• 08621 - 9 88 30 88

Monatsarchiv September 2021

Voncubewerk

BATV und Probleme der Spamabwehr mit Exchange und MDN / Lesebestätigungen

Heutiger Fall, dass Mails unserer Kunden bei Reddox Mail-Gateways abgewiesen werden mit:

dsn=5.0.0, status=bounced (host ….] said: 550 Recipient not accepted. (BATV: no tag) (in reply to RCPT TO command))

Was ist passiert?

Der ursprüngliche Absender nutzt mit seinem Reddox-Spam-Gateway, BATV zur Bounceabwehr. Hier erhält jede ausgehende Mail folgenden Header:

Return-Path: <prvs=1901156906=absender@senderdomain.de>

Die Zahl ist ein individueller Code. Erhält das Reddox-Mailgateway eine Bounce-Mail eines fremden Servers, wird bei BATV erwartet, dass jede Mail an eine mit prvs=…. und Code hinterlegte Adresse zurück geschickt wird.

Trägt eine Mail keinen Code, geht Reddox/BATV davon aus, dass diese Mail nicht ursprünglich von diesem System verschickt wurde.

Dies hat jedoch zwei Desigsn-Schwächen:

Fordert der Absender beim Versand eine Lesebestätigung an vom Empfänger, ergänzt dieser dazu den Mailheader um:

Disposition-Notification-To: Ursprünglicher Absender <absender@senderdomain.de>

Jetzt sieht man hier schon das Problem. Bei Bounces muss der Absender immer <> – also leer sein um ein Ping-Pong von Bounces zu vermeiden. Der Empfänger der die Lesebestätigung beantwortet, schickt also folgende Nachricht los:

from=<>

to=

absender@senderdomain.de

Jetzt prüft der Empfänger ob die Mail einen prvs Code enthält, findet ihn nicht und lehnt die Mail ab.

Aus meiner Sicht gibt es bessere Methoden zur Bounce-Abwehr. Speziell weil in o.g. Fall, der Sender seine eigene angeforderte Lesebestätigung, durch den Design-Fehler von BATV, selbst ablehnt, wenn er eintrifft.

Voncubewerk

Netzwerkanmeldung – pre-logon an Domäne geht nicht mit User- oder Maschinenzertifikaten

Wie auch, am Anmeldeschirm weiß der PC noch nicht, welcher User überhaupt greifen soll.

Beim Maschinenzertifikat wird das Logon-Icon ebenso nicht angezeigt.

Voncubewerk

Fehler 798: Es konnte kein Zertifikat gefunden werden

Evtl. spuckt der TPM-Chip oder Virtualisierung im Bios des PCs dazwischen. So gesehen heute. Im Bios TPM, VTD,VTX und Virtualisierung deaktivieren. Dann gings bei uns.

Siehe:

https://social.technet.microsoft.com/Forums/de-DE/870fa799-1b1c-49c1-80de-08a019c36c57/fehler-798-es-konnte-kein-zertifikat-gefunden-werden-eap-nach-dem-sperren-des-pcs?forum=win10itprogeneralDE

Voncubewerk

pfsense dyndns ip update not working

The dyndns-module in pfsense has to ways to detect an public ip-change. Either the WAN-interface goes down/up OR a cron-job runs.

By default if your wan-interface is behind a router ans has a private ip address, the interface is never put down.

So you can only rely on the daily cronjob.

11***root/usr/bin/nice -n20 /etc/rc.dyndns.update

So it is running everyday at 1:01 at night.

If your public ip changes – lets say at 3 o clock, the cronjob is not quite helpful.

Please keep in mind, that running the cronjob too often will most likely get you blocked by your dyndns-provider.

Either make sure that the cron-job runs AFTER your daily ISP-disconnect (that can usuall be scheduled e.g. in fritzbox) or only run in every hour.

Cronjobs in pfsense can be edited by installing the cron-package via package-manager. Then you will find all cronjobs via Service -> cron.

Voncubewerk

shadow_copy2, Windows-Schattenkopien mit Univention/UCS/Linux abbilden

Wir liefern ab Version 5 von UCS alle Kundeninstallationen mit der Schattenkopienoption aus. Wenn dies auch für Ihr Unternehmen interessant ist, freuen wir uns über Ihren Anruf.

Voncubewerk

Lets-Encrypt Zertifikatsablauf ab 29.09.21 – DST Root CA X3 und ISRG Root CA – Howto – Was ist zu tun?

Lets-Encrypt unterschreibt alle ausgestellten SSL-Zertifikate seit Jahren gleichzeitig durch 2 unterschiedliche Zertifizierungsstellen. Einmal mit ihrer eigenen ISRG Root CA und einmal mit der jetzt auslaufenden DST Root CA X3.

Beiden Zertifizierungsstellen trauen die Browser gleichermaßen (bis auf wenige alte Endgeräte). Man findet beide CAs z.B. im Firefox:


Was passiert nach dem 29. September 2021 und wie lässt sich dies vorab testen?

Markier dazu die DST Root CA im Browser (Einstellungen -> Zertifikate) und entferne die Vertrauenswürdigkeit.

Ab dann siehst du im Browser, dass dieser automatisch auf ISRG Root X1 umspringt.