# ispconfig und externe dns einträge



## timur (26. Dez. 2017)

hallo zusammen
ich hab ein domain provider wo ich meine dns einträge bearbeiten kann.
ist es möglich alles über mein server 90.185.55.110 laufen zu lassen ? so das ich über ispconfig auch subdomains erstellen kann, emails verschicken und empfangen kann ?

dns einträge des domain providers derzeit


> $TTL 7200
> @   IN SOA ns1.your-server.de. postmaster.your-server.de. (
> 2017122601   ; serial
> 14400        ; refresh
> ...


vielen dank im vorraus


----------



## nowayback (26. Dez. 2017)

Klar ist es möglich, wenn auch nicht die schönste Möglichkeit...

einfach * als A Record setzen und die Server IP angeben. Ab dem Moment geht alles außer http://deinedomain.de/ auf den Server weiter. Wenn du den Fall auch noch abdecken willst, dann musst du einen leeren A Record setzen und die IP vom Server angeben.

Um Mails vom Server aus versenden zu können, die auch auf der Gegenseite akzeptiert werden ist u.A. auch der entsprechende PTR Eintrag erforderlich. Den setzt du beim Anbieter von deinem Server für gewöhnlich. Dieser sollte so lauten wie dein Server heißt und zwar vollqualifiziert (z.b. server.meinedomain.endung). Solltest du SSL Zertifikate verwenden wollen ist noch ein weiterer DNS Eintrag nötig, der aber abhängig von der CA ist.

Außerdem kann es noch Sinn machen SPF Einträge pro Domain zu hinterlegen. Viel mehr solltest du dann nicht mehr brauchen für einen funktionierenden Web- und Mailserver.

Edit auf Grund der IP:
Viele Mailserver weisen nicht statische IPs oder Endkunden-IPs für die Server2Server Kommunikation ab.

Grüße
nwb


----------



## florian030 (26. Dez. 2017)

Zitat von nowayback:


> Solltest du SSL Zertifikate verwenden wollen ist noch ein weiterer DNS Eintrag nötig, der aber abhängig von der CA ist.


Bitte welchen DNS-Eintrag braucht man denn für Zertifikate?


----------



## timur (26. Dez. 2017)

hallo
nowayback danke für die rasche antwort leider verstehe ich nur die hälfte auch wenn es für dich wahrscheinlich ganz leicht erklärt ist kannst du es mir bitte anhand der folgenden dns struktur es mir zeigen wie ? wäre dir echt sehr verbunden.

der server ist mein eigener und steht bei mir zuhause.
vielen dank für deine bemühungen


----------



## nowayback (26. Dez. 2017)

Zitat von florian030:


> Bitte welchen DNS-Eintrag braucht man denn für Zertifikate?


Den CAA Eintrag ;-)


----------



## nowayback (26. Dez. 2017)

Zitat von timur:


> der server ist mein eigener und steht bei mir zuhause.


Damit dürfte sich der Emailversand schon nahezu erledigt haben... Erklärung siehe oben.



Zitat von timur:


> kannst du es mir bitte anhand der folgenden dns struktur es mir zeigen wie ?


@ IN A 90.185.55.110
mail IN A 78.46.2.194
www IN A 90.185.55.110
control 601 IN A 78.46.2.194
** IN A 90.185.55.110*


----------



## timur (26. Dez. 2017)

*(*) IN A 90.185.55.110 ohne dem * falls ja kann ich dies nicht abspeichern...*
*@ soll die hauptdomain sein hat man mir gesagt also domain.de*


----------



## nowayback (26. Dez. 2017)

Der * ist dort absichtlich. So wie ich das sehe liegt deine domain bei hetzner und nach meinem letzten stand (ist schon paar jahre her) sollte der robot bzw. consoleH das auch so annehmen.


----------



## timur (26. Dez. 2017)

@                        IN A       *90.185.55.110*
*                        IN A       *90.185.55.110*
mail                     IN A       *90.185.55.110*
www                      IN A       *90.185.55.110*
control              601 IN A       78.46.2.194

ist das so korekt ?


----------



## nowayback (26. Dez. 2017)

ich würde * nach control setzen in der hoffnung das control danach noch funktioniert denn * = wildcard = alles nach 90.185.55.110


----------



## timur (26. Dez. 2017)

mach der nicht er setzt es automatisch immer nach oben


----------



## nowayback (26. Dez. 2017)

Zitat von timur:


> mach der nicht er setzt es automatisch immer nach oben


ok dann ist es so. dann kannst du nur hoffen das control zur 78.x.x.x geht. da steck ich nicht tief genug drin, mit welcher prio was bearbeitet wird.


----------



## timur (27. Dez. 2017)

also wenn ich versuche ne mail zu schicken an meinen server die email sagt mir web das die domain nicht exestiert


----------



## timur (27. Dez. 2017)

das steht bei email warteschlange:



> -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
> 7DAB15F7CD 1110 Wed Dec 27 04:08:28 info@meinedomain.de
> (host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb013) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.web.de/error-messages?ip=*90.185.55.110*&c=bl)
> meineadresse@web.de


----------



## timur (27. Dez. 2017)

und das bei protokol



> Dec 27 10:35:01 server postfix/smtpd[6923]: disconnect from localhost[::1] commands=0/0
> Dec 27 10:35:10 server postfix/qmgr[22710]: 4E3EA5F77E: from=<mailman-bounces@meinedomain.de>, size=2989, nrcpt=1 (queue active)
> Dec 27 10:35:10 server postfix/smtp[6931]: 4E3EA5F77E: host mx-ha02.web.de[212.227.17.8] refused to talk to me: 554-web.de (mxweb113) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.web.de/error-messages?ip=90.185.55.110&c=bl
> Dec 27 10:35:10 server postfix/smtp[6931]: 4E3EA5F77E: to=<meineadresse@web.de>, relay=mx-ha03.web.de[212.227.15.17]:25, delay=21586, delays=21586/0.02/0.22/0, dsn=4.0.0, status=deferred (host mx-ha03.web.de[212.227.15.17] refused to talk to me: 554-web.de (mxweb010) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.web.de/error-messages?ip=90.185.55.110&c=bl)
> ...


----------



## timur (27. Dez. 2017)

ok hab nun den empfang hinbekommen
lag an der dns einstellung bei hetzner 
hab die 2 einträge geändert



> mail IN A *90.185.55.110*
> @ IN MX 10 mail


was aber immer noch nicht geht ist das email versenden das dürfte ja mit hetzner nichts zu tun haben  oder ?


----------



## nowayback (27. Dez. 2017)

Zitat von timur:


> was aber immer noch nicht geht ist das email versenden


siehe: https://www.howtoforge.de/forum/threads/ispconfig-und-externe-dns-eintraege.10908/#post-54219

Speziell der Punkt der mit "Edit" beginnt.


----------



## timur (27. Dez. 2017)

ich hab mir extra eine feste ip besorgt und nun wird die abgewiesen ?
kann ich nichts dagegen tun ? ich muss doch irgendwie verschicken können mails


----------



## timur (27. Dez. 2017)

welche ports brauche ich denn beim versenden ?


----------



## nowayback (28. Dez. 2017)

Zitat von timur:


> ich hab mir extra eine feste ip besorgt und nun wird die abgewiesen ?
> kann ich nichts dagegen tun ? ich muss doch irgendwie verschicken können mails


Dec 27 10:35:10 server postfix/smtp[6931]: 4E3EA5F77E: host mx-ha02.web.de[212.227.17.8] refused to talk to me: 554-web.de (mxweb113) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.web.de/error-messages?ip=90.185.55.110&c=bl

Das sagt doch ganz klar das deine IP unerwünscht ist. Du kannst dich da auf den Kopf stellen und wieder auf die Beine. Solange deine IP dort nicht von der Blacklist verschwindet, schickst du keine Mails dahin.


----------



## Till (28. Dez. 2017)

Ergänzend zu @nowayback siehe: http://www.barracudanetworks.com/reputation/?r=1&ip=90.185.55.110


----------



## florian030 (29. Dez. 2017)

Zitat von nowayback:


> Den CAA Eintrag ;-)


naja, das ist auch mehr theorie als praxis


----------



## nowayback (29. Dez. 2017)

Zitat von florian030:


> naja, das ist auch mehr theorie als praxis


Man beugt sich halt ;-)


----------



## timur (29. Dez. 2017)

hallo leute danke für die viele hilfe

hab jetzt den ptr eintrage server.meinedomain.de vorgenommen bei vodafone das dauert ein wenig
dort habe ich jetzt ein text record string bekommen mit der aussage: das ich ein text record setzten soll auf server.meinedomain.de wie mache ich das genau ?

vielen dank


----------



## timur (29. Dez. 2017)

hab alle probleme gelöst kann nun emails verschicken

danke


----------



## gOOvER (1. Jan. 2018)

Zitat von florian030:


> naja, das ist auch mehr theorie als praxis


https://pixelbar.be/blog/ssl-zertifikate-neuer-dns-record-caa-ab-september-2017-verpflichtend/


----------



## Till (1. Jan. 2018)

Der record ist nicht verpflichtend (außer vielleicht Du betreibst eine CA und vergibst SSL certs), da versucht nur jemand Traffic mit einer, wie er selbst zugibt, reßerischen Überschrift zu bekommen. Es geht da lediglich darum dass SSL authorities bei der Ausstellung prüfen ob es einen caa record gibt und wenn es ihn gibt, dass er auch auf sie zeigt. das ist alles. Gibt es keinen CAA record, dann bleibt alles wie gehabt.


----------



## nowayback (1. Jan. 2018)

Trotz alldem ist es mittlerweile "Best Practise" und Tools wie ssllabs testen darauf auch. Da SSL eh alles nur vertrauensbasiert ist, sollte man daher auch die Möglichkeiten nutzen die es gibt. 
Theoretisch (und ja ich weiß was noch alles dazugehört):
Immerhin könnte sonst jemand ankommen und sagen "Mir gehört https://www.howtoforge.de/". Wenn er es dann auch noch schafft irgendwie die Authentifizierung zu umgehen/zu täuschen könnte er sich von LE nen Zertifikat ausstellen lassen und Infos mitschneiden. Comodo und du bekommen davon nichts mit... 
In diesem Sinne: Wenn man mehr Vertrauen aufbauen kann, dann sollte man das tun. Und ein CAA Eintrag der zu einer CA zeigt, die dann auch tatsächlich das Zertifikat ausgestellt hat, genießt nun mal mehr Vertrauen als ein anderes. 
(Denkt an den selbstgemalten Ausweis den ihr bestimmt auch alle im Studium/ in der Ausbildung hattet zum Thema SSL)


----------



## Till (2. Jan. 2018)

Ich habe nicht geschrieben dass Du keinen CAA haben solltest sondern nur dass der Artikel der verlinkt wurde ziemlicher Murks ist und Behautungen aufstellt in der Ünerschrift die falsch sind um traffic zu bekommen. Und das SSL Tools sowas testen ist klar, dafür wurden sie ja gebaut.


----------



## florian030 (3. Jan. 2018)

Davon mal abgesehen habe ich erst im November ein Zertifikat bekommen, obwohl ein völlig anderer CAA-Record vorhanden war. Soviel mal dazu.


----------

