OK, die Beschreibung war wohl etwas grob verfasst. Ich hole mal etwas weiter aus.

Ich mache mit einem Freund zusammen einen Server, der dort ein Autoforum, welches mit ein paar dazugehörigen Domains eine IP nutzt. Genau durch dieses Oldtimerforum kamen schon etliche Angriffsversuche, weshalb ich dort wirklich nur Httpd, Ftpd und Mails horchen haben will.

Ohne Fail2Ban geht gar nichts mehr, während ich mit den Vorbereitungen des Serverumzugs beschäftigt war (wir hatten noch Debian7 laufen), wurde 3 Tage lang alle 10 Sekunden versucht den Mailserver zu nutzen. Wenn man einen existierenden User (admin@auto-forum.tld) gefunden hatte, was ja eine übliche Adresse ist, wurde einen Tag lang versucht sich zu verbinden....  Jetzt ist nach 3 Versuchen Schluss und Ruhe.

Seine Frau hatte früher einen Webshop, ist in Rente und nutzt die Domain nun nur noch für Abverkauf des Lagers per Ebay, da liegen also Bilder drauf. Sie hat eine dedizierte IP. Eine weitere IP ist shared mit einigen anderen Domains drauf nur für Http, Ftp  und Mail. Die vierte IP will ich nur für administrative Zwecke nutzen, also das ISPConfig, PhpMyAdmin, SSH. ISPConfig, damit die beiden sich Ihre Dinge wie Mailaliase etc selber konfigurieren können, ausserdem gestattet es mir, der seit 18 Jahren nicht mehr beruflich mit Servern zu tun hat, einfacheres Anlegen der ganzen Benutzer und Domains. Bin nur noch Mausschubser, die Konsole ist mir nicht fremd, aber es hat sich soviel geändert, ich bin einfach nicht auf dem aktuellen Stand und habe viel vergessen.

Soll letztlich so sein, dass auf 3 IPs nur Httpd, Ftpd und Mailserver lauschen. Evtl lege ich auch das Roundcube nur auf die administrative IP, da überlege ich noch wie sicher das Roundcube selber ist.

Und nun als Beispiel der Header einer Mail, die ich per Client über eine der Domains versende: DKim hab ich gekürzt und Hostnamen geändert.

From - Wed Mar 25 21:17:25 2020 X-Account-Key: account2 X-UIDL: 1N8p02-1jM1m20BeQ-015nen X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 X-Mozilla-Keys: Return-Path: admin@auto-forum.tld Received: from mail.auto-forum.tld ([93.157.51.ipB]) by mx-ha.gmx.net (mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) id 1Mb9cm-1jo3J13Tk8-00baoy for dyonisus@gmx.de; Wed, 25 Mar 2020 21:17:19 +0100 Received: from localhost (localhost.localdomain [127.0.0.1]) by real.hostname-vps.de (Postfix) with ESMTP id 677081A034F for dyonisus@gmx.de; Wed, 25 Mar 2020 20:17:19 +0000 (UTC) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=auto-forum.tld; h=content-language:content-transfer-encoding:content-type :content-type:mime-version:user-agent:date:date:message-id :subject:subject:from:from; s=default; t=1585167437; x= XXXXXXXXXXXXXXXXXXXXX X-Virus-Scanned: Debian amavisd-new at real.hostname-vps.de Received: from real.hostname-vps.de ([127.0.0.1]) by localhost (real.hostname-vps.de [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id M1a5op0eOVlL for dyonisus@gmx.de; Wed, 25 Mar 2020 20:17:17 +0000 (UTC) Received: from [192.168.192.46] (ip-176-199-9-54.hsi06.unitymediagroup.de [176.199.9.54]) (Authenticated sender: admin@auto-forum.tld) by real.hostname-vps.de (Postfix) with ESMTPSA id 595571A034E for dyonisus@gmx.de; Wed, 25 Mar 2020 20:17:16 +0000 (UTC) To: dyonisus@gmx.de From: Thomas Schmid admin@auto-forum.tld

Beim senden, wir die Domain auto-forum.tld richtig gesetzt und auch deren IP richtig gesetzt, das erreiche ich über eine transport_map und Regeln in der master.cf. Dass dann dort in der Verarbeitungsfolge die locale IP auftaucht ist normal und mir völlig Latte, weil keiner was damit anfangen kann. Leider setzt der Server aber innerhalb der Verarbeitungsfolge den echten Hostname, hier real.hostname-vps.de genannt, dort ein.

Da der reale Hostname aber über die IP auflösbar ist, wird so quasi ein Zusammenhang zwischen dem Forum und der administrativen IP hergestellt. Macht also im worst-case einen Hacker, und Angriffsversuche gibt es auf Autoforen zu hauf, auf den Host der dahinter steht aufmerksam, was ich nicht will.

Wie bekomme ich die einzelnen Module in der Mailbearbeitung dazu, auch die richtige Domain zu verwenden. In erster Linie wissen die ja garnichts von Domains, denn die bekommen ja die Daten lokal weitergereicht.

Ich kann auch nicht einfach den Hostnamen ändern, der wird zwar ausserhalb dieses VPS nicht gebraucht, aber dann wird ja eine Verknüpfung gebildet zwischen den Domains die dort liegen, also auch contraproduktiv was das Verstecken der Daten angeht.

Am Rande, wenn machbar würde ich auch gerne den X-Account-Key und die X-UIDL loswerden.

Am Anfang wurden die Mails auch von real.hostname-vps.de unter seiner IP versendet, was natürlich auch bedingte, dass die MX entsprechend gesetzt waren. Über eine Map und folgende Zeilen in der master.cf konnte ich das abändern, so dass auch den DNS-Ptr auf den IPs bleiben konnte, die den Domains zugeordnet sind. Funktioniert auch mit shared IPs, da für jede Domain ein Eintrag in der Map und der master.cf liegt.

master-cf: auto-forum_smtp    unix    -    -    -    -    -    smtp     -o smtp_bind_address=93.157.51.ipB     -o myhostname=mail.auto-forum.tld

modeladen_smtp    unix     -    -    -    -    -    smtp     -o smtp_bind_address=93.157.51.ipC     -o myhostname=mail.modeladen.tld

und so weiter.

Wie kann ich die Header der lokalen Dienste-Weiterleitungen entweder entfernen, oder eben auch anpassen, so dass jede Domain, wie ein völlig eigenständiger Server im Web aussieht, wenn jemand den Mailheader ansieht. Vielleicht erscheine ich paranoid, aber dieses Autoforum, ist das grösste deutschsprachige Forum für diese Marke, es geht sich um hochpreisige Oldtimer und zu meinem Leidwesen auch die neuen Fahrzeuge der Marke. Auf jeden Fall bekommen wir Angriffe ohne Ende. So schlimm, dass wir wieder ganz bewusst auf alte Software (phpbb 2.x gepatcht und weiterentwickelt) umgestiegen sind, die Leaks alle gestopft haben und nicht mehr von den üblichen Forenbots ins Visir genommen werden. Aktuelle Foren werden ja von Bots verfolgt ohne Ende. Dehalb bin ich so dahinter, dass nirgens auch nur eine geringe Spur auf den Server schliessen lässt der dahinter steht. User sind chrooted, ftp-user mail-user, web-user getrennte Usernames mit anderen Passwörtern etc.

So, genug zugetextet, ich hoffe ihr erkennt nun mein Problem und habt vielleicht eine Lösung parat.