Beiträge von antondollmaier

Mein Fehler. Durch "[quote" statt "[code" habe ich den Zeilenumbruch nicht gesehen.

Was steht denn da im Mailserver-Log? Das ist letztendlich das relevante. Mail hinschicken, Log verfolgen, Zeilen posten, falls Fragen offen sind.

der ClamAV-Daemon läuft nicht.

Ergänzung:

Die SSL-Server-Chiffren müssen auf "kompatibel" stehen. Mit "PCI-konform" klappt's nicht!

kk: bitte in die Doku, soweit die existiert

Zitat von RB-Media-Group

doch ich meine Sie bei den Angeboten/Verträge gesehen zu haben. Beim SMTP Server muss man es allerdings vorher aktivieren.

Da ist nichts zu finden, nur die Checkbox in der Serververwaltung.

kk: ist das überhaupt schon (fertig) implementiert?

Zitat von RB-Media-Group

nur die Protokolle aktiviert, und in confs übernommen.

a2enmod http2
# cat /etc/apache2/conf-enabled/http2.conf
Protocols h2 http/1.1


H2Push          on
H2PushPriority  *                       after
H2PushPriority  text/css                before
H2PushPriority  image/jpeg              after   32
H2PushPriority  image/png               after   32
H2PushPriority  application/javascript  interleaved

Ergibt dann weiterhin HTTP/1.1, da eben blacklisted Cipher mit drinnen sind.

Was sagt der Qualys SSL-Test bei euch genau?

Bei uns:

Android 7.0 	Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_RSA_WITH_AES_256_GCM_SHA384 
Chrome 51 / Win 7  R		Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_RSA_WITH_AES_256_GCM_SHA384
Firefox 47 / Win 7  R		Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA  |  ECDH secp256r1
Firefox 49 / XP SP3 	RSA 4096 (SHA256)   	TLS 1.2 > h2   	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp256r1  FS
Firefox 49 / Win 7  R		RSA 4096 (SHA256)   	TLS 1.2 > h2   	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp256r1  FS

Das sieht für mich nicht nach "geht" aus.

Was habt ihr da genau geändert?

- über Protocols aktiviert, klar
- dann müssen aber die Cipher angepasst werden: PCI-kompatible Cipher sind teilweise für HTTP/2 blacklisted.
- mit den empfohlenen Ciphern werden aber einige ältere Clients auch von HTTPS abgehalten.

Oder hab ich da was falsch getestet?

"php-cgi" nicht installiert, sondern noch php5-cgi?

WUHU! Danke!

Zitat von DasBill

gibt es hierzu etwas neues? - der Debian 9 Release naht bereits
Im Repo finde ich nach wie vor nur Jessie und Squeeze.

LiveConfig wird über Codename "main" installiert. Funktioniert mit Stretch wunderbar.

(ja, die PHP-Pakete fehlen. IMHO ist das allerdings seitens Keppler IT ein "zusätzlicher Service", kein Teil des Produktes LiveConfig.)

Oder einen Daemon-Prozess gesondert anlegen und mit mod_rewrite die Anfragen auf die wsgi.py umleiten.

Zitat von kroerig

Ja, bei denen klappt es auch, aber halt nicht bei "spezial"-Hostings, die nur über HTTPS genutzt werden sollen.

HTTP-Redirect rein und fertig.

Zitat

Ist TLS-SNI-02 schon verfügbar, oder kommt das noch? Genauso die DNS-Validierung, die wäre mir eigentlich am liebsten.

Ist in LiveConfig aktuell nicht drinnen.

Zitat von kroerig

Ich habe alle Webhostings so eingerichtet, dass HTTP auf HTTPS umgeleitet wird.

Da klappt die HTTP-Validierung problemlos. Haben wir nirgends anders.

Achtung: HTTP-Zugriff muss aktiv sein, und wenn es nur ein 301-Redirect ist.

Zitat von ThomasKochler

Oder ist es immer noch sinnvoller, das Ganze manuell zu erledigen?

Aktuell: ja.

Zitat von aziegler

das geht vermutlich nicht, ich fand gerade folgendes dazu:
"HTTP-01 is defined by the ACME standard to require HTTP on port 80"
anscheinend sieht der Standard dies nur so vor, dass Port 80 genutzt werden muss

Genau, für HTTPS gibt es ja auch TLS-SNI-02.

"apache2ctl -S", außerdem alle Error-Logs prüfen.

Apache ist normal sehr gesprächig.

Kann ich bestätigen. Entweder fehlt die Installer-Datei, oder es wurde die falsche Version ins Repository aufgenommen.

- Debian 7 ist Wheezy. Warum das Jessie-Repo einbinden?
- vermutlich den Wget-Befehl doppelt ausgeführt. Die "liveconfig.list.1" deutet darauf hin - löschen.
- in der Datei den "deb"-Eintrag anpassen:

deb [arch=amd64] http://repo.liveconfig.com/...

Zitat von aziegler

Da wir bisher nur einen Server mit MySQL-Backend nutzen, wäre das für uns also schon fertig.

Manueller Eintrag in der my.cnf: sql_mode=NO_ENGINE_SUBSTITUTION.

Oder die /usr/my.cnf (zumindest bei den Oracle-Paketen von MySQL) löschen.

Zitat

Fehlend? Spricht was gegen die Parallelinstallation weiterer Versionen, wie bisher auch?

Nö. Hatte nur bisher keine Zeit, die Pakete zu bauen / zu suchen

Kann ich bestätigen: grundsätzlich funktioniert LiveConfig mit Stretch (LCClient).

Das fehlende PHP5 wird hingegen erstmal noch für andere Späße sorgen.

Die Milter sind sauber eingebunden, im Log fehlt aber noch der Eintrag zu LCSam - mein Fehler.

Bitte suche die entsprechende Zeile noch raus.

Zusätzlich: "systemctl stop lcsam.service", danach manuell mit "/usr/lib/liveconfig/lcsam -g spamd -U postfix -d" starten sowie Output davon prüfen/posten.

Außerdem sicher stellen, dass deine "me@hchristo.de" auch wirklich in /etc/postfix/spamassassin steht.