[Eisfair] [e64] mail extern

[Detlef Paschke]

Am 09.01.2022 um 17:39 schrieb Juergen Edner:
> Hallo Detlef,

Hallo Juergen,

> 
>> Das certs_dehydrated-Paket benutze ich in der Tat, der offene Port 80
>> ist dem aber gar nicht geschuldet. Wenn ich mich recht erinnere, könnte
>> ich bei meinem Domainanbieter auch einen entsprechenden DNS Eintrag
>> machen und letsencrypt bräuchte nicht den unverschlüsselten Zugang zur
>> Aktualisierung.
> 
> ich weiß ja nicht welches Protokoll Du im certs_dehydrated-Paket
> angegeben hast, jedoch wird für die Zertifikatsprüfung immer dann
> Port 80/tcp verwendet, wenn Du 'http-01' eingestellt hast. Bei
> Verwendung von 'dns-01' müsstest Du dir noch ein Skript bauen
> welches den DNS-TXT-Eintrag vor der Zertifikatsaktualisierung
> automatisch aktualisiert. Würdest Du dies nicht machen, wäre
> jedes Mal Handarbeit angesagt.

dann hatte ich das etwas falsch verstanden. Ich habe unverändert
'http-01'. Ich nahm an, das ich ein mal eine Veränderung am
DNS-TXT-Eintrag machen müsste (nach dem Motto, 'I ACCEPT THE AGREEMENT'
eintragen) um 'dns-01' nutzen zu können.
Vor hatte ich es ohnehin nicht und wenn der Eintrag jedes mal Angepasst
werden muss, dann erst recht nicht.

>> Wenn von außen mal ein Zugriff auf Mail notwendig ist, erfolgt der
>> ohnehin über https://.
> 
> Klar, jedoch könntest Du die Anzahl der Attacken reduzieren, wenn
> Du keinen Standardport verwendest ;-)

Nun gut, beim VHOST für Webmail (Roundcube) ist ohnehin
APACHE2_VHOST_4_SSL_FORCE='yes' eingestellt somit kommt man
unausweichlich nur über Port 443 rein.

Bei den VHOST "für Jedermann" ist Zugang über http: und https: (Port 80
oder 443) möglich. Ich denke, dass man damit leben kann.

> Gruß Jürgen

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu