Beiträge von Denny

  • App für iOS / Android

    Ja könnte man, ich befürchte nur das diese Schnittstellenproblematik mein Wissen in dem Bereich übersteigt, da bräuchte man jemanden mit KnowHow zumdem kommt, dass AbMob mich verwarnt hat das ich keine Werbung in emails in der App schalten darf, somit kann ich sie aktuell nicht monetisieren und ein Cookiehinweis müsste für Admob ohnehin eingebaut werden. Es werden immer mehr Regularien, einfach nur nervig

  • App für iOS / Android

    Aktuell die 2.1 also die mit Registrierung ist aber jetzt schon nicht mehr kompatibel mit dem neuen Android. Diese Warnung scheint sich aber nicht auf die App sondern auf die Schnittstelle zu beziehen. Die Meldung kommt von Firebase direkt. In dieser Mail heißt es, dass die Schnittstellen die die App verwendet eingestellt werden.

    • Your recent usage of impacted APIs/features: Server Keys
    • Your recent usage of impacted APIs/features: Legacy HTTP protocol

    -----------------------

    We’re writing to remind you that starting June 20, 2024 the legacy Firebase Cloud Messaging (FCM) APIs will be discontinued.

    What do you need to know?

    On June 20, 2024, we’re reducing the number of Firebase Cloud Messaging (FCM) legacy register APIs and legacy send APIs that provide similar functionality. This step will allow us to provide you with a more consistent experience and align with Google security standards to improve security, reliability and performance.


    Es gibt aufgelistete alternativen:

    Server keysalt: Authenticating requests with server keys.neu: Authenticate requests with access tokens generated from authorized service account
    Legacy HTTP Protocolalt: Sending messages via the Legacy HTTP API.neu: Send messages via the HTTP v1 API.

  • Fehler beim Update auf die aktuell RC

    Zitat von SLM

    Das ist auch mit ein Grund warum ich bislang kein Update gemacht habe. Einen mehrstündigen Ausfall kann ich meinen Kunden nicht zumuten. Deshalb wäre es eben wünschenswert, das Update manuell und ggfls. das DB-Upgrade im Hintergrund ausführen könnte.

    Ich habe optimize auskommentiert das dauert halt immer, kann man ja danach noch machen, genau wie ich beim user löschen jetzt aktuell die spamindex nicht mit lösche, dauert auch immer. Das letzte mal habe ich die Kisten 0:00 ausgemacht und 05:00 morgens war das update von 7.2 auf 7.4 durch dabei war das lange Update bei b1gmail 7.3 und das auf 7.4 dauert nur paar Minuten, ich weiß ja nicht wie lange es dann auf 7.4.1 dauert aber bestimmt nicht lange

  • B1gmail 7.2 Löschen von Usern

    Moin,

    ich habe immer noch einen alten Dienst der auf b1gmail 7.2 läuft ich suche aktuell jemanden der mir die Löschroutine von b1gmail 7.3 oder 7.4 in das System von 7.2 einbaut.

    Ich habe das Problem, dass ich 15TB Speicherplatz loswerden muss. Leider stürzt das System bereits beim Löschen eines Kontos ab vermutlich wegen der Suchzeit in der Datenbank. Ich hatte schonmal in einer Test Migration gesehen, dass das löschen trotz der großen Datenbank in b1gmail 7.3 funktioniert hat

    Eh ich mir jetzt einen bei Fivr beauftrage wollte ich fragen ob hier nicht einer Lust hat das gegen Bezahlung umzusetzen sofern das überhaupt geht.

  • 550 5.7.1 Forged HELO hostname detected

    Ich habe es häufiger das ich von Unternehmen angerufen oder angeschrieben werde. Hier kommt es ab und an zu Problemen mit dem Helo da die ja für mehrere Versenden. Ist das jetzt ein Problem des Checks oder die das Helo wirklich falsch. Eingestellt habe ich das mit Domain, komme da irgendwie nicht so klar mit, kann mir das mal einer genau erläutern. Ich war immer der Meinung der Server domain.de auch auch nur die Adressen mit domain.de versenden kann damit das angenommen wird.

    Code
    Remote Server returned '554 5.0.0 <mail.*****.de #5.0.0 smtp; 550 5.7.1 Forged HELO hostname detected>'
Ursprüngliche Nachrichtenköpfe:
Return-Path: <jobs@****.de>
Received: from [193.1xx.9.155] (port=47961 helo=S-MAIL16-1.****.local)        by smtp.xxxx.de with esmtps  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256        (Exim 4.96)        (envelope-from <jobs@****.de>)        id 1qQhkr-000534-38

  • SPF schlägt fehl, warum?

    Zitat von ManDal

    Aber hast du den Probleme wenn du E-Mails empfängst oder wenn du sendest?

    Was hast du den für Einstellungen im b1gMailServer?

    SMTP -> Sender Policy Framework (SPF)

    Wenn ich welche aus der Uni in Bamberg empfangen will, ich hatte SPF ablehnen und ja der SPF schlägt immer fehl bei denen.

    Code
    v=spf1 include:spf.mailex.uni-bamberg.de include:spf.emailsys.net -all

  • SPF schlägt fehl, warum?

    Code
    v=spf1 a mx ~all

    meist du das macht Probleme? Ich dachte eher das es an den includes bei denen liegt das sin viele viele IP verschachtelt, ich hab auf Domain und IP im Softfail, wir haben auch einen anderen Dienst probiert da klappts auch nicht

  • SPF schlägt fehl, warum?

    Moin,

    ich habe heute mal wieder eine Mail von einer Institution erhalten die keine Mails wegen dem SPF Check zustellen können, ich frage mich echt was hier schief läuft

    Code
    Received-SPF: Fail
    identity=test@uni-bamberg.de; client-ip=194.95.239.29;
    helo=c2302.mx.srv.dfn.de

    So wie ich das sehe, existiert der SPF über include, habs auf zwei Servern getestet. E-Mail Adresse ist geändert...

  • BruteForce

    Zitat von ManDal

    Das Problem ist halt das die Anfragen von unterschiedlichen IPs kommen und wenn dann nur 1-2 Versuche stattfinden pro IP kannst du das ganze unmöglich blocken da du sonst jeder normale Benutzer auch geblockt werden würde bei einem Anmeldeversuch.

    jo, ich habe halt die Netze direkt gesperrt wenn die nicht in Deutschland waren, ist halt so aber manche Provider die haben einfach hunderte Netze, ich hab mich da mit auch intensiver mit Notepad++ auseinandersetzten müssen, man bekommt mal nicht einfach ne IP liste schön als tabelle :D

  • BruteForce

    Erledigt, in den error log tauchte die ganze zeit eine Domain auf pandamail.shop und unser Server hat das SSL zurückgewiesen falsche SNI, geh ich auf die Seite sehe ich da unsere Seite also ein Mirroring über was der vermutlich Nutzerdaten abgreifen wollte, die Unterseiten leiten zwar alle über 301 weiter wegen HSTS nur die Startseite nicht, ich hab jetzt den Host eindeutig definiert, die IP geblockt und jetzt ist er weg, was eine Nervensäge

  • BruteForce

    Jetzt ist der nächste Dienst dran, wir komme ich denn an die referer? Sieht aber so aus als wenn die alle von einem Browser kommen, gints da vllr was browserseitiges?

  • BruteForce

    Zitat von Sebijk

    Ich habe im aktuellen Repo einen DNSBL Check für den Verfügbarkeitscheck bei nicht eingeloggten User hinzugefügt. Der konnte tatsächlich auch bei ausgeschaltete Registrierung genutzt werden. Das habe ich gefixt.

    Meine nächste Idee wäre ein Plugin-Hook einzuführen. Da könnte man ein Plugin schreiben, der die zuviele Zugriffe in der kurzen Zeit loggt und mit fail2ban könnte man diese IPs für eine bestimmte Zeit bannen.

    Bei der nächsten Version (7.5?) bräuchte b1gMail bessere CSRF-Schutzmaßnahmen.

    :):thumbup:

  • BruteForce

    Moin,

    gestern hatte ich eine BruteForce es wurde versucht Adressen herauszufinden oder auf Existenz zu prüfen. Die Adressen die angefragt wurden gab es aber nicht also ein reiner Versuch zu erspähen welche Adresse existieren. Zudem gab es zu jeder Anfrage eine einzelne IP (und jeweils nur eine Anfrage pro nicht existierenden Account) also schlecht zu filtern. Das ging so weit, dass hunderte Anfragen pro Sekunde reinkamen, meist aus den USA Colorcrossing aber auch M247 war oft vertreten.

    Ich hatte das Gefühl, dass über einen externen Server die Anfragen einfach an das Login-Formular übergeben werden, die Vermutung bestätigte sich als ich die index?login zu index?login2 geändert hab und es kurz aufhörte, brachte aber keinen Erfolg. Nach 7h Netz blocken war es dann zu ende aber ich muss dringend was unternehmen. Was kann man denn machen um zu verhindern das externe scripte einfach das Loginformular einbinden und dort ihr Unwesen treiben und wie kann man sowas generell verhindern -> Botschutz ohne Captcha Honeypot obwohl es ja den hidden input im Formular bereits gibt?