Jump to content
Froxlor Forum


  • Posts

  • Joined

  • Last visited

  • Days Won


Everything posted by df8oe

  1. OK - das bringt Licht ins Dunkel - danke! Da in den Datenbanken von Froxlor ja schon private und öffentliche Schlüssel für jede Domain gepflegt werden hätte ich eine Idee, wie man das mit der Amavis-Technik (die ich übrigens sehr cool finde) vereinbaren könnte... Es werden doch schon per cron-job Dateien für den alten Indianer gepflegt. Im Prinzip bräuchte man diesen Automaten leicht abgewandelt nur für eine Datei /etc/amavis/conf.d/66-froxlor_dkim in der nach jeder Änderung einfach die Schlüsselzuordnungen neu geschrieben werden. Also Einträge genau der Form wie Du sie oben gepostet hast. Ich habe mal eine solche Datei angelegt, Amavis neu gestartet und alles läuft wie vorgesehen. Man könnte als "Goodie" in der Froxlor-Konfig noch auswählbar machen ob man für alle Domains ein gemeinsames Schlüsselpaar oder für jede Domain ein eigenes pflegt und dann wäre die Integration fertig. Kein zusätzliches DKIM-Paket nötig. LG DF8OE
  2. Hallo liebe Community, ich habe einen Server mit 40 Domains, verwaltet mit Froxlor. Ich habe vor DKIM einzuführen. Alle Domains senden über einen gemeinsamen Mailserver / eine gemeinsame Maildomain. Nennen wir den Server mail.abcd.de. Dies ist der Server wie er in den mx-Records und auch als reverse lookup eingetragen ist. So läuft das seit Jahren einwandfrei. Alle 30 Doamins mit ihren geschätzten 120 Mailadressen verwenden diesen Mailserver. SPF ist aktiviert und funktioniert. Ich möchte nun gerne die Mails zusätzlich per DKIM signieren. Dafür habe ich für die Domain abcd.de einen Schlüssel erstellt und den öffentlichen Teil im DNS-Record von abcd.de als txt eingetragen. Ein Versenden mit einer Emailadresse xyz@abcd.de funktioniert auch bereits DKIM-signiert. Wenn ich dieses Feature nun auch für alle anderen erlaubten Domains nutzen möchte: Muss ich dann für jede Domain einen eigenen Schlüssel erzeugen und bei der betreffenden Domain hinterlegen? Das wäre sehr aufwändig... Besser wäre es wenn ich für alle Domains den gleichen Schlüssel verwenden könnte. Und wenn ich den schon bei abcd.de im DNS eingetragen habe: reicht das nicht? Muss ich den bei jeder Domain einzeln eintragen? Wenn es so ist: ok, 10 Minuten c&p und alles geht. Nur: wie sage ich amavis dass es für alle Domains den gleichen Schlüssel nehmen soll? Bislang lehnt amavis kategorisch alles Domains außer abcd.de zum DKIM-signieren ab. Klar könnte ich für alle Domains einen Symlink auf den ersten Schlüssel legen - müsste dann aber auch für jede Domain einen eigenen Eintrag in /etc/amavis/conf.d/20-debian-defaults anlegen und pflegen. Das wäre doch sehr umständlich. Also der "Traumwunsch" wäre es: - einen Schlüssel für die Domain des Mailservers abcd.de - alle anderen Domains, denen erlaubt ist über diesen Server zu senden benutzen den gleichen Schlüssel (s.o.) - ich brauche die Domains nicht alle einzeln aufzuführen in irgendeiner Konfig In den DNS Records jeder Domain habe ich den Mailserver abcd.de ja bereits eingetragen. Geht das so?
  3. Maybe there is an understanding problem how dkim has to work. I will go to "German discussion" because that makes it easier for me
  4. Regarding port: there was a simple typo in postfix/master.cf in section "submission". Corrected now. Additional info after I have cranked up log levels. Now I see these two lines in amavis log which may declare - but I do not understnad: Aug 1 12:31:38 myserver amavis[31973]: (31973-01) dkim: candidate originators: From:<info@ballaballa.com> Aug 1 12:31:38 myserver amavis[31973]: (31973-01) dkim: not signing, empty signing domain, From: <info@ballaballa.com> Test if mail has to be signed is coming via port 10023. No other tests should be done. How can I disable domain based tests? I thought declaring a policy_bank is sufficient...
  5. I am little far now... It seems that the lines submission inet n - n - - smtpd -o cleanup_service_name=cleanup_submission (...snip...) -o content_filter=smtp-amavis:[]:10023 are not sufficient that postfix transfers outgoing mails via port 10023 to amavis. There is no traffic on this port when I send a mail - but identification for amavis to sign dkim is incoming on port 10023. What can override my setting for postfix?
  6. I want to start dkim signing. I know that is not related to froxlor in secific but it may fail because of froxlor settings for postfix... I have followed instructions I found here: https://kb.kolabenterprise.com/guides/configure-dkim-signing-and-verification-using-amavis There is no error to see in the logs, but messages are not signed. I tried to increase log_level of amavis and I cannot see there is any try to sing messages. Related per package for DKIM is installed and shown up correctly when amavis starts. Any advice is highly welcome... Best regards df8oe
  7. Done. But I have choosen another way: - changing customer ids in froxlors database tables mail_users, mail_virtual, panel_databases and panel_domains - aligning informations in panel customers (number of databases, email, subdomains e.g.) - changing paths (replacing old customer name in paths by new one) - changing names of databases - moving mail folders to new position (no changing of owners and permissions neccessary) - moving webfolders to new position (ownership of files must be aligned to new owner) - aligning static paths in webcontent to new one (one bash line using 'sed') - aligning paths (e.g. for attachments) that are stored in CMS and forums databases of customer That all took 15 minutes. At last I changed one setting in froxlor domain panel so that froxlor initiates cron job - and after cron run everything was transferred to new customer. All pages are working, all old emails are swapped, everything is working as expected. I think it is possible to do all this by php instead of by hand - but I do not know if the function is important. Disclaimer: if you follow this way please make a backup before changing anything. I cannot guarantee if it works under all circumstances - for me it is doing the job.
  8. I have already reverted manually changings in froxlor database. Resources of customer are all set to infintely... I think it will be much easier to delete the domains and subdomains and add them at the right customer later.
  9. I have tried. First I have added new customer: successfully. Then I tried to add a NEW domain. New customer appears in the list of domain holders. Then I went to an existing domain and tried to move it to new customer: New customer does NOT appear in the dropdown list of possible domain holders??!! OK - strange. Very strange. Then I modified froxlor database manually and changed customer id in domain. Now the domains appear in customers froxlor panel - fine. But if I call them in admin frroxlor panel they are still displayed as owned by old customer - strange again. I have not seen where froxlor gets this information - it cannot be out of the panel_domains table. It seems so that the function for transferring domains to another customer are not working as expected...
  10. What about existing subdomains which already exist? Are they moved, too?
  11. My intention is every time "first English". I am working as maintainer for an amateur radio firmware project hosted on github and if we want to get contributors we must speak English. I think froxlor is a piece of software that is used all over the world so maybe the problem is in interest of English speaking pepole, too...
  12. That is dependent to the sight of view. I can understand your state - but in the case a full working domain and everything that is related to it shall move from one customer to another databases and emails must be moved, too. In my case there is a "eingetragener Verein" who owns some domains is splitted up to two "eingetragene Vereine" and so some domains must move to new customers. There is no problem by hijacking anything - it must be a clear splitting up for *the future*. If they do not trust each other email passwords can be changed in the froxlor panel for each customer by himself. I will investigate and maybe it is not as difficult. I already have taken a look at the related froxlor databases and I think it is little changing within them.
  13. Databases should be moved, too because of many CMS only work using databases. Of course it is possible to use old database settings - but in this case the old owner can access the database which is not intended. I will take a look if I can solve that by changing the froxlor database settings via phpmyadmin @root to swap ownership to new customer. Or simply make a backup of database, remove old database and create a new one at new customers settings... Emailaddresses should move, too because they are part of that a user calls "domain". So I will take a look if I simply can move dovecot folders to new customer and change permissions. then I will change settings via phpmyadmin in froxlor database. There is already much work done when all domain related settings are migrated. Setting path by hand is much less problem. Many thanks for your help and informations - all that will make process easier
  14. Very nice feature - I haven't recognized before... Some questions about it: 1) databases What happens to databases? Are they moved, too? Are they renamed? What about the passwords for databases? 2) emailadresses Are they moved, too? Passwords are transferred? New empty mail structure folders created? If so: Can I simply move the contents of the old mailfolder to the new position and change owners to keep old mails alive? 3) webcontent Is old configuration (lets encrypt, target folders) transferred unmodified so that I only must match the paths to new position? Of course everything in the webcontents itself must be aligned manually, too. Froxlor is very mighty
  15. Hi to all, I do have some domains working with froxlor which are owned by customer xx. Now these domains including the mail accounts must be seperated and added to user yyy on my server. I have not seen any possibility to do this "automated". Before I damage all I am asking here I would start this like this: - copy all folders containing website stuff from folder /var/kunden/www/xxx to /var/kunden/www/yyy - chown all the files and folders to user yyy - changing possibly static paths in any php (or similar) settings from /var/kunden/www/xxx/ to /var/kunden/www/yyy/ - delete domain in froxlor panel from user xxx - create domain in froxlor panel for user yyy (including lets-encrypt settings and so on) Hopefully this will do it for running the websites again. But now there are the email addresses, which are running on dovecot. There are 5 email addresses with hundreds of emails present which must move from xxx to yyy. I am not sure how to manage that. Possibly this way? - after moving domain from xxx to yyy creating email address in froxlor panel for user yyy - moving complete dovecot-folder from /var/kunden/mail/xxx/ to /var/kunden/mail/yyy/ - chowning the folders and files ?? can this do the job?? Best regards df8oe
  16. Danke für den Stupser. Ich hatte mich nur nicht getraut das auszuprobieren (ist halt ein Produktivsystem...) Mit deiner Bestätigung ist das für mich die "Lizenz zum Probieren" Danke! LG DF8OE
  17. Moin an die Community, aktuell habe ich Apache2 mit mod_php @Debian Stretch am Laufen. Es stellt sich aber immer mehr heraus dass ich für unterschiedliche Kunden unterschiedliche php-Versionen vorhalten muss. Alleine schon für mich selbst: So kann ich auf bestimmten Domains ältere php-Scripte an neue php-Versionen anpassen bevor es brenzlig wird... Ich habe mehrere Möglichkeiten im web gefunden, wie man das realisieren kann. Man kann mittels mod_proxy arbeiten und den unterschiedlichen Versionen unterschiedliche Ports geben - oder mit socks (mir am sympathischsten). Ich habe auch schon gefunden, wie man Froxlor auf php-fpm umstellt. Aber in allen Fundstellen ist immer nur die Rede von EINER php-Version, und in die Zeile zum Neustart von php kann man doch sicher auch nur einen Pfad eintragen, oder? Kann mich jemand auf einen Link stupsen, wie man mehrere php-Versionen mittels php-fpm und Froxlor hinbekommt? Und ob die php-Versionen dann via Froxlor per Domain oder via htacess gesteuert werden? LG DF8OE
  18. Gut. Dann ist die Einstellung meiner Wahl Ich weiß nicht, wie viele darüber schon gestolpert sind - aber ein Satz in den Einstellungen, dass das Anzeigen des Logs via Froxlor nur funktioniert, wenn das Log in mysql landet, wäre sicher nicht schlecht. Funktioniert. Vielen Dank df8oe
  19. Wenn ich das Log von "file" umstelle auf mysql - landen dann diese Einträge im Panel? Mit "auswerten" meinte ich "nur anzeigen" - aber eben über die Weboberfläche. Gruß df8oe
  20. Ich habe die Logs als file in /var/log/ eingerichtet, und es wird dort auch munter reingeschrieben. Im Webinterface "System-Log" von Froxlor herrscht jedoch gähnende Leere. Durch Zufall habe ich "Log leeren" angeklickt: da will er die Tabelle "panel_syslog" leeren. Aber wieso Tabelle? In den Logeinstellungen ist "file" und der entsprechende Pfad ausgewählt. Gibt es da ZWEI Stellen, an denen die Logeinstellungen ausgewertet werden und die sind nicht synchron? Gruß df8oe
  21. Tatsächlich. 5 Stunden gewartet - jetzt geht es. Nameserverproblem... Danke, dass Du mich auf den richtigen Weg geschickt hast Gruß df8oe
  22. Das liegt nicht bei mir. Der externe Nameserver reagiert je nachdem von wo aus ich ihn anfrufe anders. Ich warte einfach nochmal ab. Ich habe die Subdomain erst heute Morgen in den DNS Record eingetragen - ich vermute, dass sich hier "noch nicht alles rumgesprochen hat". Das ist vermutlich nicht nur ein Server, sondern ein Verbund, und je nachdem, von "wo aus ich reinkomme (von innerhalb der Serverfarm oder von Aussen) ist das Ergebnis anders. Danke für den goldrichtigen Tipp! Gruß df8oe
  23. Ja, mache ich. Weil ich auf zwei Subdomains je eine dynamische IP habe die der öffentliche Nameserver dann via meinem Nameserver auflöst. Deswegen ist bind9 aktiviert und hat auch für alle Hauptsomains und auch die betroffene Subdomain ein Zonefile. Er ist auch gestartet und läuft (wenn nicht würde mir das sofort auffallen weil die beiden dynamischen dann ins Nirwana laufen würden). Gruß df8oe
  24. Der Tipp war mal wieder gut. Wenn ich von extern auf die Subdomain zugreife, klappt es. Von intern nicht. Ein Ping vom Server auf die Subdomain bringt "unknown host". Alle anderen Domains dieses Servers (inkl. der Subdomains anderer Hauptdomains) sowie externen Domains wie google.de, gmx.de etc. werden 100% korrekt aufgelöst - nur diese eine Subdomain nicht. Die Subdomain ist aber im Apachen korrekt angelegt. Und in /etc/bind/domains ist auch ein entsprechendes Zonefile angelegt worden. Seltsamerweise sind bei allen anderen Subdomains (von anderen Hauptdomains) diese Probleme NICHT vorhanden (ich kann sie vom Server aus anpingen) - nur für diese Subdomain klappt das nicht. Wie kann denn das passieren?? Ratlos... Gruß df8oe
  25. Hallo an alle, ich mache irgendwas falsch und bekomme nicht raus was Letsencrypt läuft prima mit meinen Hauptdomains. Wenn ich ein neues Zertifikat erstellen will wähle ich als Alias immer "www." - und nach wenigen Minuten ist das Zertifkat vorhanden und gültig. Nun haben mehrere meiner Domains Subdomains, die auf eigene Verzeichnisse zeigen. Via http auch kein Problem. Aktiviere ich https, dann bekomme ich die Fehlermeldung, dass das zertifikat auf abc.de ausgestellt ist und nicht auf cps.abc.de passt. Stimmt ja auch. Also setze ich einen Haken bei Letsencrypt und hoff(t)e, dass jetzt für diese Subdomain ein eigenes Zertifikat abgeholt wird. Ist zwar etwas umständlich - aber sollte funktionieren. Tut es aber nicht. Wenn ich jetzt 10 Minuten warte, werde ich von LE gesperrt wegen zu vieler Fehler. Also habe ich das Script mal zu Fuß angestoßen und mit debug Option ausgeführt. Leider bringt mich das auch nicht weiter. root@serverlein.de:~# php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt --debug [information] Updating Let's Encrypt certificates [information] Updating cps.abc.de [information] Adding SAN entry: cps.abc.de [information] letsencrypt Using 'https://acme-v01.api.letsencrypt.org' to generate certificate [information] letsencrypt Using existing account key [information] letsencrypt Starting certificate generation process for domains [information] letsencrypt Requesting challenge for cps.abc.de [information] letsencrypt Sending signed request to /acme/new-authz [information] letsencrypt Got challenge token for cps.abc.de [information] letsencrypt Token for cps.abc.de saved at /var/www/froxlor/.well-known/acme-challenge/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ and should be available at http://cps.abc.de/.well-known/acme-challenge/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ [error] letsencrypt Please check http://cps.abc.de/.well-known/acme-challenge/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ - token not available; PHP error: {"type":2,"message":"file_get_contents(http:\/\/cps.abc.de\/.well-known\/acme-challenge\/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ): failed to open stream: php_network_getaddresses: getaddrinfo failed: Name or service not known","file":"\/var\/www\/froxlor\/lib\/classes\/ssl\/class.lescript.php","line":232} [information] letsencrypt Sending request to challenge [information] letsencrypt Sending signed request to https://acme-v01.api.letsencrypt.org/acme/challenge/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I/1373449240 [information] letsencrypt Verification pending, sleeping 1s [error] Could not get Let's Encrypt certificate for cps.abc.de: Verification ended with error: {"identifier":{"type":"dns","value":"cps.abc.de"},"status":"invalid","expires":"2017-06-26T12:07:17Z","challenges":[{"type":"tls-sni-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I\/1373449238","token":"DTyJJkaHGRBFOaOG4UqVw4PHbhqaIF_hYiEEgr2L38k"},{"type":"dns-01","status":"pending","uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I\/1373449239","token":"Ji-qoXFFuz9oScAUrV-Kfn9lSzCYJCasrEqT6gksSxo"},{"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:unauthorized","detail":"Invalid response from http:\/\/cps.abc.de\/.well-known\/acme-challenge\/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ: \"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">\n<html><head>\n<title>404 Not Found<\/title>\n<\/head><body>\n<h1>Not Found<\/h1>\n<p\"","status":403},"uri":"https:\/\/acme-v01.api.letsencrypt.org\/acme\/challenge\/7010s4i9e1AGkPTA9sAQT4q_R2koLIsuvwMsZhjHI3I\/1373449240","token":"ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ","keyAuthorization":"ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ.nS70pz8z8isf-avL-LlRE26VFwKXSas2iA_NnvGaoGA","validationRecord":[{"url":"http:\/\/cps.abc.de\/.well-known\/acme-challenge\/ynUC1HXxrYZvZgCI9y1kc6AaTXZEv7HjoonkpPvyMvQ","hostname":"cps.abc.de","port":"80","addressesResolved":[""],"addressUsed":"","addressesTried":[]}]}],"combinations":[[1],[0],[2]]} [information] Let's Encrypt certificates have been updated [notice] Checking system's last guid root@serverlein.de:~# Wenn ich in .well-known... eine Test-HTML-Datei lege, kann ich mit http://cps.abc.de/.well-known.... darauf einwandfrei zugreifen. Das Verzeichnis liegt auch im Verzeichnis des Kunden, und der alte Apache kann drin rummalern. Ich habe sowohl probiert, die Subdomain "als Kunde anzulegen" (also als Subdomain von...) als auch als Admin und als Hauptdomain (also explizit NICHT als Subdomain zuzuweisen). Das Ergebnis ist dasselbe. Da Froxlor und LE ansonst einwandfrei laufen, kann ich mir nur vorstellen, dass bei LE auffällt, dass ich ein zweites Zertifikat mit der "Endung" abc.de anfordere und er sich da irgendwie verhakt. Aber das ist reine Glaskugelreiberei - aus den Logs kann ich das nicht entnehmen. Was mache ich grundsätzlich falsch? LG df8oe
  • Create New...