XMPP Server mit Yunohost - DNS Einträge und offene Ports

Support
, , ,
1

VPS mit Yunohost und Prosody für den Familienchat über XMPP/Conversations

Bis anhin haben wir Threema genutzt. Da Threema an anfang Jahr an den Finanzinvestor Comitis Capital verkauft wurde, möchten wir gerne selber eine Lösung aufstellen. Dazu haben wir uns für XMPP / Prosody / Conversations entschieden.

Die aktuelle Konfiguration sieht so aus:

  • Debian 12 VPS-light bei Infomaniak, 2 CPU, 2 GB RAM, 40 GB
  • Yunohost 12.1.39
  • Prosody 0.12.4~ynh106

Hauptdomain ist mydomain.com. Für die Installation vom XMPP/Prosody Server habe ich eine Subdomain gewählt: sub.mydomain.com.

Ein letsencrypt Zertifikat habe ich sowohl für die Haupt- wie auch für die Subdomain eingerichtet, also zwei Mal → ist das so korrekt?

DNS-Einträge habe ich gemäss Anleitung gesetzt: https://apps.yunohost.org/app/prosody

Meine DNS-Einträge:

$ORIGIN mydomain.com.
$TTL 3600
mydomain.com.	IN	SOA	ch.pro.io. hostmaster.myhostingprovider.com. ( 2026022303 10800 3600 604800 3600 )
mydomain.com.	IN	NS	ch.pro.io.
mydomain.com.	IN	NS	nl.pro.io.
mydomain.com.	IN	NS	p.dnh.net.
chat.mydomain.com.	IN	AAAA	xxxx:xxxx:xx:xxx::xxx
*.mydomain.com.	IN	AAAA	xxxx:xxxx:xx:xxx::xxx
mydomain.com.	IN	AAAA	xxxx:xxxx:xx:xxx::xxx
chat.mydomain.com.	IN	A	xx.xxx.xxx.xxx
*.mydomain.com.	IN	A	xx.xxx.xxx.xxx
mydomain.com.	IN	A	xx.xxx.xxx.xxx
mydomain.com.	IN	MX	10 mydomain.com.
xmpp-upload.mydomain.com.	IN	CNAME	chat.mydomain.com.
muc.mydomain.com.	IN	CNAME	chat.mydomain.com.
pubsub.mydomain.com.	IN	CNAME	chat.mydomain.com.
_xmpp-client._tcp.chat.mydomain.com.	IN	SRV	0 5 5222 chat.mydomain.com.
_xmpp-server._tcp.chat.mydomain.com.	IN	SRV	0 5 5269 chat.mydomain.com.
chat.mydomain.com.	IN	CAA	0 issue "letsencrypt.org"
mydomain.com.	IN	CAA	0 issuewild "letsencrypt.org"
mail._domainkey.mydomain.com.	IN	TXT	"v=DKIM1; h=sha256; k=rsa; p=superdupersecretstring"
_dmarc.mydomain.com.	IN	TXT	"v=DMARC1; p=none"
mydomain.com.	IN	TXT	"v=spf1 a mx -all"

Folgende Ports habe ich bei Infomaniak geöffnet:

  • 80,443,25,587,993,22,5222,5223,5269,5349

Meine Frage: Ich bin nicht sehr sattelfest, wenn es um Serververwaltung und Sicherheit geht (darum habe ich Yunohost und nicht Debian mit Docker gewählt). Könnt ihr mal kurz über die DNS Einträge schauen; pass das so - oder habe ich Einträge, die falsch / nicht notwendig sind - die Ihr ändern würdet?

Ports: Müssen tatsächlich so viele Ports geöffnet sein - kann ich da irgendwie noch zusätzlich absichern; oder passt das so?

Danke für Input und Hilfestellung!

2

Hast du zusätzlich auch einen Email Server laufen?

3

Noch nicht - kommt ev. später dazu. Du meinst wegen dem:

Soll ich die, bis es soweit ist, besser entfernen?

4

Ja und wegen einigen Ports, die du öffnest.

Die Einträge sollten nicht stören.

5

Die Ports habe ich gemäss Anleitung in der Yunohost Installationsanleitung geöffnet. Die gehen dort wahrscheinlich davon aus, dass ein Email-Server läuft, was aber aktuell ja nicht der Fall ist. Das wären dann die Ports 25, 587 und 993, richtig?

6

Ja genau, die meinte ich.