Beiträge von antondollmaier

Zitat von kk

spannender ist da DANE/TLSA (zusammen mit DNSSEC). Hier ist ein Hauptproblem aber der Roll-Over, wenn sich mal der Schlüssel des Zertifikats ändert.

Warum nicht mit den CA-Constraints arbeiten? Da ändert sich der Schlüssel deutlich seltener.

Zitat von kroerig

Mir scheint, da ist alles in ein Binary gepackt worden

Sieht so aus, ja.

Zitat

phpinfo() klappt erst, wenn man das Paket installiert hat.

ohne php-Binary kannst du die PHP-Version doch gar nicht erst in LiveConfig einbinden?!?

Zitat

Da wäre eine Auflistung welche Erweiterungen eingebunden wurden, nur logisch.

kk

Zitat

Zumal mir Shared Objects lieber sind. Dann ist das bin-File nämlich kleiner und ich muss nur die Erweiterungen installieren, die auch benötigt werden.

Persönliche Präferenzen. Ich bin froh, mich um PHP nicht selbst kümmern zu müssen ...

Zitat von kroerig

wo finde ich denn eine Übersicht der verfügbaren Modul-Pakete?

phpinfo()

Zitat

Ich brauche vorallem php-cli.

bereits in php-7.0-opt enthalten:

/opt/php-7.0/bin/php
/opt/php-7.1/bin/php

passwd-Datei sichern, Änderung in LC durchführen - neue Passwd-Datei mit der alten vergleichen. Etckeeper erleichtert das ganze.

Eigentlich sollte es keine Änderung geben, da im Zweifelsfall das Original-Passwort einfach nochmal neu gehasht wird (was zum identischen Hash führen sollte).

Hat evntl. ein Passwort-Manager reingespielt?

Da aus "Sven_67" kein Nachname ersichtlich ist, muss es beim "du" bleiben. Eventuell wäre eine Anmeldung mit dem Nachnamen sinvoller gewesen?

Zitat von Sven_67

Noch immer wird lcsam nach einem reboot nicht gestartet.
Noch immer muss man lcsam manuell starten = -1

systemctl enable lcsam.service

Wo ist da jetzt das Problem, das manuell auszuführen, falls "systemctl status lcsam.service" das nicht entsprechend anzeigt?

Zitat von WebService4U

Komisch dabei ist nur, dass das seit einem halben Jahr mit localhost:8443 ohne /* funktionierte und seit heute Morgen nicht mehr. Irgendwas muss heute Nacht passiert sein....

Ja:

- mit dem letzten Update wurde das Proxy-Verhalten umgestellt ("Verwendung von ProxyPass & ProxyPassReverse für Apache Proxy-Konfiguration (anstatt RewriteRule mit [P]-Option)")
- du hast nun einen Renew des Let's Encrypt-Zertifikates bekommen, womit die Apache-Config neu erzeugt wurde.

Reseller müssen keinerlei Server verwalten können.

Du erstellst ein Reseller-Angebot (Kunden: >0).

Erstellst damit bei deinem Kunden einen neuen "Wiederverkäufer-Vertrag" ("res1234").

Wenn der Kunde sich nun anmeldet, hat er "Kunden" sowie "mein Hosting". Und kann nun Endkunden-Verträge erstellen, wobei er die Ressourcen eines Reseller-Vertrages auswählen muss.

Es geht somit nicht, dass ein Reseller seine Kunden auf die Server web1 und web2 verteilt, wenn er nur einen Reseller-Vertrag hat.

Zitat von kroerig

Unter Confixx hieß das Postfach z.B. web123p1, darauf konnten beliebig viele E-Mailadressen gemappt werden.

So konnte ich abc@meine-domain.tld als Absender im AndroidMail eintragen und Login war web123p1.

Nochmals: was hindert dich jetzt an folgendem:

- Mailadresse f.mustermann@example.com
- "Postfach anlegen", Passwort vergeben
- Alias "fmustermann"

In Android-Mail kannst jetzt genau so vorgehen wie du. Absender "fmustermann@example.com", Login mit "f.mustermann@example.com".

Oder noch besser: Mailadresse "info@example.com" erstellen und als Weiterleitung an f.mustermann und a.mustermann definieren.

Auch "info@example.com" kann nun in jedem Mailclient als Absender gewählt werden.

Du kannst aber auch "einkauf@example.com" als Absender setzen - obwohl die Mailadresse gar nicht existiert.

Postfix interessiert der Absender nämlich genau gar nicht, sobald man sich erfolgreich via SMTP-Auth angemeldet hat.

Zitat

So war es z.B. auch möglich Mails auch ohne E-Mailadresse direkt an das Postfach web123p1@server-name zu senden. Das war sehr hilfreich, wenn man bei einem Serverumzug auf dem alten Server so die Postfächer abschalten konnte und die Mail so an die neuen Konten senden konnte bis alle Systeme den neuen MX gelernt hatten.

Oder man legt auf dem alten Server über die Transport-Maps einen Eintrag für die Domain an, der dann auf den neuen Server geht. Dafür muss nicht mal die Mailadresse geändert werden.

Zitat

Für Roundcube gibt es sogar ein Confixx-Plugin, dass zusätzlich zu dem Postfachlogin auch einen Login über die Mailadressen ermöglicht.

Das RoundCube-Plugin macht nichts anderes, als beim Login in die Confixx-Datenbank zu schauen und zum angegebenen Benutzernamen über die E-Mail-Tabellen ein Postfach zu finden. Der Postfachname wird dann statt dem vom Benutzer angegebenen Login an den IMAP-Server geschickt.

Das passiert völlig unabhängig von Dovecot.

Zitat von kroerig

Aber $vertrag/$nummer kann ich nicht als Login verwenden.

Korrekt. Hat Confixx aber auch nicht unterstützt. Es sei denn, man hat mit MySQL selbst rumgefriemelt.

Zitat

Was ist daran so speziell?

In geschäftlichen Umgebungen gibt es Benutzerpostfächer und Funktionsadressen (Aliases). Und manchmal will/muss man mit diesen auch versenden können. Das war unter Confixx kein Problem, weil Postfach-Login != E-Mailadresse

Exchange erlaubt "SendAs". Das ist dann eine Client(!)-Funktionalität, so dass der Absender(!) von E-Mails vom SMTP-Benutzernamen abweichen darf.

Da die Absender-Mailadresse aktuell gar nicht validiert wird, sehe ich keine Abweichung: Kunden können sich in Thunderbird und Apple Mail einen einzigen Postausgangsserver mit z.B. user@example.com definieren, gleichzeitig aber mehrere Mailkonten (info@example.com) definieren, die diesen SMTP-Server für ausgehende Mails benutzen.

Zusätzlich erlaubt Thunderbird noch, "Identitäten" anzulegen.

Die Anforderung "Kunde darf verschiedene IMAP/SMTP-Zugangsdaten verwenden, um auf das gleiche Postfach zuzugreifen", ist definitiv nicht Standard.

Zitat von kroerig

was war das doch zu Confixx-zeiten schön, wenn Postfachname und Mailadressen nichts miteiander zutun haben...

Das ist intern immer noch so. Deshalb liegen die Mails ja auch in Ordnern $vertrag/$nummer.

Zitat

Ich dachte LC wäre hier flexibler...

Die Anforderung ist allerdings auch ... speziall.

Zitat von kroerig

wäre das über die Datenbank machbar?

Da Dovecot mit den gespeicherten Passwörtern nichts anfangen kann, außerdem die Quota-Informationen komplett inkompatibel gespeichert sind: nein.

Zitat von besterwosgibt

Lösung

Das File "http2.conf" muss scheinbar in /etc/apache2/conf.d/ liegen, damit es geladen wird.

Nö, muss es nicht.

Unter Debian Stretch ist "conf-enabled" (bzw. conf-available und danach die Config aktivieren) der richtige Ordner.

Bitte bei solchen Angaben immer das Betriebssystem bzw. die Distribution mit angeben,

Zitat von Joeym

Danke. Steht jedoch nicht da, sobald die Domain auf eine Anwendung geleitet wird also per App installiert wurde

HTTPS-Zugriff beim Vertrag aktiviert?

Den Anwendungen ist HTTP bzw. HTTPS egal. Die Konfiguration passiert komplett bei "Domains" und ist identisch zu Webspace bzw. Redirect.

Bitte an den Provider wenden. ionCube ist unabhängig von LiveConfig und Provider-Angelegenheit.

Dann liegt's vermutlich nicht an der PHPMailer-Version.

Läuft der LCPolicyd?

Einfach bei "Domains" den HTTPS-Zugriff steuern.

Warum sollten "alte" Zertifikate gelöscht werden?

Der Renew erfolgt ja mit dem bestehenden Private Key - nur das Zertifikat selbst wird getauscht.

Es gibt also bei einem Renew o.ä. keinen zusätzlichen Eintrag bei den "SSL-Zertifikaten".

Zitat von a-s

Ich wollte eigentlich wissen, ob man das default-SSL-Zertifikat, welches bei der Installation von LC angelegt wird löschen bzw. durch ein vollwertiges SSL-Zertifikat tauschen kann.

eines kaufen oder via Let's Encrypt beantragen?!?

Zitat

Wie gesagt ich habe das jetzt mit der Canonical-Methode gemacht und über eine Subdomain geroutet.

Also eine Subdomain in LiveConfig angelegt, ein passendes SSL-Zertifikat über Let's Encrypt geholt und dieses Zertifikat ggf. noch anderweitig installiert? Das hat aber null nada mit dem "cacert.pem" zu tun.

Das Default-Zertifikat existiert auch weiterhin. Browser, die SNI können, sehen das nur nicht mehr.

Ansonsten bei der IP-Konfiguration HTTPS von "gemeinsam" auf "exklusiv" stellen. Dann wird nur noch dieses Zertifikat konfiguriert - aber heißt dann auch, dass es sonst kein Zertifikat mehr geben kann

Zitat von Mogwais

Also wenn man es eh schon einbaut kann man vielleicht noch ne Spalte Serverweit/Global mit einbauen odeR?

Header/Body-Checks gehören zu Postfix und müssen auch anders validiert/geprüft werden.

Globale SpamAssassin-Einstellungen sind ein anderes Kapitel.