Jump to content
Froxlor Forum

Shortie

Members
  • Posts

    142
  • Joined

  • Last visited

  • Days Won

    27

Posts posted by Shortie

  1. 47 minutes ago, d00p said:

    ->

    $ dig aeroweb.con
    
    ; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> aeroweb.con
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 15469
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 65494
    ;; QUESTION SECTION:
    ;aeroweb.con.			IN	A

    this domain does not resolve to anything

    You should use .com instead of .con ūüėČ

    Quote

    ;; ANSWER SECTION:
    aeroweb.com.            176     IN      A       64.190.63.111

    ;; AUTHORITY SECTION:
    aeroweb.com.            172676  IN      NS      ns2.sedoparking.com.
    aeroweb.com.            172676  IN      NS      ns1.sedoparking.com.

     

  2. Auch ich sehe hier keine wirklichen Nutzen. Wenn ich als Firma den Zugriff auf die eigenen IP-Bereiche auf dem System einschr√§nken will, dann direkt √ľber Configfiles und nicht √ľber die Datenbank. Weiter kommt da hinzu, dass in Zeiten von Homeoffice das ganze schnell ausarten k√∂nnte und eher eine √ľber GeoIP Datenbanken gesteuerte Einschr√§nkung Sinn machen w√ľrde. Davon abgesehen mag das mit IPv4 ja noch machbar sein, aber mit IPv6 ist der Normaluser doch (noch) √ľberfordert.

    Solche Restiktionen sind meines Erachtens ein Relikt aus der Anfangszeit des Internets, als der Traffic zwischen den Providern noch Unsummen gekostet hat und man seine Kunden am besten √ľber die eigene Einwahlstruktur und Netze gezwungen hat, um die diese Kosten niedrig zu halten und die Kunden bei der Einwahl abrechnen zu k√∂nnen.

  3. 54 minutes ago, X-GER said:

    @Shortie:
    vielen Dank.
    E-Mails werden nun beim Erreichen der Quota abgelehnt.

    Was jetzt noch nicht funktioniert, ist der automatische Versand der quota-warning-de.sh
    Das manuelle Ausf√ľhren der Datei¬†quota-warn
    ing-de.sh (chmod 755) von der Konsole funktioniert problemlos.
    Also vermute ich, das dovecot das Script nicht automatisch ausf√ľhrt.¬†

    Hast Du da evtl. eine Lösung ?

    Abgelehnt werden die E-Mails und der Sender bekommt auch eine E-Mail mit "Quota exceeded (mailbox for user is full)" - richtig oder?

    Die quota-warning-de.sh (bei mir ist es chmod 700 - chown vmail :vmail) informiert ja nur den Mailboxeigent√ľmer - eher nice to have statt wirklich notwendig

    plugin {
      quota_warning = storage=95%% quota-warning 95 %u
    }

    hast du das mindestens auch drin?

  4. Als Anregung was bei mir relevantes drin ist und es ist schon lange her, dass ich es eingerichtet habe:

    plugin {
      quota_warning = storage=95%% quota-warning 95 %u
      quota_warning2 = storage=80%% quota-warning 80 %u
    }
    
    service quota-warning {
      executable = script /usr/local/bin/quota-warning-de.sh
      user = vmail
      unix_listener quota-warning {
        user = vmail
      }
    }
    
    plugin {
      quota = maildir:User quota
    }

     

    und wegen der Vollständigkeit noch um die Mailboxuser zu informieren /usr/local/sbin/quota-warning-de.sh:

    #!/bin/sh
    PERCENT=$1
    USER=$2
    cat << EOF | /usr/lib/dovecot/dovecot-lda -d $USER -o "plugin/quota=maildir:User quota:noenforcing"
    From: support@domain.de
    To: $USER
    Cc: support@domain.de
    Date: `date +"%a, %d %b %Y %H:%M:%S %z"`
    Subject: Quota-Warnung!
    
    
    Sehr geehrter Benutzer,
    
    das Postfach $USER ist zu $PERCENT% ausgelastet!
    
    Viele Gr√ľ√üe
    Ihr Support

     

  5. 21 minutes ago, d00p said:

    Nein, das muss pro Konto festgelegt werden. Und ob du ihm das dann setzen kannst/darfst/sollst h√§ngt von dir und den AGB die der Kunde akzeptiert hat ab. Ist z.b. eine feste Speichergr√∂√üe f√ľr seine Daten festgesetzt w√ľsste ich nicht wieso du die nicht auch umsetzen darfst

    Nun der Kunde hat bspw. 5GB Speicherplatz - wie er die aber nutzt und sich aufteilt gebe ich ihm nicht vor. Daher kann ich da im nachhinein nichts einschr√§nken. Einer der "Maximalkunden" nutzt da nur eine Webvisitenkarte und den Rest f√ľr 5 oder 6 E-Mail-Adressen und dort haben die Mailuser unterschiedliche Auslastungen, die ich ohne genauere Kenntnis eben nicht einsch√§tzen kann - au√üer dass einer alleine immer wieder √ľber die 5GB rausknallt (wohl ein Objektleiter). W√ľrde ich den festsetzen auf die maximalen 5GB w√§ren ja immer noch die anderen Mailnutzer die das Gesamtpaket √ľberschreiten.

  6. 2 hours ago, d00p said:

    Dann kannst du dem Kunden eine gesamt-quota zuweisen und der Kunde selbst kann pro Konto Einschränken wieviel Speicherplatz da pro Konto verwendet werden darf. Dovecot/Postfix lesen das direkt via SQL aus, da muss man gott sei dank nichts mit quotatool oder auf dem dateisystem machen

    Genau an dieser Umsetzung hänge ich auch aktuell mal wieder bei Bestandskunden. Wenn ich nun im Nachhinein eine Gesamtquota vergebe, aber der Kunde die Mailboxquota nicht setzt (und somit auf 0 bleibt) geht technisch nichts. E-Mails werden trotzdem zugestellt. Auch wenn er auf E-Mails (automatische "Speicherplatz voll" oder auch direkte Ansprache) nicht reagiert, kann / darf / sollte ich ihm ja nicht seine Verteilung vorgeben. Wenn die jeweiligen Mailbox-Quotas definiert sind, funktioniert die Ablehnung bei Mailbox full.

    Oder habe ich noch irgendwo eine Einstellung √ľbersehen, die nur das Gesamtquota f√ľr E-mails ber√ľcksichtigt?

  7. 23 minutes ago, Afox said:

    Danke f√ľr die Erkl√§rungen.

    Abseits davon habe ich noch eine Frage bez√ľglich des Slave und dessen Nutzungsh√§ufigkeit. Angenommen man hat ns1 als Primary und ns2 als Secondary angegeben. Wird dann immer der Primary zuerst kontaktiert oder ist das abwechselnd? Habe was von Round Robin gelesen. Ich frage auch weil ich √ľberlege einen deutlich schw√§cheren Secondary anzubieten, aber nur wenn der wirklich nur ein Backup ist f√ľr den Fall dass ns1 nicht erreichbar ist.

    Ist RR Prinzip. Was heißt denn deutlich schwächer und wieviele Domains soll der verwalten? DNS ist nicht so resourcenintensiv. Einer meiner DNS läuft seit mehr als 6 Jahren mit derselben Hardware und macht sonst nur Backupserver noch.

  8. 1 hour ago, Afox said:

    Die Config von dem Slave w√ľrde ich gerne mal sehen :D

    Da muss doch etwas geskripted sein?! Irgendwie mit rsync und Umschreibungen oder so...

    Die Config ist kein Hexenwerk und rsync usw. brauchst du nicht. Lediglich ein Script auf dem Slave was dir die Domain / Zone (siehe mein Post weiter oben) in die named.conf.slave (oder wie du die immer nennen magst) eintr√§gt und bind neu startet. Dann holt der Slave sich die Zone automatisch √ľber AXFR vom Master.

    Mein DNS l√§uft unabh√§ngig von Froxlor und sieht grob ausgedr√ľckt so aus:

    Auf dem Master habe ich ein Script was mir die Domain in named.conf.master eintr√§gt und die Zonendatei aus einem Template erstellt (sed f√ľr das Datum in der Seriennummer usw.), dann den bind neustartet und √ľber ssh gleich noch das Script auf den Slave mit zwei Parametern (Domainname und IP des Masters) aufruft.

  9. 2 hours ago, d00p said:

    Also wir nutzen 2 externe slaves die wir nicht verwalten und ich w√ľsste nich das wir da irgendwo irgendwas an domains eingetragen/gemeldet/oder sonstwas haben. Also muss es ja irgendwas geben was eingehende AXFR entsprechend so handlet das der Slave sie kennt - hat halt sogesehen nicht mehr allzuviel mit froxlor ansich zu tun, da kann ich dir nur bedingt helfen

    Dann ist es klar, dass ihr nichts tun m√ľsst. Vermutlich wird beim anmelden oder registrieren der Domain gleich automatisch der Slave bereitgestellt.

  10. 3 hours ago, d00p said:

    H√§? Garnicht, du sagst dem slave nat√ľrlich wer sein master ist...sonst nix, du gibst doch da keine domains/zonen speziell an

    ich mu√ü doch dem Slave eine Konfiguration mitgeben, dass dieser wei√ü dass er f√ľr eine Domain zust√§ndig ist:

    # Slave zone statement for forward DNS lookup
    zone "domain.com" IN {
            type slave;
            file "domain.com";
            masters { 192.168.2.5; };
    };

    und diese Konfiguration geht meines Wissens nicht automatisch aus bind, sondern nur √ľber externe Scripte oder dein Registrar wenn dort der Slave l√§uft (bspw. bei Schlundtech oder InternetX m√∂glich).

  11. On 10/15/2021 at 1:02 PM, d00p said:

    Was glaubst du wozu AXFR da ist?

    Ich mach da auf den Slaves genau nix

    Wie sagst du einem Slave automatisch dass er f√ľr eine Domain / Zone zust√§ndig ist?

    AXFR macht doch nur Zonen-Updates oder hab ich was √ľbersehen?

  12. 1 hour ago, Afox said:

    Bez√ľglich des DNS Server bin ich noch √ľber ein "Problem" gestolpert. Und zwar habe ich bei meinen Domains teilweise auch private IP Adressen hinterlegt und gesehen dass diese ebenfalls in den Records auftauchen. Frage w√§re ob es m√∂glich w√§re diese privaten Bereiche auszuschlie√üen/zu entfernen?

     

    Wird mit Froxlor generierten Zonen und Configs wahrscheinlich nicht gehen, aber generell geht das.
    BIND 9 kann das in Abh√§ngigkeit des Clients - also woher die Abfrage kommt. Das bedeutet Du musst ACLs und Views einf√ľhren. Schau dir Example 2 in folgendem Link an:

    https://kb.isc.org/docs/aa-00851

  13. Kleiner Hinweis: Offene DNS Resolver sind nicht so gerne gesehen und unter Umständen ein Sicherheitsproblem.

    Daher sollten deine Nameserver nur f√ľr bestimmte IP-Adressen oder Netze rekursive Resolverdienste anbieten. Schwierig wird's also die ACL entsprechend aktuell zu halten, wenn deine Clients hinter einer dynamischen IP-Adresse sitzen.

  14. Vielleicht w√§re schon mal ein Ansatz, dass es im auf der linken Seite ein automatisches Untermen√ľ gibt um eigene Seiten aus einem vorgegebenen Verzeichnis (html oder auch php) einzubinden. F√§nde ich pers√∂nlich gut um eine Hilfe, bspw. ein Formular um eine Domain zu bestellen oder k√ľndigen oder einfach eine Liste von PDFs einzubinden.

  15. Wenn es nur um spezifische Dateien geht, geht auch das Apache Modul mod_maxminddb und die GeoLite2 Datenbank um die Zugriffe nur von Deutschland (oder beliebig anderen L√§ndern) aus zuzulassen. Das reduziert die Versuche ebenfalls innerhalb kurzer Zeit erheblich. Allerdings sollte man nat√ľrlich wissen von wo aus die eigenen Kunden zugreifen.

    .htaccess Beispiel f√ľr Wordpress:

    <IfModule mod_maxminddb.c>
    MaxMindDBEnable On
    MaxMindDBFile DB /usr/share/GeoIP/GeoLite2-Country.mmdb
    MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code
    SetEnvIf MM_COUNTRY_CODE ^(AT|CH|DE) AllowCountry
    </IfModule>
    
    <IfModule mod_authz_core.c>
    <Files wp-login.php>
    Require env AllowCountry
    </Files>
    <Files xmlrpc.php>
    Require all denied
    </Files>
    </IfModule>
    
    # BEGIN WordPress
    # Die Anweisungen ...

    Zugriffe auf wp-login.php aus deutschsprachigen Länder (DE, AT, CH) werden zugelassen.

    Zugriffe auf xmlrpc.php komplett abgelehnt.

×
×
  • Create New...