Hi,
ich hab grade ein Domain gekauft (hintergrund: mailversand über smtp meckert immer das kein FQDN da ist) und will die mit der IP des Servers verbinden. Muss ich auf meinem server noch irgendwas anpassen, muss ich dem irgendwie generell sagen DU bist jetzt Domein www.xyz.de ?
Danke und Grüße Robert
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On Wed, Oct 14, 2009 at 11:18:24PM +0200, Robert wrote:
ich hab grade ein Domain gekauft (hintergrund: mailversand über smtp meckert immer das kein FQDN da ist) und will die mit der IP des Servers verbinden. Muss ich auf meinem server noch irgendwas anpassen, muss ich dem irgendwie generell sagen DU bist jetzt Domein www.xyz.de ?
Die Information ist etwas unkonkret. Welche IP-Adressen zu welchen Hostnamen in einer Domain gehören (A-, bzw. AAAA-Records) und welche Hosts für den Mailempfang einer Domain zuständig sind (MX-Records), wird in dem für die Domain zuständigen DNS-Server (Nameserver) definiert. Welche DNS-Server für deine Domain zuständig sind, findest du über die Whois-Abfrage der Registry (z.B. denic für .de-Domains) raus. Normalerweise gibst du die Nameserver bei der Registrierung mit an.
Einem MTA (Postfix, exim, sendmail & Co.) kannst du normalerweise mitteilen, für welche Hostnamen er sich zuständig fühlen soll, damit der weiß, dass der Mails an diese Hosts nicht woanders hinschicken soll.
Wenn du deine Frage noch etwas genauer formulierst, kann dir sicher auch konkreter geholfen werden.
Viele Grüße Jan
- -- Jan Dittberner - Debian Developer GPG-key: 4096R/558FB8DD 2009-05-10 B2FF 1D95 CE8F 7A22 DF4C F09B A73E 0055 558F B8DD http://www.dittberner.info/
On Wednesday 14 October 2009, Robert wrote:
ich hab grade ein Domain gekauft (hintergrund: mailversand über smtp meckert immer das kein FQDN da ist) und will die mit der IP des Servers verbinden. Muss ich auf meinem server noch irgendwas anpassen, muss ich dem irgendwie generell sagen DU bist jetzt Domein www.xyz.de ?
Forward (Name zu Nummer): Du musst über den Registrar (der wo Du die Domain her hast) der DeNIC (falls es .de ist) mitteilen welcher Nameserver die Domain verwaltet oder falls der Registrar das DNS hostet musst Du bei ihm eintragen welche IP mit der Domain gemeint ist.
Reverse (Nummer zu Name): kann man normalerweise nicht beeinflussen. Die Reverse-Auflösung passiert bei dem Provider, der Dir die IP-Adresse gibt.
Lokaler Hostname: muss auf eine lokale IP auflösen. Ist aber egal welcher der passenden Namen es ist.
Mailserver: wie das exakt geht kommt auf Deinen MTA an. Der muss auf jeden Fall wissen für welche Domains er zuständig ist und welche Domain er einsetzt, wenn der MUA keine angibt (eine der ersteren). Bei anderen Servern meldet er sich mit IP und einem beliebigen Namen, der vom Zielserver weitestgehend ignoriert wird.
Welchen MTA verwendest Du denn?
Firewall: hat absolut nix mit Namen zu tun, ist aber wichtig! ;-)
Konrad
Hi,
Konrad Rosenbaum schrieb:
On Wednesday 14 October 2009, Robert wrote:
ich hab grade ein Domain gekauft (hintergrund: mailversand über smtp meckert immer das kein FQDN da ist) und will die mit der IP des Servers verbinden. Muss ich auf meinem server noch irgendwas anpassen, muss ich dem irgendwie generell sagen DU bist jetzt Domein www.xyz.de ?
Forward (Name zu Nummer): Du musst über den Registrar (der wo Du die Domain her hast) der DeNIC (falls es .de ist) mitteilen welcher Nameserver die Domain verwaltet oder falls der Registrar das DNS hostet musst Du bei ihm eintragen welche IP mit der Domain gemeint ist.
DNS macht der Registrar (1und1 inclusiv Domain zum DSL-Anschluß). IP ist mein V-Server im RZ. (IP: 77.37.xx.xx) Ich hab im 1und1 webfrontend die IP vom VServer eingetragen. (denke die Weiterleitung Name->Nummer ist nich das Problem wird funktionieren)
Mailserver: wie das exakt geht kommt auf Deinen MTA an. Der muss auf jeden Fall wissen für welche Domains er zuständig ist und welche Domain er einsetzt,
MTA ist ein externer Email provider.
wenn der MUA keine angibt (eine der ersteren). Bei anderen Servern meldet er sich mit IP und einem beliebigen Namen, der vom Zielserver weitestgehend ignoriert wird.
Welchen MTA verwendest Du denn?
Wenn ich es richtig verstanden habe ist mein MUA meine Forensoftware (die ein mailinterface hat) der ich gesagt hab sie soll doch bitte SMTP zu meinem externen Mailanbieter machen. Die Forensoftware quitiert mir diesen Versuch immer mit der Meldung: OC: Invalid SMTP return code: 501 Syntactically invalid EHLO argument(s)
Die ich so interpretiere das der nicht vorhandene FQDN Probleme bei der Übertragung macht.
vG, Robert
On Thursday 15 October 2009 12:01:08 Robert wrote:
MTA ist ein externer Email provider.
wenn der MUA keine angibt (eine der ersteren). Bei anderen Servern meldet er sich mit IP und einem beliebigen Namen, der vom Zielserver weitestgehend ignoriert wird.
Welchen MTA verwendest Du denn?
Wenn ich es richtig verstanden habe ist mein MUA meine Forensoftware (die ein mailinterface hat) der ich gesagt hab sie soll doch bitte SMTP zu meinem externen Mailanbieter machen. Die Forensoftware quitiert mir diesen Versuch immer mit der Meldung: OC: Invalid SMTP return code: 501 Syntactically invalid EHLO argument(s)
Die ich so interpretiere das der nicht vorhandene FQDN Probleme bei der Übertragung macht.
Ahhhhh. Jetzt wird es klar.
Die Forensoftware schreibt beim Handshake im SMTP Unsinn. Normalerweise macht das keine Probleme, aber ein paar MTAs sind paranoid eingestellt.
Eine Lösung könnte diese sein: setze einen lokalen MTA (z.B. Exim oder Postfix) auf Deinem VServer auf und sage ihm dass er alle Mail an den externen Mailserver als Smarthost schicken soll. Probiere das mal mit dem Kommandozeilentool "mail" aus und berichte wenn es Probleme gibt (bitte etwas genauere Infos und Analyse diesmal!). Danach lenke Deine ForenSW auf localhost um.
Konrad
PS.: habe ich schon erwähnt, dass eine Firewall praktisch ist?
Konrad Rosenbaum schrieb:
On Thursday 15 October 2009 12:01:08 Robert wrote:
MTA ist ein externer Email provider.
wenn der MUA keine angibt (eine der ersteren). Bei anderen Servern meldet er sich mit IP und einem beliebigen Namen, der vom Zielserver weitestgehend ignoriert wird.
Welchen MTA verwendest Du denn?
Wenn ich es richtig verstanden habe ist mein MUA meine Forensoftware (die ein mailinterface hat) der ich gesagt hab sie soll doch bitte SMTP zu meinem externen Mailanbieter machen. Die Forensoftware quitiert mir diesen Versuch immer mit der Meldung: OC: Invalid SMTP return code: 501 Syntactically invalid EHLO argument(s)
Die ich so interpretiere das der nicht vorhandene FQDN Probleme bei der Übertragung macht.
Ahhhhh. Jetzt wird es klar.
Die Forensoftware schreibt beim Handshake im SMTP Unsinn. Normalerweise macht das keine Probleme, aber ein paar MTAs sind paranoid eingestellt.
Der ist es! Ich hab mit dem Anbieter geschrieben. ;)
Eine Lösung könnte diese sein: setze einen lokalen MTA (z.B. Exim oder Postfix) auf Deinem VServer auf und sage ihm dass er alle Mail an den externen Mailserver als Smarthost schicken soll. Probiere das mal mit dem Kommandozeilentool "mail" aus und berichte wenn es Probleme gibt (bitte etwas genauere Infos und Analyse diesmal!). Danach lenke Deine ForenSW auf localhost um.
Probiere ich. Genauso wie mehr infos zu liefern.. dazu brauch ich denn aber Hinweise welche Infos. Me -> DAU@playground!
PS.: habe ich schon erwähnt, dass eine Firewall praktisch ist?
Ja, in Deiner letzten Mail. Was Du mir damit *konkret* sagen willst hab ich aber nicht verstanden. Gehts um den PC mit dem ich die mails schreibe oder den VServer?
Danke und viele Grüße, Robert
On Thursday 15 October 2009, Robert wrote:
Konrad Rosenbaum schrieb:
PS.: habe ich schon erwähnt, dass eine Firewall praktisch ist?
Ja, in Deiner letzten Mail. Was Du mir damit *konkret* sagen willst hab ich aber nicht verstanden. Gehts um den PC mit dem ich die mails schreibe oder den VServer?
Beide natürlich. Aber primär der VServer.
Eine Anleitung gibt es zum Beispiel hier: http://silmor.de/58 Bei konkreten Fragen einfach hier mailen...
Tipp: sichere zuerst ein Desktop-System ab - da ist es nicht so schlimm, wenn man aus Versehen der SSH-Session den TCP-Support unter den Füßen wegzieht.
Scannen kannst Du z.B. mit nmap - jeder offene Port ist eine potentielle Einladung an Ganoven.
Auch wichtig: SSH-Angriffe sind sehr populär - der Angreifer versucht einfach hunderte von Kombinationen aus Nutzername und Passwort. Es gibt drei beliebte Lösungsmöglichkeiten: a) SSH nicht auf Port 22, sondern einem anderen Port (funktioniert nur gegen die Fischzug-Angriffe, nicht gegen persönliche Attacken, wird versagen sobald die Scanner besser werden); b) seeeehhhhhrrr laaaaaaaaannnnnnggggeeee Passworte (mind. 80 Zeichen, kleine/grosse Buchstaben, Sonderzeichen, Ziffern, keine Muster); c) nur public-key-Login erlauben (und natürlich den private key sichern)
Eine nette Zusammenfassung zum Thema habe ich vor einiger Zeit in Austin gehalten: http://silmor.de/19/image/security.pdf
Konrad
Auch wichtig: SSH-Angriffe sind sehr populär - der Angreifer versucht einfach hunderte von Kombinationen aus Nutzername und Passwort. Es gibt drei beliebte Lösungsmöglichkeiten: a) SSH nicht auf Port 22, sondern einem anderen Port (funktioniert nur gegen die Fischzug-Angriffe, nicht gegen persönliche Attacken, wird versagen sobald die Scanner besser werden); b) seeeehhhhhrrr laaaaaaaaannnnnnggggeeee Passworte (mind. 80 Zeichen, kleine/grosse Buchstaben, Sonderzeichen, Ziffern, keine Muster); c) nur public-key-Login erlauben (und natürlich den private key sichern)
naja d) man sichert ssh mit einen pochdienst ab ist min so gut wie anderer port
http://www.pro-linux.de/berichte/ssh-absichern.html könnte man auch mal überfliegen
andreas
Eine nette Zusammenfassung zum Thema habe ich vor einiger Zeit in Austin gehalten: http://silmor.de/19/image/security.pdf
Konrad
lug-dd@mailman.schlittermann.de