Modsecurity im Produktiveinsatz – wp-cron.php

Ich bin im Moment gerade dabei, ein wenig mit modsecurity zu kämpfen. Kämpfen, ja das kommt ungefähr hin.

Solange man sich mit seinen FalsePositives in der Phase2 bewegt, kann man problemlos per LocationMatch Ausnahmen erstellen. Wenn jedoch bereits in Phase 1 Falscherkennungen stattfinden, greift LocationMatch nicht mehr.

Beispielsweise hätten wir hier so einen Fall:

 ModSecurity: Access denied with code 403 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file „/usr/share/modsecurity-crs/base_rules/modsecurity_crs_20_protocol_violations.conf“] [line „312“] [id „960012“] [rev „1“] [msg „POST request missing Content-Length Header.“] [data „0“] [severity „WARNING“] [ver „OWASP_CRS/2.2.9“] [maturity „9“] [accuracy „9“] [tag „OWASP_CRS/PROTOCOL_VIOLATION/INVALID_HREQ“] [tag „CAPEC-272“] [hostname „www.example.com“] [uri „/wp-cron.php“] [unique_id „WGUSaFmj4VQAAALcXyYAAAAI“]

Laut Logfile, wird hier in Phase 1 mit einem 403 zurückgeschossen. Bei dem aufgerufenen uri, handelt es sich jedoch um wp-cron.php, welches vom Webserver selbst (WordPress) gestartet wird.

Da wir uns in besagter Phase 1 befinden, kann man nicht per LocationMatch arbeiten.

Ich bin momentan noch auf der Suche nach einer Lösung…

Skype für Linux 1.10.0.1 (Alpha) – Videotelefonie

Wie Microsoft verlauten lässt, ist mit der letzten Version von Skype für Linux nun endlich auch Videotelefonie möglich. Angeblich zur Zeit nur zwischen Skypeusern unter Linux.

Nach dem Download der DEB Datei von:

https://www.skype.com/en/download-skype/skype-for-linux/downloading-web/?type=weblinux-deb

kann man diese zum Beispiel per Terminal:

dpkg -i skypeforlinux-64-alpha.deb

installieren.

Sollte es zu einem Abhängigkeitsproblem kommen – bei mir hat das Paket apt-transport-https gefehlt- kann dies beispielsweise mittels:

apt-get install -f

nachinstalliert werden.

Natürlich lässt sich das fehlende Paket auch per:

apt-get install apt-transport-https

auf den Rechner holen.Skype startet auf meinem Debian Stretch x64 problemlos. Leider allerdings, konnte ich die Videotelefonie noch nicht testen.skype

Home-Mailserver mit DREI Hutchison – static IP – Ausgehende Emails werden geblockt

Nachdem die Geschwindigkeit meines mobilen Internetanschlusses für österreichische Verhältnisse „durch die Decke“ geht, habe ich sämtliche Dienste, die bis zuletzt auf einem externen Server (Rootserver) lagen, auf meinen Raspberry PI3 verlegt.

Grundsätzlich muss ich sagen, dass die Sache rund läuft. Wäre da nicht das leidige Thema der ausgehenden Emails, in Verbindung mit der vorhandenen statischen IP Adresse.

Sie ist statisch, ja.

Sie kostet zusätzlich pro Monat.

Dennoch erkennt zum Beispiel outlook.com die Adresse als „Adresse aus einem dynamischen IP Pool“ und nimmt Mails, die ich über meinen Mailserver sende, nicht an.

Andere Anbieter spucken mir ebenso in die Suppe. (Filterung von Spamhaus.org), obwohl ich dort nicht wegen etwaigem Blacklisting aufscheine.

Auszug:

Outbound Email Policy of The Spamhaus Project for this IP range:

This IP address range has been identified by Spamhaus as not meeting our policy for IP addresses permitted to deliver unauthenticated ‚direct-to-mx‘ email to PBL users.

Important: If you are using any normal email software (such as Outlook, Entourage, Thunderbird, Apple Mail, etc.) and you are being blocked by this Spamhaus PBL listing when you try to send email, the reason is simply that you need to turn on „SMTP Authentication“ in your email program settings. For help with SMTP Authentication or ways to quickly fix this problem click here.

Es liegt jedenfalls nicht am SMTP-Auth. Ich habe mich jetzt vom Listing entfernen lassen. Mal schauen, wann/ob ich bald wieder gelistet bin.

Schade, offenbar kann man doch nicht alle Dienste zu Hause nutzen. Zumindest nicht in Kombination mit meinem vorhandenen Internetzugang.

 

Update: Mein Ansuchen an DREI wurde innerhalb von wenigen Tagen erhört. Es wurde ein entsprechender Reverse-DNS-Eintrag für meine Domain erstellt.

Somit gibt es auch rein technischer Sicht, kein Problem mehr, was die Konfiguration des Mailserver betrifft.

mail

Dennoch ist es nicht möglich, Emails an outlook.com zu senden:

Unfortunately, messages from 77.119.254.141 weren't sent.
    Please contact your Internet service provider. You can tell them that
    Hotmail does not relay dynamically-assigned IP ranges. You can also refer
    your provider to http://mail.live.com/mail/troubleshooting.aspx#errors

Bleibt wohl nur noch die Möglichkeit des sendens über Smarthost.

 

1 2 3 26