Beiträge von aho546745

Du hantierst mit Kundendaten und stellst solche Fragen? Wie hasst Du denn Dein Sicherheitskonzept bei der Bundesnetzagentur durchbekommen? (Ja Webhosting ist ein meldepflichtiges Gewerbe)

Bei mir schreibt LC nichts ins Logfile beim Updaten des Dovecot, FTP usw., beim Apache schon. ist das normal?

Super, danke. Deswegen wollte ich gerade nachfragen.

Eine Bitte: Ich verwende z.B. bei Postfix die noupdate-Option, wäre es möglich, die Änderungen einzeln zu dokumentieren? Sonst muss ich erst noupdate rausnehmen und dann ein diff machen. Mit einer Doku könnte ich einfach die Änderungen übernehmen.

Zitat von Nosxxx

Sei mir nicht böse, aber solche Dinge muss ein Admin selber wissen. Mich ärgert es teilweise wie manche Leute einfach so Verantwortungslos mit Server umgehen.

Die Lösung:
Ioncube runterladen: (http://www.ioncube.com/loaders.php - Die Architektur deines Systems musst du selber wissen)
Entpacken und irgendwo hinspeichern.
Eine ioncube.ini im conf.d ordner der gewählten php-version erstellen. (/opt/php-5.5/etc/conf.d/)
Danach folgendes Eintragen: zend_extension:<pfadzumioncube>

Ja, die Server solcher Leute werden dann schnell zu Spambots umfunktioniert, das regt mich auch auf.

Zitat von Torsten

Welche Pakete für spamassassin werden denn unter debian7 für LC 1.7.4 benötigt?

nur spamassassin und Abhängigkeiten

Zitat von kk

Das Anmelden im LiveConfig hat nichts mit SpamAssassin/lcsam/Postfix/etc. zu tun.

Herr Keppler, ich bin doch nicht doof!

Nochmal: Als Kunde/Reseller hat ein Verändern der Schwellwerte oder setzen des Haken nix gebracht, es wurde nix gefiltert...
Erst als ich mit den Emailpostfachdaten die Einstellungen einmal setzte, hatte ich hinter Spamfilterung, Logeinträge und so weiter.

Zitat von kk

D
Kein Wunder, das GTUBE-Testmuster wird durch SpamAssassin mit 1000 Punkten bewertet. Siehe Doku. Und im Log finden Sie das auch:

Klaus Keppler

Die Empfehlungen hier lauteten 999, also hab ich die Werte genommen. Dann muss das gescheit in die Doku.

Zitat von kk

Das dürfte noch ein Fehler sein, bei vorhandenen Postfächern sollten hier die Standardwerte auftauchen. Wird gerade geprüft.

Bei mir ist alles 0 / 0 für BESTEHENDE Postfächer. Kann ja schlecht alles neu anlegen.

Ich habe eine Stunde herumgemacht. Spamassassin klappte erst, nachdem ich mich einmal mit den Emaildaten direkt in Liveconfig einloggte, dann gings für alle Konten. Vorher als Kunde/Reseller: Keine Chance, auch nichts im Logfile

Zitat von kk

Was meinen Sie mit "Report-Safe"?

Na was nützt ein "Spam-Verdacht", wenn die Email dann einfach so angezeigt wird?

Aus: http://spamassassin.apache.org…il_SpamAssassin_Conf.html
report_safe ( 0 | 1 | 2 ) (default: 1)
if this option is set to 1, if an incoming message is tagged as spam, instead of modifying the original message, SpamAssassin will create a new report message and attach the original message as a message/rfc822 MIME part (ensuring the original message is completely preserved, not easily opened, and easier to recover).

Zitat von kk

Handbuch wurde inzwischen aktualisiert.

Zitat von kk

/var/log/mail.log ?

Siehe oben, nach 1 Stunde basteln gibts nun tatsächlich Logeinträge.

Zitat von kk

Wie genau wurde die Mail abgewiesen? lcsam liest aus /etc/postfix/spamassassin(.db) den Schwellwert des Empfängers aus und weist eine Mail nur dann ab, wenn die von SA vergebene Punktzahl die "Reject"-Schwelle überschreitet. Das haben wir hier auch ausführlich so getestet. Wenn bei Ihnen eine Mail fälschlicherweise abgewiesen wurde, senden Sie uns bitte mal den entsprechenden Auszug aus der /var/log/mail.log

Ich habe den Wert für Abweisen auf 999 gesetzt und die Spamassi-Testzeichenkette gesendet: Email wurde abgewiesen. Klar, der Test ist krass, aber ich möchte sicherstellen, dass nie abgewiesen wird.

Ich finde die Umsetzung des Spamfilters gruselig:

-Die Voreinstellung 0/0 sorgt garantiert für Support-Aufwände
-kein Report-Safe
-keine gescheite Doku
-kein Logfile
-Ich habe den SA auch mit Score 999 dazu bekommen, Emails abzuweisen.

Sorry, aber so kann man das in meinen Augen dem Kunden nicht anbieten

Ja nach Neuschreiben der conf passt nun alles. Danke

Man lese:

http://www.heise.de/newsticker…chluesselung-2390692.html

Liveconfig tut dies:

5065# cat /etc/dovecot/dovecot.conf |grep ssl_c
ssl_cipher_list = ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:MEDIUM:!MD5:!aNULL:!EDH!ADH:!SSLv2

Damit ist PFS aus, weil hinten EDH rausgenommen wird.

Ergebnis:

Sep 12 14:37:40 xxx dovecot: pop3-login: Login: user=<xxx>, method=CRAM-MD5, rip=xxx, lip=xxx, mpid=1295, TLS, TLSv1 with cipher AES256-SHA (256/256 bits)

Nimmt man !EDH raus

ssl_cipher_list = ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:MEDIUM:!MD5:!aNULL:!ADH:!SSLv2

Ergebnis:

Ausgabe von OpenSSL:

openssl s_client -starttls pop3 -connect localhost:110




SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : DHE-RSA-AES256-GCM-SHA384

Log:

Sep 12 14:47:18 xxx dovecot: pop3-login: Login: user=xxxx, method=PLAIN, rip=xxx, lip=xxx, mpid=2865, TLS, TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Ich kenne mich leider nicht so gut mit PFS aus, aber dass EDH abzuschalten scheint mir ein echter Bug zu sein.

Viele Grüße

Andre

+1 (der angegebene Text ist zur kurz und somit sind es nun mehr als 10 Zeichen)

Zitat von WebOscar

Wenn man bei einer Domain also HTTPS-Zugriff aktiviert, ist per Default "Webspace deaktiviert" ausgewählt. Und da kein Unterverzeichnis ausgewählt werden muss, ist mir das nicht aufgefallen.

Kann man diesen Default eigentlich anders einstellen? Mich nervt das ziemlich, dass jede Domain erstmal auf "Webspace deaktiviert" steht

Urteile werden ja von Richtern, nicht von ITlern... Lies mal Rechtsnewsletter und schau Dir die Begründungen von Urteilen im IT Bereich an.

Na gut wir sind uns einig: Die Voreinstellung macht so oder so Sinn

Hab den Artikel überflogen, andere Leute sind der Meinung, dass die Email nach der vollen Übertragung, also nach body, sehr wohl komplett übertragen wurde, auch wenn das SMTP-protokolltechnisch nicht so ist.

Da ich ne Weile Jura studiert habe, weiß ich, dass sowas immer Auslegungssache ist und daher ist mir die Sache zu heiß.
Wenn nicht per Default die Gefahr besteht, dass Emails abgewiesen werden und der Kunde das erst einmal entscheiden muss (und die Option auch sauber erklärt ist), dann bin ich zufrieden.

Kann man den 999 Schwellwert als Default angeben?

Emailabweisen nach "body" ist in meinen Augen strafbar: http://dejure.org/gesetze/StGB/303a.html

Ja hab ich gemacht, dass Logs angelegt werden, die nicht von dem, der sie anlegt, rotiert werden, finde ich aber nix gut, bzw finde ich es sehr unlogisch, dass die Apache Logs unter ,/logs rotiert werden, weitere Logs aber nicht.

Wenn, dann sollte das in meinen Augen so sein:

a.) Liveconfig sorgt dafür, dass alles unter ./logs, ./logs/* rotiert wird
b.) Liveconfig hält sich aus der Rotation ganz raus (wäre mir eh lieber, da die ganze Implementierung in Livevonfig ziemlich buggy zu sein scheint. Bei mir ist in alle Angeboten monatlich als default eingestellt, trotzdem wird das ./logs/access.log offenbar täglich rotiert.

Da würde ich das lieber per Logrotate steuern

Hallo,

Wird bei Euch /logs/priv/php_errors.log rotiert?

Bei mir nicht:

4619# dpkg -l | grep liveconfig
ii  liveconfig                              1.7.3-r2921                        amd64        LiveConfig Server Control Panel

Kunde hat log_errors an und dort habe ich gerade ein 15 Gbyte großes solches Log gefunden.

Ich wünsche mir, dass Liveconfig auch gleich noch den Rechner des Users hinter dem Postfach hackt und da den Emailclient umkonfiguriert... und anschließend gleich noch das für den Hack genutzte Sicherheitsloch auf dem Client patcht!

Das stimmt. Kommt da so viel Neues? Ich bin über die Jahre immer mit den in Debian enthaltenen Version gut ausgekommen