Posts by kk

    Es gibt mit v2.16.4 ab sofort ein kleines Update.

    Dieses behebt ein Problem beim Upgrade der LiveConfig-Datenbank, falls es "verwaiste" Berechtigungen gab (z.B. wenn mal Benutzer direkt aus der Datenbank gelöscht wurden). Funktional also keine Änderungen gegenüber 2.16.3, und nur notwendig falls das Upgrade auf 2.16.3 nicht erfolgreich durchlief.

    Nein, das hatte bislang schlichtweg gefehlt.

    (es geht um das Login an LiveConfig mit E-Mail-Adresse, wo man dann Weiterleitungen bearbeiten oder sein Mailpasswort ändern kann)

    Hello,


    LiveConfig 2.16.3 is now available for download. This update primarily contains a lot of detailed improvements - as always, these can be found in full in the changelog.


    In addition, as of this version, DKIM keys are automatically generated for new domains if DKIM is activated for the mail server and the DNS for the new domain is also managed by LiveConfig. If the LCDefaults option mail.dkim.default is set to the value “2”, then DKIM is also automatically activated for new domains on external DNS (in this case, the DKIM data must be transferred to the corresponding DNS servers as soon as possible so as not to have a negative impact on mail delivery).

    Last but not least, access to the DKIM keys is now easier: admins/resellers can copy the DKIM key directly to the clipboard when editing a customer domain; end users themselves can also copy the key to the clipboard when editing the respective subdomain.


    For new installations, a Dovecot option for automatically creating some standard IMAP folders (Drafts, Sent, Trash) is now also active. Recent Outlook versions (*) apparently no longer create these folders automatically. For backward compatibility, this option is not active for existing installations, but can be changed via the Dovecot settings.


    (*) Consumer note: Outlook is not an e-mail program, but a Microsoft Exchange client that claims to be able to handle IMAP to some extent. In addition, Outlook now sends the IMAP access data directly to Microsoft if you do not expressly object to this (which is sometimes not so easy or obvious).


    Best regards


    -Klaus Keppler

    Hallo,


    ab sofort steht LiveConfig 2.16.3 zum Download bereit.

    Primär enthält dieses Update eine Menge an Detailverbesserungen - diese sind wie immer vollständig im Changelog zu finden.


    Zudem werden ab dieser Version automatisch DKIM-Keys für neue Domains erzeugt, wenn für den Mailserver DKIM aktiviert ist und der DNS für die neue Domain auch durch LiveConfig verwaltet wird. Wenn die LCDefaults-Option mail.dkim.default auf den Wert "2" gesetzt ist, dann wird DKIM auch für neue Domains auf externen DNS automatisch aktiviert (in diesem Fall muss man zeitnah die DKIM-Daten in die entsprechenden DNS-Server übernehmen, um die Mailzustellung nicht negativ zu beeinflussen).

    Last but not least ist der Zugriff auf die DKIM-Keys nun einfacher: Admins/Reseller können direkt beim Bearbeiten einer Kunden-Domain den DKIM-Key in die Zwischenablage kopieren; Endnutzer selbst können beim Bearbeiten der jeweiligen Subdomain den Key ebenfalls in die Zwischenablage kopieren.


    Bei neuen Installationen ist zudem nun eine Dovecot-Option zum automatischen Anlegen einiger Standard-IMAP-Ordner (Drafts, Sent, Trash) aktiv. Neuere Outlook-Versionen (*) legen diese Ordner offenbar nicht mehr automatisch an. Zwecks Abwärtskompatibilität ist diese Option bei bestehenden Installationen nicht aktiv, kann aber über die Dovecot-Einstellungen geändert werden.


    (*) Verbraucherhinweis: Outlook ist kein E-Mail-Programm, sondern ein Microsoft-Exchange-Client, der von sich behauptet, auch halbwegs mit IMAP umgehen zu können. Zudem übermittelt Outlook neuerdings die IMAP-Zugangsdaten direkt an Microsoft, wenn man dem nicht ausdrücklich widerspricht (was bisweilen gar nicht so einfach oder offensichtlich ist).


    Viele Grüße


    -Klaus Keppler

    Wir stecken im letzten großen Schritt - der Integration "externer" LiveConfig-Dienste (konkret: Backup und Policy-Service). Die öffentliche Beta wird freigegeben, sobald diese Dienste aus unserer Sicht stabil laufen - voraussichtlich noch diese Woche.

    Ich werde dann auch beschreiben, was für "Herausforderungen" dafür so alles gelöst werden mussten, um die Komplexität etwas verständlicher zu machen...


    Viele Grüße


    -Klaus Keppler

    Heute die nächste Anfrage, eine von vielen die hier ständig reinkommen, hier im Original:


    Kann man da nicht einen kleinen Hinweis anbringen, dass sich diese Anzeige nicht in Echtzeit aktualisiert? Oder anders: "Zuletzt aktualisiert am xx.xx.2024"?

    Wo sollte man den Hinweis denn nun noch anbringen?

    Wie in meinem Screenshot direkt darüber zu erkennen ist, wird das Datum der letzten Aktualisierung bereits bei den Postfach-Details angezeigt.

    Oh, danke für den Hinweis mit dem Changelog. Wird bei Gelegenheit korrigiert. :)


    Zu den Sprachen: ja, Outlook schießt da wirklich den Vogel ab, da es diese Ordner lokalisiert anlegt - je nach Sprache und Version hat man da "Gesendete Elemente", "Gelöschte Elemente" usw... In meinen Augen völliger Schwachsinn, es wäre wesentlich sinnvoller gewesen das Mapping auf einen lokalisierten Namen nur in der Anzeige zu machen (so wie bei jedem vernünftigen E-Mail-Programm). In unseren ersten Tests hatte sich zumindest gezeigt, dass wenn serverseitig bereits ein "Sent" und "Trash" existiert, Outlook diese als solche verwendet (was dann tatsächlich den Wildwuchs etwas eindämmt).

    Nur mit einer nachträglichen Aktivierung dieser Option muss man etwas vorsichtig sein, weil Dovecot diese neuen Ordner dann ggf. zusätzlich anlegt, und man somit z.B. "Sent" und "Gesendete Elemente" gleichzeitig hat. Man kann ungenutzte Ordner aber problemlos löschen oder das IMAP-Abonnement deaktivieren.

    Das SPS_FTPPASS muss praktisch auf den selben Wert gesetzt werden wie ACCOUNTS.AC_TMPPWD. Letzteres wird aber aus der LiveConfig-Datenbank gelöscht, sobald es erfolgreich im System gesetzt wurde (Prinzip der Datensparsamkeit).


    Am besten testen Sie das mal - ändern Sie ein betroffenes Passwort und schauen ob dann in AC_TMPPWD noch etwas drin steht. Falls LiveConfig das "zu schnell" löscht, lässt sich evtl mit einem Trick helfen (dazu dann ggf. nochmal kurz melden).


    Mit folgendem SQL können Sie die Passwörter umkopieren:


    UPDATE SITEPROSITES SET SPS_FTPPASS=(SELECT AC_TMPPWD FROM ACCOUNTS WHERE AC_ID=SPS_FTPUSERID) WHERE SPS_FTPUSERID IN (...)


    ("..." durch die AC_IDs ersetzen, bei denen das Passwort geändert wurde)

    Hallo,


    wir haben die Preview-Version 2.16.3 eben aktualisiert. Da diese Version teilweise schon länger in einigen komplexen Installationen läuft, planen wir deren Release direkt in den nächsten Tagen.

    Neben Detailverbesserungen und einigen Bugfixes enthält diese Version eine neue Konfigurationsoption für Dovecot: "IMAP-Ordner automatisch anlegen".

    Das bedeutet, dass die Ordner Drafts, Sent und Trash durch Dovecot automatisch erstellt und abonniert werden, sobald ein IMAP-Client sich anmeldet. Normalerweise™ sollten E-Mail-Programme (MUAs, Mail User Agents) das automatisch machen. Ein Kunde hatte uns aber darauf hingewiesen, dass das zumindest in bestimmten Szenarien nicht erfolgt (hier konkret: aktuelles Outlook auf MacOS, konfiguriert mittels AutoDiscover). Das führt dann beim Senden von E-Mails zu einer Fehlermeldung, da die versendete Nachricht nicht im Ordner "Gesendete Elemente" abgelegt werden konnte.


    Wir konnten dieses Verhalten in Tests reproduzieren. Ob AutoDiscover darauf einen entscheidenden Einfluss hat ist unklar, möglicherweise sind auch "normale" manuelle Konfigurationen betroffen. Seit Outlook 2019 gibt es ohnehin diverse Probleme bei AutoDiscover (wir planen hierfür eine Anpassung in LiveConfig 2.17).


    Da diese Dovecot-Option einen Einfluss auf bestehende Postfächer haben kann, ist diese Einstellung bei bestehenden Installationen automatisch deaktiviert, nur bei neuen Installationen ist diese aktiv. Bei einer nachträglichen Aktivierung kann es sein, dass einige E-Mail-Clients einige Ordner dann quasi doppelt haben (z.B. Sent und Sent Messages).

    Zumindest bei Outlook war es so, dass dieses automatisch den Ordner Sent für die gesendeten Nachrichten verwendet, wenn dieser bei der ersten Anmeldung bereits serverseitig existierte.


    Abschließend kann ich mir den Hinweis nicht verkneifen, dass Outlook entgegen der landläufigen Meinung kein E-Mail-Programm ist (auch wenn es behauptet, IMAP zu unterstützen), sondern nur ein Client für Microsoft Exchange. ;)


    Viele Grüße


    -Klaus Keppler

    Ja, geplant durchaus (Feature Request).

    Die Umsetzung ist aber nicht ganz trivial, da Apache von Haus aus alle hochgeladenen Dateien nur als www-data:www-data abspeichern möchte. Im Shared Hosting funktioniert das natürlich nicht.

    Wir haben schon Ideen wie das zu lösen wäre, kurzfristig ist das aber leider noch nicht realisierbar.

    Ist wie bei Liveconfig, man hat seit zig Jahren auf nötige Funktionen und Weiterentwicklungen gewartet und es ist einfach nix passiert. Wäre das schon am Anfang klar gewesen hätte ich gleich was eigenes geschrieben.

    Das möchte ich so nicht stehen lassen. LiveConfig wurde und wird durchgehend weiterentwickelt. Zum Entwickeln gehört mehr, als einzelne bestimmte Funktionen einzubauen (die möglicherweise Sie speziell benötigen/erwarten), sondern auch eine Produktpflege.

    Eine Individual-Entwicklung ist selbstverständlich immer die optimale Lösung (weil die ja alle Anforderungen erfüllt), aber nunmal auch die aufwendigste und teuerste Lösung. Zudem setzt das die entsprechenden Kompetenzen und Ressourcen voraus.


    Und jetzt bitte wieder zurück zum Ursprungsthema, allgemeine Diskussionen gehören nicht in diesen Thread.

    Nun habe ich einen Kunden, der mich seit Monaten zu spamt und der Eintrag im LiveConfig unter Blacklist bringt absolut nichts. Wenn das schon bei einer normalen Kunden Domain nichts bringt, wie soll das bei richtigen SPAM ziehen?

    Ich verstehe das jetzt nicht ganz, aber wenn Sie den Absender als "Kunden" bezeichnen, dann sendet er seine Mails möglicherweise als normaler (authentifizierter) Benutzer direkt auf Ihren Mailserver?

    In dem Fall greift die Blacklist nicht (wie auch der Spamfilter insgesamt), da authentifiziert eingelieferte Mails bewusst nicht gescannt werden.


    Viele Grüße


    -Klaus Keppler

    Sie haben den Key also im LiveConfig unter "Einstellungen" als WebAuthn/FIDO2-Key hinzufügen können, aber die Anmeldung klappt nicht?

    Das ist dann durchaus merkwürdig.


    Für WebAuthn/FIDO2 ist es eigentlich nur erforderlich, dass die angesprochene Website mit einem "offiziellen" TLS-Zertifikat erreichbar ist (ein selbst-signiertes aber akzeptiertes Zertifikat reicht da nicht).


    Ich kann mir höchstens vorstellen, dass der neue Key irgendwelche älteren Protokolle oder Signaturen nicht mehr unterstützt, die LiveConfig womöglich noch verwendet - das ist aber reine Spekulation.

    Ich bestelle uns eben auch mal so einen Key, damit wir das testen.

    Diese "Drop-Ins" sind sozusagen die Overrides (ich denke wir reden hier von der selben Sache). systemd sucht sowohl in /etc/systemd/system/<unit>.d/ als auch in /lib/systemd/system/<unit>.d/ nach entsprechenden Overrides/Drop-Ins.

    Wenn Sie "nur" ExecStart ändern, dann sehe ich auch keinerlei Konflikt mit den vom "10-sandbox.conf" vorgenommenen Einstellungen.

    Hello,


    from now on there is the possibility to harden PHP-FPM additionally. The packages php-(VERSION)-opt-hardened can be installed in addition to the PHP versions provided by us, e.g:

    Code
    apt install php-8.3-opt-hardened

    These include a so-called drop-in for the respective systemd unit files in order to run the FPM pool manager with additional restrictions:

    • the entire file system is "read-only", except for the mandatory paths (/run, /var/log, /var/www)
    • no binary files may be executed below /var/www (e.g. uploaded malware)
    • making it more difficult to obtain root rights by exploiting exploits (by restricting the capabilities)
    • no more access to the central /tmp directory (open_basedir can be trivially bypassed in most PHP versions)
    • Restriction of access to /dev/
    • no kernel settings can be changed or kernel modules loaded
    • no network sockets may be opened for incoming connections

    All settings can be found (including comments and reference to the respective systemd documentation) at /lib/systemd/system/php(VERSION)-fpm.service.d/10-sandbox.conf. If individual settings cause problems in a specific case, they can be overwritten by an additional drop-in.


    Please let us know if you encounter any problems or unexpected restrictions during operation. In the longer term, we plan to equip PHP-FPM with these restrictions by default. Further measures to increase server security are also being prepared.


    The hardened packages are available for PHP 5.6 - 8.3 on Debian 10-12 and Ubuntu 18-22.


    Best regards


    -Klaus Keppler

    Hallo,


    ab sofort gibt es die Möglichkeit, PHP-FPM zusätzlich abzuhärten.

    Die Pakete php-(VERSION)-opt-hardened können als Ergänzung zu den von uns bereitgestellten PHP-Versionen installiert werden z.B.:

    Code
    apt install php-8.3-opt-hardened

    Diese beinhalten ein sogenanntes Drop-In für die jeweiligen Systemd-Unit-Files, um den FPM-Pool-Manager mit zusätzlichen Einschränkungen laufen zu lassen. Das sind unter anderem:

    • das gesamte Dateisystem ist "read-only", außer den zwingend benötigten Pfaden (/run, /var/log, /var/www)
    • unterhalb von /var/www dürfen keine Binärdateien mehr ausgeführt werden (z.B. hochgeladene Malware)
    • die Erlangung von root-Rechten durch Ausnutzung von Exploits wird erschwert (durch Beschränkung der Capabilities)
    • kein Zugriff mehr auf's zentrale /tmp-Verzeichnis (open_basedir lässt sich in den meisten PHP-Versionen ja trivial umgehen)
    • Beschränkung des Zugriffs auf /dev/
    • es können keine Kernel-Einstellungen geändert oder Kernel-Module geladen werden
    • es dürfen keine Netzwerk-Sockets für eingehende Verbindungen geöffnet werden

    Alle Einstellungen sind (inklusive Kommentaren und Verweis auf die jeweilige systemd-Dokumentation) unter /lib/systemd/system/php(VERSION)-fpm.service.d/10-sandbox.conf zu finden. Sollten einzelne Einstellungen im konkreten Fall Probleme machen, kann man diese durch ein zusätzliches Dop-In wieder überschreiben.


    Bitte geben Sie uns Bescheid, falls Probleme oder unerwartete Einschränkungen im Betrieb auftauchen. Längerfristig planen wir, PHP-FPM standardmäßig mit diesen Beschränkungen auszustatten. Weitere Maßnahmen zur Erhöhung der Serversicherheit sind auch noch in Arbeit.


    Die hardened-Pakete sind für PHP 5.6 - 8.3 unter Debian 10-12 und Ubuntu 18-22 verfügbar.


    Viele Grüße


    -Klaus Keppler