Beiträge von Sumeragi

pd-admin ist nicht vollständig IPv6 kompatibel. Mir ist nicht bekannt, dass dies konfiguriert werden kann.

Bei Neuinstallationen ist das auf jeden Fall der Fall. Ein Zertifikat für den Webserver heißt nicht automatisch auch, dass dies für die Maildienste verwendet wird...

Zeigt netstat -tulpn denn Dienste auf den Ports 993 und 995 an?

Wenn der Server für sein Hostnamen ein Sicherheitszertifikat hat, kann man /opt/pdadmin/bin/update_host_certificate.sh ausführen. Dies sollte allerdings auch schon als cronjob bei Verlängerung der lets encrypt Zertifikate ausgeführt werden.

Hier wäre interessant was konkret das BSI bemängelt.

Zitat von WebTeufel

da wo es doppeltzustellung gibt sind die werte von 300.1

Hier ist der Scan dann an das time_limit gestoßen. Wenn dies zu den Doppelzustellungen passt, dann hängt dies wohl damit zusammen. 300 Sekunden ist schon ziemlich lang. Ich würde den Wert einmal runter stellen und beobachten.

Zitat von WebTeufel

ähnliche fehler tauchen in dem moment wo es zugestellt wird in den mail.warm und mail.log usw auf:
Code Dec 16 22:14:00 gaia spamd[791]: plugin: eval failed: __alarm__ignore__(2662/::PerMsgStatus::check/2018) at /usr/local/pd-admin2/lib/perl5/site_perl/5.22.1/Mail/SpamAssassin/PerMsgStatus.pm line 2942, <GEN3224> line 1137.

Hier kommt es zu einem Timeout. Spamassassin hat ein "time_limit" von 300 Sekunden als Standardwert. Die Annahme ist, dass der Prozess die 300 Sekunden erreicht hat. Nur wieso? IIRC gibt es im Log Zeilen zu simscan, wo die Verarbeitungszeit mit angegeben ist.

Kann man Mal zwei Mail Header als Beispiele bekommen?

Ist vielleicht IPv6 aktiv und es wird darüber auf pd-admin zugegriffen?

Zitat von pdadmin-su1337

Erhöhung der Sicherheit, da mögliche Angreifer keine Umlaute auf der Tastatur haben

Zunächst sollte man nicht davon ausgehen, dass ein Bot keine Umlaute kennt.

Dann kann man dies auch mathematisch betrachten. Die Sicherheit eines Passworts richtet sich nach der Entropie. Diese wird in Bit angegeben. Das Hinzufügen eines Umlaut Zeichen würde die Entropie um 0,09 Bit erhöhen. Das Erhöhen der Länge des Passworts um eine Stelle dagegen um etwa 6,5 Bit. Die Sicherheit eines Passworts kann man also besser durch Erhöhung der Länge, als durch Umlaute verbessern. Wen das Thema interessiert kann hier Mal schauen

inf-schule | Passwörter - Theorie und Praxis » Passwörter - Theorie und Praxis

https://it-sicherheit.uni-hohenheim.de/fileadmin/einrichtungen/it-sicherheit/3._Gute_und_sichere_Passwoerter_sind_moeglich.pdf

936: Password Strength - explain xkcd

Wenn ein Nicht-LE Zertifikat installiert ist, wird kein LE Zertifikat installiert. Eine Deaktivierung ist somit nicht notwendig.

IIRC gab es das Problem damals in Verbindung mit dem certbot. Da wurde bei Verlängerungen dann das Zertifikat überschrieben.

Ich würde einfach das vorhandene Zertifikat über die Oberfläche löschen und dann das gekaufte Zertifikat einrichten.

Die Option im Angebot schaltet nur die Möglichkeit im Endkundenbereich frei. Im Endkundenbereich kann man dann unter "Datenbanken" für den jeweiligen Benutzer den externen Zugriff freischalten.

Die Option "externer Zugriff" in pd-admin erlaubt lediglich dem DB Nutzer ein Login von extern. Sprich in der User Tabelle wird bei "Host" ein Wildcard anstatt "localhost" eingetragen.

Entweder ist bei Ihnen in der my.cnf noch "skip-networking" konfiguriert:

MySQL :: MySQL 8.0 Reference Manual :: 7.1.8 Server System Variables

Oder der Dienst ist mit "bind-address" an eine lokale Adresse gebunden:

MySQL :: MySQL 8.0 Reference Manual :: 7.1.8 Server System Variables

Nein, habe ich bisher noch nicht.

Da Redmine auf Ruby basiert, müsste man die benötigten Ruby Pakete/Tools manuell installieren. Ansonsten wird, je nach Redmine Version, irgendwas zwischen MySQL 5.7 und 8.1 benötigt. Bei den Reihen der Serverumgebung gibt es MySQL 5.7 oder 8.0. Und da man vermutlich eine aktuelle Redmine Version verwenden möchte, wäre Reihe 8 mit MySQL 8.0 wohl zu präferieren.

Bei mir sieht die Datei wie folgt aus:

# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#                                                                       # This file contains plugin activation commands for plugins included
# in SpamAssassin 3.0.x releases.  It will not be installed if you
# already have a file in place called "init.pre".                       #
# There are now multiple files read to enable plugins in the            # /etc/mail/spamassassin directory; previously only one, "init.pre" was # read.  Now both "init.pre", "v310.pre", and any other files ending in
# ".pre" will be read.  As future releases are made, new plugins will be# added to new files, named according to the release they're added in.  ###########################################################################                                                                     # Version compatibility - Welcomelist/Blocklist                         # In SpamAssassin 4.0, rules containing "whitelist" or "blacklist" have been                                                                    # renamed to contain more racially neutral "welcomelist" and "blocklist"# terms.  When this compatibility flag is enabled, old rule names from stock                                                                    # rules will not hit anymore alongside the new ones.  For more information,                                                                     # see: https://wiki.apache.org/spamassassin/WelcomelistBlocklist        #                                                                       enable_compat welcomelist_blocklist                                     # RelayCountry - add metadata for Bayes learning, marking the countries # a message was relayed through                                         #                                                                       # Note: This requires the Geo::IP Perl module                           #                                                                       # loadplugin Mail::SpamAssassin::Plugin::RelayCountry
# URIDNSBL - look up URLs found in the message against several DNS
# blocklists.
#
loadplugin Mail::SpamAssassin::Plugin::URIDNSBL
# SPF - perform SPF verification.
#
loadplugin Mail::SpamAssassin::Plugin::SPF

Zitat von Twilo

OS: Debian GNU/Linux 12 (bookworm)
SE: 11 0.465
pd-admin: v4.133 (64-bit)

Was ist eigentlich mit "as coreruleset-current" gemeint? Ich muss bei "Core-Rule-Set-Version" nach jedem Update die Version auf die neueste Version per Hand setzen.

Mit neuen OWASP Core Rule Set Versionen kommen neue Regeln zum Einsatz. Dies kann zu (neuen) false-positive Erkennungen und somit Störungen führen. Daher denke ich ist eine automatische Umstellung problematisch. Besser ist es manuell umzustellen und zu testen.

Um das Problem zu untersuchen, sollte man es reproduzieren. Dazu ist es wichtig zu wissen wie Mails aus Wordpress versandt werden.

In der Regel ist es die mail() Funktion in PHP. Hier könnte das Problem zum Beispiel sein, dass nicht sendmail von qmail verwendet wird, sondern nach einem Update sendmail von postfix installiert wurde.

Meine erste Vermutung ist, dass "HTTP" für die Domain ausgeschaltet ist.

Zitat von stefan2k1

"SMTP TLS - Warning - Does not support TLS."

SMTP ist nicht IMAP oder POP3.

Man kann mittels openssl die Ports 993 und 995 prüfen. Zum Beispiel mit

openssl s_client -connect <host>:993 -servername <host>

Port POP3 wird entsprechend Port 995 verwendet .

Ich würde einmal in die .htaccess Datei im phpMyAdmin Verzeichnis schauen.

Die Möglichkeit von Wildcards gibt es nicht. Man kann ganze Mail-Adressen oder @domain.de angeben.