Mailserver hinter Reverse Proxy (nginx)?

Hallo,

Ich habe Mail in a box installiert.

Wie bekomme ich das ganze nun SSL verschlüsselt?

Ich besitze bereits ein Server auf dem ein Nginx reverse Proxy installiert ist.

( Zertifikate werden dort erstellt und erneuert)

Nochmal zum Verständnis>

wie bekomme ich das Webinterface hinter den Proxy ?

( Bei Einbindung bekomm ich den Fehler > Zu viele Weiterleitungen)

+ Wie bekomme ich die Email verschlüsselt versendet?

4 Antworten

barnim

15.03.2020, 18:47

Mail-in-a-Box ist so designed, dass es alleine auf einer Box laeuft. Es hat z.B. einen eigenen Let's Encrypt Client mit bei und besorgt sich so eigenstaendig das SSL Zeug.

Du _kannst_ theoretisch das alles ueber einen Frontend Proxy ziehen, z.B. in dem du Regeln baust die dann je Pfad und Host Header die Requests umbiegt, aber das ist ziemlich umfangreich und sehr fehleranfaellig.

Die bessere Alternative ist, das auf einer eigenen Buechse zu betreiben.

threadi

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Internet

15.03.2020, 12:29

"Mail in a box"? Noch nie gehört. Wie ich sehe scheint es eine Webanwendung zu sein, d.h. Du greifst per Browser auf dein Postfach zu? Und genau das willst Du hinter einen Proxy verstecken? Dann musst Du den Proxy so konfigurieren, dass er alle Anfragen direkt an den eigentlichen Server (was wohl der nginx ist von dem du sprichst) weiterleitet.

Wenn Du E-Mails verschlüsseln willst musst Du SMIME einsetzen. Das kannst Du dir auch selbst kostenfrei generieren und müsstest es dann für den Versand einfügen. Wie letzteres geht sollte im Handbuch von "Mail in a box" stehen.

Woher ich das weiß:Berufserfahrung

anonym77234

Beitragsersteller

15.03.2020, 12:37

Handbuch?

Mailinabox is ein skript, was alles mitbringt.. Mailserver interface usw

threadi

15.03.2020, 12:39

@anonym77234

Da ich das Tool nicht kenne kann ich dir nicht sagen wo das geht. Eine kurze Suche brachte mich zu:
https://discourse.mailinabox.email/t/pgp-encryption-and-miab/2228

Scheinbar gibt es auch andere mit dem Problem. Ggfs. musst Du dich für jede Anforderung die Du hast separat per Google-Suche informieren, wenn vom Hersteller dazu nichts dokumentiert ist.

whgoffline

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

programmieren

15.03.2020, 12:11

Du musst glaub ich z.b über let's encrypt Zertifikate besorgen und die im SMTP Server eintragen.

Woher ich das weiß:Studium / Ausbildung – Informatikstudent

FireEraser

15.03.2020, 14:37

Also hast du es bereits eingerichtet und im Browser kommt der Fehler? Da braucht man schon etwas mehr Details. Genaues Setup von Servern, IPs, Ports und die nginx Konfiguration.

Nebenbei ist Mailcow eindeutig die bessere Alternative für ein vollständiges Mail Setup.

Ähnliche Beiträge

Nginx reverse proxy als tls layer?

hallo kurze frage (ja oder nein) wenn ich eine NGINX reverse Proxy laufen lasse die via Certbot TLS nutzt (also NGINX hat https) und die reverse proxys im hintergrund kein https/self signed (nicht alle) ist die verbindung dann über NGINX dann trotzdem verschlüsselt?

Eigentlich ja oder? weil die daten werden zwar unverschlüsselt empfangen aber dann ja wieder von NGINX verschlüsselt und weitergeleitet.

...zum Beitrag

Wie kann ich SSL hinter einem Reverse-Proxy erzwingen?

Hallo liebe Community,

ich konfiguriere zur Zeit einen WordPress-Server. Dieser soll hinter einem Apache Reverse Proxy aus dem Internet erreichbar sein. Ich habe bereits meherer Dienste hinter dem Reverse Proxy laufen und habe mir herfür Let´s encrypt Zertifikate auf dem Reverse Proxy installiert. Leider funktioniert das bei WordPress nicht. Beim Aufrufen der Seite aus dem Internet erscheint die Meldung "gemischte Inhalte wurden blockiert".

Gibt es bei WordPress eine gesonderte Herangehensweise?

Danke im Voraus für Eure Hilfe!

...zum Beitrag

NGINX Reverse Proxy sicher konfigurieren?

Hallo,

ich habe eine grundsätzliche Frage dazu, wie man NGINX sicher als Reverse Proxy einsetzt und leider nicht wirklich was dazu im Netz gefunden.

Mal angenommen auf Server A läuft eine Webapplikation, die auf 10.0.0.1:5000 hört und auf Server B läuft mein NGINX, der auf 10.0.0.2:80/443 hört. Ich möchte also von Server A zu B einen Reverse Proxy machen und die Verbindung soll mit TLS abgesichert sein.

upstream serverA {
    server 10.0.0.1:5000;
}

server {
    server_name example.org;
    listen [::]:443 ssl ipv6only=on;
    listen 443 ssl;
    ssl_certificate /etc/ssl/certs/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

    location / {
        proxy_pass http://serverA;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Nginx-Proxy true;
        proxy_redirect off;
    }

}

... HTTPS redirect

Aber jetzt ist doch nicht der Traffic von Server B also dem NGINX, auf den der Nutzer zugreift zu Server A, der Webapplikation verschlüsselt oder liege ich da falsch? Falls er nicht verschlüsselt ist, wie erreiche ich das? Ist hier eine einfache Firewall Regel auf Server A schon ausreichend? Im Sinne von

ufw allow in from 10.0.0.2 to any port 5000/tcp

Danke für alle Antworten

...zum Beitrag

Strato Wildcard SSL Zertifikat in Nginx Proxy?

Hallo,

ich habe einen Proxmox Server und auf diesem einige Container laufen, die außerhalb des Netzwerks erreichbar sind. Da ich nicht für jede Subdomain ein eigenes Let's encrypt Zertifikat generieren möchte, kam mir der Gedanke ein Wildcard Zertifikat zu generieren, das ich dann für alle Subdomains nutzen kann.

Im Nginx Proxy Manager, über den die Subdomains verteilt werden, braucht man eine DNS Challenge. Da gibt es aber leider nicht Srato zur Auswahl. Gibt es eine andere Möglichkeit, dieses zu generieren?

...zum Beitrag

Lets Encrypt hinter Reverse Proxy nutzen?

Hi, aktuell baue ich mir ein Homelab und habe bereits einen Reverse Proxy mit Lets encrypt laufen, jetzt möchte ich aber auch noch die Zertifikate auf meinen Servern die hinter dem Proxy laufen installieren. Zum einen habe cih einen Nextcloud Server zum anderen möchte ich noch einen Gitlab Server installieren.

Kann mir jemand sagen wie ich dsa einrichten muss? Wenn ich Certbot auf dem Nextcloud Server ausführe bekomme ich immer einen Fehler.

Leider kann ich keinen A Eintrag setzen, da ich keine feste IP Adresse habe. Aktuell verwende ich einen Dyn DNS Dienst in meinem Router und einen CName Eintrag auf mehreren Subdomains bei einem 1und1 Konto.

Fehler:

Domain:

Type: unauthorized

Detail: Invalid response from

DOMAIN/.well-known/acme-challenge/Ab2JXlpafv138Zk0LxgyVuUMj4LEMgMhJlhjGIvQCeM

[79.231.202.163]: "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML

2.0//EN\">\n<html><head>\n<title>404 Not

Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p"

To fix these errors, please make sure that your domain name was

entered correctly and the DNS A/AAAA record(s) for that domain

contain(s) the right IP address.

Hier habe ich gelesen das man certbot auf http-01 Verifikation umstellen muss, das hat aber leider nicht geklappt.

https://community.letsencrypt.org/t/using-certbot-behind-an-ssl-reverse-proxy/36783

...zum Beitrag

[STRATO] Trotz "SSL erzwingen" ist Website nicht automatisch sicher?

Ich hab mir vor einigen Tagen eine Domain incl. SSL-Zertifikat gekauft. In der Domainverwaltung steht dann, dass man die Verschlüsselung erzwingen kann.

Wenn ich meine Domain (ohne https) eingebe, ist die Verbindung nicht sicher. Erst wenn ich https eingebe, wird die Verbindung gesichert. Sollte das nicht automatisch verschlüsselt werden, wenn ich kein http/https davor schreibe?

Es gibt u.A. die 301- und die 302-Weiterleitung. Aktiviert ist 301, also permanente Weiterleitung. Hast das was damit zutun, oder hab ich irgend etwas vergessen?

Ich habe jetzt diverse Foren durchsucht, aber keines hat mir geholfen.

Danke.

...zum Beitrag

Nginx reverse Proxy?

Heyho,

Keine Ahnung ob ich hier wen finde der mir helfen kann aber gut.
Es geht um meinen reverse Proxy, ich bin relativ neu in der Netzwerk Technick und versuche gerade einen reverse Proxy vor meinen eigentlichen Server zu stellen.

Und zwar habe ich Nginx auf einem anderen debian 11 Server installiert und wollte von dort aus dann meine Dienste öffentlich machen um die eigentliche IP meines Hauptservers zu verstecken. Dazu wollte ich dann bei Nginx einen Stream machen der dann so funktioniert:

%IP VOM REVERSE%:4444 -> %IP VOM HAUPT%:25565

Funktioniert leider nicht, nichtmal mit dem Port 9090 (Auf meinem Hauptserver läuft cockpit port 9090). Habe die Ports auch in die Docker config geschrieben ...

...zum Beitrag

SSL Zertifikat für Mailserver (MailCow)?

Guten Abend zusammen!

Ich nutze Mailcow als Mailserver auf meinem Ubuntu-System. Mit dem Certbot habe ich für meinen Apache-Server bereits ein Zertifikat für meine Domain erstellt.

Nun ist die Frage, wie kann ich meine Mails auch verschlüsselt verschicken? Ich habe gerade nachgeschaut und bin der Meinung, dass meine Mails wohl nicht mal TLS verschlüsselt sind.

Ich bitte um Hilfe, da ich meine Mail eigentlich dringend brauche aber nicht verschlüsselt nicht kommunizieren will.

...zum Beitrag

Nginx Proxy Manager lokale Zertifikate?

Ich benutze Docker auf meinem Pi. Als Docker laufen Pi-Hole, Nignx Proxy Manager und weitere. Wenn ich über eine Subdomain auf einen anderen Docker zugreifen will z.B. wireguard.xxxxx.de wird von Nignx ein Zertifikat benutzt. Im Pi-Hole kann man einen DNS Record einstellen. Trage ich dort z.B. wireguard.xxxxx.de auf IP 192.168.5.36 weiterleiten ein, steht oben in der Adressleiste trotzdem wireguard.xxxxx.de. Aber es wird kein Zertifikat benutzt. Warum ist mir bekannt, aber kann ich irgendwie ein Zertifikat für einen Lokalen zugriff erstellen.

...zum Beitrag

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zum Beitrag

Domain von Strato (mit SSL) auf IONOS-Webspace lenken?

Hi, kann ich eine Domain, die bei Strato SSL-verschlüsselt ist auf einen Pfad meines Webservers bei IONOS umleiten, ohne dass ich dort erneut ein SSL-Zertifikat kaufen muss? Eventuell über irgendeine DNS-Einstellung?

Domain (Strato / SSL) -> Webspace (IONOS)

...zum Beitrag

Nginx Reverse Proxy sicher machen?

Ich habe einen Reverse Proxy mit verschiedenen APIs auf verschiedenen Ports auf dem Reverse Proxy

Beispiel:

reversproxy:888 //API Dienst 1

reversproxy:828 //API Dienst 1

reversproxy:855 //React Frontend

Ich würde gerne, dass sich ein Nutzer nur einmal einloggen muss via Webseite oder ähnliches und dann von seinem Browser/Rechner diese API nutzen kann, ohne sich nochmal anmelden zu müssen.
HTTP Basic hatte ich erst in Erwägung gezogen, aber wenn dann ein API Call an den Reverse Proxy gemacht wird ist es trotzdem ein 401.
Schonmal danke für anregende Ideen

...zum Beitrag

NGINX Proxy Manager Stream funktioniert nicht?

Hi,

ich versuche einen stream in NGINX einzurichten jedoch leitet der reverse proxy nicht weiter. Weder wenn ich die domain noch die IP benutze. Vielleicht liegt es daran das ich versuche auf Server ausserhalb von docker zu verweisen ?

Falls das zutrifft hat jemand eine Lösung wie das möglich wäre?

...zum Beitrag

Cloudflare Proxy als Certbot Ersatz für Webseite auf Debian Server?

Ich besitze einen Debian Server und habe ihn mit meiner Domain verknüpft und darauf eine Wordpress Webseite erstellt. Diese Domain habe ich in Cloudflare und der entsprechende DNS Eintrag ist mit Proxy. Obwohl auf dem Server kein SSL Zertifikat installiert war, zeigt mir mein Browser eine sichere Verbindung mit einem gültigen Zertifikat an. Wenn ich aber in /wp-admin wechsle, zeigt es meistens sichere Verbindung, manchmal wechselt es aber auch zu nicht sicher.

Reicht jetzt der Proxy von Cloudflare als Ersatz für ein SSL-Zertifikat oder sollte ich lieber noch Certbot für ein SSL-Zertifikat installieren?

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen