Beiträge von Shackattack

    Hallo und danke für dein Feedback. Bin heute erst wieder in Deutschland angekommen deswegen die späte antwort. Ich schaue mir den Comodo Reseller mal an. Sieht interessant aus. Danke.

    Hallo Forum,


    ich bin auf der Suche nach einem günstigem SSL Anbieter der Wildcard Zertifikate (ohne Domainlimit oder mit Staffelung 50/100 Domains) anbietet. Ich hatte bis zu diesem Monat StartSSL die den Dienst ja eingestellt haben nachdem ihnen der Trust entzogen wurde.


    Bitte berichtigt mich wenn ich falsch liege aber letsencrypt kommt für mich nicht in frage, da ich wie ich gelesen habe mit letsencrypt als mailzertifikat mit iOS Probleme bekomme. Ausserdem handelt es sich auch um Shopsysteme die angebunden werden.


    Ideen / Anregungen auch gerne per PN.

    Funktioniert. Danke Herr Bradler und einen schönen Feiertag :]


    Kleiner Hinweis noch: das Script sollte abfragen ob der service /service/dovecot/ oder /service/dovecot22/ ist. Auf den alten Systemen sind bei mir die services dovecot.


    Da das SSL Zertifikat ja unter subdomain.provider.tld läuft meldet Thunderbird auf allen Domains (auch bei ungesicherter Verbindung) einen hostname mismatch. Wenn man als Mailserver subdomain.provider.de eingibt funktioniert es. Ist es möglich das über DNS Einstellungen zu übergehen?


    Aktuell habe ich es versucht mit:


    Und als kleine Verständnissfrage. Ist es richtig das das Passwort noch klartext übergeben wird? Ich hab es jetzt noch nicht in eine VM ge wiresharkt aber wenn ich testweise das Passwort mal falsch eingebe bekomme ich das Passwort Klartext im mail.log angezeigt:


    Code
    1. May 5 12:09:07 qonos pdadmin[6262]: User ssltest@kundendomain.tld: smtp-auth login failed from 37.xx.xx.xxx (wrong password: ▒xxxxxxxxxxxx00, $1$5xxxxnIF$GxDxxxxxxxxxxxPBxxxxxx)


    Hier noch die hostname mismatch Meldung:

    Abschnitt 1 ist der FTP Client.


    So jetzt hab ich

    Code
    1. courier-imap-ssl
    2. courier-pop3-ssl


    gelöscht und reboot durchgeführt


    nmap sagt wieder das pop3s und imaps nicht verfügbar sind:


    ein update auf die neue SE und erneutes ausführen von dc-ssl-install.sh bringt keine Besserung.


    (Übrigens danke für die Richtigstellung im Eingangsthread Herr Bradler)

    Klappt leider nicht:

    Code
    1. [R] Data Socket Error: Connection timed out [22:23:54]
    2. [R] List Error [22:23:54]
    3. [R] PASV mode failed, trying PORT mode. [22:23:54]
    4. [R] Listening on PORT: 55458, Waiting for connection. [22:23:54]
    5. [R] PORT 192,168,78,162,216,162 [22:23:54]
    6. [R] 200 PORT command successful [22:23:54]
    7. [R] MLSD [22:24:57] [R] 425 Unable to build data connection: Connection timed out [22:24:57]
    8. [R] 550 MLSD: Connection timed out [22:24:57]
    9. [R] List Error


    tls.log:

    Code
    1. 2016-05-03 22:55:21,102 mod_tls/2.6[15464]: SSL/TLS required but absent for authentication, denying USER comm$
    2. 2016-05-03 22:55:31,340 mod_tls/2.6[15465]: SSL/TLS required but absent for authentication, denying USER comm$
    3. 2016-05-03 22:55:34,254 mod_tls/2.6[15469]: SSL/TLS required but absent for authentication, denying USER comm$
    4. 2016-05-03 22:55:44,485 mod_tls/2.6[15470]: SSL/TLS required but absent for authentication, denying USER comm$
    5. 2016-05-03 22:59:09,243 mod_tls/2.6[15638]: TLS/TLS-C requested, starting TLS handshake
    6. 2016-05-03 22:59:09,383 mod_tls/2.6[15638]: client supports secure renegotiations
    7. 2016-05-03 22:59:09,383 mod_tls/2.6[15638]: TLSv1 connection accepted, using cipher ECDHE-RSA-AES256-SHA (256$
    8. 2016-05-03 20:59:11,504 mod_tls/2.6[15638]: Protection set to Private


    die services sind:

    Also mxtools sagt bei mir ist alles schick:


    die Verbindungen mit


    pop3
    imap
    smtp
    smtps
    pop3s


    funktionieren nur imaps verweigert die Anmeldung. Softlimit hab ich höher:


    pbl würde ich rausnehmen macht zuviele false positives.


    Mit ftpds komme ich auch nicht weiter. Ein Howto wo man mit iptables das problem mit dem passive mode durch ipcontract umgehen kann hat leider nicht funktioniert.


    /etc/modules

    Code
    1. ip_conntrack_ftp ports=21,4559


    und iptables:

    Code
    1. IN_ALLOWED_TCP="20 21 22 25 53 80 110 143 443 465 993 995 1601 4559"
    2. OUT_ALLOWED_TCP="20 21 22 25 53 80 110 143 443 465 993 995 1601 4559"
    3. IN_ALLOWED_UDP="53 7878" OUT_ALLOWED_UDP="53" IN_ALLOWED_ICMP=" "
    4. OUT_ALLOWED_IMCP=" "


    Mal schauen ob ich den Testserver nochmal neu aufgesetzt bekomme morgen um nochmal nachzuspielen das dc-ssl-install.sh nicht funktioniert.

    Das wäre schön gewesen das vorab zu wissen. Beide Scripte machen aber auf bestehenden Systemen nicht das was sie sollen wie auch schon hier beschrieben:


    nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)


    auch auf frisch installierten Systemen waren die SSL Ports erst nach Ausführung von ci-ssl-install.sh verfügbar EDIT 02.05.2016: ci-ssl-install.sh darf auf einer aktuellen Installation mit Dovecot nicht ausgefuehrt werden.


    Edit: Fehler im Script wurde berichtigt siehe: nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)

    sieht so aus wie bei mir:


    die alten server:



    der grade neu aufgesetzte der keinen Mailserver nutzt:


    Ich habe jetzt auch mal alle Server auf SSL umgestellt verwendetes Zertifikat ist von StartSSL als Wildcard Zertifikat für


    provider.tld
    *.provider.tld


    Webserver klappt soweit und auch weitere Zertifikate per SNI eingebunden geben mir ein Grade A - RSA 4096 bits (e 65537) / SHA256withRSA


    im Interface per SNI eingebunden sind


    domain.tld
    *.domain.tld


    danach erst ci-ssl-install.sh und anschliessend dc-ssl-install.sh ausgeführt (die Schnipsel die man hier im Forum bekommt lassen vermuten das das dc-ssl-install.sh das ci-ssl-install.sh script ablösen ... is aber nicht so - ports waren erst nach ausführung beider scripte offen)


    Aktuell sieht das so aus:




    Verbindung klappt mit Thunderbird nur mit pop3s und smtps ... imaps verweigert den Dienst. Etwas unschön auch das ich als Mailserver jetzt nur provider.tld nutzen kann selbst wenn ich im DNS für mail


    Code
    1. IN MX 10 provider.tld


    angebe gibt es eine Warnung wegen Host mismatch. Auch FTP funktioniert nicht mit SSL.


    Edit: Das proftpd problem konnte ich schon etwas eingrenzen. Bei SSL Verbindungen scheint er in den passive mode zu gehen. Die Firewall lässt natürlich keine Portrange zu. Der normale Verbindungsaufbau dagegen funktioniert.


    Hier Thunderbird mit imaps:

    Ja die Owncloud Variablen werden geladen und auch ein Test mit mod_rewrite um auf SSL umzuleiten funktioniert.


    hier die komplette .htaccess


    Ich verzweifle auch grade an Strict-Transport-Security.


    Owncloud: 9.01
    Installierte pd-admin-Version: v4.25
    Installierte Version d. Serverumgebung: 4-0.267
    PHP Version: 5.6.20


    Weder in der httpd.conf-template noch in der .htaccess nimmt er die Einstellung an:


    .htaccess


    Code
    1. <IfModule mod_headers.c>
    2. Header set Strict-Transport-Security "max-age=31536000"
    3. </IfModule>


    ... zu allem Überfluss ist die Owncloud Seite heute teilweise offline und Owncloud quitiert das mit: Der Server ist nicht mit dem Internet verbunden. :D


    Hat noch jemand einen Tip wie ich owncloud sonst die Variable unterjubeln kann?

    Den SMTP delay hab ich nicht im Einsatz. Die Blacklist entlastet den Server schon beachtlich.


    Wie in dem Artikel beschrieben einfach den ersten mal runterladen und prüfen ob der auf deinem System läuft.


    Das einzige Manko ist halt das er wenn du selber auf der Blacklist stehst keine Mails mehr versendet (aber gut dann hat man eh andere Probleme ;-) )