Hallo und danke für dein Feedback. Bin heute erst wieder in Deutschland angekommen deswegen die späte antwort. Ich schaue mir den Comodo Reseller mal an. Sieht interessant aus. Danke.
Beiträge von Shackattack
-
-
Hallo Forum,
ich bin auf der Suche nach einem günstigem SSL Anbieter der Wildcard Zertifikate (ohne Domainlimit oder mit Staffelung 50/100 Domains) anbietet. Ich hatte bis zu diesem Monat StartSSL die den Dienst ja eingestellt haben nachdem ihnen der Trust entzogen wurde.
Bitte berichtigt mich wenn ich falsch liege aber letsencrypt kommt für mich nicht in frage, da ich wie ich gelesen habe mit letsencrypt als mailzertifikat mit iOS Probleme bekomme. Ausserdem handelt es sich auch um Shopsysteme die angebunden werden.
Ideen / Anregungen auch gerne per PN.
-
-
Hatte Piwik auch jahrelang im Einsatzt aber noch nicht wieder neu aufgesetzt.
Werde mich aber in den nächsten Wochen dransetzen. -
Funktioniert. Danke Herr Bradler und einen schönen Feiertag :]
Kleiner Hinweis noch: das Script sollte abfragen ob der service /service/dovecot/ oder /service/dovecot22/ ist. Auf den alten Systemen sind bei mir die services dovecot.
Da das SSL Zertifikat ja unter subdomain.provider.tld läuft meldet Thunderbird auf allen Domains (auch bei ungesicherter Verbindung) einen hostname mismatch. Wenn man als Mailserver subdomain.provider.de eingibt funktioniert es. Ist es möglich das über DNS Einstellungen zu übergehen?
Aktuell habe ich es versucht mit:
Code
Alles anzeigenZone(s): kundendomain.tld ; @ IN SOA ns1.xx.de ns1.xx.de. ( 2016050501 ; Serial 14400 ; Refresh 3600 ; Retry 604800 ; Expire after a week 86400 ) ; Minimum ttl of 1 day IN A 144.xx.x.xx IN MX 10 subdomain.provider.tld mail IN A 144.xx.x.xx www IN A 144.xx.x.xx * IN A 144.xx.x.xx IN NS ns1.xx.de. IN NS ns2.xx.de. IN NS ns3.xx.de.
Und als kleine Verständnissfrage. Ist es richtig das das Passwort noch klartext übergeben wird? Ich hab es jetzt noch nicht in eine VM ge wiresharkt aber wenn ich testweise das Passwort mal falsch eingebe bekomme ich das Passwort Klartext im mail.log angezeigt:
CodeMay 5 12:09:07 qonos pdadmin[6262]: User ssltest@kundendomain.tld: smtp-auth login failed from 37.xx.xx.xxx (wrong password: ▒xxxxxxxxxxxx00, $1$5xxxxnIF$GxDxxxxxxxxxxxPBxxxxxx)
Hier noch die hostname mismatch Meldung:
-
-
Abschnitt 1 ist der FTP Client.
So jetzt hab ich
gelöscht und reboot durchgeführtnmap sagt wieder das pop3s und imaps nicht verfügbar sind:
Code
Alles anzeigen[20:31][root@narendra:~]# nmap localhost Starting Nmap 6.47 ( http://nmap.org ) at 2016-05-04 20:31 CEST Nmap scan report for localhost (127.0.0.1) Host is up (0.0000070s latency). Other addresses for localhost (not scanned): 127.0.0.1 Not shown: 991 closed ports PORT STATE SERVICE 21/tcp open ftp 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 465/tcp open smtps 587/tcp open submission
ein update auf die neue SE und erneutes ausführen von dc-ssl-install.sh bringt keine Besserung.(Übrigens danke für die Richtigstellung im Eingangsthread Herr Bradler)
-
Klappt leider nicht:
Code[R] Data Socket Error: Connection timed out [22:23:54] [R] List Error [22:23:54] [R] PASV mode failed, trying PORT mode. [22:23:54] [R] Listening on PORT: 55458, Waiting for connection. [22:23:54] [R] PORT 192,168,78,162,216,162 [22:23:54] [R] 200 PORT command successful [22:23:54] [R] MLSD [22:24:57] [R] 425 Unable to build data connection: Connection timed out [22:24:57] [R] 550 MLSD: Connection timed out [22:24:57] [R] List Error
tls.log:Code2016-05-03 22:55:21,102 mod_tls/2.6[15464]: SSL/TLS required but absent for authentication, denying USER comm$ 2016-05-03 22:55:31,340 mod_tls/2.6[15465]: SSL/TLS required but absent for authentication, denying USER comm$ 2016-05-03 22:55:34,254 mod_tls/2.6[15469]: SSL/TLS required but absent for authentication, denying USER comm$ 2016-05-03 22:55:44,485 mod_tls/2.6[15470]: SSL/TLS required but absent for authentication, denying USER comm$ 2016-05-03 22:59:09,243 mod_tls/2.6[15638]: TLS/TLS-C requested, starting TLS handshake 2016-05-03 22:59:09,383 mod_tls/2.6[15638]: client supports secure renegotiations 2016-05-03 22:59:09,383 mod_tls/2.6[15638]: TLSv1 connection accepted, using cipher ECDHE-RSA-AES256-SHA (256$ 2016-05-03 20:59:11,504 mod_tls/2.6[15638]: Protection set to Private
die services sind:Code
Alles anzeigendrwxr-xr-x 3 root root 4096 Feb 25 2013 apache drwxr-xr-x 3 root root 4096 Feb 25 2013 clamd drwxr-xr-x 4 root root 4096 Nov 27 2014 courier-imap-ssl drwxr-xr-x 4 root root 4096 Nov 27 2014 courier-pop3-ssl drwxr-xr-x 4 root root 4096 Mär 24 2013 dovecot drwxr-xr-x 3 root root 4096 Feb 25 2013 mysqld drwxr-xr-x 4 root root 4096 Feb 25 2013 proftpd drwxr-xr-x 4 root root 4096 Feb 25 2013 qmail-msa drwxr-xr-x 3 root root 4096 Feb 25 2013 qmail-send drwxr-xr-x 3 root root 4096 Mär 24 2013 qmail-smtpd drwxr-xr-x 5 root root 4096 Apr 29 23:47 qmail-smtpSd drwxr-xr-x 3 root root 4096 Feb 25 2013 readlog drwxr-xr-x 3 root root 4096 Dez 14 2012 spamd
-
Also mxtools sagt bei mir ist alles schick:
die Verbindungen mit
pop3
imap
smtp
smtps
pop3sfunktionieren nur imaps verweigert die Anmeldung. Softlimit hab ich höher:
Bash
Alles anzeigen#!/bin/bash QMAILDUID=`id -u qmaild` NOFILESGID=`id -g qmaild` HOSTNAME=`hostname -f` if [ "$HOSTNAME" == "" ]; then echo "Kein Hostname gesetzt." exit 11 fi exec /usr/local/bin/softlimit -m 80000000 /usr/local/bin/tcpserver -x /etc/tcp.smtp.cdb -h -P -R -u $QMAILDUID -g $NOFILESGID -c 40 -v 0 smtp relaylock \ /var/qmail/bin/rblsmtpd -v -r sbl.spamhaus.org \ /var/qmail/bin/rblsmtpd -v -r xbl.spamhaus.org \ /var/qmail/bin/rblsmtpd -v -r ix.dnsbl.manitu.net \ /var/qmail/bin/rblsmtpd -v -r bl.spamcop.net \ /var/qmail/bin/qmail-smtpd $HOSTNAME /usr/local/pd-admin2/bin/checksmtppasswd /bin/true 2>&1 | /var/qmail/bin/splogger smtpd 3
pbl würde ich rausnehmen macht zuviele false positives.Mit ftpds komme ich auch nicht weiter. Ein Howto wo man mit iptables das problem mit dem passive mode durch ipcontract umgehen kann hat leider nicht funktioniert.
/etc/modules
und iptables:
CodeIN_ALLOWED_TCP="20 21 22 25 53 80 110 143 443 465 993 995 1601 4559" OUT_ALLOWED_TCP="20 21 22 25 53 80 110 143 443 465 993 995 1601 4559" IN_ALLOWED_UDP="53 7878" OUT_ALLOWED_UDP="53" IN_ALLOWED_ICMP=" " OUT_ALLOWED_IMCP=" "
Mal schauen ob ich den Testserver nochmal neu aufgesetzt bekomme morgen um nochmal nachzuspielen das dc-ssl-install.sh nicht funktioniert. -
Das wäre schön gewesen das vorab zu wissen. Beide Scripte machen aber auf bestehenden Systemen nicht das was sie sollen wie auch schon hier beschrieben:
nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)
auch auf frisch installierten Systemen waren die SSL Ports erst nach Ausführung von ci-ssl-install.sh verfügbar EDIT 02.05.2016: ci-ssl-install.sh darf auf einer aktuellen Installation mit Dovecot nicht ausgefuehrt werden.
Edit: Fehler im Script wurde berichtigt siehe: nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)
-
Das proftpd problem konnte ich schon etwas eingrenzen. Bei SSL Verbindungen scheint er in den passive mode zu gehen. Die Firewall lässt natürlich keine Portrange zu. Der normale Verbindungsaufbau dagegen funktioniert.
-
meine mail.err sind leer
-
sieht so aus wie bei mir:
die alten server:
Code
Alles anzeigen[20:57][root@qonos:~]# ll /service/ insgesamt 52 drwxr-xr-x 3 root root 4096 Feb 25 2013 apache drwxr-xr-x 3 root root 4096 Feb 25 2013 clamd drwxr-xr-x 4 root root 4096 Nov 27 2014 courier-imap-ssl drwxr-xr-x 4 root root 4096 Nov 27 2014 courier-pop3-ssl drwxr-xr-x 4 root root 4096 Mär 24 2013 dovecot drwxr-xr-x 3 root root 4096 Feb 25 2013 mysqld drwxr-xr-x 4 root root 4096 Feb 25 2013 proftpd drwxr-xr-x 4 root root 4096 Feb 25 2013 qmail-msa drwxr-xr-x 3 root root 4096 Feb 25 2013 qmail-send drwxr-xr-x 3 root root 4096 Mär 24 2013 qmail-smtpd drwxr-xr-x 5 root root 4096 Apr 29 23:47 qmail-smtpSd drwxr-xr-x 3 root root 4096 Feb 25 2013 readlog drwxr-xr-x 3 root root 4096 Dez 14 2012 spamd
der grade neu aufgesetzte der keinen Mailserver nutzt:
Code
Alles anzeigen[21:04][root@narendra:~]# ll /service/ insgesamt 48 drwxr-xr-x 3 root root 4096 Apr 26 19:51 apache drwxr-xr-x 3 root root 4096 Apr 26 19:50 clamd drwxr-xr-x 4 root root 4096 Nov 27 2014 courier-imap-ssl drwxr-xr-x 4 root root 4096 Nov 27 2014 courier-pop3-ssl drwxr-xr-x 4 root root 4096 Apr 26 19:50 dovecot22 drwxr-xr-x 3 root root 4096 Apr 26 19:50 mysqld drwxr-xr-x 4 root root 4096 Apr 26 19:50 proftpd drwxr-xr-x 4 root root 4096 Apr 26 19:50 qmail-msa drwxr-xr-x 3 root root 4096 Apr 26 19:50 qmail-send drwxr-xr-x 4 root root 4096 Apr 26 19:50 qmail-smtpd drwxr-xr-x 5 root root 4096 Apr 26 20:25 qmail-smtpSd drwxr-xr-x 3 root root 4096 Okt 29 2014 spamd
-
Ich habe jetzt auch mal alle Server auf SSL umgestellt verwendetes Zertifikat ist von StartSSL als Wildcard Zertifikat für
provider.tld
*.provider.tldWebserver klappt soweit und auch weitere Zertifikate per SNI eingebunden geben mir ein Grade A - RSA 4096 bits (e 65537) / SHA256withRSA
im Interface per SNI eingebunden sind
domain.tld
*.domain.tlddanach erst ci-ssl-install.sh und anschliessend dc-ssl-install.sh ausgeführt (die Schnipsel die man hier im Forum bekommt lassen vermuten das das dc-ssl-install.sh das ci-ssl-install.sh script ablösen ... is aber nicht so - ports waren erst nach ausführung beider scripte offen)
Aktuell sieht das so aus:
Code
Alles anzeigen[19:52][root@qonos:~]# netstat -tulpen Aktive Internetverbindungen (Nur Server) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 9722 2984/dovecot tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 9750 2984/dovecot tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 5685 1751/rpcbind tcp 0 0 0.0.0.0:57242 0.0.0.0:* LISTEN 102 5704 1783/rpc.statd tcp 0 0 0.0.0.0:4190 0.0.0.0:* LISTEN 0 9706 2984/dovecot tcp 0 0 0.0.0.0:1601 0.0.0.0:* LISTEN 0 4557 2720/sshd tcp6 0 0 :::587 :::* LISTEN 0 3576 2979/tcpserver tcp6 0 0 :::111 :::* LISTEN 0 5692 1751/rpcbind tcp6 0 0 :::80 :::* LISTEN 0 5999 2982/httpd tcp6 0 0 :::465 :::* LISTEN 0 4602 2993/tcpserver tcp6 0 0 :::21 :::* LISTEN 65534 3574 2989/proftpd: (acce tcp6 0 0 :::25 :::* LISTEN 0 9678 3015/tcpserver tcp6 0 0 :::37050 :::* LISTEN 102 5710 1783/rpc.statd tcp6 0 0 :::443 :::* LISTEN 0 6003 2982/httpd tcp6 0 0 :::993 :::* LISTEN 0 10764 2994/tcpserver tcp6 0 0 :::1601 :::* LISTEN 0 4559 2720/sshd tcp6 0 0 :::995 :::* LISTEN 0 10762 2992/tcpserver udp 0 0 0.0.0.0:60171 0.0.0.0:* 102 5701 1783/rpc.statd udp 0 0 0.0.0.0:111 0.0.0.0:* 0 5681 1751/rpcbind udp 0 0 0.0.0.0:654 0.0.0.0:* 0 5684 1751/rpcbind udp 0 0 127.0.0.1:687 0.0.0.0:* 0 5695 1783/rpc.statd udp6 0 0 :::52861 :::* 102 5707 1783/rpc.statd udp6 0 0 :::111 :::* 0 5688 1751/rpcbind udp6 0 0 :::654 :::* 0 5691 1751/rpcbind
Code
Alles anzeigen[20:02][root@qonos:~]# nmap localhost Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-30 20:02 CEST Nmap scan report for localhost (127.0.0.1) Host is up (0.0000060s latency). Not shown: 989 closed ports PORT STATE SERVICE 21/tcp open ftp 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s
Verbindung klappt mit Thunderbird nur mit pop3s und smtps ... imaps verweigert den Dienst. Etwas unschön auch das ich als Mailserver jetzt nur provider.tld nutzen kann selbst wenn ich im DNS für mail
angebe gibt es eine Warnung wegen Host mismatch. Auch FTP funktioniert nicht mit SSL.
Edit: Das proftpd problem konnte ich schon etwas eingrenzen. Bei SSL Verbindungen scheint er in den passive mode zu gehen. Die Firewall lässt natürlich keine Portrange zu. Der normale Verbindungsaufbau dagegen funktioniert.
Hier Thunderbird mit imaps:
-
-
Ja die Owncloud Variablen werden geladen und auch ein Test mit mod_rewrite um auf SSL umzuleiten funktioniert.
hier die komplette .htaccess
Apache Configuration
Alles anzeigen<IfModule mod_headers.c> <IfModule mod_setenvif.c> <IfModule mod_fcgid.c> SetEnvIfNoCase ^Authorization$ "(.+)" XAUTHORIZATION=$1 RequestHeader set XAuthorization %{XAUTHORIZATION}e env=XAUTHORIZATION </IfModule> <IfModule mod_proxy_fcgi.c> SetEnvIfNoCase Authorization "(.+)" HTTP_AUTHORIZATION=$1 </IfModule> </IfModule> <IfModule mod_env.c> # Add security and privacy related headers Header set X-Content-Type-Options "nosniff" Header set X-XSS-Protection "1; mode=block" Header set X-Robots-Tag "none" Header set X-Frame-Options "SAMEORIGIN" Header set X-Download-Options "noopen" Header set X-Permitted-Cross-Domain-Policies "none" SetEnv modHeadersAvailable true </IfModule> # Add cache control for CSS and JS files <FilesMatch "\.(css|js)$"> Header set Cache-Control "max-age=7200, public" </FilesMatch> </IfModule> <IfModule mod_php5.c> php_value upload_max_filesize 513M php_value post_max_size 513M php_value memory_limit 512M php_value mbstring.func_overload 0 php_value always_populate_raw_post_data -1 php_value default_charset 'UTF-8' php_value output_buffering 0 <IfModule mod_env.c> SetEnv htaccessWorking true </IfModule> </IfModule> <IfModule mod_php7.c> php_value upload_max_filesize 513M php_value post_max_size 513M php_value memory_limit 512M php_value mbstring.func_overload 0 php_value default_charset 'UTF-8' php_value output_buffering 0 <IfModule mod_env.c> SetEnv htaccessWorking true </IfModule> </IfModule> <IfModule mod_rewrite.c> RewriteEngine on RewriteRule .* - [env=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteRule ^\.well-known/host-meta /public.php?service=host-meta [QSA,L] RewriteRule ^\.well-known/host-meta\.json /public.php?service=host-meta-json [QSA,L] RewriteRule ^\.well-known/carddav /remote.php/dav/ [R=301,L] RewriteRule ^\.well-known/caldav /remote.php/dav/ [R=301,L] RewriteRule ^remote/(.*) remote.php [QSA,L] RewriteRule ^(build|tests|config|lib|3rdparty|templates)/.* - [R=404,L] RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.* RewriteRule ^(\.|autotest|occ|issue|indie|db_|console).* - [R=404,L] # Rewrite rules for `front_controller_active` Options -MultiViews RewriteRule ^core/js/oc.js$ index.php [PT,E=PATH_INFO:$1] RewriteRule ^core/preview.png$ index.php [PT,E=PATH_INFO:$1] RewriteCond %{REQUEST_FILENAME} !\.(css|js|svg|gif|png|html|ttf|woff|ico|jpg|jpeg)$ RewriteCond %{REQUEST_FILENAME} !core/img/favicon.ico$ RewriteCond %{REQUEST_FILENAME} !/remote.php RewriteCond %{REQUEST_FILENAME} !/public.php RewriteCond %{REQUEST_FILENAME} !/cron.php RewriteCond %{REQUEST_FILENAME} !/core/ajax/update.php RewriteCond %{REQUEST_FILENAME} !/status.php RewriteCond %{REQUEST_FILENAME} !/ocs/v1.php RewriteCond %{REQUEST_FILENAME} !/ocs/v2.php RewriteCond %{REQUEST_FILENAME} !/updater/ RewriteCond %{REQUEST_FILENAME} !/ocs-provider/ RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.* </IfModule> <IfModule mod_mime.c> AddType image/svg+xml svg svgz AddEncoding gzip svgz </IfModule> <IfModule mod_dir.c> DirectoryIndex index.html index.php </IfModule> AddDefaultCharset utf-8 Options -Indexes <IfModule pagespeed_module> ModPagespeed Off </IfModule> <IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000" </IfModule> #### DO NOT CHANGE ANYTHING ABOVE THIS LINE #### ErrorDocument 403 /core/templates/403.php ErrorDocument 404 /core/templates/404.php <IfModule mod_rewrite.c> RewriteRule . index.php [PT,E=PATH_INFO:$1] RewriteBase / <IfModule mod_env.c> SetEnv front_controller_active true <IfModule mod_dir.c> DirectorySlash off </IfModule> </IfModule> </IfModule>
-
Ich verzweifle auch grade an Strict-Transport-Security.
Owncloud: 9.01
Installierte pd-admin-Version: v4.25
Installierte Version d. Serverumgebung: 4-0.267
PHP Version: 5.6.20Weder in der httpd.conf-template noch in der .htaccess nimmt er die Einstellung an:
.htaccess
... zu allem Überfluss ist die Owncloud Seite heute teilweise offline und Owncloud quitiert das mit: Der Server ist nicht mit dem Internet verbunden.
Hat noch jemand einen Tip wie ich owncloud sonst die Variable unterjubeln kann?
-
Automatisierung wäre da dringend notwendig. Aktuell würde sich die Arbeit nicht rechnen, da die Zertifikate nur 90 Tage gültig sind.
-
Funktioniert bei mir auch nicht. Benutze für Scripte ohnehin sendEmail nur das Script hab ich noch nicht umgeschrieben.
-
Den SMTP delay hab ich nicht im Einsatz. Die Blacklist entlastet den Server schon beachtlich.
Wie in dem Artikel beschrieben einfach den ersten mal runterladen und prüfen ob der auf deinem System läuft.
Das einzige Manko ist halt das er wenn du selber auf der Blacklist stehst keine Mails mehr versendet (aber gut dann hat man eh andere Probleme )