Beiträge von kk

Hallo,

ab sofort steht LiveConfig v2.17.0 zum Download bereit. Neben kleineren Bugfixes und Detailverbesserungen bringt diese Version nun Unterstützung von SRS (Sender Rewriting Scheme). Die detaillierte Liste aller Änderungen findet sich wie immer im Änderungsverlauf.

Für SRS muss die Software PostSRSD in der Version 2.x verwendet werden. Für Debian/Ubuntu stellen wir hierfür ein entsprechendes Paket bereit ("lc-postsrsd"), da die Distributionen derzeit noch Version 1.x mit ausliefern. LiveConfig ermöglicht dann ein "Opt-In" für SRS - das Verfahren kann einzeln pro Postfach aktiviert/deaktiviert werden.

Viele Grüße

-Klaus Keppler

Haben Sie im LiveConfig in den FTP-Server-Einstellungen die Option "SSL session reuse erforderlich" aktiviert?

Schalten Sie diese ggf. mal um und beobachten, ob der Fehler weiterhin auftritt.

LiveConfig kann da ansonsten ohnehin nicht viel machen, da der eigentliche Fehler ja ganz offensichtlich im ProFTPD steckt...

Identische Frage, identisches Thema:

Thema

ProFTPD Verbindungsabbrüche

Vermehrt melden sich Kunden, das die Verbindungen bei FTP-Übertragungen abbrechen. Folgendes steht in den Logs:

(Quelltext, 2 Zeilen)


Die Verwaltung von ProFTPD läuft komplett über LiveConfig. Muss hier etwas nachgebessert oder angepasst werden?

weltmeister

1. April 2022

Möglicherweise Bug https://github.com/proftpd/proftpd/issues/1706

Ohne Info zur ProFTPD- und Debian-Version kann ich nicht mehr sagen.

Aus dem KB-Artikel haben wir die Blocklist nun auch entfernt.

Die Ablehnung von Mails am Freitag Vormittag wird mancherorts nun als "temporärer Konfigurationsfehler" kommuniziert, seitens des ehemaligen Betreibers gab es leider keine Stellungnahme dazu (was ich in einem gewissem Umfang auch verstehen kann, da das ja nun nur noch Kosten verursacht und ohnehine ein "pro-bono"-Service war).

Nichts desto trotz sollte die Liste aus allen aktiven Konfigurationen entfernt werden. Wir prüfen auch, ob wir das evtl im Rahmen der anstehenden v2.17 zuverlässig automatisch machen können.

Guten Morgen,

die DNS-Blocklist ix.dnsbl.manitu.net wurde zum Anfang dieses Jahres leider eingestellt. So wie es aussieht, beantwortet diese Blocklist ab sofort alle Anfragen positiv, d.h. alle geprüften E-Mail-Adressen werden somit als Spam-Absender abgewiesen!

Falls Sie also diese DNS-Blocklist verwenden, entfernen Sie diese schnellstmöglich aus Ihrer Mailserver-Konfiguration!

(Serververwaltung -> E-Mail -> Postfix-Einstellungen)

Viele Grüße

-Klaus Keppler

Wir stecken derzeit unsere gesamten Ressourcen in die Fertigstellung von LiveConfig 3. Aktuell bearbeiten wir pro Woche bis zu 30 Issues (das sind alles Sachen, die man hier im Forum leider nicht sieht).

Eben haben wir den ersten "Release Candidate" (RC1) in das Test-Repository gestellt. Aktuell haben wir nur noch vier "Showstopper" offen, teilweise aber etwas kompliziert (u.a. Migration der DNSSEC-Konfiguration im BIND).

Anfang nächster Woche wird LiveConfig 2.17 freigegeben, und in dem Rahmen dann auch die Website bzgl LC3 aktualisiert.

Für LiveConfig 3 führen wir zusätzlich einen öffentlichen Issue-Tracker - damit es da eben mehr Transparenz gibt (und zwar objektiv/konkret, und nicht allgemein).

Viele Grüße

-Klaus Keppler

php-wpcli ist nach wie vor verfügbar: https://github.com/wp-cli/builds/tree/gh-pages/deb

Wir hatten das lediglich auch in die LiveConfig-Repositories kopiert, um es darüber bequemer installieren zu können.

Wir werden das gleich mal aktualisieren...

Vielen Dank natürlich auch von uns für das Feedback!

Ich habe eben zwei Issues hierzu angelegt (Checkboxen und Benutzer-Button), ich melde mich dann nochmal separat bei Ihnen wenn Sie das erneut testen können.

Viele Grüße

-Klaus Keppler

Läuft wieder.

(wir hatten da einiges aktualisiert, und bei einer Abhängigkeit gab's noch etwas unerwartete Probleme - die nun künftig nicht mehr auftreten

Sieht auch für uns auf den ersten Blick nach einem Fehler aus.

Wird heute Nachmittag bearbeitet, Details dann in Kürze...

Hallo,

vor etwas über einer Stunde hat eine Phishing-Attacke begonnen, deren Ziel Zugangsdaten zum LiveConfig-Lizenzportal sind. Diese E-Mail enthält etwa folgende Daten:

Zitat

Absender: "LiveConfig GmbH" <info@i[...]e.it>

Betreff: Wichtige Nachricht – Bitte überprüfen Sie Ihr Dashboard

Text: Sehr geehrte/r <E-Mail-Adresse>,
wir hoffen, dass es Ihnen gut geht. Wir haben eine wichtige Nachricht für Sie in Ihrem Dashboard hinterlegt. Bitte loggen Sie sich so bald wie möglich ein, um diese einzusehen.
[...]

Der in der E-Mail enthaltene Link wird zwar mit https://www.liveconfig.com/... angezeigt, verweist aber auf eine Phishing-(Sub)domain die auf ein CDN geroutet ist.

Uns liegen bereits mehrere dieser Mails vor. Wir haben die Adressen analysiert, und derzeit deutet nichts darauf hin, dass diese aus unseren internen Systemen stammen. Dennoch sind wir natürlich brennend daran interessiert, woher dieser Angriff und die verwendeten Adressen stammen. Wer eine solche Mail erhalten hat, möge diese bitte gerne an support@liveconfig.com weiterleiten.

Sollte jemand den Link angeklickt oder gar irgendwelche Zugangsdaten eingegeben haben, wenden Sie sich bitte auch an uns, damit wir Ihren Account entsprechend prüfen können.

Wer uns kennt, weiß ohnehin, dass eine solche E-Mail überhaupt nicht typisch für uns ist.

Sobald wir mehr wissen, werde ich hier darüber informieren.

Viele Grüße

-Klaus Keppler

Ein "Downgrade" ist problemlos möglich, sofern eben keine Ressourcen (E-Mail, Webspace) auf externen Servern verwaltet werden - die wären danach nicht mehr verwaltbar.

Wie taenzerme schon beschrieben hat: Lizenzkey löschen, neue Lizenz aktivieren, LiveConfig neu starten - fertig.

Ist das zufällig ein Ubuntu 24?

Da heißen Benutzer+Gruppe bei neuen Setups inzwischen "debian-spamd" statt "spamd".

Bearbeiten Sie testweise also mal die Datei /lib/systemd/system/lcsam.service und ersetzen -g spamd durch -g debian-spamd

Anschließend systemctl daemon-reload und dann systemctl start lcsam ausführen.

Interessant. Haben Sie den Server zufällig mal migriert gehabt? Der Dienst "lcsam" ist im LiveConfig-Paket enthalten und wird automatisch eingerichtet, wenn SpamAssassin in der Postfix-Verwaltung aktiviert wird. Er sollte also eigentlich gar nicht verloren gehen...

Mit folgenden Befehlen können Sie den lcsam-Service wieder einrichten:

cp -av /usr/lib/liveconfig/lcsam.service /lib/systemd/system

systemctl enable lcsam.service

systemctl daemon-reload

Was gibt denn "systemctl status lcsam" ?

Ggf. mit "systemctl start lcsam" starten.

Die Fehlermeldung sagt nicht, dass der Dienst nicht existiert, sondern dass der Unix-Socket vom lcsam nicht existiert - kann also sein dass der Dienst lediglich nicht läuft.

Kurze Antwort: ja, ist bereits in der Pipeline.

Lange Antwort: ist leider nicht gaaanz so einfach.

smtpd_sender_login_maps prüft nur, ob der Envelope-From für den einliefernden SMTP-Benutzer "erlaubt" ist. OpenDKIM signiert aber fröhlich alles was er im "From:"-Header sieht (das ist tatsächlich im DKIM-Standard so vorgeschrieben), und das kann durchaus etwas anderes sein als im Envelope-From. Hierfür gibt's natürlich auch eine Lösung: den MilterFrom. Der steht leider nicht als fertiges Paket für die einzelnen Distributionen bereit, da müssen wir uns als auch noch drum kümmern (so wie kürzlich übrigens im PostSRSd 2.x, aber dazu bald mehr an anderer Stelle).

Zudem gibt es noch die Herausforderung, dass bei einigen Setups mit Absenderadressen versendet wird, die nicht zu einem einzelnen Postfach bzw. Alias gehören, sondern "nur" als Weiterleitung/Verteiler genutzt werden (z.B. Newsletter, Shop-Bestätigungen, etc.). Für solche Fälle muss es also eine Möglichkeit geben, die erlaubten From:-Adressen für Kunden verwaltbar zu machen (natürlich nur für "eigene" Domains).

Nach unseren bisherigen Tests sieht es zudem so aus, als ob diese "strenge" Absenderprüfung nur global für ein gesamtes System aktiviert werden kann, und nicht z.B. erstmal nur pro Domain. Hier steht die Idee im Raum, den MilterFrom so zu erweitern, dass er auf die selbe Map wie smtpd_sender_login_maps zugreift.

Wir gehen davon aus, etwa Mitte/Ende Januar ein erstes Ergebnis präsentieren zu können.

Und weil die Frage woanders auch schon aufkam: ja, dieses Feature wird auch für LiveConfig 2.x verfügbar sein, nicht nur für v3.

Wurde eben in die Repositories mit aufgenommen.

(wir bauen inzwischen 11 verschiedene PHP-Versionen auf 6 Distributionen und teils 2 Architekturen, da ist das leider "durchgerutscht")

Ja, das hängt mit den Berechtigungen zusammen; derzeit muss zwingend Webspace zugewiesen sein, um Domains auch für E-Mail konfigurieren zu können.

Sie können den Apache-Service auf dem Server aber deaktivieren (systemctl disable apache2).

Zitat von lebenszeit

Erhalte self signed Zertifikatsfehler für demo-v3.

Ja, hier haben wir in der Demo noch kein LE-Zertifikat eingerichtet. Wie bereits angekündigt kann LC3 künftig "direkt" mit einem automatisierten Zertifikat (z.B. Let's Encrypt) betrieben werden, sofern lokal ein Webserver aktiviert ist über den die Domainvalidierung erfolgen kann. Die API hierfür ist schon fertig, nur die Maske noch nicht ganz - kommt aber auch noch in den nächsten Tagen.

Zitat von Febas

Aus welchem Grund denn?

LiveConfig 3 ist im "Feinschliff", und wird inzwischen so paketiert, dass es ein "drop-in replacement" zu LiveConfig 2.x darstellt.

Im Idealfall* kann man also zwischen dem Paket "liveconfig" und "liveconfig3" umherschalten.

Debian erlaubt es nicht, dass mehrere Pakete die selbe Datei (z.B. /etc/liveconfig/liveconfig.conf) verwalten - hierfür Workarounds zu entwickeln wäre zwar technisch machbar, würde auf Dauer aber keinen Sinn ergeben (daher sparen wir uns das gleich uns nutzen die Zeit für wichtigere Dinge).

(*) zum "Idealfall": die Datenbanken von v2.x und 3.x sind und bleiben zueinander kompatibel, so dass es - wie versprochen - keine "Migration" geben wird. Einfach das neuere Paket installieren, fertig. Notfalls auf das ältere Paket downgraden, auch kein Problem.

Aaaaber: wir haben derzeit noch ein Problem mit der DNSSEC-Konfiguration: bei BIND haben sich diesbezüglich einige Sachen geändert. Wir versuchen derzeit noch, diese Anpassungen in v2.x zu "backporten", so dass auch hier ein "Downgrade" jederzeit nochmal möglich wäre.