Posts by H6G

    * max ICMP 1450 sowohl ins Internet als auch ins vLAN

    1472 gehen explizit nicht?



    Firewalls sind aus

    Ganz sicher kein iptables, nftables oder UFW laufen?

    Docker ohne Firewall gehen doch gar nicht, oder?


    Wie schaut es da wirklich aus, was sind deine Policies?



    Aber:

    Mag an der ARP Tabelle liegen, dem würde ich erstmal keine Bedeutung zuweisen, da die Requests ins öffentliche Netz immer durch das Gateway gehen, und da steht die MAC Adressse bereits in der ARP Tabelle. Zum VLAN muss diese erst durch den Kernel aufgebaut werden.

    Was mich interessiert: Wie handhabt ihr das? Und seid ihr mit der Lösung (beides auf einem Server) zufrieden?

    Ich habe sowohl Google Workspace, Mailbox.org und betreibe ein eigenes E-Mail Cluster mit mehreren Mailservern zwecks Ausfallsicherheit.


    Diese Mailserver laufen auf dem gleichen Netcup Servern, wie auch stark frequentierte Webserver - allerdings getrennt durch LXC Container zur Isolation. Der Server ist vergleichbar mit einem RS 8000 (16 Kerne, 64 GiB RAM), der langweilt sich aber die meiste Zeit. Abgesehen von der Größe der Festplatte / SSD hätte hier auch RS 1000 oder 2000 ausgereicht. Hier sind weder Sicherheit, noch Performance, noch Skalierbarkeit ein Problem.


    Der zweite Mailserver läuft noch aus historischen Gründen auf einem VPS Ostern S OST20 mit 2 Kernen und 8 GiB RAM.

    Generell brauchen Mailserver kaum Leistung. Der meiste Leistungsverbrauch kommt durch den Spamfilter bzw. Virenfilter zusammen, wenn eine E-Mail gesendet oder empfangen wird.

    Du hast vorhin kurz "Ja" geantwortet auf die Frage, ob Redis "installiert/freigegeben" werden muss durch den Support. Also jetzt erfahre ich hier auch noch, dass Redis nicht installiert ist.

    Naja, wenn es erst durch den Support installiert werden muss ist Redis folglich bisher noch nicht installiert.


    Am Ende ist es eine nackte Linux Installation mit einem Plesk System oben 'drauf. Beide haben idR Redis nicht vorinstalliert, es muss erst durch den Systemadministrator installiert werden.



    Wird der Support eine solche Installation auf Anfrage vornehmen?

    Für jegliche Änderungen, die du nicht selbst im Webinterface durchführen kannst, ist der Support der richtige Ansprechpartner.

    Generell sind hier im Forum sehr wenig Personen unterwegs, die einen Managed Server haben und so technisch versiert sind um deine Fragen zufriedenstellend zu beantworten.


    Abgesehen von Konzepten (siehe E-Mail Server Diskussion), ist der Support immer der richtigere Ansprechpartner.

    Einige Sachen lassen sich sicherlich auch kurz am Telefon lösen.

    Mit einer zusätzlichen IP könnte man den Mailserver von der Website trennen, was die Sicherheit erhöhen würde.

    Das sehe ich tatsächlich nicht. Das klingt eher nach Security thru Obscurity, welches an und für sich keine Security ist - zumal man die entsprechende Adresse rausfinden kann, bedeutet nur etwas mehr Aufwand. (Meistens reicht ja die Abfrage des MX Records)


    Eine Isolation zwischen den Diensten findet dadurch nicht statt.


    Insofern würde ich sagen: herausgeschmissenes Geld.

    Wenn dir die Ziele für einen dedizierten Mailserver wichtig sind, würde ich eher darauf setzen. Ggf. sogar einen entsprechenden Mailprovider wählen (Mailbox.org, Office 365 etc. etc.)


    Alles eine Frage deiner Anforderungen.

    Auch hier verstehe ich deinen Einwand nicht. Das Zitat hast du außerdem aus seinem Kontext getrennt.

    Das ist nicht aus dem Kontext gerissen - Signing Domain muss nicht mit der Absenderdomain übereinstimmen.


    Ehrlich gesagt, verstehe ich nicht, was du damit meinst. Der von dir beschriebene Weg wird aber scheitern, solange du keinen Zugriff auf die DNS-Verwaltung der Domain und/oder den Key-Server hast.

    Ich kann dort jede Signing Domain eingeben, die ich möchte - selbstverständlich auch eine Domain, für die ich Zugriff zur DNS-Verwaltung habe.


    Hier einmal ein Beispiel von einer echten Mail:

    Die DKIM Signatur beweist nur, dass Google diese E-Mail verschickt hat.

    Es beweist nicht, dass h6g.de eine legitime Absenderdomain ist.


    Und genau so wie Google diese E-Mail in Namen von gappsmtp.com signiert, kann dort auch jede andere Domain herhalten. Absender ist in jedem Fall h6g.de.

    Ich könnte zusätzlich noch mit h6g.de signieren, muss ich aber nicht. Die DKIM Signatur ist in jedem Fall gültig und scheitert offensichtlich nicht.

    Ich habe in über 20 Jahren noch nie die MTU ändern müssen. Der Plan ist ja, die Server zu "verstecken".

    Das VLAN sollte eigentlich eine MTU von 1500 Bytes unterstützen. Jumbo Frames (9000 Bytes) funktionieren hier nicht.

    PathMTU regelt eigentlich den Rest, aber nur, wenn die Interfaces sauber konfiguriert sind.

    To enhance your communication practices, you might consider the following best practices commonly used by customer-focused organizations:

    I'm confused... - or this this written by ChatGPT?



    Implement an SLA (Service Level Agreement): Setting clear expectations for response times can reassure customers that their concerns are being addressed within a defined timeframe. Even if the resolution might take longer, knowing when to expect an update makes a significant difference.

    Our response promise

    If we receive your ticket before 5pm CET on german weekdays (Mon-Fri), we promise to respond to your request the same day.

    Requests from outside Europe are processed within 24 hours due to the time difference.

    That's a clear expectation for a response time.


    Automated Updates: Sending periodic updates on the status of open tickets, even if there is no immediate resolution, can show customers that their cases are still actively being worked on.

    Usually if the ticket gets forwarded to another departent you get a message about this. I've experienced this often myself.



    Proactive Engagement: In situations like these, leveraging forums, newsletters, or even social media to proactively inform customers about delays and steps being taken to resolve them can significantly improve perceptions of your brand.

    https://www.netcup-status.de/2024/11/verzoegerungen-in-der-ticketbearbeitung-2/



    Dedicated Emergency Line: For critical cases, consider providing an expedited support channel to address urgent issues promptly.

    Same Support Page, just scroll down.


    Emergency Support

    Is your web account or server unavailable? Do you suspect a technical failure or malfunction? At netcup, we understand that a smooth online presence is crucial. If you encounter irregularities in the accessibility of your web account or server, we offer you transparent information about possible disruptions. Visit our page netcup malfunctions to view current reports on technical failures and find out whether the malfunction is already known. If not, you can reach one of our technicians around the clock directly via this telephone number: +49 721 754 0 755 5

    Selbstverständlich validiert DKIM die Absenderdomäne über ein Signaturverfahren.

    Ich kann für die Abenserdomain example.net eine gültige DKIM Signatur mit der Signaturdomain gappsmtp.com aufbringen. DKIM validiert nicht die Abenderdomain.


    Edit: steht sogar im RFC drinne:


    Quote

    DKIM separates the question of the identity

    of the Signer of the message from the purported author of the

    message.

    Dem Problem mit den Backscattern kann (wird) doch mit SPF und DKIM Validierung ein Riegel vorgeschoben? Ein gefälschter Absender wird frühzeitig wegsortiert, noch bevor der Mailserver die Nachricht dem Benutzer zuzustellen versucht oder per Autoresponder geantwortet wird.

    Die Bounce Adresse kann sich sowohl vom From Header, als auch vom SMTP From Header unterscheiden, so kann SPF umgangen werden.

    DKIM beweist erstmal nichts, ohne den entsprechenden DMARC Eintrag, und schützt damit nicht vor gefälschtem Backscatter.