Beiträge von Denny

  • SPF schlägt fehl, warum?

    Zitat von ManDal

    Aber hast du den Probleme wenn du E-Mails empfängst oder wenn du sendest?

    Was hast du den für Einstellungen im b1gMailServer?

    SMTP -> Sender Policy Framework (SPF)

    Wenn ich welche aus der Uni in Bamberg empfangen will, ich hatte SPF ablehnen und ja der SPF schlägt immer fehl bei denen.

    Code
    v=spf1 include:spf.mailex.uni-bamberg.de include:spf.emailsys.net -all

  • SPF schlägt fehl, warum?

    Code
    v=spf1 a mx ~all

    meist du das macht Probleme? Ich dachte eher das es an den includes bei denen liegt das sin viele viele IP verschachtelt, ich hab auf Domain und IP im Softfail, wir haben auch einen anderen Dienst probiert da klappts auch nicht

  • SPF schlägt fehl, warum?

    Moin,

    ich habe heute mal wieder eine Mail von einer Institution erhalten die keine Mails wegen dem SPF Check zustellen können, ich frage mich echt was hier schief läuft

    Code
    Received-SPF: Fail
    identity=test@uni-bamberg.de; client-ip=194.95.239.29;
    helo=c2302.mx.srv.dfn.de

    So wie ich das sehe, existiert der SPF über include, habs auf zwei Servern getestet. E-Mail Adresse ist geändert...

  • BruteForce

    Zitat von ManDal

    Das Problem ist halt das die Anfragen von unterschiedlichen IPs kommen und wenn dann nur 1-2 Versuche stattfinden pro IP kannst du das ganze unmöglich blocken da du sonst jeder normale Benutzer auch geblockt werden würde bei einem Anmeldeversuch.

    jo, ich habe halt die Netze direkt gesperrt wenn die nicht in Deutschland waren, ist halt so aber manche Provider die haben einfach hunderte Netze, ich hab mich da mit auch intensiver mit Notepad++ auseinandersetzten müssen, man bekommt mal nicht einfach ne IP liste schön als tabelle :D

  • BruteForce

    Erledigt, in den error log tauchte die ganze zeit eine Domain auf pandamail.shop und unser Server hat das SSL zurückgewiesen falsche SNI, geh ich auf die Seite sehe ich da unsere Seite also ein Mirroring über was der vermutlich Nutzerdaten abgreifen wollte, die Unterseiten leiten zwar alle über 301 weiter wegen HSTS nur die Startseite nicht, ich hab jetzt den Host eindeutig definiert, die IP geblockt und jetzt ist er weg, was eine Nervensäge

  • BruteForce

    Jetzt ist der nächste Dienst dran, wir komme ich denn an die referer? Sieht aber so aus als wenn die alle von einem Browser kommen, gints da vllr was browserseitiges?

  • BruteForce

    Zitat von Sebijk

    Ich habe im aktuellen Repo einen DNSBL Check für den Verfügbarkeitscheck bei nicht eingeloggten User hinzugefügt. Der konnte tatsächlich auch bei ausgeschaltete Registrierung genutzt werden. Das habe ich gefixt.

    Meine nächste Idee wäre ein Plugin-Hook einzuführen. Da könnte man ein Plugin schreiben, der die zuviele Zugriffe in der kurzen Zeit loggt und mit fail2ban könnte man diese IPs für eine bestimmte Zeit bannen.

    Bei der nächsten Version (7.5?) bräuchte b1gMail bessere CSRF-Schutzmaßnahmen.

    :):thumbup:

  • BruteForce

    Moin,

    gestern hatte ich eine BruteForce es wurde versucht Adressen herauszufinden oder auf Existenz zu prüfen. Die Adressen die angefragt wurden gab es aber nicht also ein reiner Versuch zu erspähen welche Adresse existieren. Zudem gab es zu jeder Anfrage eine einzelne IP (und jeweils nur eine Anfrage pro nicht existierenden Account) also schlecht zu filtern. Das ging so weit, dass hunderte Anfragen pro Sekunde reinkamen, meist aus den USA Colorcrossing aber auch M247 war oft vertreten.

    Ich hatte das Gefühl, dass über einen externen Server die Anfragen einfach an das Login-Formular übergeben werden, die Vermutung bestätigte sich als ich die index?login zu index?login2 geändert hab und es kurz aufhörte, brachte aber keinen Erfolg. Nach 7h Netz blocken war es dann zu ende aber ich muss dringend was unternehmen. Was kann man denn machen um zu verhindern das externe scripte einfach das Loginformular einbinden und dort ihr Unwesen treiben und wie kann man sowas generell verhindern -> Botschutz ohne Captcha Honeypot obwohl es ja den hidden input im Formular bereits gibt?

  • Hackerschutz / Passwortabfrage etc.

    Moin,

    heute sind ein paar tausend Accounts einfach so mit bekannten Passwörtern übernommen worden, problem hier ist, das die meisten Accounts schon sehr sehr alt sind und hier vermutlich nie die Passwörter geändert wurden. Ich wollte nun das Plugin von dotaachen installieren aber das geht irgendwie nicht, hängt sich immer so und lässt sich auch nicht aktivieren. Was macht ihre um die Benutzer zu informieren, dass diese auch mal ihr Passwort ändern sollten? :/

  • Feedback zu b1gMail 7.4.1 veröffentlicht

    Ich hab irgendwie Probleme mit den Bestellung auf dem Demo Server

    Invalid order ID

    Code
    (db.class.php:184) MySQL-Error at '/prefs.php': 'Unknown column 'inv_firma' in 'field list'', tried to execute 'INSERT INTO bm60_orders(`userid`,`vkcode`,`cart`,`paymethod`,`paymethod_params`,`amount`,`tax`,`inv_firstname`,`inv_lastname`,`inv_street`,`inv

    Ich denke mal das liegt daran, dass ich bei 7.2 noch das alte Modul hatte und die Datenbankstruktur wohl nicht mit angepasst wurde. Mich wundert es ehrlich gesagt auch, dass Firma überhaupt in den Nutzerdaten plötzlich auftaucht

  • b1gMail 7.5 - Vorschläge

    Mein Vorschlag, wenn man mails via dopplklick öffnet, so würde ich mir ein Tab-System wünschen also geöffnete Mails als Tab anzeigen, ähnlich wie bei thunderbird, so kann man recht schnell die Mails nacheinander öffnen und hin und her switchen ohne das man erst wieder zurück muss. Meine Hochschule hatte damals auch so ein System in webmail, fande ich super

    Thema Sicherheit, POP3/IMAP/SMTP Benutzerweise aktivierbar. Neue Benutzer sollte daher POP3/IMAP manuell aktivieren müssen. Aktivierung durch Gruppen ist oft nicht ausreichend um Fremdzugriffe durch diese Schnittstellen ausreichend zu schützen (web.de macht das auch so). Wer keine externen Programme nutzt, sollte daher nicht einem potentiellen Angriff ausgesetzt sein. Leider ist das auch in Martins App so, da es dort kein OTP gibt. Generell sollte neben der OTP App die es mal im Store gab eine integrierte Lösung geschrieben werden am besten optional auch SMS. Schutz der Konten ist das wichtigste für uns. Bei der aktuellen OTP app habe ich das Problem das viele die aktivieren ohne die überhaupt eingerichtet zu haben, da es keine Prüfroutine gibt. Dann kommen natürlich Anfragen zum entfernen, dort die Kunden zu Verifizieren die keine Andressdaten angegeben haben ist schwierig

  • Registrierungsformular besser schützen

    Zitat von SLM

    Mittlerweile ist auch reCaptcha (zumindest V2) kein Garant mehr für Sicherheit. Das übernehmen auch schon Bots. Genauso wie sie unsichere Server kapern und deren IP-Adressen verwenden. Ich hatte das ja auch hier angesprochen: RE: reCaptcha V3

    Aktuell habe ich wieder auf das b1g-eigene Captcha gewechselt und das noch etwas angepasst. Andere Hintergrundgrafiken, andere Fonts, zusätzlich Sonderzeichen integriert (serverlib/safecode.class.php). Wenn es sein muss baue ich da auch noch Umlaute ein, denn die gehen nur mit deutscher Tastatur ^^ . Ob der Bot dann so lange klickt oder rechnet bis er die richtigen Zeichen findet, wage ich zu bezweifeln.

    Umstellen auf Verifizierung per SMS- oder Mailverifizierung möchte ich nicht, denn das widerspricht dem Gedanken der Datensparsamkeit und ist zudem umständlich. Wenn ich ein E-Mailkonto benötige, warum soll ich mir vorher ein anderes anlegen um mich irgendwo zu verifizieren?!

    Es muss halt auch eine datenschutzkonforme Lösung sein. Denn alles was mit Google oder Anbietern zu tun hat, deren Infrastruktur in unsicheren Drittstaaten beheimatet ist, muss vermieden werden.

    Das hört sich gut an mit den Sonderzeichen auch Umlaute wären denke ich da bestens geeignet. Das mit google hast du leider recht aber dann müssten wir auch Adsense abschalten :(

    Was die Datensparsamkeit angeht habe ich ein riesiges Problem, ich kann Kunden die Ihr Passwort oder Auth Code für 2FA vergessen haben nicht verifizieren. Ich musste in den letzten Monaten sehr viele Anfragen zurückweisen weil die alternativen E-Mail Adressen nicht stimmten oder nicht mehr verfügbar waren. Und Adressabgleich mit Ausweis bringt auch nichts wenn der Kunde keine Daten hinterlegt.

  • Registrierungsformular besser schützen

    Moin,

    ich hab das mal ein Anliegen, ich habe auch wieder so einen aggressiven Typen der alle paar Sekunden Accounts anlegt. Ich habe noch b1gmail 7.2 da bekomme ich das recaptcha nicht richtig implementiert alles wird eben nur clientseitig über JS geprüft.

    Aber was ich absolut nicht verstehe, wie kann es sein das jemanden die input required einfach ignorieren kann. Das würde für mich heißen, das der Typ der die Registrierungen nicht über mein Formular macht sondern extern eine seite gebastelt hat und die Daten direkt auf mein auf meine Seite zur Registrierung übergibt. Gab es da nicht irgendwelche security header die sowas verhindern können, ich verstehe das nicht wie das gehen soll, jemand ne Idee?

  • Abo-Laufzeitverlängerung ohne Login

    Ja bin ich auf jeden fall deiner Meinung auch eine automatische Verlängerung wird bei mir sehr oft gewünscht aber was mir besonders negativ auffällt ist, dass es keinen direkten Link zur Verlängerung gibt.

    "

    • Der Link führt direkt zu einem externen Bezahlformular mit dem gewohnten Procedere, ohne dass sich der Kunde in sein Konto einloggen muss."

    Extern find ich schwierig aber ich verstehe was du meinst daher muss das Template schlicht responsive werden, führt kein Weg dran vorbei. Zu überleben wäre die Verlängerungsfunktion auch in der App bereitzustellen obwohl da Apple Geld für haben will da sowas bei Apple als In-App Kauf gesehen wird.

  • li-Template Vorschläge

    Könnte man denn nicht mit Angular irgendwas machen, ich sehe beim Themforest immer wieder so geile Admn Themes die man nehmen könnte, habe auch schonmal eins anpassen lassen was aber irgendwie nie fertig wurde weil der Programmierer einfach keinen Bock mehr hatte :D