Passwort-Check mit haveibeenpwned

,

Die Webseite haveibeenpwned.com stellt unter anderem eine Liste mit Passwörtern zur Verfügung, die in Datenleaks aufgetaucht sind.

haveibeenpwned ist sicher

Zur Übrprüfung wird nie das komplette Passwort gesendet, sondern nur eine kleiner Teils Hash-Wert.

Die genutzte Funktion „Pwned Passwords“ sucht in der Datenbank mit frühere Datenpannen nach dem Vorhandensein eines vom Benutzer bereitgestellten Passworts. Das Passwort wird mit dem SHA-1-Algorithmus gehasht und es werden nur die ersten 5 Zeichen des Hashes gesendet.

Integration in ISPConfig

Im Bereich Systemkonfiguration kannst Du im Reiter „Diverses“ die Anzahl an Einträge einstellen, die ein Passwort maximal bei der Abfrage der Datenbank von haveibeenpwned haben darf.

Wird ein Passwort eingetragen, dass sich öfter in der Datenbank befindet als Du zugelassen hast, wird ein Hinweis angezeigt und das Passwort kann nicht verwendet werden.

/von

Nextcloud mit Chrooted-User und Cron-Job

,

Wenn Du als „limitierter“ Shell-User (Chrooted Shell = Jailkit) den Befehel ‚php occ …‘ ausführen willst, musst Du zwei Änderungen an der Nextcloud-Konfiguration vornehmen. Wir verwenden dafür eine eigene Konfiguration, die bei einem Update nicht überschrieben wird und automatisch erkennt, ob ein Aufruf über die Shell oder die Webseite erfolgt.

Auf unseren Managed-Servern kannst Du Dir die custom.config.php direkt in ISPConfig für die jeweilige Webseite anzeigen lassen und kannst diese direkt in den config-Ordner per FTP hochladen.

In dieser Anleitung steht zwar nur Shell, das gilt aber auch alles für Cron-Jobs, die ‚Chrooted‘ ausgeführt werden.

Um den Modus zu finden, in dem ein Cron-Job ausgeführt wird, öffnest Du in ISPConfig den entsprechenden Cron-Job:

Im folgenden Beispiel ist unsere Webseite mit der Nextcloud-Installation im Verzeichnis /var/www/clients/client3/web1602/web installiert. Das Verzeichnis findest Du übrigens in ISPConfig bei einer Webseite im ersten Teil von „Abweichendes Document Root“, wenn Du den Bereich „Erweitert“ aufklappst.

Werte in der Nextcloud-Konfiguration anpassen

  1. datadirectory
    Ein Chrooted Shell-User kann nicht auf den kompletten Pfad der Webseite /var/www/clients/client3/web1602/web zugreifen. Daher muss das datadirectory „umgeschrieben“ werden, wenn Du über die Shell „php occ“ ausführen willst. Wir verwenden dazu einfach eine custom.config.php.
  2. dbhost
    Beim dbhost kannst Du nicht localhost verwenden. PHP verwendet bei localhost eine Verbindung über das Socket-File, da eine solche Verbindung am schnellsten ist. In einer Chrooted-Shell steht das Socket-File aber nicht zur Verfügung und Du bekommst den Fehler „Doctrine\DBAL\Exception: Failed to connect to the database“. Entweder stellst Du in der config.php den ‚dbhost‘ von ‚localhost‘ auf ‚127.0.0.1‘ um (dann erfolgt die Verbindung immer über TCP/IP ist langsamer) oder Du verwendest einfach unsere custom.config.php.

custom.config.php anlegen

Im config-Verzeichnis der Nextcloud-Installation legst Du die Datei custom.config.php an bzw. erstellst diese auf Deinem PC und lädst die erstellte Datei dann per FTP in das config-Verzeichnis.

Du musst in der custom.config.php nur zwei Stellen für Deine Nextcloud-Installation anpassen:

  • $basedir – hier trägst Du den Pfad zu Deiner Webseite an, wie sie in ISPConfig angezeigt wird und lässt nur ‚/web‘ am Ende weg.
  • $dir – darüber wird das data-Verzeichnis von Nextcloud gesetzt. Bei den meisten Installation liegt das data-Verzeichnis mit im Document-Root der Webseite. Wenn Du Dich per FTP anmeldest, kannst Du das Verzeichnis leicht finden:

Die custom.config.php sieht in unserem Beispiel so aus:

<?php
$basedir = '/var/www/clients/client3/web1601';
$dbhost = null;
if(php_sapi_name() != 'cli') {
  $dir = $basedir;
} else {
  $dbhost = '127.0.0.1';
  $dir = (!is_dir($basedir)) ? '' : $basedir;
}
$dir .= '/web/data';
$CONFIG['datadirectory'] = $dir;
if($dbhost !== null) $CONFIG['dbhost'] = $dbhost;
/von

Webseite und Datenbank in ISPConfig importieren

,

Hier zeigen wir Dir, wie Du auf unseren managed Servern eine Webseite und die dazugehörige Datenbank ganz einfach importieren kannst. Du kannst diese Funktion auch nutzen, wenn Du eine Webseite auf einen anderen deiner managed Server umziehen willst.

Voraussetzungen

  • Zugang über FTP oder SSH zum ursprünglichen Server zum Importieren der Webseite
  • Zugang über SSH, einen Remote Zugang zum Datenbank-Server oder eine Datenbank-Dump für den Import der Datenbank
  • Webseite und Datenbank auf Deinem Server (diese kannst Du einfach über den Assistenten anlegen und gleichen die entsprechenden Vorgaben machen)

Import erstellen

Im Bereich Webseiten findest Du auf Deinem Server links den Punkt „Webseite importieren“.  Wenn Du über „Neue Webseite importieren“ einen neuen Import anlegst, musst Du in der folgenden Maske lediglich die erforderlichen Felder ausfüllen.

 

Was bedeuten die einzelnen Optionen?

  • CMS konfigurieren: Nach dem Importieren der Webseite, wir das CMS für die neue Datenbankverbindung konfiguriert.
  • Lokalen Dump verwenden: Wenn Du diese Option aktivierst, musst Du einen Datenbank-Dump in den /private Ordner der neuen Seite hochladen und den Namen dann hier eintragen. Dieser Dump wird – im Gegensatz zu den automatisch erstellten – nach dem Import nicht gelöscht.
  • Übertragungsart: Du kannst zwischen „FTP“ und „Shell“ wählen. Eine Verbindung über „Shell“ ist in den meisten Fällen wesentlich schneller; insbesondere, wenn Du später eine Webseite erneut importieren willst.
  • Port: Je nach gewünschten Übertragungsart wird hier automatisch der Standard-Port gesetzt. Wenn der Port bei dem Quellserver abweichend sein sollte, trägst Du hier einfach einen anderen Port ein.
  • Ordner: Das ist der komplette (!) Pfad zum Quellordner. Auf Servern mit ISPConfig ist das z.B. bei FTP und einem Shell-User mit Jailkit /web oder bei einem Shell-User ohne Jailkit der komplette Pfad zum Web-Verzeichnis (z.B. /var/www/example.com/web).
  • Datenbankserver: Der Name des Datenbankservers der Quelle. Wenn dieser externe Verbindungen zulässt, kannst Du hier einfach den Namen des Servers eintragen.
  • Temp. Ordner: dieser Ordner wird auf dem Quellserver für die Erstellung der Datenbank-Dumps erstellt, soweit keine entfernte Verbindung zum Datenbank-Server möglich ist oder Du keinen lokalen Dump verwendest. Vorsicht: bleibt dieses Feld leer, wird der Dump im Ordner der Webseite erstellt. Der Name wird zwar zufällig generiert, prinzipiell ist es in der Zeit der Übertragung aber dennoch möglich, an diese Datei zu gelangen.
Die Werte für die lokale Datenbank werden automatisch ausgelesen und enthalten immer eine Liste der Datenbanken und Datenbankbenutzer die zu der Webseite gehören, in die Du importieren willst. Du musst hier nur noch das richtige Passwort eintragen, da dieses verschlüsselt abgespeichert ist und daher nicht wieder im Klartext ausgelesen werden kann.
Wenn beim Speichern die Erreichbarkeit des Quellservers nicht funktioniert, kannst Du diese Prüfung über „Erreichbarkeit nicht prüfen“ deaktivieren. Der eigentliche Import funktioniert aber natürlich nur, wenn der Quellserver dann auch tatsächlich erreichbar ist.

Import angelegt

Wenn Du einen Import angelegt hast, siehst Du den jeweiligen Status in der Übersicht und im Import selbst wir Dir der Link zu einem Logfile angezeigt, über das Du jederzeit den aktuellen Status einsehen kannst.

Import abgeschlossen

Sobald der Import abgeschlossen ist, siehst Du u.a. welches CMS importiert / konfiguriert wurde und welche Daten im Config-File geändert wurden.

Bei einer Webseite mit WordPress sieht das z.B. so aus:

 

Import fehlgeschlagen

Wenn das Importieren einer Webseite (teilweise) nicht möglich war, siehst Du direkt in der Übersicht das Problem und kannst das dann beheben. Probleme treten nur auf, wenn Zugangsdaten oder Passwörter falsch sind und Du „Erreichbarkeit nicht prüfen“ ausgewählt hast.

Erneut importieren

Du kannst einen angelegten Import jederzeit neu starten, in dem dem den Schalter „Erneut importieren“ setzt. Du kannst dann aber auch z.B. darauf verzichten, die komplette Webseite erneut zu importieren, weil Änderungen nur in der Datenbank aufgetreten sind.

Unterstützte CMS

Die folgenden CMS werden nach einem Import auotmatisch konfiguriert:

  • Joomla ab 3.x
  • Nextcloud ab 20.x
  • Shopware 5
  • Shopware 6
  • Magento 2.4
  • WordPress

Hinweis

Wenn Du den Import einer Webseite für 48 Stunden nicht genutzt hast, wird dieser automatisch gelöscht.

 

/von

Webseiten mit HTTP/3

,

Wenn Du einen unserer Managed Server mit nginx verwendest, kannst Du Deine Webseiten auch mit HTTP/3 ausliefern lassen.

Das Prinzip von HTTP/3

Bei HTTP/3 handelt es nicht um eine Weiterentwicklung von HTTP/2 (SPDY). HTTP/3 unterscheidet sich deutlich von den anderen HTTP-Verfahren und kombiniert die Eigenschaften von HTTP/2 mit User Datagram Protocol (UDP). UDP wird z.B. für die Abfragen des DNS eingesetzt. Die übrigen Funktionen von HTTP/2 bleiben dabei vollständig erhalten (z.B. paralleles Streamen von Daten verschiedener Herkunft).

Unterschiede zwischen HTTP/2 und HTTP/3

Im Gegensatz zu HTTP/2 nutzt das neue Protokoll HTTP/3 zur Auslieferung der Webseiten nicht das TCP, sondern das UDP Protokoll und ist damit wesentlich schneller.

Bei TCP erfolgen immer mehrstufige Handshakes zwischen Server und Browser. UDP und das darauf basierende QUIC agieren hingegen verbindungslos. An Stelle der Kontrolle einer erfolgreiche Zustellung wird bei Bedarf lediglich die Integrität des Pakets und der Übertragung durch eine Checksumme validiert. Dadurch entfällt das sogenannte Head-of-line-Blocking (Datenstau) und dadurch das erneute Anfordern fehlender Pakete. Die Auslieferung Deiner Seite wird erheblich schneller.

Die Übertragung erfolgt nicht mehr über die IP-Adresse, sondern durch eine individuelle ID. Wenn der Besucher auf seinem Gerät eine neue IP-Adresse erhält (z.B. beim Wechsel von mobilen Daten ins WLAN) kann HTTP/3 den Download ohne Unterbrechung oder eine erneute Verbindung fortsetzen.

HTTP/3 aktivieren

Öffne die entsprechende Webseite in ISPConfig. Unter „Erweitert“ kannst Du dann direkt HTTP/3 aktivieren:

 

QUIC und HTTP/3 verlangen zwingenden HTTPS über TLS 1.3. Wenn Du bei „Minimum TLS-Version“ eine kleinere Version eingestellt hast, bedeutet das übrigens nicht, dass HTTP/3 dann nicht funktioniert (das nennt sich ja auch nicht max. TLS-Version). Wird die Seite über HTTP/3 angefordert, wird die Verschlüsselung automatisch auf TLS v1.3 hochgesetzt.

Clientseitige Voraussetzungen

Der Browser muss HTTP/3 unterstützen, damit der Besucher Deiner Seite von den Vorteilen profitieren kann. Unterstützt der Browser HTTP/3 nicht oder nicht vollständig, wird Deine Seite ganz normal über HTTP/2 ausgeliefert.

Die gängigen (aktuellen) Browser unterstützen übrigens HTTP/3 schon jetzt. Sporadisch kommt es aber zu einem seltsamen Problem: der Browser beschließen, QUIC und HTTP/3 zu ignorieren.

aktueller Status

Momentan befindet sich HTTP/3 noch in der Entwicklung und nicht zu 100% stabil. Es kann bei einzelnen Webseiten durchaus vorkommen, dass diese mit HTTP/3 nicht richtig funktioniern. Alle aktuellen CMS laufen nach unseren Beobachtungen aber komplett problemlos.

 

 

/von

Einen Webmailer installieren

,

Du kannst zwei verschiedene Webmail-Lösungen auf unserem managed Servern installieren: RainLoop und Roundcube.

Wir haben Webmail auf unseren Servern Webmail seit geraumer Zeit auf RainLoop umgestellt, da uns diese Software wesentlich flexibler erscheint und deutlich weniger Ressourcen benötigt.

Warum wir uns für die Umstellung entschieden haben, haben wir hier zusammengefasst.

Vorteile von RainLoop

  • eine Installation kann auf einen Kunden beschränkt werden
  • mehrere Installationen parallel
  • die Instanz für jede Maildomain individuell einstellen
  • Aktivieren / Deaktivieren einer Installation
  • ISPConfig kümmert sich automatisch um die erforderlichen Konfigurationen für die Mail-Domains

Die Software installieren

Benutze Den Assistenten, um ein Webmail auf einer Seite zu installieren und wählen dann RainLoop oder Roundcube aus.

RainLoop installieren

Gib den „Admin-Benutzernamen“ ein. Zusätzlich kannst Du auch den „Website-Titel“ eingeben – diesen kannst Du auch später jederzeit im Rainloop-Interface ändern. Um die Installation zu starten, musst Du nur noch auf „Speichern“ klicken.

Wenn die Installation abgeschlossen ist, kannst Du die Admin-Seite mit der angezeigten URL und den Anmeldedaten öffnen.

RainLoop in ISPConfig integrieren

Öffne unter „Einstellungen“ den Bereich „Managed Server“ und wähle „RainLoop Webmail“.

Wenn Du einen neue Eintrag einfügst, kannst Du Deine Installation auswählen und diese Installation optional auf einen Kunden beschränken. Wenn eine Installation einen bestimmten Kunden zugeordnet ist, kann diese nur von diesem Kunden genutzt werden, Du brauchst also für andere Kunden evtl. eine zusätzliche Installation.

 

Wenn Du eine Installation auf inaktiv setzt, wirkt sich das sofort auf alle Mail-Domains aus, die diese Installation nutzen – eine Anmeldung ist dann erst wieder möglich, wenn Du die Installation wieder auf aktiv stellst oder für die Mail-Domains eine anderen Webmail-Installation auswählst.

Sobald Du die neue Installation gespeichert hast, kannst Du für Mail-Domains den entsprechenden Webmailer auswählen:

Wenn „RainLoop Webmail“ für eine Domain ausgewählt ist, kann sich jeder User mit einer Email-Adresse aus dieser Domain über den Webmailer anmelden.

Roundcube installieren

Die Support-URL ist optional. Wenn der Mailserver auf einem anderen Server betreiben wird, tragenden Namen des Mailservers in die beiden Host-Felder ein und klicke dann auf „Speichern“.

Nach der Installation kannst Du dich mit deinem Mail-Account auf der neu erstellten Website einloggen.

/von

Kontakte von Roundcube zu RainLoop übertragen

,

Wenn Du Deinen Webmailer von Roundcube auf RainLoop umstellen möchtest, musst Du lediglich von Deinem Postfach einmal die gespeicherten Adressen sichern und importieren.

Kontakte exportieren

Um die Kontakte zu exportieren, melde Dich in Roundcube an, wähle links „Kontakte“ und klicke dann auf „Exportieren“.

Kontakte importieren

Um die Kontakte zu importieren, melde Dich in RainLoop an, gehe links auf Kontakte und wähle „Import (csv, vcf, vCard)“ aus und lade dann die exportierten Kontakte hoch.

 

 

/von

Webmail Umstellung von Roundcube auf RainLoop

,

Wir haben vor einige Zeit auf unseren Servern den Webmailer Roundcube durch RainLoop ersetzt.

Roundcube gehört definitiv zu den besten OpenSouce-Lösungen im Bereich Webmail, wir haben uns aber am Ende für die Umstellung RainLoop entschieden, da dies Software weit weniger Resourcen benötigt, „out-of-the-box“ zahlreiche Features hat die bei Roundcube nur über Plugings zu lösen sind und bei einer Installation mehrere Mailserver nutzen kann.

RainLoop und Domains

Damit bei RainLoop eine Anmeldung für ein Postfach möglich ist, muss erst die entsprechende Domain im Admin Panel angelegt werden. Auf unseren Managed Servern passiert das ganz automatisch für Deine Maildomains, wenn bei einer Maildomain eine RainLoop Installation ausgewählt ist.

Wenn eine Domain (z.B. gmail.com) durch den Admin zugelassen ist, kann der Benutzer seine Email-Adresse bei dieser Domain mit anlegen und kann dann direkt zwischen verschiedenen Postfächern wechseln (oder in verschienenden Tabs im Browser öffnen), ohne sich bei verschiedenen Webmailern anmelden zu müssen.

Zusätzliche Authentifizierungsmöglichkeiten

Statt einer Anmeldung mit der Email-Adresse und dem Passwort, kann der Admin auch eine Authentifizierung über Google, Facebook oder Twitter erlauben.

Kontakte

Neben dem Speicher der Kontakte in einer lokalen Datenbank kann jeder Nutzer auch CardDAV nutzen und kann damit seine Kontakte auf zahlreichen Geräten synchron nutzen.

Wenn Du von Roundcube auf RainLoop wechseln möchtest, musst Du die gespeicherten Kontakte manuell umziehen. Wie das geht, haben wir unter Kontakte von Roundcube zu RainLoop übertragen beschrieben.

/von

Neue Website per Assistent einrichten

,

Wenn Du auf Deinem Managed Server eine neue Seite komfortabel einrichten möchtest, kannst Du in der Übersicht der Webseiten oben auf den Button „Neue Webseite per Assistent hinzufügen“ klicken.

Unterstützte CMS

  • Joomla 3
  • Joomla 4
  • Magento 2.4
  • Shopware 5
  • Shopware 6
  • Typo3 10
  • Nextcloud 20 – 22
  • WordPress
  • Webmailer RainLoop
  • Webmailer Roundcube

Zugangsdaten und Info-Mail

Auf Wunsch kannst Du dem Kunden und weiteren Empfängern im Anschluss eine automatisch generierte Mail zukommen lassen, die die entsprechenden Informationen zu der neu angelegten Seiten enthalten. In jedem werden Dir nach dem Anlegen der Seite die erforderlichen Informationen aber auch direkt in ISPConfig angezeigt.

Assistent

Wenn Du auf „Neue Webseite per Assistent hinzufügen“geklickt hast, siehst Du die folgende Maske:

 

Mögliche Einstellungen

Du kannst diverse Einstellungen zu einer neue Webseite vornehmen.

Wenn Du die Einstellungen einer vorhandenen Seite übernehmen willst, dann kannst Du diese ganz oben auswählen.

Möchtest Du auch noch automatisch ein CMS installieren lassen, wählst Du dieses unter „Gewünschtes CMS“ aus.

Wenn Du keine „Gewünschte Konfiguration“ gewählt hast, wird automatisch die dazu passende Konfiguration verwendet.

Wenn keine PHP Version ausgewählt ist, wird immer die Standard PHP-Version des Servers genommen. Hiervon ausgenommen sind nur CMS, die eine höhere Version als die Standard Version benötigen. In dem Fall wählt der Assistent automatisch die passende PHP-Version aus und richtet die Webseite entsprechend ein.

Soweit der Wizard die Nutzung von Redis für ein CMS unterstützt, wird die entsprechden Redis-Instanz mit angelegt und entsprechend konfiguriert.

/von

Ratelimit für ein- und ausgehende Mails

,

Unsere Managed Server erlauben es Dir zusammen mit Rspamd, die Anzahl der Mails zu begrenzen, die versendet und / oder empfangen werden können.

Im folgenden erfährst Du, wie Du den Versand von Mails begrenzen kannst (der Empfang erfolgt analog dazu und wird nicht expliziert erläutert).

Allgemeines

Du kannst „Ratelimit Mails ausgehend“ und „Ratelimt Mails eingehend“ ein- und abschalten.

Ratelimit Mails ausgehend

Darüber kannst Du den Versand von Mails limitieren, die von Deinem Server pro Postfach in einer bestimmten Zeit verschickt werden können.

Beachte bei dem Wert unbedingt, dass bei CC, BCC o.ä. jede Mail einzeln zählt. Wenn Du den Wert z.B. auf 1 / 1 Minuten setzen würdest, könntest Du genau eine Mail an einen Empfänger verschicken.

Ratelimit Mails eingehend

Darüber kannst Du den Empfang von Mails limitieren, die der Server pro Postfach in einer bestimmten Zeit annimmt. Grundsätzlich sollte man diese Funktion aber mit bedacht wählen, zumal das nicht den Versand von Spam limitieren würde, sondern einfach nur die Menge an Mails, die ein Postfach empfangen kann.

Ratelimit erreicht

Wenn das Ratelimit für ein Postfach erreicht ist, können darüber temporär keine weiteren Mails verschickt werden. Beim Versuch, Mails zu verschicken, bekommt der Sender eine entsprechenden Nachricht angezeigt.

Limit definieren

Du kannst das Limit an drei verschiedenen Stellen setzen:

  1. global für alle Emails
  2. für alle Email-Postfächer einer Domain
  3. individuell für ein Email-Postfach

Globales Limit setzen

Öffne in ISPConfig unter System / Serverkonfiguration den entsprechenden Server und gehe auf den Reiter „E-Mail“.

Du kannst hier „Ratelimit Mails ausgehend“ und „Ratelimt Mails eingehend“ ein- und abschalten und die entsprechenden Werte setzen.

Limits für eine Domain setzen

Wenn Du in ISPConfig eine Mail-Domain öffnest, kannst Du am Ende der Seite über den Button „Ratelimit“ die entspechenden Werte definieren.

Ulimited

Wenn Du „Unlimited“ nimmst, werden Postfächer von dieser Domain nicht limitiert.

Global Limits

Mit dieser Einstellungen werden für Postfächer dieser Mail-Domain die globalen Werte des Servers genommen.

 

Limits für ein Postfach setzen

Zusätzlich zu den Limits für eine Domain gibt es hier noch die Option

Use Domain Limits

Mit diesem Wert gelten für das Postfach die Limits der Mail-Domain.

 

Limits für externe Mails

Wenn Du den den Empfang von bestimmten externen Mails bzw. den Versand dorthin (Postfach oder ganze Domain) abweichend von den oben aufgeführten Einstellungen definieren willst, kannst Du in ISPConfig unter „E-Mail“ weitere Ratelimits anlegen.

 

Source

Externe Domain (@example.com) oder Postfach (test@example.com)

Type

Incoming – eingehende Mails von Source

Outgoing – ausgehende Mails an Source

In and Out – Limit in beide Richtungen

 

/von

Dienst mit ISPConfig überwachen und (neu) starten

,

Unter „Überwachung“ kannst Du auf unseren Managed Server nicht nur den Status der einzelnen Dienste (z.B. Web-Server) sehen, sondern auch einzelne Dienste (neu) starten oder anhalten.

Dienststatus ansehen

Öffne „Überwachung“, wähle ggf. links den zu überwachenden Server aus gehe dann auf „Dienste anzeigen“.

Dienste (neu) starten / anhalten

Wähle unter „mögliche Aktion(en)“ die Aktion aus, die durchgeführt werden soll.

Ausgenommene Dienste

MySQL Server

Dieser Dienst kann auf keinem Server angehalten werden.

Web Server

Den Web-Server (Apache oder nginx) kannst Du nur dann anhalten, wenn Du mehrere Server hast und Du nich die Dienste des ersten Servers (dort läuft die Verwaltungsoberfläche ISPConfig) ändern möchtest.

/von