Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[mxiiii]

Quote:

Originally Posted by .interp

Ich muss nur noch rausfinden, wo man "userdb_warning_disable=yes" einstellen muss, die dovecot.conf ist es schon mal nicht. Allerdings finde ich in der Wiki auch nichts zu der Einstellung.. sehr strange. Ich melde mich dazu nochmal.

Grüße

Habe es gefunden, die dovecot-sql.conf.ext war es.
Einfach userdb_warning_disable=yes am Ende einfügen und ruhe ist
Habe es aber nur durch try & error rausbekommen. Im Web konnte ich nichts finden, lediglich das diese Meldung mit Version 2.1 Rev xxx eingeführt wurde.

Nächste Probleme

 Spoiler

Code:

spamd[29320]: plugin: eval failed: bayes: (in learn) locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/bayes.lock.FQDN.29320 for /nonexistent/.spamassassin/bayes.lock: No such file or directory

Das Verzeichniss .spamassassin existiert und bayes.lock.FQDN.29320 ist ja dynamisch und sollte demnach automatisch anglegt werden oder ?

Um Rechteprobleme auszuschließen habe ich testweise mal 777 auf das Verzeichnis gegeben, leider ohne Erfolg.

Ich kann zwar Bayesian classifier auto-learning abschalten, aber das ist ja nicht die Lösung

 Spoiler

Code:

spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody

Was hat das nun schon wieder zu bedeuten ?

Grüße
mxiiii

[REtender]

Zuerst möchte ich mich erstmal bei interp bedanken, welcher sich Stunden mit meinen Problemen in Skype um die Ohren gehauen hat!

Ich finde es wirklich toll und beeindruckend, dass er sich so viel Zeit für das Thema nimmt bzw. einem auch sehr viel Wissen vermittelt.
Danke dafür!

Da ich selbst ein blutiger Anfänger bin, möchte ich hier ein paar Probleme / Änderungen erläutern die ich hatte und wie ich sie lösen konnte mit der Hilfe von interp. Manche Ansätze sind auch von mir selbst erarbeitet und möglicherweise wenig sinnvoll!:

Die Installation dauert Stunden durch die Erstellung des DH Key:

 Spoiler

Man kann nachdem man den Skript geladen hat folgende Zeile wie folgt anpassen:
openssl dhparam -out /etc/nginx/ssl/dh.pem 4096
-> anstatt 4096 kann man 2048 oder sogar 1024 verwenden, was allerdings die Sicherheit etwas verringert (wobei 2048 total ausreichend sind).
Die Installation sollte auf langsamen vServern nun viel schneller durchlaufen.

Während der Installation geht etwas schief bzw. es gibt einen Fehler:

 Spoiler

Das ist mir des Öfteren passiert, geholfen hat eine erneute saubere Installation.

Nach der Installation und Einrichten eines Email Kontos kann ich mich nicht einloggen / Mails abrufen:

 Spoiler

Das kann diverse Gründe haben, zum einen solltet ihr schauen ob euer Server bzw. der Anbieter eine Firewall vorgeschaltet hat (was bei mir der Fall war) und ob wichtigen Ports korrekt in /etc/arno-iptables-firewall/firewall.conf eingetragen sind!

Des Weiteren gibt es eine sehr nun ja merkwürdige Eigenart bei manchen Telekom Routern:
Bei meinem Speedport W724V muss man über die Weboberfläche „sichere“ Emailserver eintragen denen vertraut wird, ansonsten kann man nur Emails empfangen, aber nicht verschicken.

In letzter Instanz bleibt noch Thunderbird, welches auch oft Probleme erzeugt, wenn es noch irgendwo hapert sollte man am besten über eine App am Smartphone den Email Zugang testen um TB als Fehlerquelle ausschließen zu können.

Probleme bei dem kombinieren von Zertifikaten:

 Spoiler

cat perfectrootserver_net.crt COMODOECCDomainValidationSecureServerCA.crt > perfectrootserver.net.bundle.crt
und
cat COMODOECCDomainValidationSecureServerCA.crt COMODOECCAddTrustCA.crt > trustedbundle.crt
bei beiden Befehlen habe ich die Endung der gespeicherten Datei jeweils in .cer anstatt .crt geändert, da dies bei mir Probleme erzeugt hat.
Nachfolgend ist zu beachten, dass man bei der Erzeugung der stapling file den Befehl auch entsprechend anpasst -> Endungen (und auch die Endung in der vhost richtig einträgt!)
Guter Artikel dazu:

Zertifikat nur gültig für Domain.de, allerdings wird der Zugang zu vma.domain.de verweigert:

 Spoiler

Ich habe mir ein Zertifikat bei Cheapssl gekauft und es „installiert“, allerdings trat folgendes Problem auf:
vma.*****.de uses an invalid security certificate.
The certificate is only valid for the following names: , ****.de
(Error code: ssl_error_bad_cert_domain)

Zu mindestens für Chrome konnte ich das Problem umgehen durch folgende Änderung in der
/etc/nginx/sites-available/vma.****.de.conf
Indem ich folgende Zeile auskommentiert habe:
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
Damit ist HSTS auf der Subdomain deaktiviert.

Manche Email Anbieter bekommen meine versendeten Emails nicht:

 Spoiler

Im Moment kann ich keine Emails an gmx / web.de versenden, ich vermute das es an der fehlenden reversed DNS Einstellung liegt.

Edit: Es geht nach dem einrichten des Reversed DNS. allerdings landen die Emails im Spam Ordner

Nach einem Neustart gehen die Email Dienste nicht mehr

 Spoiler

Auch wenn das schon an anderer Stelle erläutert wurde, man muss den Ordner neu mounten nach einem Server restart:
encfs /var/mail/encrypted /var/mail/decrypted -o nonempty --public
service postfix restart
service dovecot restart

[Nachti]

Kommen bei euch auch diese Hinweise? Denke mal nicht, dass diese weitaus Schlimm sind, aber würde mich trotzdem Interessieren ob die bei jedem kommen.

Ansonsten vielen Dank für deine Mühe!

Quote:

encfs: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/libencfs.so.6)
encfs: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)
ldconfig: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 is not a symbolic link
... usw, kommen noch welche bei clamav-milter, clamd, postconf, curl, php etc.

[REtender]

Quote:

Originally Posted by Nachti

Kommen bei euch auch diese Hinweise? Denke mal nicht, dass diese weitaus Schlimm sind, aber würde mich trotzdem Interessieren ob die bei jedem kommen.

Ansonsten vielen Dank für deine Mühe!

Hast du die aktuelle Version des Scripts?

Vor 3 Tagen gab es eine Änderung bez. Symlinks


Vll. liegt es daran.

Gruß, Marcel

[Zypr]

Hallo zusammen,

die Warnungen kann man ignorieren, allerdings sind diese aktuell auch unumgänglich. OpenSSH lässt sich mit der neusten OpenSSL Version nicht compilieren, da OpenSSL neue Libs erhalten hat. Leider prüfen andere Programme auch die Version und spucken eben so eine Warnung aus. Die Funktionalität wird dadurch nicht beeinflusst, lediglich der Log wird etwas voller. Wen es stört, kann die alte 1.0.2 Version von OpenSSL nutzen, was allerdings ein Sicherheitsrisiko mit sich bringt. Eigentlich könnte man Postfix und Dovecot nun selbst kompilieren, allerdings werde ich das erst einbauen, wenn Jessie draußen ist.

Gruß

[TiggaStyle]

Moin,

die Anleitung ist ja nett - habe die "ältere" Anleitung nun schon öfters benutzt.

Was mir zur Zeit missfällt ist, dass das neuste PHP benutzt wird, da bei den meisten CMS Systemen nach eine Upgrade irgendwas wieder nicht funktioniert. Selbst wenn es ein ganz schickes Wordpress ist ;-)
Ab Jessie wäre eine Auswahl nicht schlecht, Systemeigenes PHP oder das neueste vom neuesten.

Zudem möchte ich noch den Tipp geben : fufix
Dies ist sehr schön für E-Mail mit Roundcube usw. usw. vllt. könnte man die Funktionen auch noch mit einbauen.

Gruß

[apfel2kuchen]

Bei mir kommt direkt am anfang nach dem ich meinen Domain-Namen Eingetragen habe dieser fehler:
Enter domain or hostname: ***.de
install.sh: line 81: host: command not found

Er sagt mir auch das die Domain noch nicht weiterleitet aber das stimmt nicht..

[Zypr]

Quote:

Originally Posted by apfel2kuchen

Bei mir kommt direkt am anfang nach dem ich meinen Domain-Namen Eingetragen habe dieser fehler:
Enter domain or hostname: ***.de
install.sh: line 81: host: command not found

Er sagt mir auch das die Domain noch nicht weiterleitet aber das stimmt nicht..

Hallo,

es liegt nicht an deiner Domain, sondern daran, dass der Server den Befehl "host" nicht kennt. Es sieht stark danach aus, dass dein Server entweder ein VPS ist oder das genutzte Image einige Funktionen nicht mit sich bringt. Kann gut möglich sein, dass während der Installation weitere Probleme auftreten.

Jedenfalls müsstest du die bind-utils installieren:

Code:

apt-get install bind-utils

Gruß

[-skyDIVE]

wäre noch cool zu wissen, was man bei cloudflare denn eintragen muss bei den DNS records um z.B. den Domainnamen zu benutzen

bei A-Record ein "*" und bei MX auch oder wie ?

[luna-hosting.io]

Quote:

Originally Posted by -skyDIVE

wäre noch cool zu wissen, was man bei cloudflare denn eintragen muss bei den DNS records um z.B. den Domainnamen zu benutzen

bei A-Record ein "*" und bei MX auch oder wie ?

[-skyDIVE]

bei MX statt domain.de kommt denke ich z.B. oder?


Normalerweise sollte man die Mail jetzt mit erreichen können oder?
und kann ich bei MX einfach ein "*" setzen? damit ich falls neue mail adressen kommen nicht wieder alles eintragen muss?



momentan habe ich das so, sollte passen oder?

[Zypr]

Quote:

Originally Posted by -skyDIVE

bei MX statt domain.de kommt denke ich z.B. oder?


Normalerweise sollte man die Mail jetzt mit erreichen können oder?
und kann ich bei MX einfach ein "*" setzen? damit ich falls neue mail adressen kommen nicht wieder alles eintragen muss?



momentan habe ich das so, sollte passen oder?

Der DNS-Server hat nichts mit dem Postfach bzw. Alias zu tun. Der DNS-Server dient lediglich zur korrekten Auflösung/Übermittlung der Anfragen, deshalb bringt dir ein "*" auch gar nichts. Du wählst immer @ aus, damit sich der MX-Eintrag auch auf die Domain bezieht, es sei denn du weißt was du tust und nimmst eine bestimmte Subdomain, die dann wiederrum auf den korrekten Server zeigen sollte. Das was du vor hast, kannst du mit ViMbAdmin regeln und ist mit den Einträgen gar nicht realisierbar.

Theoretisch kommen alle E-Mails an, auch wenn du eine E-Mail an sendest. Der SMTP-Server ist zuständig für die korrekte Übermittlung und prüft daher vorher, ob überhaupt ein Empfänger mit dem Postfach/Alias existiert.

Es gibt auch die Möglichkeit, einen sogenannte "Catch-All"-Alias einzurichten. Dazu musst du einfach nur @domain.eu eintragen und zu weiterleiten, somit kommen alle E-Mails bei an, auch wenn du irgendeinen Schwachsinn als Empfänger nimmst ->

Gruß

[-skyDIVE]

Danke =)



Das reicht, der Rest macht also der Server?

[Zypr]

Wenn du CloudFlare benutzt, musst du die MX-Einträge anders eintragen. Du müsstesteine Subomain anlegen und diese per A- oder CNAME-Record direkt auf deinen Server leiten. Anschließend legst du einen MX-Record an, der sich allerdings auf suboman.domain.eu bezieht. Deine SPF-Regel muss dann allerdings auch nicht mit der mx Regel erstellt werden, sondern mit der ip4 Regel (So wie es während der Installation am Ende auch gezeigt wird).

Meiner Meinung nach macht CloudFlare gar keinen Sinn, wenn du mindestens eine Subdomain hast, die direkt auf die eigentliche IP-Adresse des Servers zeigt. Nutz lieber kostenfreie Lösungen wie mailgun oder zohomail, hier mal 2 Beispiele:


mailgun:



zoho (Hier ist zu beachten, dass es nicht CloudFlare ist. Hier müsste man bei der SPF-Regel lediglich ip4 anstelle von mx nehmen, der Rest bleibt identisch):



In beiden Fällen wird dir detailiert erklärt, was du machen musst.

[losaruka]

Hi Leute,

ich habe das Skript installiert. Alles war wunderbar. Keine Fehler oder ähnliches.
Dann sollte ich ViMbAdmin einrichten. Die Salts konnte ich auch in die .ini einfügen. Aber sobald ich einen Admin Account erstellen möchte, ich gebe eine Mail und ein Passwort an, kommt auf der nächsten Seite einfach eine leere Seite ohne irgendeine Fehlermeldung oder ähnliches. Ich habe nichts verändert und bin einfach nach Anleitung vorgegangen.

Was mich wundert ist, dass kein Fehler ausgegeben wird. Es erscheint einfach gar nichts. Hat jemand eine Idee, was ich tun kann? Sollte ich ViMbAdmin nochmal neu installieren oder kann ich einen Admin direkt in der DB eintragen?

Bin über jegliche Hilfe dankbar.