Beiträge von tbc233

Zitat von Sumeragi

Wäre es nicht einfacher ein Mail Relay auf dem vserver aufzusetzen und dann mittels /var/qmail/control/smtproutes Mails darüber auszuleiten?

Das hatte ich auch überlegt, aber aus irgendeinem Grund verworfen.

Letztendlich wär das natürlich auch eine Möglichkeit. Auf der anderen Seite ist halt die Frage ob es nicht generell "sauberer" ist wenn er über die selbe IP raus geht wie rein.

Zitat

Allerdings werden die E-Mails mit der NAT-IP-Adresse des DS-Lite-Anschluss versehen, die von einigen Mailserver blockiert werden.

Ich kann mich irren, aber so wie es klingt gehen die E-Mails schlichtweg über Deinen DS-Lite Anschluss raus. Das wird natürlich vielen gegnerischen Mailservern nicht gefallen.

Das Problem dürfte sein, dass Du zwar eingehend alles gut im Griff hast durch Deine Portweiterleitungen vom vserver, aber AUSGEHEND geht Dein Server nach wie vor über Deinen DS-Lite Anschluss raus, weil ihm vermutlich anhand seiner Default Route nichts anderes übrig bleibt.

Aus meiner Sicht lässt sich das mit der tollsten qmail Konfiguration nicht lösen, du müsstest dafür sorgen dass der vserver zum Default Router Deines pd-admin Servers wird und dieser nur mehr eben über den vserver ins Internet geht.

Mit openvpn hab ich das schon öfter gemacht, da fand ich es relativ einfach. Man pusht den openvpn Server als Gateway an die Clients und braucht halt dann am Server entsprechende Masquerade Rules für AUSGEHENDES Nat. Das wird bei wireguard vermutlich nicht unähnlich sein. Dieses Anleitung erscheint mir vielleicht als ganz inspirierend https://www.cyberciti.biz/faq/…er_the_client%27s_gateway
Hier werden anscheinend zuerst die Regeln für das ausgehende Nat gemacht, dann die wireguard config, "to allow WireGuard clients to access the Internet".

Das ist insofern interessant, als dass ich ja seit 5 Jahren meine Zertis mit dehydrated generiere, und meine key Files haben nur eine Sektion mit "Beginn" und "End".

Ich setze derzeit dehydrated in der Version 0.6.5 ein.

https://www.heise.de/news/Jetz…-Root-Rechte-5037687.html

Nur so als Tipp, das Thema braucht aus meiner Sicht dringende Zuwendung und updates der sudo Pakete. Momentan kann auf den meisten Systemen quasi jeder Hostingaccount zu root werden.

Find ich super. Wie gesagt, ich fahr voll auf dehydrated ab und benutze es schon sehr lange. Ich würde es auch als "gut gepflegt" bezeichnen.

pd-admin ist spitze für mich. Bei anderen Hostingpanels wird mir schon schlecht wenn ich nur die Installationsanleitung lese, mir sind die viel zu aufgeblasen. Zudem ist der Preis sowas von fair, ich bin da sehr dankbar dafür. Außerdem gefällt mir, dass wir mit so einem weniger populären Produkt (wenn ich das mal so sagen darf) eher unterm Radar fliegen, ich möchte nicht wissen wie oft weiter verbreitete Systeme wie Plesk täglich angegriffen werden und wie es bei denen rund geht wenn mal ein Zeroday raus kommt.

Natürlich gibt es manche Kinderkrankheiten, die wir schon sehr lange mitschleppen, aber bei welchem Produkt gibts die nicht.

Zudem sollte man bei konkreten Vorwürfen in Richtung des Herstellers hier in diesem Forum auch immer bedenken dass dies kein offizielles Supportforum ist. Also Herr Bradler ist nicht verpflichtet uns hier Frage und Antwort zu stehen.

Zitat von Revolution

Warum gibt es nach etlichen Jahren noch keine brauchbare Behebung des Fehlers?

Ich habe mir schon länger angewöhnt, vor einem Update der Standardumgebung und/oder pd-admin, den Cron Dienst zu beenden und nachher wieder zu starten. Dadurch wird vermieden, dass irgendeins der Scripte oder Executeables, die gerade im Begriff sind ausgetauscht zu werden, gerade gestartet wird.

Kommen irgendwelche Meldungen wenn Du den regulären maillog mal eine Zeitlang mitlaufen lässt?

Zitat

Vulnerability Details:

When imap hibernation is active, an attacker can cause Dovecot to

discover file

system directory structure and access other users' emails using

specially crafted

command. The attacker must have valid credentials to access the mail server.

Risk:

Attacker can access other users' emails and filesystem information.

Workaround:

Operators can choose to disable IMAP hibernation. IMAP hibernation is

not on by

default. To ensure imap hibernation is disabled, make sure

imap_hibernate_timeout

is set to 0 or unset.

Alles anzeigen

Ist "hibernation" bei uns an?

Das Jahr fängt ja prima für uns an https://www.heise.de/news/Angr…-Mails-lesen-5004691.html

Auch von mir schöne Feiertage, ein gutes neues Jahr und ein Dank an alle hier und an die B&K GmbH.

Wenn ich mal etwas sentimental werden darf - es ist 18 Jahre her, dass ich meinen ersten Server aufgesetzt und in das nahegelegene Rechenzentrum zum Housing gebracht habe. Mit pd-admin drauf, weil das kannte ich vorher schon von einem dedicated Server den ich hatte.

In all den Jahren war mir pd-admin und das Forum hier stets eine große Hilfe beim Stemmen von allen möglichen Aufgaben rund ums Webhosten. Dafür meinen Dank und ich hoffe ich konnte auch ab und an hier etwas davon zurück geben.

Ich nehme ja mal an, dass ich nicht der Einzige bin dessen Kunden sich öfter mal eine SEO Agentur engagieren, die dann beginnt Flöhe zu suchen und sich gerne an Themen wie dem "Time To First Byte" festkrallt. Da momentan Gerüchte umgehen dass Google nächstes Jahr den Pagespeed noch mehr in das Ranking einfließen lassen wird als bisher, rechne ich damit dass diese Diskussionen um die Millisekunde noch mehr werden.

Meistens wenn ich mich damit befasst habe, konnte man die jeweilige Website bzw. das eingesetzte CMS als Flaschenhals identifizieren und mit Caching Plugins etc. die Situation verbessern. Dennoch würde mich interessieren ob der eine oder andere von euch vielleicht auch Tweaks für den Apache auf Lager hat oder so, etwaige Verbesserungen an der httpd.conf die vielleicht manch einer hier lieb gewonnen hat im Bezug auf dieses Thema?

Ich breche hier mal wieder eine Lanze für "dehydrated" als letsencrypt Client: https://dehydrated.io/

Ich habe das seit fünf Jahren im Einsatz um meine Zertifikate zu erstellen und zu erneuern (das hab ich mir entsprechend verskriptet). Darauf gekommen bin ich, weil pd-admin damals noch keine Lösung für letsencrypt an Board hatte und mir certbot irgendwie so umständlich rüber kam und mich, wenn ich mich richtg erinnere, ständig angemeckert hat wegen python Geschichten wo ich keine Lust hatte diese aufzulösen. Ich schätze daran dass es eine reine Bash Implementierung ist, ohne nennenswerte Abhängigkeiten.

Wäre vielleicht ein adäquater und leicht zu adaptierender Ersatz für certbot-auto um es mit pd-admin mit auszuliefern.

Also ich hab bessere Erfahrungen mit Rolling Releases (gemütliches paket für paket updaten) als mit großen Release Wechseln. Aber da hat vermutlich jeder seine eigenen Erfahrungen.

Was spricht gegen ein Rolling Release? Ich finde Rolling Release Konzepte super. Gemütliches dahin-updaten ohne große Release Wechsel mit Bauchschmerzen. Ich schätze das zum Beispiel an Gentoo sehr.

SE: 4.0.368
pd-admin: v4.69

Seit einige Versionen fällt mir auf dass die Zeilen für die acme-challenge Files (für Letsencrypt) IMMER in die httpd.conf für jeden Virtualhost Container rausgeschrieben werden. AUCH DANN wenn letsencrypt pd-admin seitig gar nicht verwendet wird. Gemeint sind Zeilen wie diese im <Virtualhost....>

Alias /.well-known/acme-challenge/ /opt/pdadmin/etc/ssl-validation/.well-known/acme-challenge/
   RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge [NC]
   RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Da ich schon vor Jahren meine eigene Lösung gebaut habe um letsencrypt Zertifikate zu erstellen und zu erneuern (und diese gerne weiterhin einsetzen möchte), stehen mir diese Zeilen eher im Weg.
Ich bin aber ganz allgemein der Meinung, dass diese Zeilen nur dann rausgeschrieben werden sollten, wenn für den betroffenen Account letsencrpyt überhaupt aktiviert ist.

Zitat von Revolution

Bei mir erscheint "Unsicherer Signaturalgorithmus"

Ja sorry, ist bei mir auch so. Hatte ich aus dem Gedächtnis heraus falsch geschrieben. Fairerweise muss ich aber sagen dass ich diese Warnung vom Verifier Plugin bei sehr vielen anderen Absendern auch habe. Sogar bei outlook365 Usern zum Beispiel. Also ist wohl eher zu vernachlässigen.

Die Sache mit dem t=y im vorgeschlagenen DNS Eintrag braucht meiner Meinung nach eher etwas Zuwendung. Jemand der den DNS Eintrag einfach so übernimmt, übernimmt den Testmodus und hat bei vielen Empfängern dann gar nichts davon, weil diese die DKIM-Signatur im Testmodus ignorieren.

Ich hab jetzt mal das t=y rausgenommen. Nun zeigt auch mein Thunderbird Verifier Plugin an, dass die DKIM Signatur in Ordnung ist (wenn auch mit dem Hinweis "schwacher Algorithmus").

Soweit ich mich da jetzt eingearbeitet habe, gehört dieses t=y für den Produktivbetrieb raus aus dem DNS Eintrag. Hier wäre vielleicht ein Hinweis in pd-admin gut an der Stelle wo der DNS Eintrag angezeigt wird.

Ich bin jetzt etwas schlauer warum manche DKIM Verifier auf die Signaturen von DKIM Servern nicht reagieren. Wir haben das t=y Flag drin im Record den pd-admin standardmäßig (Button "DNS") anbietet.

Zitat

Warnung : We have detected the DKIM record is used only for testing (t=y part). This means email receivers will not use the DKIM signature to for actual validation purposes.

Ist eine Möglichkeit, allerdings wär mir das an bei der Fülle an php.ini Dateien, die wir aufgrund der verschiedenen PHP Generationen haben, zu mühsahm.