Yo, bis heute ca Mittag ging es, seitdem bekomme ich keine E-Mails mehr wenn in abonnierten Themen neue Beiträge verfasst worden sind. Zu diesem Zeitpunkt war das Forum für wenige Minuten nicht erreichbar.
Bekanntes Problem und ev. Lösung dafür vorhanden? :confused::(

Yo, bis heute ca Mittag ging es, seitdem bekomme ich keine E-Mails mehr wenn in abonnierten Themen neue Beiträge verfasst worden sind. Zu diesem Zeitpunkt war das Forum für wenigen Minuten nicht erreichbar.
Bekanntes Problem und ev. Lösung dafür vorhanden? :confused::(

dito, hier auch schon seit Dienstag Morgen 10:38


keine Benachrichtigung via email mehr. als ob das Form Tod ist. Im Kontrollpanel sieht man dann aber die ganzen ungelesenen Freads ...


:frown::frown::frown:

Ich versuche mal manuell einige Abos zu deabonnieren und dann wieder zu abonnieren. :mad:
Wird aber wohl auch nix bringen.

Ich hatte genau zu diesem Zeitpunkt ein generelles Zugriffsproblem. Denkbar, dass da irgendein Service im Hintergrund nicht mehr richtig funktioniert.

Was sagen die Webmaster? Neustart versuchen?

Anscheinend hing irgendwo kurz mal ein DNS oder so:
Aug 01 07:25:10 $SERVERNAME postfix/error[273030]: 07C7A8617D2: to=<$MAILADRESSE_SLIPKNOT@gmx.net>, relay=none, delay=54939, delays=54939/0.03/0/0, dsn=4.4.3, status=deferred (delivery temporarily suspended: Host or domain name not found. Name service error for name=gmx.net type=MX: Host not found, try again)
Postfix neu gestartet, Meldung ist weg. Funktioniert es jetzt?

Nein, kommt im FF leider weiterhin:
"Ein Fehler ist während einer Verbindung mit www.forum-3dcenter.org aufgetreten. Der OCSP-Server schlägt vor, es später erneut zu versuchen. Fehlercode: SEC_ERROR_OCSP_TRY_SERVER_LATER"

Ich meinte auch Slipknot mit seinen Mails. Deinen Fehler kann ich nirgends nachvollziehen. Wegen Deiner Meldung:
(1) In a new tab, type or paste about:config in the address bar and press Enter/Return. Click the button promising to be careful.

(2) In the search box above the list, type or paste ocsp and pause while the list is filtered

(3) Double-click the security.ssl.enable_ocsp_stapling preference to switch it from true to false
PS: Lies mal bitte Deine PN von mir.

Bringt OCSP was bei der Zugriffszeit vom Besucher? Hatte das bei mir bisher immer aus aufm Server.

Wegen Deiner Meldung:

Habe schon herausgefunden, wie ich die Funktion ausschalten. War halt vorher nicht notwendig, Zeitpunkt des Fehlers war (zufällig?) gleich.

tjo immer noch keine emails... :frown: auch zu diesem fread nicht

Ja, auch hier immer noch keine E-Mails zu abonnierten Themen mit "sofortiger E-Mail-Benachrichtigung". oO
Auch dann nicht, wenn man deabonniert und wieder abonniert.

Sehr weirdes Problem. Angeblich findet Postfix die Server nicht, sie sind aber im DNS aufloesbar und manuell mit dem User ist alles fein. Eventuell hat Sephi da noch eine Idee.

Macht doch mal einen Neustart. Unter WinDOS hilft das immer. X-D

Was steht denn genau in mail.log?

Und wenn du händisch ne Mail verschickst mit mail gehts? oO

Hier kommt auch nichts mehr an.

Nicht dass euch jemand die Domain geklaut hat und gerade alle Konten kapert.

Neustart wurde versucht, hat leider nicht funktioniert. Maillog sagt auch nicht mehr als dass der Mailhost nicht gefunden werden kann, was mich halt hart verwirrt:

DDE4286AF49 620 Fri Aug 2 14:27:30 webmaster@3dcenter.org
(delivery temporarily suspended: Host or domain name not found. Name service error for name=gmail.com type=MX: Host not found, try again)
$USER@gmail.com

MX
# dig mx gmail.com

; <<>> DiG 9.11.13-RedHat-9.11.13-6.el8_2.1 <<>> mx gmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25638
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 19

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 2dd113885471205b17cc7a1f66acd3bbe95ec018e869f7f9 (good)
;; QUESTION SECTION:
;gmail.com. IN MX

;; ANSWER SECTION:
gmail.com. 3287 IN MX 5 gmail-smtp-in.l.google.com.
gmail.com. 3287 IN MX 40 alt4.gmail-smtp-in.l.google.com.
gmail.com. 3287 IN MX 30 alt3.gmail-smtp-in.l.google.com.
gmail.com. 3287 IN MX 10 alt1.gmail-smtp-in.l.google.com.
gmail.com. 3287 IN MX 20 alt2.gmail-smtp-in.l.google.com.
Connect

# telnet smtp.gmail.com 587
Trying 2a00:1450:400c:c02::6c...
Connected to smtp.gmail.com.
Escape character is '^]'.
220 smtp.gmail.com ESMTP ffacd0b85a97d-36bbd06d841sm1872365f8f.101 - gsmtp
EHLO foo
250-smtp.gmail.com at your service, [2a01:488:67:1000:523:fcc2:0:1]
250-SIZE 35882577
250-8BITMIME
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8

DNS

# sudo -u postfix -H cat /etc/resolv.conf
nameserver 10.255.250.30
nameserver 10.255.251.30
options edns0

(selbes in /var/spool, da postfix erstmal dort schaut.

In der /etc/postfix/main.cf ist da:
resolver_config = /etc/resolv.conf
drinnen? Nicht, dass postfix einen override hat zu einem anderen file.
Schaut ja so aus als kann Linux den DNS auflösen aber sobald es über postfix geht nicht mehr, was erstmal für ein Postfix Problem spricht.

Lass uns doch mal bitte die Ausgabe von

postconf -n

zukommen.

€: Läuft BIND auf dem Server? Falls ja könntest rndc flush testen.

In der /etc/postfix/main.cf ist da:
resolver_config = /etc/resolv.conf
drinnen?
War nicht drin, aber selbst mit spuckt der Server die selbe Fehlermeldung aus.
Lass uns doch mal bitte die Ausgabe von

postconf -n

zukommen.
Kein Bind.

# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
command_directory = /usr/sbin
compatibility_level = 2
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5
html_directory = no
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
meta_directory = /etc/postfix
milter_default_action = accept
mydestination = $myhostname, localhost.$mydomain, localhost, <REDACTED>, <REDACTED>
mydomain = forum-3dcenter.org
myhostname = www.forum-3dcenter.org
mynetworks_style = host
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases.postfix
non_smtpd_milters = $smtpd_milters
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix/README_FILES
sample_directory = /usr/share/doc/postfix/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
shlib_directory = /usr/lib64/postfix
smtp_address_preference = ipv4
smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
smtp_tls_CApath = /etc/pki/tls/certs
smtp_tls_security_level = may
smtpd_milters = inet:localhost:8891
smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem
smtpd_tls_key_file = /etc/pki/tls/private/postfix.key
smtpd_tls_security_level = may
unknown_local_recipient_reject_code = 550

Für mich sieht das super aus.
Nutzt das 3DC cloudflare?

Ja, mich wundert ja auch, dass es von jetzt auf gleich nicht mehr geht. Cloudflare ist mir jetzt nicht bewusst. Ich warte mal auf Sephi, ob der vielleicht noch eine gute Idee hat.

dig mx gmail.com

; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> mx gmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63773
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 11

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;gmail.com. IN MX

;; ANSWER SECTION:
gmail.com. 2305 IN MX 10 alt1.gmail-smtp-in.l.google.com.
gmail.com. 2305 IN MX 30 alt3.gmail-smtp-in.l.google.com.
gmail.com. 2305 IN MX 20 alt2.gmail-smtp-in.l.google.com.
gmail.com. 2305 IN MX 40 alt4.gmail-smtp-in.l.google.com.
gmail.com. 2305 IN MX 5 gmail-smtp-in.l.google.com.

;; ADDITIONAL SECTION:
alt1.gmail-smtp-in.l.google.com. 237 IN A 142.251.9.26
alt1.gmail-smtp-in.l.google.com. 5 IN AAAA 2a00:1450:4025:c03::1a
alt3.gmail-smtp-in.l.google.com. 278 IN A 142.250.157.26
alt3.gmail-smtp-in.l.google.com. 299 IN AAAA 2404:6800:4008:c13::1b
alt2.gmail-smtp-in.l.google.com. 152 IN A 142.250.150.26
alt2.gmail-smtp-in.l.google.com. 214 IN AAAA 2404:6800:4003:c00::1a
alt4.gmail-smtp-in.l.google.com. 219 IN A 173.194.202.27
alt4.gmail-smtp-in.l.google.com. 178 IN AAAA 2404:6800:4008:c13::1a
gmail-smtp-in.l.google.com. 221 IN A 74.125.143.27
gmail-smtp-in.l.google.com. 178 IN AAAA 2a00:1450:4013:c04::1a

;; Query time: 88 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Fri Aug 02 13:27:28 UTC 2024
;; MSG SIZE rcvd: 381

Kann deine Maschine denn die IP-Adressen der Mailhosts denn auflösen? Also z.B. für den primären:
nslookup gmail-smtp-in.l.google.com
Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: gmail-smtp-in.l.google.com
Address: 142.250.102.26
Name: gmail-smtp-in.l.google.com
Address: 2a00:1450:4013:c02::1b

ping gmail-smtp-in.l.google.com
PING gmail-smtp-in.l.google.com (74.125.143.27) 56(84) bytes of data.
64 bytes from ed-in-f27.1e100.net (74.125.143.27): icmp_seq=1 ttl=60 time=15.3 ms

Es ist ja nicht nur bei Gmail so, sondern auch bei gmx.net und anderen. Gmail war heir nur als Beispiel genannt. Aufloesung funktioniert aus der CLI heraus.

Nicht dass sich wer wundert, sofern das nicht abgesprochen unkommuniziert so sein soll:
Schreiben als Gast ist auch nicht mehr möglich.

Ist mir auch gerade aufgefallen das keine Mails mehr kommen.
Mir wären nur Updates eingefallen. Mail empfangen geht? Mal eine temp Mailadresse anlegen und schauen ob Mails von da weg gehen?

Ich denke Punkt 7.2 sollte bei einem System was nicht gerade vorgestern upgedatet wurde kein Thema sein.
https://wiki.archlinux.org/title/Postfix

Postfix Ist nicht im chroot.

Ich weiß ja nicht, was fürn OS da läuft aber bei mir (Ubuntu Server) würde ich noch probieren:
sudo systemd-resolve --flush-caches
sudo systemctl restart dnsmasq

Vielleicht nutzt Postfix gecachte DNS Daten aber das ist schon strange ^^
AppArmor oder sowas ähnliches ist auch nicht drauf?

immer noch keine email benachrichtigungen,

habe gestern im KZ unter abonnierte Themen von sofort auf täglich umgestellt


habe 2024 Themen abonniert.

>> bis dato NULL emails

Schreiben als Gast ist auch nicht mehr möglich.

Ungeplant. Ergo: Hier liegt ein ernsthafter Fehler vor.

Die Software hier ist auch super veraltet. Linux, vbulletin, php. Da muss man schon kreativ sein, dass die Kiste stabil und sicher läuft. Das die Kiste noch nicht gehackt wurde heißt da hat jemand gute Arbeit mit der Sicherheit / WAF gemacht ^^

Vielleicht ne Idee, Spenden sammeln für einen Transfer zu SMF? Ist sicherlich einiges an Zeit notwendig für scripte schreiben / testing usw aber imo würde sich das lohnen, weil man dann wieder eine up to Date Maschine betreiben kann.

Forum soll ja auf eine moderne Software umziehen. Aber diesen Fehler müssen wir trotzdem erstmal lösen.

Wurde der Fehler inzwischen gefunden?

Bisher noch nicht, habe gestern Abend auch nochmal eine 2h Debuggingsession gehabt, aber ohne Erfolg.

Betrifft das Problem alle ausgehenden Mails?

Der Fehler wurde durch eine noch unbekannte Änderung des Hosters bei nicht angekündigten Wartungsarbeiten vom 30.7.2024 10-12 Uhr am Server ausgelöst. In Folge dessen greifen SELinux-Policies nicht mehr oder sind falsch, wodurch Dienste wie das Mailsystem, der HTTP-Server (daher auch das OCSP-Problem von Leo) oder PHP (daher ist kein Posten als Gast oder eine Registrierung möglich) gestört sind. Die Probleme sind nicht allein auf DNS-Resolves beschränkt, dass sind aber die auffälligsten. Es liegt nun am Hoster im Detail zu Erklären was getan wurde, warum es keine Vorankündigung für den 30.7. gab (es gab eine vom 4.7. für den 11.7.) und das ursächliche Problem zu lösen - ich habe keine Lust hier nur einen Workaround zu machen.

Betrifft das Problem alle ausgehenden Mails?
Ja.

Mailversand, schreiben als Gast, Registrieren und OCSP-Problem sind gelöst. Die ersten Nutzer haben bereits Mails erhalten. Die alten Mails der letzten Tage haben wir allerdings vorher gelöscht, damit es nicht zu einer Spam-Flut kommt.

p.s.
Zur Ursache: bisher sieht es so aus, als hätte u.a. die Datei /etc/resolv.conf den falschen security context gehabt. Nachdem dieser wiederhergestellt und die betroffenen Anwendungen neu gestartet wurden, funktionierte auch die DNS-Auflösung wieder.

hup hup juchhuuu es geht wieder ^^

Wundervoll :up:

PS: Kann praktische Lösung des OCSP-Problems bestätigen.

Danke

Der Fehler wurde durch eine noch unbekannte Änderung des Hosters bei nicht angekündigten Wartungsarbeiten vom 30.7.2024 10-12 Uhr am Server ausgelöst. In Folge dessen greifen SELinux-Policies nicht mehr oder sind falsch, wodurch Dienste wie das Mailsystem, der HTTP-Server (daher auch das OCSP-Problem von Leo) oder PHP (daher ist kein Posten als Gast oder eine Registrierung möglich) gestört sind. Die Probleme sind nicht allein auf DNS-Resolves beschränkt, dass sind aber die auffälligsten. Es liegt nun am Hoster im Detail zu Erklären was getan wurde, warum es keine Vorankündigung für den 30.7. gab (es gab eine vom 4.7. für den 11.7.) und das ursächliche Problem zu lösen - ich habe keine Lust hier nur einen Workaround zu machen.



Wie nervig ist das denn. Warum darf der Hoster überhaupt ohne eure Beauftragung am Server herumpfuschen :(
Oder ist das ein Managed Server?

Wie nervig ist das denn. Warum darf der Hoster überhaupt ohne eure Beauftragung am Server herumpfuschen :(
Oder ist das ein Managed Server?
Nein der ist nicht managed aber eine VM. Und gewisse Einstellungen werden auch da vom Hoster vorgegeben bzw. vorgenommen, z.B. hostname, ip-adress-konfiguration und dns (resolv.conf). Die Wartungsarbeiten hatten den Hintergrund eines Wechsels/Updates des Hostsystems. In Zuge dessen wurden offenbar relevante Dateien wie die resolv.conf erneuert, hatte dann aber den falschen security context. Das ist ein durchaus bekanntes Problem (https://access.redhat.com/solutions/3082951), wurde aber scheinbar im Vorfeld durch den Hoster nicht getestet oder ignoriert. Es gab auch eine unwesentliche Änderung an den kernel Parametern der grub config. Welche Änderungen noch gemacht wurden, ist nach wie vor nicht bekannt, da wir noch keine Antwort erhalten haben. Ich hoffe das Problem tritt beim nächsten Neustart nicht wieder auf.

Danke @Sephi, Ehrenmann! (y)

MfG
Rooter

Witzigerweise habe ich das nachgeschlagen bzw mal geschaut was HE da wieder treibt.
https://www.hosteurope.de/faq/server/server-allgemeines/platform-migration-server-2024/
Ich wusste allerdings weder ob das hier Blech oder ne VM ist NOCH das "wir" eine Ausfallzeit hatten. Zusätzlich wäre ich davon ausgegangend das ein Umzug zumindest etwas bekannter gewesen wäre.

VS Linux (Container): Es werden der passende Kernel und Bootloader installiert, zusätzlich der QEMU-Guest-Agent, über den die Kommunikation mit dem Virtualisierung realisiert wird.

Nein der ist nicht managed aber eine VM. Und gewisse Einstellungen werden auch da vom Hoster vorgegeben bzw. vorgenommen, z.B. hostname, ip-adress-konfiguration und dns (resolv.conf). Die Wartungsarbeiten hatten den Hintergrund eines Wechsels/Updates des Hostsystems. In Zuge dessen wurden offenbar relevante Dateien wie die resolv.conf erneuert, hatte dann aber den falschen security context. Das ist ein durchaus bekanntes Problem (https://access.redhat.com/solutions/3082951), wurde aber scheinbar im Vorfeld durch den Hoster nicht getestet oder ignoriert. Es gab auch eine unwesentliche Änderung an den kernel Parametern der grub config. Welche Änderungen noch gemacht wurden, ist nach wie vor nicht bekannt, da wir noch keine Antwort erhalten haben. Ich hoffe das Problem tritt beim nächsten Neustart nicht wieder auf.

Ah verstehe!
Boah, ich könnte nicht ruhig schlafen, wenn ich mal ein Wochenende oder ne Woche weg bin. Da schlummert ja immer die Unbekannte mit, ob der Hoster irgendwelche Updates fährt :(

Ich glaube das ist nicht so wild. Blech wird halt alt und läuft aus den Verträgen, dann wird Hardwaretetris gespielt. Alt raus -> Neu rein -> Migrieren. Zumindest ist das bei uns (kein Hoster ;) ) quasi Alltag. 500 neue Server bauen sich auch nicht in 7 Tagen auf.

Ich glaube das ist nicht so wild. Blech wird halt alt und läuft aus den Verträgen, dann wird Hardwaretetris gespielt. Alt raus -> Neu rein -> Migrieren. Zumindest ist das bei uns (kein Hoster ;) ) quasi Alltag. 500 neue Server bauen sich auch nicht in 7 Tagen auf.

Wir haben für unser Hosting (verkaufen wir auch an Kunden, die wir in der IT betreuen) auf dedizierten Server.
Die Maschine wird von Hetzner einfach >nie< angefasst, außer ich mache ein Ticket auf. Klar macht es Sinn nach 5+ Jahren mal zu migrieren, weil man fürs selbe Geld viel bessere Hardware bekommt aber auf der Maschine passiert rein gar nichts ohne das ich ein Ticket eröffne.
Auf den random Stress habe ich einfach kein Bock mehr.

Verstehe. Das ist dann wohl bei HE eine andere Herangehensweise. In der FAQ steht ja einiges. Alles andere ist Spekulation. Wenn das die Migration auf Virtual Server 10* ist, dann kann es hier ja auch Servicegründe geben. Nicht mehr supportete Hypervisor usw usw usw usw.. Weißt Du vermutlich selbst.

wird Ihr Server von der vorherigen Containervirtualisierung (unter Virtuozzo) in eine KVM basierte Vollvirtualisierung umgewandelt
Kann ich nicht beurteilen.

Zum Glück hielt sich das ja, zumindest vordergründig, im Rahmen. Keine Gäste, keine Mails. Unglücklich, aber kein Beinbruch. Ein kompletter Crash samt DB Chaos wärs wohl dann gewesen.

Ich verstehe das aus Sicht des Hosters auch absolut.
Wenn bei unserm dedizierten Proxmox Server eine Kunde aus irgendwelchen Gründen eine legacy Umgebung braucht und wir nicht updaten können/dürfen, dann würde der halt auf einen separaten Server migriert werden mit entsprechendem Wartungsaufwand. Aber das muss man halt mit dem Kunden absprechen, weil das seine monatlichen Kosten erhöhen würde.
Wir sind aber auch kein Massen-Hoster, sondern primär für individuelle Projekte / Kunden. Auf die Preisschlacht muss man sich nicht einlassen da draußen ^^

Ich war nur etwas überrascht, dass das 3DC nicht auf einer dedizierten Kiste läuft, auch gerade weil hier nicht die neuste Software läuft. Das ist meistens sogar günstiger und Sephi hat ja Ahnung von den Kram.