Zuerst möchte ich mich erstmal
bei interp bedanken, welcher sich Stunden mit meinen Problemen in Skype um die Ohren gehauen hat!
Ich finde es wirklich toll und beeindruckend, dass er sich so viel Zeit für das Thema nimmt bzw. einem auch sehr viel Wissen vermittelt.
Danke dafür!
Da ich selbst ein
blutiger Anfänger bin, möchte ich hier ein paar Probleme / Änderungen erläutern die ich hatte und wie ich sie lösen konnte mit der Hilfe von interp. Manche Ansätze sind auch von mir selbst erarbeitet und
möglicherweise wenig sinnvoll!:
Die Installation dauert Stunden durch die Erstellung des DH Key:
Man kann nachdem man den Skript geladen hat folgende Zeile wie folgt anpassen:
openssl dhparam -out /etc/nginx/ssl/dh.pem 4096
-> anstatt 4096 kann man 2048 oder sogar 1024 verwenden, was allerdings die Sicherheit etwas verringert (wobei 2048 total ausreichend sind).
Die Installation sollte auf langsamen vServern nun viel schneller durchlaufen.
Während der Installation geht etwas schief bzw. es gibt einen Fehler:
Das ist mir des Öfteren passiert, geholfen hat eine erneute saubere Installation.
Nach der Installation und Einrichten eines Email Kontos kann ich mich nicht einloggen / Mails abrufen:
Das kann diverse Gründe haben, zum einen solltet ihr schauen ob euer Server bzw. der Anbieter eine Firewall vorgeschaltet hat (was bei mir der Fall war) und ob wichtigen Ports korrekt in /etc/arno-iptables-firewall/firewall.conf eingetragen sind!
Des Weiteren gibt es eine sehr nun ja merkwürdige Eigenart bei manchen Telekom Routern:
Bei meinem Speedport W724V muss man über die Weboberfläche „sichere“ Emailserver eintragen denen vertraut wird, ansonsten kann man nur Emails empfangen, aber nicht verschicken.
In letzter Instanz bleibt noch Thunderbird, welches auch oft Probleme erzeugt, wenn es noch irgendwo hapert sollte man am besten über eine App am Smartphone den Email Zugang testen um TB als Fehlerquelle ausschließen zu können.
Probleme bei dem kombinieren von Zertifikaten:
cat perfectrootserver_net.crt COMODOECCDomainValidationSecureServerCA.crt > perfectrootserver.net.bundle.crt
und
cat COMODOECCDomainValidationSecureServerCA.crt COMODOECCAddTrustCA.crt > trustedbundle.crt
bei beiden Befehlen habe ich die Endung der gespeicherten Datei jeweils in .cer anstatt .crt geändert, da dies bei mir Probleme erzeugt hat.
Nachfolgend ist zu beachten, dass man bei der Erzeugung der stapling file den Befehl auch entsprechend anpasst -> Endungen (und auch die Endung in der vhost richtig einträgt!)
Guter Artikel dazu:
[Only registered and activated users can see links. Click Here To Register...]
Zertifikat nur gültig für Domain.de, allerdings wird der Zugang zu vma.domain.de verweigert:
Ich habe mir ein Zertifikat bei Cheapssl gekauft und es „installiert“, allerdings trat folgendes Problem auf:
vma.*****.de uses an invalid security certificate.
The certificate is only valid for the following names:
[Only registered and activated users can see links. Click Here To Register...], ****.de
(Error code: ssl_error_bad_cert_domain)
Zu mindestens für Chrome konnte ich das Problem umgehen durch folgende Änderung in der
/etc/nginx/sites-available/vma.****.de.conf
Indem ich folgende Zeile auskommentiert habe:
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
Damit ist HSTS auf der Subdomain deaktiviert.
Manche Email Anbieter bekommen meine versendeten Emails nicht:
Im Moment kann ich keine Emails an gmx / web.de versenden, ich vermute das es an der fehlenden reversed DNS Einstellung liegt.
Edit: Es geht nach dem einrichten des Reversed DNS. allerdings landen die Emails im Spam Ordner
Nach einem Neustart gehen die Email Dienste nicht mehr
Auch wenn das schon an anderer Stelle erläutert wurde, man muss den Ordner neu mounten nach einem Server restart:
encfs /var/mail/encrypted /var/mail/decrypted -o nonempty --public
service postfix restart
service dovecot restart
Ich muss nur noch rausfinden, wo man "userdb_warning_disable=yes" einstellen muss, die dovecot.conf ist es schon mal nicht. Allerdings finde ich in der Wiki auch nichts zu der Einstellung.. sehr strange. Ich melde mich dazu nochmal.