zur Info. SNDS wird nur noch für hotmail etc verwendet, aber nicht für office365.
Dort bekommt man aber im Server log die Info, was zu tun ist.
Auch wird DKIM von MS bevorzugt und sorgt für weniger False Positive.
zur Info. SNDS wird nur noch für hotmail etc verwendet, aber nicht für office365.
Dort bekommt man aber im Server log die Info, was zu tun ist.
Auch wird DKIM von MS bevorzugt und sorgt für weniger False Positive.
der Fehler liegt aus meiner Sicht klar an MS.
deren Nameserver geben keine IP zurück auf dem oben genannten Hostname
dig @8.8.8.8 +trace impressev-de01i.mail.protection.outlook.com
; <<>> DiG 9.10.3-P4-Debian <<>> @8.8.8.8 +trace impressev-de01i.mail.protection.outlook.com
; (1 server found)
;; global options: +cmd
. 195679 IN NS a.root-servers.net.
. 195679 IN NS b.root-servers.net.
. 195679 IN NS c.root-servers.net.
. 195679 IN NS d.root-servers.net.
. 195679 IN NS e.root-servers.net.
. 195679 IN NS f.root-servers.net.
. 195679 IN NS g.root-servers.net.
. 195679 IN NS h.root-servers.net.
. 195679 IN NS i.root-servers.net.
. 195679 IN NS j.root-servers.net.
. 195679 IN NS k.root-servers.net.
. 195679 IN NS l.root-servers.net.
. 195679 IN NS m.root-servers.net.
. 195679 IN RRSIG NS 8 0 518400 20170918190000 20170905180000 15768 . hJQOL3K2PELgPWPUCjGWz05jPkthIvkiebk4lCf4ILdd1IWQT1TRDinK 16xvRGZhdepVkn0u6BEUH8Y8yPVpOKo5RIgcG3aw2kjlCdo1hxrk91tk qJlkCPeWXn47Op8X2OKeUInAAczlrNObgCjPqLuQXfbwTrIVNTZk8hN5 LXQTV4bj/LJ4PzS4PrbqGP4OduqGKp8xjuVFu/7MPmXJJH6qNDt188iQ iwx+KjcsRTgMy6KttBYXv+pgQKxjfrGKUCCD+dzaK4BYYl78HuUHWbXV B6Tk4jSvtuKRwLIkTcc6rqdnoAskW1XgaWtVE+qWozSvPUIPic17M6eC K3W17g==
;; Received 525 bytes from 8.8.8.8#53(8.8.8.8) in 13 ms
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS m.gtld-servers.net.
com. 172800 IN NS k.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 172800 IN NS i.gtld-servers.net.
com. 86400 IN DS 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. 86400 IN RRSIG DS 8 1 86400 20170919050000 20170906040000 15768 . NT4wyN3EiE0XhSNMHMeQoLPzdMlFx4HrccfpOpfJI+ZY4FdLnHOaFXhC b8wHcJytOSs9nJyKH5XX8jC7DBzrpiIw43r95MVvLYyTnMbHgSIQYlZs 5qhSActOdEYgBasN9ZW5szG5/QxqINnRZDAgeyQellVFBqXmvDIY4Geu nXMheHh373pXuGt4GJKq68EkeYEQ1bcsRCWclLdso76/vTC7Vd3KZrN4 dV80EM8K7fTHg2nyoTEkUmzGrLWqn6u6xAnSOiMLiWXdMhfiKP+xfS+m BP5qXKM78708kXfSAs/0ZE4wXhuDQZvygGl3qSeSuZeT2dng7+f99DQU 22vN+g==
;; Received 1203 bytes from 192.36.148.17#53(i.root-servers.net) in 10 ms
outlook.com. 172800 IN NS ns3.msft.net.
outlook.com. 172800 IN NS ns1.msft.net.
outlook.com. 172800 IN NS ns2.msft.net.
outlook.com. 172800 IN NS ns4.msft.net.
outlook.com. 172800 IN NS ns1a.o365filtering.com.
outlook.com. 172800 IN NS ns2a.o365filtering.com.
outlook.com. 172800 IN NS ns4a.o365filtering.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20170910044739 20170903033739 5528 com. RKovA0dJf5sKGZyjVNiKVmYzxo54xVkm+IR5BNXBhZXb0w2j8qkCUa2R muLop9rZIdvOYeo58kEoUZwo9fxzE5h+vtJ2MXYfffxZM//G1tcEE0WB tUPgGcRVD+rWw0jITO2SIhuKY9D+bHI5wHTHWhewjhGUuxE6JUU1Gqyy tA8=
4N821D4FM67M2RRP3O8Q91HVJPME0FEG.com. 86400 IN NSEC3 1 1 0 - 4N82D5351BNS9FH0PEU6Q9C12GEGP681 NS DS RRSIG
4N821D4FM67M2RRP3O8Q91HVJPME0FEG.com. 86400 IN RRSIG NSEC3 8 2 86400 20170912045708 20170905034708 5528 com. K/k9I5wufo5k9w+0v1sB77fQHjrfzQGWaTcWMUEqQuFTBxSdNYNEqzdY T0qjbMbnEeMCmQO+IdZ7k1ledpkqi8ymLLBPQ2R96+eDkoPX+rYdaujM UdCFRX2/zly1slip5dbM6nqpZvAfa+vNjf71gio7lTDnFq7chyNfJ57Y toU=
;; Received 932 bytes from 2001:503:231d::2:30#53(b.gtld-servers.net) in 34 ms
protection.outlook.com. 7200 IN NS ns1-gtm.glbdns.o365filtering.com.
protection.outlook.com. 7200 IN NS ns2-gtm.glbdns.o365filtering.com.
;; Received 159 bytes from 2620:0:32::53#53(ns2.msft.net) in 11 ms
mail.protection.outlook.com. 1800 IN NS ns1-proddns.glbdns.o365filtering.com.
mail.protection.outlook.com. 1800 IN NS ns2-proddns.glbdns.o365filtering.com.
;; Received 145 bytes from 157.56.116.52#53(ns1-gtm.glbdns.o365filtering.com) in 11 ms
;; Received 12 bytes from 157.55.234.42#53(ns1-proddns.glbdns.o365filtering.com) in 31 ms
Display More
habe gerade mal ne test Mail geschickt und die Adresse von MS im MX Eintrag gibt es scheinbar nicht, gibt kein A oder AAAA Record zurück.
bei den SRV Einträge die müssen meine die erste in die MX Spalte. wobei die MX Spalte eigtl Priorität heißen müsste.
Das mit dem Punkt am Ende der Domain ist quasi Standard. wenn der Punkt am Ende fehlt wird Normalerweise davon ausgegangen, dass es eine Subdomain ist.
Quasi die Domain davor gestellt wird.
Leider wird dieses nicht von M$ erwähnt, weshalb ich schon heufig gesehen habe, dass die werte nicht korrekt hinterlegt wurden.
hast du den Check bei Outlook schon durchgeführt ob alles korrekt ist?
mach beim SRV und CNAME mal nen Punkt am Ende der Domain
EDIT: und MX natürlich auch.
Ohne Punkt am Ende ist die Domain bspw. "autodiscover.outlook.com.impress-ev.de"
Ich denke mal dass libnss-mysql-bg aktiv ist. und nscd / mysql noch nicht die Benutzer dem System übergeben hat.
hast du am Server die Datei "/etc/libnss-mysql.cf" (den Inhalt nicht hier Posten, oder die Kennwörter schwärzen)
ist das Paket installiert "dpkg -l | grep libnss-mysql-bg"
wird ein WCP genutzt wie Froxlor oder ähnliches?
hatte das bei einem anderen Anbieter auch schon mal, habe dann übergangsweise die subdomains per "NS" Record zum richtigen geleitet.
anders war es nicht möglich.
* NS origin1.ns.tld
* NS origin2.ns.tld
DNSSEC ist natürlich nicht so wirklich möglich
als Backup für Privat Personen kannst du dir "dns.he.net" anschauen.
allerdings musst du alles doppelt Pflegen und der SOA muss eigentlich gleich sein.
Da netcup aktuell noch keinen Hidden Primary unterstützt kann man da nicht viel machen mit den NS Servern.
Wir haben unsere Domains auch bei 2 verschiedene NS Anbieter hinterlegt. da wir sowas schon einmal durch hatten, dass der NS Anbieter über ein Wochenende komplett nicht geantwortet hat.
ob LibreSSL oder OpenSSL Sicherer ist, habe ich nicht erwähnt.
Lediglich drauf hingewiesen, dass Debian Updates für OpenSSL liefert, wenn etwas ist.
Ich würde eher versuchen, es parallel zu OpenSSL benutzen und die Software welche libressl benutzen soll diese ausliefern lassen.
LibreSSL zu testen ist denke nicht das Problem, aber das alle Programme welche die lib Benutzen noch gehen ist die andere Geschichte.
curl, wget, apache, nginx, proftpd und noch viele andere verwenden die lib. und teils ist die dort auch mit Version etc. "verankert". bei einigen ist es nur eine Warning, bei anderen schon gesehen nen Segfault etc.
LibreSSL vs OpenSSL ist lediglich eine Politische Entscheidung.
LibreSSL ist aus OpenSSL entstanden, am Anfang für BSD Systeme und der Grund war einerseits Heartbleed und da laut OpenBSD Projekt zuviele "Altlasten" im Projekt sind.
Es kommt auf die Anzahl der System am Ende an um das Händlen zu können.
Zumal bei Debian ja alles mit OpenSSL getestet wurde, auch die Sicherheit angeht beim Updaten.
Dieses müsst ihr dann komplett übernehmen.
Display MoreHallo Heinrich,
ich habe das gleiche Problem mit Debian (9) Stretch und wollte mal nachfragen, ob die Route wirklich dauerhaft funktioniert?
Nach einem Neustart habe ich auch keine Probleme, allerdings läuft die Route nach 1800 sec ab. Gibt es für dieses Problem eine Lösung?
Ich bin für jeden Tip dankbar.
Viele Grüße
Alexander
/etc/sysctl.d/ipv6.conf
ist auf dem RDS eine Normale Seite, dann könntest du mit nginx/apache Proxy arbeiten.
Wenn es mehrere Dienste sind, musst du es mit DYNDNS machen... bei vielen Anbietern kannst du dann die DDNS Adresse als CNAME bei einer Domain eintragen.
Relay in Postfix halte ich für die beste wahl.
ggf. mit Transport Map...
msmtp unterstützt keine Queue. weshalb das nervig werden kann.
Und man eine "wichtige" Meldung vom System nicht bekommt.
Etwas spät aber, ich würde trotzdem nen Hitcount und fail2ban auf SSH legen.
da selbst der Verbindugsaufbau resourcen beansprucht.
Sicherheit gibt es in jeder man muss sie nur gut Anwenden und drauf achten, was Unterstützt wird.
Bei Ubuntu, welches viele Einsätzen sollte man im Live Betrieb von universe und multiverse abraten:
Sieht soweit gut aus. Genrell sollte man die Regel verfolgen, dass man die Ports Whitelistet.
So sind wir von einer "Katastrophalen" Standard Einstellung bei MongoDB nicht betroffen gewesen, als ein Kollege diese bei einem Kunden verwendet hat und aktiv genutzt hat.
Bezüglich SSH würde ich komplett auf Keys setzen und Passwort in der Konfig deaktivieren.
root ebenfalls nicht per Key zulassen.
per IPTABLES pro IPv4 einen hitcount hinterlegen
Beispiel:
$IPT -A tcp_outbound -p TCP -s 0/0 -d $INET_ADDRESS --destination-port 22 -j ACCEPT
$IPT -A tcp_inbound -d $INET_ADDRESS -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
$IPT -A tcp_inbound -d $INET_ADDRESS -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name DEFAULT --rsource -j DROP
$IPT -A tcp_inbound -d $INET_ADDRESS -p tcp -m tcp --dport 22 -j ACCEPT
Den Port Ändern bringt nur einen Pseudo erfolg, wenn der Port dicht ist, musst du von vielen einen Portscan über dich laufen lassen.
Nach dem der Port dann bekannt war ging es weiter bei uns...
Bei großen Setups nutzen wir 2 IPs
habe bei einem Benachbartem Server-Anbieter einen Domain Robot. und dort gibt es die Möglichkeit, die DNS Server als Slave zu nutzen. sprich bei meinem Server ist ebenfalls ein PowerDNS am laufen und schicke per Notify immer wieder Änderung, an die des Anbieters... (sprich Hidden Primary).
So habe ich auch Problemlos eine DynDNS IP Domain
Einige DNS-Provider haben ein Ratelimit. was bspw. bei DS-Lite Verbindungen (Vodafone Kabel / Unitymedia) vorkommen kann.
die Frage ist, wie fragst du die zum testen ab? per dig oder nslookup...
ist die FW der Box aktuell?