TheNomad11

  • Joined Dec 4, 2022
  • 0 discussions
  • 7 posts
  • 0 best answers
  • Post posted... wait what?
  • In Konfig Verbessern für internet.nl

    Ruppel Mein Mailserver (MX) ist wohl nicht mit seiner IPV6 Adresse auf Port 25 erreichbar.

    Wenn der Server für IPv6 konfiguriert ist, läuft das mit mailcow eigentlich out-of-the-box und ohne Änderung irgendwelcher Bindings. Man muss im Gegenteil sogar einiges tun, um IPv6 zu deaktivieren.

    Ruppel Error starting userland proxy: listen tcp6 [::]:4190: bind: address already in use

    Da lauscht offenbar schon etwas auf Port 4190.

    Ruppel Hier mäkelt er “TLS version” und “Ciphers (Algorithm selections)” an.
    Anscheinend erlaube ich TLS 1.1 und/oder TLS 1.0.

    Das ist normal und hat bei internet.nl keine Auswirkung auf die Punktzahl. Ich komme auf 100 und habe diesen Hinweis ebenfalls. Du musst entscheiden, ob du riskieren möchtest, ggf. für andere Mailserver, die noch ältere Verfahren einsetzen, nicht mehr erreichbar zu sein. Man könnte auch sagen, besser eine nicht mehr ganz so gute als gar keine Verschlüsselung.

    internet.nl schreibt ja auch selbst: “Note that quite some mail servers only support older TLS versions. If the sending and receiving mail server both do not support the same TLS version, they will usually fall back to unencrypted mail transport. Because of that it could be advisable to keep supporting TLS versions with a ‘phase out’ status for a while. Make an informed decision based on log data on when to disable these ‘phase out’ TLS versions.”

    Ruppel Ein rotes Schild habe ich bei “Key exchange parameters”.
    Er behauptet mein MX Server nutzt “DH-2048” und das sei “insufficient”.

    mailcow verwendet standardmäßig DH-2048-Parameter unbekannten Ursprungs, die initial aus data/assets/ssl-example nach data/assets/ssl kopiert werden.

    Ich hab sie bei mir durch eine 4096-bit-Gruppe gemäß RFC 7919 ersetzt:
    internetstandards/dhe_groups

    Ruppel Auch ein rotes Schild habe ich bei “DANE existance”.
    Wenn mir da einer einen Hint geben kann, wie die Schritte zur Erfüllung dieser Anforderung für Mailcow aussehen, dann wäre ich sehr glücklich.

    DANE ist relativ komplex und unabhängig von mailcow einzurichten. Du benötigst auf jeden Fall DNSSEC für deine Domain(s). Dann legst du TLSA-Records im DNS an, die Hashwerte deiner eingesetzten Zertifikate enthalten. Ein Client kann darüber unabhängig prüfen, ob die Zertifikate der Gegenstelle valide sind. Hier ist ein guter Einstieg: thomas-leister.de Icon DANE und TLSA DNS-Records erklärt

    thomas-leister.de Icon thomas-leister.de
    DANE und TLSA DNS-Records erklärt
    Das persönliche Weblog zu den Themen Linux, Server und freier / offener Software

            • In Monitor Solr?

              TheNomad11

              New Relic looks pretty slick, but for me it’s not as turnkey1 for me as advertised, since I’m running Arch Linux on my VPS (a choice I still don’t regret). Basically, I’m having to install everything manually, and I’m not quite there yet. New Relic identified two gaps in my implementation since their manual guide seems a bit incomplete, not everything you need is installed using their manual tarball method and their instructions for doing it manually aren’t all in the same place. I’ve tried both methods, as a docker compose service in my non-mailcow stack, and as a standalone Linux service.

              For everything thus far at least for the standalone Linux service, I’ve set up PKGBUILDs (Arch Build System scripts) that just install the pre-compiled binaries available from the New Relic GitHub site (it’s all Apache 2.0 licensed). My next step is to install their packaged version of FluentBit. Not sure why FluentBit isn’t part of their docker image, I haven’t found instructions on how to install it as a separate service using the New Relic flavor (which is a minor release and several patch releases behind the latest stable FluentBit).

              1: “Turnkey” means you install it using their Guided Install method, and they bundle everything together (or install it outright) so you don’t have to fiddle with it too much to get started. If you run Ubuntu, Debian, Red Hat/CentOS/etc., or SuSE, it should work out of the box, just run their install script and it will do everything for you. Sadly they don’t have Arch as a supported platform, so I’m doing everything myself.

              • In Monitor Solr?

                So, no one responded to this topic. I did my own research, and found qovery.com Icon this blog post

                qovery.com Icon qovery.com
                The Best Tools for Monitoring Your Docker Container in 2023
                This in-depth roundup will cover a few of the best open-source and proprietary tools for monitoring the performance and utilization of your Docker containers.
                qovery.com
                discussing some options for container monitoring. Also, in the same search I found an ad for New Relic, which appears to be more turnkey and their free tier seems to be just what I need.

                I’m going to give New Relic a try. If I’m ultimately dissatisfied with it, I can explore the other options for open source container monitoring.

                • In All mails become status read