Plesk 12.5.30 MailServer Probleme!?!??!!?
- Thread starter thebong
- Start date
"h261xxxx.stratoserver.net" sollte hier ja eben nicht rauskommen. Das wurde ja bereits gesagt.
Beim Mail Reverse Test sollte z.B. auch mail.xxxxxxx.de rauskommen.
Jenachdem was du im Plesk als Hostname konfiguriert hast.
Carsten.Jehnke
New Member
Ja, ich lese schon, was andere schreiben. Macht wohl nicht jeder.
Siehe letzter Absatz von Post 18:
https://serversupportforum.de/threads/plesk-12-5-30-mailserver-probleme.57215/#post-374952
Da bin ich ja dran (siehe Post 18) und werde ich versuchen morgen umzusetzen.
Ich hoffe, dass sich damit das Problem 554-Bad DNS PTR resource record auch erledigt.
Bei einer Suche nach "554-Bad DNS PTR resource record" stieß ich auf den folgenden Thread, wo ja noch mehr Leidesgenossen mit einem Stratoserver sind.
https://serversupportforum.de/threads/wieder-mal-gmx-und-web-de.56325/
nexus
Well-Known Member
Bitte keine falschen Schlüsse ziehen. Strato (oder auch jeder andere Anbieter) kann ja wohl nix dafür, wenn Mailserver nicht RFC-konform konfiguriert, PTR nicht korrekt gesetzt oder generische Hostnamen verwendet werden...
GwenDragon
Registered User
Für die rihtige Konfiguration eines eigenen vServers oder dedizierten Servers ist allein der Serverbetreiber zuständig, nicht der Serverhoster.
Das Betreiben eines eigenen Servers setzt Fach-Wissen Voraus.
Ich hatte doch gestern schon geschrieben was falsch sein kann.
Ein Mailserver braucht eine eigene Domain, das ist nicht die Domain des Serverhosters und das ist auch nicht irgendein generischer Hostname des Servers!
Das Betreiben eines eigenen Servers setzt Fach-Wissen Voraus.
Ich hatte doch gestern schon geschrieben was falsch sein kann.
Ein Mailserver braucht eine eigene Domain, das ist nicht die Domain des Serverhosters und das ist auch nicht irgendein generischer Hostname des Servers!
Carsten.Jehnke
New Member
Ich habe mich heute Abend rangesetzt, für euch ein kleiner Schritt, für mich ein längerer Spaziergang.
Die Vorgabe sah so aus:
System:
Hostname = www.meinedomain.tld
Hier habe ich in der Plesk-Oberfläche unter Tools&Einstellungen => Servereinstellungen => Vollständiger Hostname.
Hier stand => "h261xxxx.stratoserver.net". Ich habe "www.meinedomain.tld" eingetragen.
Postfix:
In Postfix hat Plesk automatisch folgendes geändert:
Alter Eintrag in /etc/postfix/main.cf => myhostname = h261xxxx.stratoserver.net
Neuer Eintrag in /etc/postfix/main.cf => myhostname = www.meinedomain.tld
In der Vorgabe von Joe User stand mail.domain.tld, Plesk hat dort www.meinedomain.tld eingetragen (www statt mail). *verwirrt*
DNS:
Anbei ein Screenshot mit den vorgenommenen Werten.
Hinweis: Der vorletzte Eintrag (sqlbackup) verschwindet in wenigen Tagen.
Danach habe ich erst mal getestet.
Header einer Testmail vom Server:
Eine Testmail an einen GMX-Account kam auch an.
Auszug aus dem Maillog:
Abfrage => nslookup IPvomServer
Habe ich alles richtig oder ist da noch irgendwas falsch/krumm?
Mich wundert noch die Angabe von h261xxxx.stratoserver.net im Header beim Spam-Checker, sowie das h261xxxx im Maillog.
Die Vorgabe sah so aus:
System:
Hostname = www.meinedomain.tld
Hier habe ich in der Plesk-Oberfläche unter Tools&Einstellungen => Servereinstellungen => Vollständiger Hostname.
Hier stand => "h261xxxx.stratoserver.net". Ich habe "www.meinedomain.tld" eingetragen.
Postfix:
In Postfix hat Plesk automatisch folgendes geändert:
Alter Eintrag in /etc/postfix/main.cf => myhostname = h261xxxx.stratoserver.net
Neuer Eintrag in /etc/postfix/main.cf => myhostname = www.meinedomain.tld
In der Vorgabe von Joe User stand mail.domain.tld, Plesk hat dort www.meinedomain.tld eingetragen (www statt mail). *verwirrt*
DNS:
Anbei ein Screenshot mit den vorgenommenen Werten.
Hinweis: Der vorletzte Eintrag (sqlbackup) verschwindet in wenigen Tagen.
Danach habe ich erst mal getestet.
Header einer Testmail vom Server:
Eine Testmail an einen GMX-Account kam auch an.
Auszug aus dem Maillog:
Abfrage => nslookup IPvomServer
Habe ich alles richtig oder ist da noch irgendwas falsch/krumm?
Mich wundert noch die Angabe von h261xxxx.stratoserver.net im Header beim Spam-Checker, sowie das h261xxxx im Maillog.
Attachments
Last edited by a moderator:
greystone
Active Member
Wie bereits von anderen erwähnt sind die MTAs eine komplexere Geschichte. D. h. wenn Du Glück hast funktioniert es so für Dich. Wenn Du Pech hast, dann fängst Du Dir schnell was ein, bist gelistet und schnell wieder weg vom Fenster - sprich keiner nimmt Deine Mail mehr an.
Üblicherweise laufen ständig Angriffe auf den Webserver - alle verbreiteten CMS - die nach erfolgreichem Einbruch dann widerrum dazu benutzt werden um zu spammen. Auch die Mailaccounts von SMTP/POP3/IMAP werden kontinuierlich mit allen möglichen Passwörtern durchprobiert.
Das heisst:
a) Deine Webgeschichten sicher konfigurien
b) Weitere Lektüre um Deinen verwendeten Mailserver sicher zu konfigurieren
c) Server überwachen, ob nicht doch ein Spamvorfall eingetreten ist(zu viele Mails versendet. pflogsum / mailgraph / mails schicken lassen)
d) Das Fail2Ban Modul von Plesk verwenden um das erraten von Mailpasswörtern damit faktisch unmöglich machen (und dich persönlich mental darauf vorbereiten, dir von 75% aller Leute hier anzuhören wie nutzlos fail2ban ist und das zu ignorieren) Ich selbst habe das fail2ban-Modul von Plesk noch nicht verwendet. Auch auf Plesk-Servern habe ich das immer mit meiner automatischen Konfiguration eingespielt.
---
Wenn ich Dich so im übrigen richtig verstanden habe, dann werden Deine Mails - im Moment zumindest - korrekt angenommen.
P. S.: Auf meiner privaten VM betreibe ich übrigens auch keinen MTA. Bin zu faul mich da konsequent um das Sicherheitsgedöns zu kümmern.
Last edited by a moderator:
nexus
Well-Known Member
Ich gehöre zu den 75% und ich begreife einfach nicht, wie hartnäckig du an dem unsinnigen Irrglauben festhältst, daß fail2ban irgendeinen Sicherheitsgewinn bringen würde...
fail2ban hat sicher seine Berechtigung für ganz bestimmte Einsatzzwecke, aber es ist nunmal keine Wundermedizin für schlecht konfigurierte Server!
Serversicherheit wird auf ganz anderen Ebenen und mit ganz anderen Mitteln gewährleistet, aber sicher nicht mit fail2ban.
Du bist echt der Held des Tages!
Du rätst zum Einsatz einer Software, die du selber nicht mal verwendest.
@Carsten.Jehnke:
Aber er hat auch in einem Punkt recht...Das Wichtigste ist tatsächlich, daß du dir Wissen aneignest. Wissen über das verwendete Betriebssystem und über die eingesetzte Software. Wissen darüber, auf welchen Prozessen und Abläufen der Serverbetrieb beruht und wie die einzelnen Programme arbeiten und mit anderen Programmen und mit dem Internet interagieren.
Ein einfaches Aufsetzen des Servers und die Freude darüber, wenn er denn läuft, reicht eben nicht aus.
Ein Server braucht regelmäßige Betreuung und Pflege.
Nachtrag 1:
nochmal @Carsten.Jehnke:
Lies dir bitte diesen Thread in Ruhe durch, das ist eine von vielen Diskussionen zum Thema fail2ban.
Bilde dir einfach deine eigene Meinung zu dem Thema und laß dir bitte nichts von irgendwelchen Fanboys einreden
Nachtrag 2:
@greystone:
Ja lieber greystone, der Seitenhieb mit dem 'Fanboy' ist explizit an dich gerichtet (und das war das harmloseste Wort, das mir dazu eingefallen ist).
Es grenzt schon an Unverschämtheit, daß du mit deiner 4monatigen Aktivität hier im SSF und mit gerade mal 39 Beiträgen einem Hilfesuchenden den Ratschlag gibst, Aussagen von anderen Usern zu ignorieren, die hier schon seit vielen Jahren unterwegs sind und teilweise mehrere tausend Beiträge verfaßt haben.
@Mods:
Wenn ich mit meinem 2. Nachtrag zu weit gegangen sein sollte, bitte moderieren. Danke
Last edited by a moderator:
nexus
Well-Known Member
Sorry erstmal, daß ich erst mit diesem Post auf die Frage wegen deiner aktuellen Konfiguration reagiere
Fast richtig
Üblicherweise wird die Subdomain www.domain.tld für den Webauftritt zugeteilt. Mir ist aber jetzt keine RFC bekannt, die diese Subdomain als Hostnamen verbieten würde (wenn ich da falsch liegen sollte, bitte korrigieren). Sollte aber erstmal funktionieren.
Der MX-Record zeigt auf mail.domain.tld, sollte aber auf $myhostname (also bei dir www.domain.tld) zeigen. Wird zwar funktionieren, da du ja einen Wildcard-Record für deine Domain gesetzt hast und somit auch die Subdomain mail.domain.tld aufgelöst werden kann, könnte aber zu einer geringfügigen Abwertung bei anderen Mailservern führen.
Die Ursache dafür könnte in der SA-Konfiguration zu suchen sein. Ich sage bewußt 'könnte', da ich SA selber nicht verwende. Mir reicht Postscreen zum Filtern.
Fast richtig
Üblicherweise wird die Subdomain www.domain.tld für den Webauftritt zugeteilt. Mir ist aber jetzt keine RFC bekannt, die diese Subdomain als Hostnamen verbieten würde (wenn ich da falsch liegen sollte, bitte korrigieren). Sollte aber erstmal funktionieren.
Der MX-Record zeigt auf mail.domain.tld, sollte aber auf $myhostname (also bei dir www.domain.tld) zeigen. Wird zwar funktionieren, da du ja einen Wildcard-Record für deine Domain gesetzt hast und somit auch die Subdomain mail.domain.tld aufgelöst werden kann, könnte aber zu einer geringfügigen Abwertung bei anderen Mailservern führen.
Die Ursache dafür könnte in der SA-Konfiguration zu suchen sein. Ich sage bewußt 'könnte', da ich SA selber nicht verwende. Mir reicht Postscreen zum Filtern.
Last edited by a moderator:
greystone
Active Member
nexus said:
Dem stimme ich voll und ganz zu.
nexus said:
Man munkelt, dass es auch ausserhalb von ssf.de noch ein Leben gibt, aber wissen kann man das natürlich nicht mit schlussendlicher Sicherheit.
Ich respektiere die Meinung eines jeden hier, habe aber klar meine eigene.
EDIT
Ich gebe aber zu, dass man den Respekt gegenüber für die Meinungen anderer besser zum Ausdruck bringen kann, als mit der Aussage, dass man bitte auf die Meinungen der anderen pfeifen soll. Insofern also zurück zu Punkt 1) Bitte eigene Meinung bilden.
---
Nexus, wie sicherst Du denn POP3/IMAP-Konten neben einer Komplexitätsvorgabe an das Passwort ab gegen erraten ab? Ich finde es gibt bessere und schlechtere Einsatzgebiete für Fail2ban. Bei Diensten, bei denen im Allgemeinen eine Passwort - Authentifizierung erwartet wird und bei denen BruteForce eine - meiner Erfahrung nach - gängige und praktikable Vorgehensweise ist um sich Accounts anzueignen, da ist fail2ban für mich gut eingesetzt.
Nicht zuletzt danke für den Hinweis an den TE bzgl. des Verweises auf die bisherigen Fail2Ban-Threads.
Last edited by a moderator:
nexus
Well-Known Member
Auf meinem privaten Mailserversetup (ca. 100 Adressen für Famile, Freunde und Bekannte) setze ich auf komplexe Paßwörter (Länge >= 12, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) und auf einen niedrigen Rotationszyklus für die Paßwortgültigkeit (30 Tage).
Eine Sensibilisierung der Nutzer für die Sicherheitsproblematik gehört aber ebenso dazu wie die Empfehlung von hilfreichen Tools (z.B. Paßwortmanager) und Anleitungen zur Einrichtung der gängigsten Mailclients.
Wer ganz paranoid ist, kann auch zertifikatsbasierte Authentifizierung verwenden, dann braucht es garkeine Paßwörter mehr.
Wollte ich schon immer mal testweise in meinem Setup implementieren, nur hat mir bisher die Zeit dafür gefehlt.
Last edited by a moderator:
greystone
Active Member
Klar. Gute Sache.
Wenn ich mich zu so etwas erdreisten würde, dann wären 30 Tage ungefähr die Maximaldauer, die Kunden bei uns bleiben würden. Ich würde vermuten - man möge mir widersprechen, wenn dem nicht so ist - dass ich von einigen Leuten hier, die im Hostergeschäft tätig sind, Zustimmung bekäme, verstehe natürlich auch, wenn man sich aus taktischen/PR-Gründen in so einen Disput lieber nicht öffentlich einschalten möchte.
Das mag im Freundeskreis so funktionieren, wenn Du bereit bist, jedem eine anfängliche Einweisung zu geben. Viele Menschen sind ja einfach nur froh, wenn Sie irgend jemanden haben, der Ihnen durch diesen Computerdschungel hilft, dass es irgendwie geht. Das Klientel "Kunde" ist da aber nicht so leidenswillig. Und bei der Zahl von 100 Leuten, bei denen ich mal annehme, dass das eher ein Bevölkerungsquerschnitt ist, als ein versiertes IT-Klientel, frage ich mich wie das abläuft mit dem Teil von Menschen, die mit dem Computer auf Kriegsfuss stehen, die nicht wissen was ein Browser ist, obwohl Sie Ihn benutzen, und von jedem einfachen Dialogfenster überfordert sind(Da ist die Fähigkeit einen Passwortmanager bedienen zu können noch ein ganzes Stück weit weg). Der Prozentsatz in dem Bereich ist meiner Erfahrung nach höher als man meint. Solche Passwortvorgaben sprengen da so manchen Fähigkeitshorizont und würden da intensive persönliche Betreuung, zumindest am Anfang, erfordern.
Das wäre ein guter Ansatz, sofern er praktikabel ist. Sprich: Automatisches Setup, das für normalsterbliche Computerbenutzer einfach zu handhaben ist.
Last edited by a moderator:
nexus
Well-Known Member
Ich sagte ja extra, daß das bei meinem privaten Mailserver so geregelt ist.
Ich bin auch noch mitverantwortlich für zwei weitere Mailserver, wo man schon eher Kompromisse machen muß. Aber selbst die beiden Kisten laufen ohne fail2ban und es funktioniert trotzdem ohne Probleme.
Sicher ist es mit zusätzlichem Aufwand verbunden. Aber ein paar ordentlich gestaltete Anleitungen, wie man (zumindest die gängigsten) Mailclients einrichtet und wo im Client man dann immer das neue Paßwort einträgt, sind schon ausreichend...Bis auf meine Schwiegermutter, die bekommt von mir alles konfiguriert
Da das Thema heute wieder aufgewärmt wurde, hab ich kurzerhand beschlossen, in den nächsten Tagen die Variante mit Client-Cert Auth nun doch mal zumindest auf einer Testmaschine umzusetzen.
Was die Praktikabilität angeht, hab ich mir auch schon Gedanken gemacht und heute auch ausgiebig mit einem befreundeten Admin diskutiert.
Wenn es so funktioniert, wie wir uns das vorstellen, dann braucht der User im Endeffekt garnichts mehr selber konfigurieren, denn unsere Idee sieht so aus, daß ein vollständig vorkonfigurierter Mailclient (wir wollen Thunderbird dafür austesten) an den entsprechenden User weitergegeben wird.
Es wird eine portable Version des Programms genommen, die Zertifikate werden vorinstalliert und so sollte der Client nur noch entzippt werden müssen und sollte dann direkt funktionstüchtig sein.
In unserem ersten Versuch werden wir die Client-Konfiguration erstmal manuell machen. Aber ich bin sicher, selbst das läßt sich automatisieren.
Nachtrag:
Meine ganz private Meinung ist ja auch, daß man langsam davon wegkommen sollte, seinen Kunden immer in den Allerwertesten zu kriechen und sich dadurch seine Systeme weniger sicher zu machen.
Auch wenn ich Google sonst nicht so wirklich mag, in diesem Punkt machen die es vor. Seit der verbindlichen Einführung von OAuth 2.0 muß man ja inzwischen "weniger sichere Clients" explizit für die Nutzung der Googledienste zulassen. Diese Ausnahmeregelung soll aber auch bald wegfallen.
Das ist auf jeden Fall ein Schritt in die richtige Richtung.
Last edited by a moderator: