Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[Zypr]

Quote:

Originally Posted by -skyDIVE

Danke, sprich ich muss einfach DNS einträge anpassen oder wie kann ich das insgesamt entnehmen?

Kommt drauf an. Wenn dein SPF-Eintrag nicht korrekt ist, dann ja. Der Rest hat keinen Einfluss auf das Regelwerk von Hotmail. Dein SPF-Eintrag bestimmt auch alle andren DNS-Einträge.

Bespiel:

"v=spf1 a:example.com -all"

Der DNS-Server, der die Einträge deiner Domain verwaltet, muss einen gültigen A Record für example.com beinhalten und auf die IP-Adresse zeigen, die der des SMTP-Servers gleich ist.

Beispiel:

"v=spf1 mx mx:mail.example.com -all"

Ähnlich wie beim "a" mechanismus, musss die IP-Adresse dem im MX-Eintrag entsprechenden Host gleich sein oder im gleichen Subnetz sein.

Mehr dazu hier:


Hast du die Blacklistseiten gecheckt? Evtl. ist dein Server einfach nur gelistet, dann wird es etwas schwierig ;)

[-skyDIVE]

Ja, der Server ist nicht geblacklisted ^^

Also wäre der SMTP Server mein FQDN? also host.domain.tld ? oder wie sehe ich das nochmal ein?

Danke übrigens das du mir so gut wie es geht versuchst weiter zu helfen, schätze ich sehr

also zwei SPF Records mit:

"v=spf1 a:domain.com -all"
"v=spf1 mx mx:smtp.domain.com -all"

reichen oder? tut mir leid ich kenne mich mit dns verwaltung garnicht aus ^^

[Zypr]

Quote:

Originally Posted by -skyDIVE

Ja, der Server ist nicht geblacklisted ^^

Also wäre der SMTP Server mein FQDN? also host.domain.tld ? oder wie sehe ich das nochmal ein?

Danke übrigens das du mir so gut wie es geht versuchst weiter zu helfen, schätze ich sehr

also zwei SPF Records mit:

"v=spf1 a:domain.com -all"
"v=spf1 mx mx:smtp.domain.com -all"

reichen oder? tut mir leid ich kenne mich mit dns verwaltung garnicht aus ^^

So ich habe mir jetzt auch mal ein Konto bei live.de angelegt (outlook.de, aber ist alles das selbe) und meine E-Mail kommt an. Landet zwar im Spam Ordner, aber das kann daran liegen, dass der SMTP-Server die IP des Clients mit 127.0.0.1 überschreibt.

So sieht das dann aus:

 Spoiler

Code:

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=pass (sender IP is 37.120.175.173) smtp.mailfrom=; dkim=pass header.d=perfectrootserver.net; x-hmca=pass header.id=
X-SID-PRA: 
X-AUTH-Result: PASS
X-SID-Result: PASS
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTm7+xNIhL2Tqcgcgd/9kjcNwktj+/tdLWTPR/c1OsdGXuN/CxfwASNVcUVbXmfaoy57lJRd6bU/IvC524vbFOu8VqU0WFokOcg2ruGoEvIQ/JW9LX5TU7hEiRfnLR8jlY6uVxZJvgNKxrez0glCGz7M1g67RrhGpiHmIb6cUT62mHWu42t4Ngaa0N9gpIwklnhZDyRjKDm6RA==
Received: from mail.perfectrootserver.net ([37.120.175.173]) by COL004-MC1F45.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);
	 Sat, 2 May 2015 13:28:00 -0700
Received: from mail.perfectrootserver.net (localhost [127.0.0.1])
	by mail.perfectrootserver.net (Postfix) with ESMTP id DE28C120720
	for <>; Sat,  2 May 2015 22:28:03 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=simple; d=perfectrootserver.net; h=
	message-id:date:from:mime-version:to:subject:content-type
	:content-transfer-encoding; s=mail; bh=q5cyARPl5zX/knmvCnEy11G7/
	r6gcljJ44qrvv5DErY=; b=hJt8Q7FQ3MnfgZuSUSm4Xg4VoTc6GOnVusVAuckzP
	mbYFDdsydSYAur5dDYLPKe+iQ6srVVOT/3MoMoIzSOQv4VLQM9YWMnVThvH5Y7JJ
	xrbKFX7q7Is/4F3fxV3cN0/ydCSXI2LmDW5+XMX1rHQcSbxMzKtvPAjFMW8DC5rM
	o0=
DomainKey-Signature: a=rsa-sha1; c=simple; d=perfectrootserver.net; h=
	message-id:date:from:mime-version:to:subject:content-type
	:content-transfer-encoding; q=dns; s=mail; b=EQKKw7gReHCxzIAzBqv
	hHrwGQ+iDyV92lCL2JCskJqe/v5CMUGVpuBnRxfLUCeu3l3UVcIxlzoAwLHWIjHw
	vz4pOzIdL1NMQphI2aELfOllL3Xi6zWYY/+AQsSL8QPeVQK6N/FOhGa/CCyt7350
	piii1bgwTw3102ejRdcMwF3I=
Received: from [127.0.0.1] (localhost [127.0.0.1])
	(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
	(No client certificate requested)
	by mail.perfectrootserver.net (Postfix) with ESMTPSA id 9C1E81206FB
	for <>; Sat,  2 May 2015 22:28:03 +0200 (CEST)
Message-ID: <>
Date: Sat, 02 May 2015 22:28:08 +0200
From: Perfect Rootserver <>
Mime-Version: 1.0
To: 
Subject: TEST
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
X-Spam-Status: No, score=-1.0 required=5.0 tests=ALL_TRUSTED
	autolearn=unavailable version=3.3.2
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on
	perfectrootserver.net
X-Virus-Scanned: clamav-milter 0.98.5 at perfectrootserver.net
X-Virus-Status: Clean
Return-Path: 
X-OriginalArrivalTime: 02 May 2015 20:28:00.0502 (UTC) FILETIME=[7BB5A160:01D08516]

TEST

So sehen meine DNS-Einträge aus:

Code:

@  |  MX  |  10:mail.perfectrootserver.net
@  |  TXT  |  "v=spf1 mx -all"

Da mein DNS-Server allerdings auch die Domain mail.perfectrootserver.net verwaltet, muss dafür auch ein A-Records existieren!

Code:

@  |  A  |  37.120.175.173

Wie bereits erwähnt, muss die SPF-Regel logisch bis zur IP nachvollziehbar sein.. siehe hier in meinem Beispiel:

Code:

Authentication-Results: hotmail.com; spf=pass (sender IP is 37.120.175.173) smtp.mailfrom=; dkim=pass header.d=perfectrootserver.net; x-hmca=pass header.id=

[-skyDIVE]

Danke, also ich habe noch einen zweiten Server wo ich iMSCP installiert habe (frischer Server). Ist dort des dann auch mail.domain.tld? Oder wo finde ich das heraus? Gruß

[Zypr]

Quote:

Originally Posted by -skyDIVE

Danke, also ich habe noch einen zweiten Server wo ich iMSCP installiert habe (frischer Server). Ist dort des dann auch mail.domain.tld? Oder wo finde ich das heraus? Gruß

Während der Installation poppt das Installationsmenü von Postfix auf, wo "Internet Site" ausgewählt werden muss. Dort steht auch der korrekte mailname. Sofern du diesen nicht verändert hast, ist es immer mail.domain.tld

[-skyDIVE]

Quote:

Originally Posted by .interp

Während der Installation poppt das Installationsmenü von Postfix auf, wo "Internet Site" ausgewählt werden muss. Dort steht auch der korrekte mailname. Sofern du diesen nicht verändert hast, ist es immer mail.domain.tld

Danke, falls man sich nicht mehr daran errinert, gibt es irgendwo eine Datei wo man das nachträglich einsehen kann?

[Zypr]

Quote:

Originally Posted by -skyDIVE

Danke, falls man sich nicht mehr daran errinert, gibt es irgendwo eine Datei wo man das nachträglich einsehen kann?

Ich habe gerade nachgeschaut. Es macht keinen Unterschied ob du es verändert hast oder nicht, im System ist es immer mail.domain.tld. Wenn, dann müsstest du es per Hand direkt in den Configs ändern, ergo wüsstest du es also (Falls nicht, würde ich mir Gedanken machen und es suchen)

[-skyDIVE]

ich gebs einfach auf mit hotmail, sie möchten wohl einfach keine mails empfangen oder ich bin zu dumm fürs einstellen -.-

[MrXellos]

Ich kriege jetzt einen Error weil shellshocker.net down ist und https://dl.google.com/dl/page-speed/psol/${NPS_VERSION}.tar.gz angeblich nicht im gzip Format ist.

[MasterMints]

Huhu,

echt Klasse von dir solch ein Skript netter Weise zu veröffentlichen. Da ich aber mein Server bereits eingerichtet hab bin ich wohl erst einmal für den Script ausgeschlossen... Sehr schade natürlich.

Du hattest noch erwähnt, dass du ein manuellen Tutorial dazu noch schreiben wolltest, wie sieht der derzeitige Stand hierzu aus?

Ansonsten würde ich folgenden Vorschlag zur Ergänzung im Script bitten:
- Standard-Absicherungen wie (Pubkey,Fail2ban,Portänderung,chroot,clamav(...).)
- Standard Anwendungen mit Absicherungen - MySQL, PHP, Nginx(war denk ich vorhanden mit Cache usw. wollts trotzdem erwähnen)
- Neueste Absicherungsmethoden wie DNSSEC
- DNS beifügen am besten alle 3 kombiniert wie Bind, Yadifa und Knot DNS
- Die Möglichkeit bestehende Sachen wie nginx vorher komplett zu löschen um diese dann zu überschreiben, damit eine frisch Installation nicht notwendig ist.

Die Fett markierten Vorschläge würde mir am nahesten liegen, auch wenn nur für eine manuelle Anleitung. Ich und sicherlich viele andere würden sich darüber wohl sehr freuen. Vielleicht findet sich am Ende dazu auch kleinere Spenden als Entlohnung.

PS: Ich hatte nicht die Motivation alle Kommentare gänzlich durchzulesen, somit entschuldige ich mich vorab, falls ich Fragen mit Antworten erneut stelle.

Grüße.

[Zypr]

Quote:

Originally Posted by MrXellos

Ich kriege jetzt einen Error weil shellshocker.net down ist und https://dl.google.com/dl/page-speed/psol/${NPS_VERSION}.tar.gz angeblich nicht im gzip Format ist.

Hallo MrXellos,

anscheinend hat shellshocker.net aktuell Probleme.. von daher habe ich das Skript einfach ins meins gepackt, damit dieser Step nicht mehr von einer externen Quelle abhängig ist.

Zu der gzip Geschichte kann ich nichts sagen, ich kann die Datei ganz normal laden und entpacken.

Gruß

Quote:

Originally Posted by MasterMints

Huhu,

echt Klasse von dir solch ein Skript netter Weise zu veröffentlichen. Da ich aber mein Server bereits eingerichtet hab bin ich wohl erst einmal für den Script ausgeschlossen... Sehr schade natürlich.

Du hattest noch erwähnt, dass du ein manuellen Tutorial dazu noch schreiben wolltest, wie sieht der derzeitige Stand hierzu aus?

Ansonsten würde ich folgenden Vorschlag zur Ergänzung im Script bitten:
- Standard-Absicherungen wie (Pubkey,Fail2ban,Portänderung,chroot,clamav(...).)
- Standard Anwendungen mit Absicherungen - MySQL, PHP, Nginx(war denk ich vorhanden mit Cache usw. wollts trotzdem erwähnen)
- Neueste Absicherungsmethoden wie DNSSEC
- DNS beifügen am besten alle 3 kombiniert wie Bind, Yadifa und Knot DNS
- Die Möglichkeit bestehende Sachen wie nginx vorher komplett zu löschen um diese dann zu überschreiben, damit eine frisch Installation nicht notwendig ist.

Die Fett markierten Vorschläge würde mir am nahesten liegen, auch wenn nur für eine manuelle Anleitung. Ich und sicherlich viele andere würden sich darüber wohl sehr freuen. Vielleicht findet sich am Ende dazu auch kleinere Spenden als Entlohnung.

PS: Ich hatte nicht die Motivation alle Kommentare gänzlich durchzulesen, somit entschuldige ich mich vorab, falls ich Fragen mit Antworten erneut stelle.

Grüße.

Hallo MasterMints,

danke für den Lob. Alle von dir genannten Standard-Absicherungen (außer chroot) und -Anwendungen werden genutzt. Chroot ist jetzt meiner Meinung nach nicht wirklich eine Absicherung. Wer möchte, kann für sich selbst irgendwelche Systeme virtualisiert laufen lassen, im Skript werde ich das nicht mit aufnehmen. DNSSEC ist so eine Sache, meiner Meinung nach nicht effektiv, da es kaum Clients/Systeme gibt die ohne zusätzliche Erweiterungen/Addons damit etwas anfangen können. Außerdem sind heute immer noch zu wenige große Betreiber ohne DNSSEC unterwegs. DNS-Server nehme auch nicht mit ins Skript, da es nicht mein Ziel ist. Wer solche Dienste betreiben möchte, kann sich selbst damit befassen.

Eine Schritt-für-Schritt Anleitung kommt irgendwann, allerdings habe ich aktuell in der sowieso schon zu knappen Freizeit nicht die Motivation um solch ein Tutorial zu schreiben. Das Skript werde ich in meinem nächsten Urlaub komplett überarbeiten und etwas "intelligenter" machen. So wird man einzelne Komponenten weglassen können oder diese updaten.

Gruß

[MrXellos]

Also jetzt krieg ich diesen Error

Code:

--2015-05-10 11:58:31--  https://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-034
Resolving ftp.gnu.org (ftp.gnu.org)... 208.118.235.20, 2001:4830:134:3::b
Connecting to ftp.gnu.org (ftp.gnu.org)|208.118.235.20|:443... connected.
HTTP request sent, awaiting response... 404 Not Found
2015-05-10 11:58:32 ERROR 404: Not Found.

[A+K]

Huhu,

ist es möglich bei einem frischen vServer bzw. Root Server (bin mir noch nicht ganz schlüssig) das Skript anzuwenden und danach Plesk zu installieren, oder hebelt Plesk Sachen aus / überschreibt diese?


Grüße

[Zypr]

Quote:

Originally Posted by MrXellos

Also jetzt krieg ich diesen Error

Code:

--2015-05-10 11:58:31--  https://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-034
Resolving ftp.gnu.org (ftp.gnu.org)... 208.118.235.20, 2001:4830:134:3::b
Connecting to ftp.gnu.org (ftp.gnu.org)|208.118.235.20|:443... connected.
HTTP request sent, awaiting response... 404 Not Found
2015-05-10 11:58:32 ERROR 404: Not Found.

Hallo,

bei mir läuft es ohne Probleme, kein Fehler zu erkennen. Kann sein, dass der Webserver kurzzeitig nicht erreichbar war.

Quote:

Originally Posted by SnakeMedia

Huhu,

ist es möglich bei einem frischen vServer bzw. Root Server (bin mir noch nicht ganz schlüssig) das Skript anzuwenden und danach Plesk zu installieren, oder hebelt Plesk Sachen aus / überschreibt diese?


Grüße

Ich habe Plesk noch nie manuell installiert, kann dir dazu also leider gar nichts sagen. Am besten du probierst es einfach mal aus. Als professioneller Hoster solltest du das eigentlich wissen.

Gruß

[A+K]

Kann den Fehler bestätigen.