Posts by Georg

    Meine TLS Zertifikate beziehe ich über Let's Encrypt, daraus folgt die Pflicht von einem Renew der Zertifikate alle drei Monate. Für diverse Dienste auf den unterschiedlichen Ports habe ich derzeit TLSA-Records für DANE hinterlegt. Wenn nun ein Renew des Zertifikates ansteht, muss ich z.B. das Ganze monitoren oder mir in den Kalender eintragen, o.ä.


    TLS Zertifikate lassen sich nur komplett neu ausstellen, nicht wie die Schlüssel bei OpenPGP verlängern?

    Um nicht jedesmal die TLSA-Records manuell anzupassen bleibt nur die Möglichkeit, einer Automatisierung für das direkte Anpassen der Zonefiles? Hat jemand schon Erfahrungen hierzu?

    Hallo,


    welche Möglichkeiten gibt es E-Mails zeitversetzt über Postfix zu versenden? Ich benötige eine Lösung, wo die E-Mails bereits an den MTA übertragen wird, jedoch bis zum gewünschten Versandzeitpunkt gehalten wird. Möglichkeiten über den lokalen Mailclient sind nicht das optimale für meinen Anwendungsfall.

    Was schätzt ihr, wann wird die Ubuntu 20.04 DVD im SCP erscheinen? (Ja, ich weiß, ist noch nicht fertig ;))

    Wie war das bei 18.04?


    Als DVD wenige Stunden nach Release, als Image maximal nach wenigen Tagen. Ansonsten als DVD auch Beta selbst uploaden.

    Das ist korrekt. Im Webhosting handelt es sich um Mail only mit IMAP/POP3 und SMTP. Im Webmailer (Webhosting) können zwar auch Adressbuch und Kalender zur Verfügung stehen, diese werden jedoch nicht synchronisiert und stehen nur auf der entsprechenden Instanz zur Verfügung.


    Die SOGo Groupware bietet jedoch auch noch die Optionen der Freigabe von ganzen Postfächern oder Ordnern.


    Du kannst das Ganze jedoch auch selbst zum Beispiel via CardDAV, CalDAV oder direkt über NextCloud, OwnCloud, ... abbilden.


    Was deinem Use-Case am besten entspricht, kannst natürlich nur du selbst beurteilen.

    Was meinst du mit "SMTP-Relayadresse" ganz konkret? Den Return-Path, rDNS-Eintrag, SPF-Records, Server die hinter den MX-Records stehen?


    Vorweg sei erwähnt, dass man das Ganze nicht pauschalisieren kann, jeder Mailserver, jeder Provider hat im Bereich Mailfilterung seine eigenen Regeln.

    Natürlich fällt der Spamschutz insbesondere bei den "großen Providern" latent besser aus, wenn man sich an deren Spielregeln hält. SPF, DKIM, DMARC, wird gern gesehen.


    Mir ist nicht bekannt, dass die MX-Records vom empfangenen Mailserver geprüft werden, außer bei Verweis darauf z.B. SPF-Record. Von daher sollte es kein Problem sein, andere Mailserver für den Versand zu verwenden, als beim Empfang. Du kannst bei deiner Domain natürlich auch DKIM-Sigantur ins DNS der entsprechenden Domain übernehmen und den SPF-Record anpassen.

    Hallo,


    zum Thema Mailverkehr zwei bzw. drei Sachen:


    1. Uhrzeit: Wie werden die Mails in der INBOX grundsätzlich sortiert? Nach Zeitstempel vom Client o. Server des Absenders, nach dem Eingangsdatum auf meinem Server? Wenn der Absender seine Zeit verstellt, hat dies Auswirkungen auf die Anzeige im Mailclient, u.a. Reihenfolge? Wie ist das mit Greylisting, wie auch Serverausfall, welche Zeiten gelten dort?


    2. BCC-Felder: Wie kann ich erkennen, an welche E-Mail Adresse eine E-Mail ging, wenn ich mehrere E-Mail Adressen einem Postfach zugewiesen habe und die Adresse im BCC-Feld stand? Nur in den Logs? Ist BCC eine sichere Möglichkeit, um E-Mail Adressen anderer zu verschleiern oder lieber zu Sammelmail/serienmail etc. greifen?


    3. Ob mehrere Werte in An/Cc/Bcc Felder: Wenn eine Mail an mehrere Empfänger unter gleicher Domain gehen, sendet der MTA die Mail nur einmal an den Zielserver und dieser dupliziert oder erfolgt der Versand mehrmals, entsprechend der eingetragenen Werte? Wenn eine Zieladresse mehrmals eingetragen ist oder Alias Adressen auf das gleiche Postfach verweisen, werden Mails nur einmal gespeichert oder die gleiche Mail mehrmals?

    Mir ist aufgefallen, dass Rspamd kürzlich (Version 2.4) die ARC-Message-Signature nicht mehr bei ausgehenden Nachrichten einfügt. Stattdessen erfolgt das Hinzufügen bei allen eingehenden Nachrichten. Auch prüft Rspamd sich selbst. Woran kann es liegen? An meiner Mail-Konfiguration hat sich nichts geändert. Es muss am Update liegen. Die Changelogs der Rspamd Release lässt auch kein Rückschluss auf Änderungen zu.

    Hallo gunnarh,


    ja, so passt es. Dachte der SSLHonorCipherOrder macht das Ganze genau andersherum. Bei der Mozilla Intermediate Config steht dieser nämlich auch auf off, nur bei der old Config ist dieser auf on. Die Cipher habe ich gemäß SSL Configuration Generator in dieser Reihenfolge übernommen.

    Wie kann ich das Ganze erhöhen? Beim Aufruf meiner Seite sind es niedriger Werte, als auf anderen Webseiten mit dem gleichen Browser.


    So sieht der Teil in der Apche Konfiguration aus:


    Code
    1. SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    2. SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
    3. SSLHonorCipherOrder off
    4. SSLSessionTickets off
    5. SSLUseStapling On
    6. SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

    Beißt sich da vielleicht etwas? Mach die Reihenfolge der CipherSuites einen Unterschied?

    Hallo,


    ich brauche mal bitte etwas Nachhilfe. Die technischen Details, welche einem im Browser angezeigt werden können mit z.B. TLS_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.3 sind dies Eigenschaften, welche mit Erstellung des TLS Zertifikates festgelegt werden oder die CipherSuite? Wie habe ich die Möglichkeiten diese Werte zu erhöhen im Apache?

    Es gibt keine Meldung, bei TLS Aufruf via https, ist nach wie vor http 1.1 aktiv. Die Cipher werden im übrigen auch nicht übernommen. Ein Proxy ist nicht im Einsatz.


    Hier einmal die config: