OK, die Beschreibung war wohl etwas grob verfasst.
Ich hole mal etwas weiter aus.
Ich mache mit einem Freund zusammen einen Server, der dort ein
Autoforum, welches mit ein paar dazugehörigen Domains eine IP nutzt.
Genau durch dieses Oldtimerforum kamen schon etliche Angriffsversuche,
weshalb ich dort wirklich nur Httpd, Ftpd und Mails horchen haben will.
Ohne Fail2Ban geht gar nichts mehr, während ich mit den Vorbereitungen
des Serverumzugs beschäftigt war (wir hatten noch Debian7 laufen), wurde
3 Tage lang alle 10 Sekunden versucht den Mailserver zu nutzen.
Wenn man einen existierenden User (ad...@auto-forum.tld) gefunden hatte,
was ja eine übliche Adresse ist, wurde einen Tag lang versucht sich zu
verbinden Jetzt ist nach 3 Versuchen Schluss und Ruhe.
Seine Frau hatte früher einen Webshop, ist in Rente und nutzt die Domain
nun nur noch für Abverkauf des Lagers per Ebay, da liegen also Bilder
drauf. Sie hat eine dedizierte IP.
Eine weitere IP ist shared mit einigen anderen Domains drauf nur für
Http, Ftp und Mail.
Die vierte IP will ich nur für administrative Zwecke nutzen, also das
ISPConfig, PhpMyAdmin, SSH.
ISPConfig, damit die beiden sich Ihre Dinge wie Mailaliase etc selber
konfigurieren können, ausserdem gestattet es mir, der seit 18 Jahren
nicht mehr beruflich mit Servern zu tun hat, einfacheres Anlegen der
ganzen Benutzer und Domains. Bin nur noch Mausschubser, die Konsole ist
mir nicht fremd, aber es hat sich soviel geändert, ich bin einfach nicht
auf dem aktuellen Stand und habe viel vergessen.
Soll letztlich so sein, dass auf 3 IPs nur Httpd, Ftpd und Mailserver
lauschen. Evtl lege ich auch das Roundcube nur auf die administrative
IP, da überlege ich noch wie sicher das Roundcube selber ist.
Und nun als Beispiel der Header einer Mail, die ich per Client über eine
der Domains versende:
DKim hab ich gekürzt und Hostnamen geändert.
From - Wed Mar 25 21:17:25 2020
X-Account-Key: account2
X-UIDL: 1N8p02-1jM1m20BeQ-015nen
X-Mozilla-Status: 0001
X-Mozilla-Status2:
X-Mozilla-Keys:
Return-Path:
Received: from mail.auto-forum.tld ([93.157.51.ipB]) by mx-ha.gmx.net
(mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) id 1Mb9cm-1jo3J13Tk8-00baoy
for ; Wed, 25 Mar 2020 21:17:19 +0100
Received: from localhost (localhost.localdomain [127.0.0.1])
by real.hostname-vps.de (Postfix) with ESMTP id 677081A034F
for ; Wed, 25 Mar 2020 20:17:19 + (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=auto-forum.tld;
h=content-language:content-transfer-encoding:content-type
:content-type:mime-version:user-agent:date:date:message-id
:subject:subject:from:from; s=default; t=1585167437; x=
X
X-Virus-Scanned: Debian amavisd-new at real.hostname-vps.de
Received: from real.hostname-vps.de ([127.0.0.1])
by localhost (real.hostname-vps.de [127.0.0.1]) (amavisd-new, port
10026)
with ESMTP id M1a5op0eOVlL for ;
Wed, 25 Mar 2020 20:17:17 + (UTC)
Received: from [192.168.192.46] (ip-176-199-9-54.hsi06.unitymediagroup.de
[176.199.9.54])
(Authenticated sender: ad...@auto-forum.tld)
by real.hostname-vps.de (Postfix) with ESMTPSA id 595571A034E
for ; Wed, 25 Mar 2020 20:17:16 + (UTC)
To: dyoni...@gmx.de
From: Thomas Schmid
Beim senden, wir die Domain auto-forum.tld richtig gesetzt und auch
deren IP richtig gesetzt, das erreiche ich über eine transport_map und
Regeln in der master.cf.
Dass dann dort in der Verarbeitungsfolge die locale IP auftaucht ist
normal und mir völlig Latte, weil keiner was damit anfangen kann.
Leider setzt der Server aber innerhalb der Verarbeitungsfolge den echten
Hostname, hier real.hostname-vps.de genannt, dort ein.
Da der reale Hostname aber über die IP auflösbar ist, wird so quasi ein
Zusammenhang zwischen dem Forum und der administrativen IP hergestellt.
Macht also im worst-case einen Hacker, und Angriffsversuche gibt es auf
Autoforen zu hauf, auf den Host der dahinter steht aufmerksam, was ich
nicht will.
Wie bekomme ich die einzelnen Module in der Mailbearbeitung dazu, auch
die richtige Domain zu verwenden. In erster Linie wissen die ja
garnichts von Domains, denn die bekommen ja die Daten lokal weitergereicht.
Ich kann auch nicht einfach den Hostnamen ändern, der wird zwar
ausserhalb dieses VPS nicht gebraucht, aber dann wird ja eine
Verknüpfung gebildet zwischen den Domains die dort liegen, also auch
contraproduktiv was das Verstecken der Daten angeht.
Am Rande, wenn machbar würde ich auch gerne den X-Account-Key und die
X-UIDL loswerden.
Am Anfang wurden die Mails auch von real.hostname-vps.de unter seiner IP
versendet, was natürlich auch bedingte, dass die MX entsprechend gesetzt
waren.
Über eine Map und folgende Zeilen in der master.cf konnte ich das
abändern, so dass auch den DNS-Ptr auf den IPs bleiben konnte, die den
Domains zugeordnet sind.
Funktioniert auch mit shared IPs, da für jede Domain ein Eintrag in der
Map und der master.cf
