    Abgesehen davon lohnt es nicht, mail() von PHP einsetzen, da Du hier ohne größeren Aufwand Gefahr läufst, keine korrekten Mails zu versenden; dann bleibt die Mail möglicherweise in Spam-Filtern hängen. Nutze besser eines der vielen Alternativen. Leider darf man die offiziell im Forum nicht benennen.

    Welcher Client benötigt heute noch zwingend POP before SMTP? POP before SMTP ist broken by design.


    Grundsätzlich dürfte das aber auch ohne zusätzliche Software möglich sein. Du lässt Dovecot durch post-login scripting die IP-Adresse in eine Tabelle schreiben. Und in Postfix nutzt Du diese Tabelle in den access controls.


    Man könnte auch Fail2Ban zu einem "Success2Unban" umkonfigurieren.

    Ich persönlich würde, ehrlich gesagt, niemals wem meine Zugangsdaten zum Mailserver geben. Wenn dann über TeamViewer oder so...

    Und Du erhältst dadurch keinen Sicherheitsgewinn. Wer es darauf anlegt, Unfug anzurichten, kann das per Teamviewer auch ohne dass Du davon etwas mitbekommst.

    Dann solltest du auch ehrlich gesagt keinen Rootserver benutzen, sondern dich einem managed Server oder Webhosting widmen.

    Ob ich die Dienstleistung der Verwaltung des Servers vom Provider des Servers selbst beziehe oder von einem Dritten ist doch zunächst einmal egal. Worauf es ankommt sind entsprechende Antwortzeiten und diese scheinen beim bisherigen Dienstleister nicht zu stimmen; mir wären beim Ausfall eines Dienstes Antwortzeiten von mehreren Tagen zu lang.

    Quote

    Mailtutorial von thomas-leister.de...

    stimmt nämlich die Startreihenfolge von Postfix und dem Milter nicht.

    Wenn das das einzige Problem mit der Anleitung wäre...

    Ich habe keine Veränderungen vorgenommen. Ich habe lediglich den Server neu gestartet...

    Und dann hast Du irgendwie festgestellt, dass der Mailserver nicht läuft. Wie genau hast Du das gemacht? Was hast Du statt dessen erwartet? Welchen Mailserver setzt Du ein (sollte laufen)?

    Ich habe von außerhalb Netcupnetzes erfolgreich probiert 2001:4178:2:1113::42 zu erreichen. Da Du selbst google.de über die Default Route erreichen kannst, zugleich 2001:4178:2:1113::42 jedoch nicht und bereits der erste Hop Probleme macht, kann hier nur der Support von Netcup helfen.

    Die Konfiguration des Apache auf Port 443 ist korrekt und macht genau das, was sie soll. Aber:

    1. Du hast 2 virtuelle Hosts in 2 verschiedenen über Include sites-enabled/ eingefügten Konfigurations-Schnipseln. Diese werden in alphabetischer Reihenfolge eingefügt.
    2. Der eine virtuelle Host hört auf den ServerNamen card.w-s.org, der Konfigurations-Schnipsel ist in der gleichnamigen Datei card.w-s.org. Der andere virtuelle Host hört auf den ServerNamen w-s.org, der Konfigurations-Schnipsel ist in der gleichnamigen Datei w-s.org.
    3. Nach der unter 1. genannten Reihenfolge, liest Apache zuerst card.w-s.org und dann w-s.org.
    4. Ruft man die URL https://w-s.org auf, erfolgt im Content-Management-System ein Redirect auf https://www.w-s.org.
    5. Für https://www.w-s.org, auf welchen der Client umgeleitet wird, gibt es keinen virtuellen Host. Daher nimmt Apache den ersten passenden, dies ist nach 3. card.w-s.org.

    Zunächst solltest Du die Datei für den Standard-Host mit einem Zahlen-Präfix versehen, damit es künftig eine von Dir bestimmte vordere Position beibehält. Außerdem sollte in w-s.org der ServerAlias http://www.w-s.org gesetzt werden, damit Apache Bescheid weiß und den Client nicht in eine Endlosschleife schickt.

    Und Du erstellt den privaten Schlüssel auf dem Server, um dem CSR vom Client aus initiiert mit certbot o.ä. signieren zu lassen? Kann man machen, so paranoid bin aber selbst ich nicht.


    Außerdem ist der private Key nicht zwingend Teil des Servers. Bei entsprechenden Sicherheitsbedarf muss man den Schlüssel vom Server trennen...

    auf produktiven Webservern hat alleine nur das notwendige f. die Darstellung der Website etwas verloren;

    (keine Compiler, ...)

    Die Angriffsfläche auf den Server verringerst Du so dadurch, dass Du die Angriffsfläche auf den privaten Key erhöhst.