ZU lesen hätte ich ja dann genug.
Du solltest schon verstehen, was Du liest. Z.B. steht in http://blog.mansshardt.net/mai…ternen-smtp-unter-debian/
ZitatIP-addresses to listen on for incoming SMTP connections: 127.0.0.1 ; ::1
Damit sollte die Lösung für das Problem offensichtlich sein.
Welche Meldungen erfolgen regelmäßig vor dem Absturz? Dort ist die Ursache zu suchen. Die Meldung oben im Bild zeigt nur die Folge.
Außerdem: Warum fügst Du die Fehlermeldung als Bild ein? Das macht die Hilfe nur unnötig schwer.
Das ist für eine Website oder einzelne virtuelle Server eigentlich kein Problem. Denn die Aufsicht in Deutschland ist strukturell nicht in der Lage, Verstößen nachzugehen.
Eine schriftliche Vereinbarung bekommst Du dann bei Bedarf immer noch von jedem seriösen Anbieter auf dem Markt.
Ein praktisches Beispiel? Du betreibst auf einem von Netcup zur Verfügung gestellten virtuellen Server einen Webserver und loggst dabei im access log die IP-Adressen.
ZitatWerden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt...
Personenbezogene Daten: Die IP-Adresse ist ein personenbezogenes Datum. Das ist jetzt etwas pauschal, aber wer die Details wissen will, kann sich das Urteil des EuGH 19. vom Oktober 2016 Az. C-582/14 und die dazu einschlägigen Besprechungen ansehen. Der Streit hat so einen Bart, dass ich ihn nicht wieder aufwärme.
Im Auftrag durch eine andere Stelle erhoben: Möglicherweise genügt das Routing von IP-Paketen auf den virtuellen Server über die Infrastruktur des Rechenzentrums bereits für das Vorliegen des Merkmals erheben aus. Immerhin beschafft Netcup dabei die IP-Adresse als Teil des IP-Paket.
Im Auftrag durch eine andere Stelle verarbeitet: Das Speichern der IP-Adresse genügt auf jeden Fall. Du lässt den Webserver die Adresse mit dem access log speichern. Dazu nutzt Du das Speichermedium, welches Netcup allein betreibt und auf das du physikalisch keinerlei Zugriff hast. Versuche einfach einmal den Datenträger ausgehändigt zu bekommen.
That is a unique point of easy. Would you re-install every instance you run into trouble?
And no, I can't give you any advice as long as you don't supply a more specific analysis of the problem. But are you sure a windows server is right for you? After all, powershell is the basic tool to administrate a windows server.
You need to specify the location of the files. See Configure a Windows Repair Source.
Did you install the gui?
install-windowsfeature server-gui-shell -RestartIch habe Deine Konfiguration genommen. Ein paar Stellen sind anders, da Postfix 2.11 abweichende defaults hat.
# postconf -n | grep smtpd_tls
smtpd_tls_cert_file = /var/lib/letsencrypt.sh/certs/example.com/fullchain.pem
smtpd_tls_ciphers = medium
smtpd_tls_dh1024_param_file = ${config_directory}/dh3072.pem
smtpd_tls_key_file = /var/lib/letsencrypt.sh/certs/example.com/privkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_security_level = mayWeb.de liefert Mails an diese Konfiguration verschlüsselt.
Mar 20 20:10:58 example postfix/smtpd[14526]: connect from mout.web.de[212.227.15.14]
Mar 20 20:10:58 example postfix/smtpd[14526]: Anonymous TLS connection established from mout.web.de[212.227.15.14]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Mar 20 20:10:58 example postfix/smtpd[14526]: 9F8B851E: client=mout.web.de[212.227.15.14]
Mar 20 20:10:58 example postfix/cleanup[14531]: 9F8B851E: message-id=<7343484.oR80Ns88ZF@web.de>
Mar 20 20:10:58 example postfix/qmgr[14516]: 9F8B851E: from=<user@web.de>, size=2004, nrcpt=1 (queue active)
Mar 20 20:10:58 example postfix/smtpd[14526]: disconnect from mout.web.de[212.227.15.14]
Mar 20 20:10:58 example postfix/qmgr[14516]: 9F8B851E: removedIch habe mir Deine Zertifikate angesehen. Die Kette ist in Ordnung. Allerdings könntest Du zustäzlich den/die Hostname(s) in die SAN extension des Zertifikats übernehmen.
$ gnutls-cli --starttls-proto=smtp example.net
Processed 3 CA certificate(s).
Resolving 'example.net:smtp'...
Connecting to '192.0.2.194:25'...
- Certificate type: X.509
- Got a certificate list of 2 certificates.
- Certificate[0] info:
- subject `CN=example.net', issuer `CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US', serial 0x0309badcafef47f616db798ebacf0b4bbfd5, RSA key 2048 bits, signed using RSA-SHA256, activated `2017-01-11 15:53:00 UTC', expires `2017-04-11 15:53:00 UTC', key-ID `sha256:467d930452f3dbe12cfcebc4fbedcffaf3e170157a0838d79b7f91477f165673'
Public Key ID:
sha1:7783126388567bb84c69319169f11e0a8e59b300
sha256:467d930452f3dbe12cfcebc4fbedcffaf3e170157a0838d79b7f91477f165673
Public key's random art:
+--[ RSA 2048]----+
|E *= |
| . o+O |
| . *.B B |
| B B * + . |
| o o + S o o |
| o . . |
| |
| |
| |
+-----------------+
- Certificate[1] info:
- subject `CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US', issuer `CN=DST Root CA X3,O=Digital Signature Trust Co.', serial 0x0a0141420000015385736a0b85eca708, RSA key 2048 bits, signed using RSA-SHA256, activated `2016-03-17 16:40:46 UTC', expires `2021-03-17 16:40:46 UTC', key-ID `sha256:60b87575447dcba2a36b7d11ac09fb24a9db406fee12d2cc90180517616e8a18'
- Status: The certificate is trusted.
- Description: (TLS1.2)-(ECDHE-RSA-SECP256R1)-(AES-256-GCM)
- Session ID: B3:6A:0F:6E:05:FF:9E:75:96:11:04:C8:67:37:44:93:F9:91:4D:FC:75:9B:C3:BA:9B:03:9D:04:D7:EF:C1:C4
- Ephemeral EC Diffie-Hellman parameters
- Using curve: SECP256R1
- Curve size: 256 bits
- Version: TLS1.2
- Key Exchange: ECDHE-RSA
- Server Signature: RSA-SHA512
- Cipher: AES-256-GCM
- MAC: AEAD
- Compression: NULL
- Options: safe renegotiation,
- Handshake was completed
- Simple Client Mode:
QUIT
221 2.0.0 Bye
- Peer has closed the GnuTLS connectionDabei ist jedoch aufgefallen, dass Deine Diffie-Hellmann-Parameter recht kurz sind.
$ gnutls-cli-debug -V --port=25 --starttls-proto=smtp example.net
GnuTLS debug client 3.5.8
Checking example.net:25
for SSL 3.0 (RFC6101) support... no
whether we need to disable TLS 1.2... no
whether we need to disable TLS 1.1... no
whether we need to disable TLS 1.0... no
whether %NO_EXTENSIONS is required... no
whether %COMPAT is required... no
for TLS 1.0 (RFC2246) support... yes
for TLS 1.1 (RFC4346) support... yes
for TLS 1.2 (RFC5246) support... yes
fallback from TLS 1.6 to... TLS1.2
for inappropriate fallback (RFC7507) support... yes
for certificate chain order... sorted
for trusted CAs... none
for safe renegotiation (RFC5746) support... yes
for encrypt-then-MAC (RFC7366) support... no
for ext master secret (RFC7627) support... no
for heartbeat (RFC6520) support... no
for version rollback bug in RSA PMS... dunno
for version rollback bug in Client Hello... no
whether the server ignores the RSA PMS version... yes
whether small records (512 bytes) are tolerated on handshake... yes
whether cipher suites not in SSL 3.0 spec are accepted... yes
whether a bogus TLS record version in the client hello is accepted... yes
whether the server understands TLS closure alerts... partially
whether the server supports session resumption... no
for anonymous authentication support... yes
for ephemeral Diffie-Hellman support... yes
ephemeral Diffie-Hellman group info... saved in debug-dh.out
for ephemeral EC Diffie-Hellman support... yes
for curve SECP256r1 (RFC4492)... yes
for curve SECP384r1 (RFC4492)... no
for curve SECP521r1 (RFC4492)... no
error receiving 220 : Interrupted system call
$ openssl dhparam -in debug-dh.out -noout -text
DH Parameters: (1024 bit)
prime:
00:e3:5f:cb:48:b8:a6:d1:5f:50:26:ea:d6:96:e4:
a6:f8:10:25:d8:50:99:49:44:e1:cb:26:f5:5f:76:
fa:7f:c3:cd:07:d4:83:8e:45:3e:66:3e:1e:6d:44:
a4:88:f0:e7:81:85:a4:7d:e4:fe:6b:68:d7:c1:83:
02:bc:60:f9:b1:55:95:dd:4b:20:ca:d5:4c:37:24:
43:c2:cb:ea:0f:73:45:92:71:f8:ea:5d:d4:4d:8e:
30:00:3d:ba:ec:ec:ec:1a:62:a6:a4:05:b1:74:76:
53:d1:3a:36:fb:6e:66:b9:9c:de:90:49:ea:c5:da:
c8:8a:b5:85:55:64:66:09:ab
generator: 2 (0x2)Das hat aber nichts mit dem Problem zu tun. Es sieht alles gut aus.
Mit einem tcpdump könnte man auch den Inhalt loggen (-X oder -XX). Dieser ist aus der bisherigen Textausgabe nicht zu ersehen, enthält möglicherweise (unwahrscheinlich) weitere Hinweise. Wenn Du den dump stattdessen direkt in eine Datei schreibst (-w), bekommt man mit Wireshark eine gut lesbare Übersetzung, bei -X übersetzt Du alles von Hand. Außerdem solltest Du den smtpd_tls_loglevel bis auf 4 hochschrauben.
Welche TLS-Library nutzt Dein Postfix?
Ist Dein Zertifikat OK? Hast Du einen TLSA-RR gesetzt?
Nach dem Gesamtinhalt des Threads müssten die Ciphers eigentlich in Ordnung sein. Kannst Du trotzdem mal einen dump vom TLS handshake machen? Also etwas wie
tcpdump -w output tcp port 25Vom STARTTLS bis zum Abbruch der Verbindung sollte reichen.
Gibt ein
postconf -n | grep ^tls_irgendwas aus?
Falls ja, habe ich überhaupt irgendwelche Möglichkeiten, GMX / Web.de zum Aufbau einer sichereren Verbindung zu zwingen, ohne dass Mails dann nicht zugestellt werden können?
Es ist möglich.
Mar 17 20:24:41 example postfix/smtpd[17416]: connect from mout.web.de[212.227.17.11]
Mar 17 20:24:41 example postfix/smtpd[17416]: Anonymous TLS connection established from mout.web.de[212.227.17.11]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Mar 17 20:24:41 example postfix/smtpd[17416]: 6055451E: client=mout.web.de[212.227.17.11]
Mar 17 20:24:41 example postfix/cleanup[17424]: 6055451E: message-id=<6658775.n1Rd3GPpOK@web.de>
Mar 17 20:24:41 example postfix/qmgr[12226]: 6055451E: from=<example@web.de>, size=2004, nrcpt=1 (queue active)
Mar 17 20:24:41 example postfix/smtpd[17416]: disconnect from mout.web.de[212.227.17.11]Hast Du Deine Konfiguration schon aufgeräumt?
Bei den Session Caches kann ich ad hoc nichts eigenwilliges feststellen.
Einerseits sorgst Du für ephemeral key exchange und dann speicherst Du die Werte ab. Wozu, Postfix unterstützt seit Version 2.11 RFC 5077?
Außerdem solltest Du Deine Konfiguration einmal dringend aufräumen.
Du setzt nicht genutzte Parameter. Du überschreibst Parameter. Das macht das Lesen schwer. Beispiel
smtp_bind_address = 37.120.182.194
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtp_use_tls = yeskönnte ohne inhaltliche Änderung so aussehen
smtp_bind_address = 37.120.182.194
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cacheIch würde vermutlich auch noch
smtp_bind_address = 37.120.182.194
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cacheentfallen lassen. Es gibt nahezu keine Konfiguration, wo diese Werte einen Sinn haben.
Bei smtpd ist mir das zu viel.
Bist Du sicher, dass Du folgende Einstellungen möchtest?
Codesmtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache smtpd_tls_ask_ccert = yes smtpd_tls_session_cache_database = btree:$data_directory/smtpd_tls_session_cache
Weißt Du, was Du damit bewirkst? Diese Werte sind recht eigenwillig.
Außerdem solltest Du Deine Konfiguration einmal dringend aufräumen.
Der Wunsch ist nicht ungewöhnlich. Du musst Dir jedoch der Tatsache bewusst sein, dass Du mit WHOIS-Privacy nach außen alle Rechte an der Domain aufgibst. Vertraust Du den Domain-Provider oder dessen Treuhänder so weit? Du kannst die Domain ohne Zustimmung des Treuhänders nicht zurückbekommen. Wenn er insolvent wird, kann es passieren, dass Du Deine Domain zum Marktpreis zurückkaufen darfst. Es gab Zeiten da war der Eintrag als Inhaber und Admin-C ein Werbeargument.
GPT kann man heute bedenkenlos und ohne Probleme nutzen. Es gibt nur eine einzige Sache zu beachten, welche auch die Warnung verursacht:
Du brauchst für grub eine kleine Partition, 1 MB reicht schon, mit der GUID 21686148-6449-6E6F-744E-656564454649. Auf dieser wird kein Dateisystem eingerichtet, sie wird allein von grub genutzt und verwaltet. Jedes GPT-fähige Partitionierungs-Werkzeug kann diese Partition anlegen, sie heißt dort z.B. bios_grub oder BIOS Boot-Partition.
Ich habe es mir beim Partitionieren zur Gewohnheit gemacht, als erstes diese Partition mit 256 MB anzulegen. Dann kann das Image später auch stressfrei auf UEFI migriert werden.
Woher weißt Du, dass die CPU der begrenzende Faktor ist? Mit welchen Prioritäten und Affinitäten laufen die Threads? Warum 128 Ticks, wenn 64 Standard sind?
ZitatCPU Kerne, die Ihnen garantiert zur Verfügung stehen sobald Sie diese benötigen. Diese Kerne werden dabei nicht mit anderen Systemen geteilt.
Das heißt nicht, dass die Kerne nichts tun, wenn sie nicht benötigt werden. Das heiß auch nicht, dass die Kerne vorausahnen, wann sie benötigt werden. Sondern nur, dass sie zur Verfügung gestellt werden, *nachdem* Leistung abgerufen wird und auch nur solange Leistung abgerufen wird.
Für spezifische Echtzeit-Anforderungen lohnt es sich (vorab) mit dem Support zu sprechen.
Ganz streng genommen sinkt natürlich die Frequenz der virtuellen CPU dadurch, dass der Hypervisor nicht genutzte Takte an andere Gäste vergibt. Hut ab, wer das im Gastsystem zuverlässig messen kann. Denn zum einem brauchst Du dafür eine Zeitquelle und dazu musst Du Takte zählen ohne sie dadurch zu beeinflussen. Oder Du verlässt Dich auf irgendwelche vom Host durchgereichten Werte.
Übrigens hast Du nichts davon, wenn die CPU auf dem Host höher taktet, da die zusätzlichen Takte an den Gast, der sie nach Ansicht des Hypervisors gerade benötigt. Anders geht es nur, wenn keine Überbuchung erfolgt (z.B. mit https://www.netcup.de/bestellen/produkt.php?produkt=1461). Und selbst dann hat Die Anwendung ohne Echtzeit-Garantien davon noch nichts. Wie bekommst Du die auf Deinen Windows Server?
Warum sollte sich die Taktfrequenz der CPU ändern? Auf einem produktiven virtuellen Server ist es Unfug so etwas zu tun.
