Home

Exim4 - DKIM til flere domainer.

For noget tid siden fik jeg beskyttet mine domainer med Dmarc, en forholdvis let opgave, dog betød dette at jeg begyndte at løbe i nogle udfordringer i forhold til forenings arbejde, hvor vi benytter One.com som maillist distributions knud.

Efter Dmarc var kommet på plads, blev mine email der via mail listen hos One.com skulle videre til "gmail" afvise, jeg kunne sandsynligvis løse dette med at gå fra -all til ~all i min spf record, eller jeg kunne opsætte DKIM, noget jeg har haft planer om i noget tid.

Mit udgangs punkt blev beskrivelsen her: https://www.obstance.com/ubuntu/dkim-on-multiple-domains-with-exim4/ dog med nogle ændringer og naturligvis Exim dokumentationen her: https://www.exim.org/exim-html-current/doc/html/spec_html/ch-dkim_and_spf.html

Jeg benytter 2048 i mine certifiater og jeg benytter ikke default selector.

Step 1) oprette korrekte mapper

mkdir /etc/exim4/dkim

Step 2) opret keys

cd /etc/exim4/dkim

openssl genrsa -out mxbox.dk.pem 2048

openssl rsa -in mxbox.dk.pem -pubout > mxbox.dk.pub

 

Step 3) sæt korrekt permissions på keys

chown -R Debian-exim:Debian-exim /etc/exim4/dkim/

chmod 640 /etc/exim4/dkim/*

 

Step 4)

Derefter skal exim config filen ændres, jeg køre med split så hos mig var det
Nano /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp

og indsæt i toppen

 DKIM_DOMAIN = ${lc:${domain:$h_from:}}

DKIM_FILE = /etc/exim4/dkim/${lc:${domain:$h_from:}}.pem

DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}

DKIM_SELECTOR = gw2019

DKIM_CANON = relaxed

 

 

Dkim selector er vigtigt at bide mærke i, da dette er den DNS TXT record som det public certificat skal ligges ind i.

 

Step 5)

Opret txt record. gw2019._domainkey.mxbox.dk

Text: v=DKIM1; p=MIGfMA0GCSqGS....... stregnen fra  mxbox.dk.pub certificatet der blev oprettet i step 2)

 

Step 6)

test DNS opsætningen efter 5 minutter i hos dmarcian:  https://dmarcian.com/dkim-inspector/?domain=mxbox.dk&selector=gw2019
det er for at sikre der ikke er nogle typo  eller c&p fejl.

Step 7)

opdater exim  config. med

update-exim.conf

derefter reload exim

/etc.init.d/exim restart

 

step 8) 

Send en email til f.eks en gratis gmail konto og se at DKIM er blevet valideret korrekt.

 

echo "This is a123123123" | mail -r This email address is being protected from spambots. You need JavaScript enabled to view it. -s Test23123 This email address is being protected from spambots. You need JavaScript enabled to view it.

 

Herefter skulle dkim gerne køre korrekt. :-) husk at forny selector nøglen 1 gang årligt ;-)

Ovenstående bør naturligvis løbes igennem for alle de domains en gateways sender emails ud på vegne af.

 

Guacamole - what ?

Et af mine senste små projekter har være at lave en linux baseret RDS løsnig. JA, linux service som agere som RDS server :-)

Projektet er baseret på Guacamole og projekt sitet findes her: https://guacamole.apache.org/

Det virker super fint, men kræver at man ændre nogle sikkerhed indstillinger på windows 10 før RDP.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
 “SecurityLayer” dword 1
“UserAuthentication” dword 0

Kort info om hvad konsekvensen af overnståene ændring giver kan læses her:

 https://www.mvps.net/docs/how-to-secure-remote-desktop-rdp/

Ældre RDP kiienter ( windows 7 / server 2008R2 ser udtil at virke ude problemer )

Men ellers Guacamole er en fin lille java web-service hosted på en jboss motor.

Installationen er nem, jeg fulgte blot den samme som findes på debians Wiki : https://wiki.debian.org/Guacamole men brugte seneste pakker på siden.

 

Login page, hvor brugen godt kan styres fra en ldap f.eks ad i følge dokumentationen.

 

 

Efterfølgende kommer man en til landing sted, hvor de maskiner som man har rettigheder til en kan tilgåes fra.

Her under er der en RDP til en windows 10 klient ( jump station) og en ssh til en linux box.

 

Selve windows 10 logon via browser

 

 

og fuld desktop

 

 What not to like ?

Hvis der ikke er mfa på siden, vil jeg nok have at folk skal køre ind igennem nogle "jump" stations, sådan det er 2 sæt credentials som skal crackes før data kan tilgåes.

Mit test har jeg en Haproxy foran, guacamole serveren og et Lets encrypt  SSL certificat. 

 

 

\Setup\Perf\ApaAgentPerfCounters.h. Verify that the file exists and that you can access it

Exchange 2013 CU22 opgrading som bestemt ikke er gået efter bogen...

Egent var det lidt min egenskyld.

1) jeg havde ikke fået holdt serveren opdateret, og lavede derfor en Jump fra en .net 452 understøttende CU til CU22 der understøtter .net 472

2) Hvade overset at C++ 2013 var prereq ( både 32bit og 64 bit )

 Ingen af ovenstående ville havde været virkelighed, såfremt at det ikke var en Lille test server, med meget meget lidt data.

Første installations forsøg blev naturligvis stopped af manglende C++ 2013, hvilket jeg løse ved at blot installer C++ 2013 64 bit, og efter en genstart kom installationen igang, schema prep gennemførtes fint, men under "Copy Exchange Files" fik jeg en MSI 1603 - ikke godt.

Efter lidt googling fandt jeg en enkelt anden person som havde haft denne fejl, denne henviste til en eventuelt korrupt installations download, som blev løst ved en redownload.

Dette forsøgte jeg mig også med, kom forsat frem til ovenstående fejl, som I øverigt var total vrøvl, for den file som angives at skulle være fejl at læse fra, var fint til rådighed......

https://social.technet.microsoft.com/Forums/en-US/55a3e902-a58f-411a-b02f-e8eb730c2ad3/exchange-2013-cu-21-22-install-issue-exchange2013cu22setupperfapaagentperfcountersh-verify?forum=exchangesvrdeploy

 Et request ud på Microsoft Exchange 2013 forum, gav et hint om rootcause kunne være mangle på c++ 2013, jeg havde jo undladt at installere 32bit, så det blev straks forsøgt, men dette løste ikke mit problem. 

Gode råd dyre, En server død i en opdatering er sjældent nem at recover, selv om jeg havde exporetet Pst filer, til nødstilfælde ( det er en test exchange server) og lavet alm exchange server backup af databaserne for at få fjernet logfilerne.

Et forsøg var at lave en Procmon trace på installationen, for at se hvad den virkelige fejl var.

Og meget tydeligt Msiexec forventede at der var en file som nedenstående som jo er den som Msiexec meldte fejl på.

 Indskyldelse, hvis jeg nu manuel kopierede filen ind i mappen hvad så ??? det blev til handling og installationen forsatte videre, til næste file som kunne løses på sammevis og på denne måde blev hele "Copy exchange files" gennemført med ca 3 - 5 manuelle kopieringer.

Herefter forsat language installationen, og denne fejlede lidt på samme måde, nogle andre filer som skulle kopier til andre placeringe, under sprog mapperne, altid nogle filer til setup\perf\languageID og noglefiler til bin\languageID\Serverroles\common\......

Installation, kørt stille og rolig videre på denne måde.

Tilsidste kom "service delen" hvor den fejlede, da alle services stod som "disabled" og installerend ikke kunne finde udad at ændre disse til automatic, dette håndtede jeg dog manuelt ved at følge installations routinen og manuelt sætte alle services til automatic, hvergang at installeren havde sat dem til "disabled"

Tilsidst sprang exchange igang, og efter en genstart virkede exchange 2013 incl Cu22 igen.

Opgaven er nu at hurtigst muligt få bygget en ny test exchange server og flyttet dertil, jeg stoler bestemt ikke på holdbarheden af den gamle...

 ----------- Opdatering -----------------

En exchange admin jeg kender via mit tidligere arbejde oplevede det samme som ovenstående en af de seneste dage, dog lykkes det ham at omgå bøvlet ved at installere via et netværks share, om det så er severen selv man mapper, eller en anden node i et DAG betød ikke noget i følge ham