Eigene Domain/Mail-Adresse weltweit bekannt geben (gute/schlechte Idee?)

[dedication]

Hi zusammen,
ich bin im Besitz einer privaten Domain (Anbieter: Strato).
Diese wird von mir bisher lediglich privat verwendet (Cloud, Mail, etc.) also niemand außer mir kennt den Namen der Domain oder dessen Inhaber (mich). Auch eine WhoIs-Anfrage führt zu keinen nennenswerten Informationen über mich. Bislang ist lediglich die Cloud von außen per Reverse Proxy zugänglich, ansonsten rein privater/interner Zugriff aus dem selben Netz.
Nun wollte ich gerne wissen, ob es riskant ist, den Namen dieser Domain öffentlich (also im Netz) für jeden zugängig bekannt zu geben (z.B. auf Youtube o.ä.).

Einfaches Szenario: Mail
Ich veröffentliche meine (private) Mail-Adresse im Netz (example@DOMAIN.eu), muss ich dann mit Tausenden von Mails rechnen oder gar bösartigen Angriffen?
Ich bin da zwar vermutlich über Strato selbst abgesichert, hoffe ich zumindest (ich hoste den Mail-Server ja nicht selbst, die Mails werden von dort lediglich via POP3 an mein Synology NAS geschickt und dort verwaltet), aber dennoch hätte ich gerne gewusst, ob das problematisch ist oder ob man das lieber sein lässt (oder gleich lieber eine komplett neue Domain bucht, welche eben für den weltweiten Einsatz gedacht ist, also komplette Trennung von privater Domain und geschäftlicher Domain). Was ist hier der Standard?

Komplexeres Szenario: Homepage
Ich hoste auf meinem NAS eine Homepage und gebe die Adresse öffentlich bekannt (also z.B. example.DOMAIN.eu).
Die Adresse leitet dann alle eingehenden Anfragen per CNAME sowie Reverse Proxy auf mein Synology NAS um (müsste noch schauen über welchen Port).
Muss ich dann auch hier mit DDos-Attacken oder ähnlichen bösartigen Anfragen rechnen?
Also kurz: Ist es eine gute Idee, eine Homepage auf dem eigenen NAS zu hosten oder sollte auch das eher vermieden werden?

Abschließend:
Gibt es eventuell noch andere Dinge, die ich beachten sollte oder die ich vorher einrichten könnte/sollte um die Risiken zu mitigieren?
Also hab mir vorgestellt, alle Anfragen, die von außen auf mein NAS kommen, in einem eigenen Subnetz zu isolieren, sofern das überhaupt möglich und machbar ist. Aber auch da weiß ich nicht, ob das tatsächlich Sinn ergibt, also ob das die Sicherheit tatsächlich steigert.
Sonst noch Tipps/Hinweise?

Besten Dank euch!

 

[madmax2010]

en Namen dieser Domain öffentlich (also im Netz) für jeden zugängig bekannt zu geben (z.B. auf Youtube o.ä.).

ne, die ist ohnehin bekannt

Muss ich dann auch hier mit DDos-Attacken oder ähnlichen bösartigen Anfragen rechnen?

Immer. DDoS wird dein Provider oft abfackeln ist aber unwahrscheinlich. So was wird gezielt. aber ansonsten dauert es um die 10 Minuten kompletten IPv4 Raum nach verwundbaren Diensten Abzuscannen.
Sicherheitsupdates immer amgleichen Taginstallieren und keine EoL Hardware / Software nutzen ist das Minimum

Ich veröffentliche meine (private) Mail-Adresse im Netz (example@DOMAIN.eu), muss ich dann mit Tausenden von Mails rechnen

spam filter regelt.

aber mach keine Adresse publik die du noch mal nutzenwillst.
Setz einen Alias aufs konto, der moeglichst nicht deine normale Adresse trivial ableitbar macht

 

[Rickmer]

Nun wollte ich gerne wissen, ob es riskant ist, den Namen dieser Domain öffentlich (also im Netz) für jeden zugängig bekannt zu geben (z.B. auf Youtube o.ä.).

Grundsätzlich ja.

Ich veröffentliche meine (private) Mail-Adresse im Netz (example@DOMAIN.eu), muss ich dann mit Tausenden von Mails rechnen oder gar bösartigen Angriffen?

Wenn du die irgendwo öffentlich machst kannst du davon ausgehen, dass die Adresse von einem Scraper ergriffen wird und früher oder Später kommt dann der übliche Müll an Scams und Spam.
Aber dafür musst du die auch nicht öffentlich machen - sofern du die Email für irgenwas im Netz nutzt wird statistisch gesehen früher oder später die Adresse in einem Datenleck landen.

Ich bin da zwar vermutlich über Strato selbst abgesichert, hoffe ich zumindest (ich hoste den Mail-Server ja nicht selbst

Wenn Strato den Mailserver macht weiß ich spontan nicht, ob die da überhaupt was absichern ohne, dass du deren ' Premium-Virenscanner' mit buchst.

Ich hoste auf meinem NAS eine Homepage und gebe die Adresse öffentlich bekannt (also z.B. example.DOMAIN.eu).
Die Adresse leitet dann alle eingehenden Anfragen per Reverse Proxy auf mein Synology NAS um (müsste noch schauen über welchen Port).
Muss ich dann auch hier mit DDos-Attacken oder ähnlichen bösartigen Anfragen rechnen?

Weniger DDos (wer verschwendet schon Ressourcen auf 'ne random Website), aber du kannst damit rechnen, dass du von irgendwelchen Bots auf bekannte Schwachstellen abgescannt wirst. Falls die was finden, wird der Angriff nicht lange auf sich warten lassen.

 

[dedication]

ne, die ist ohnehin bekannt

Nur für die, die sich damit auskennen. Der Laie hat von meiner Domain absolut keine Ahnung.
Die paar wenigen, die das auch so heraus finden könnten, sind nicht wirklich meine Sorge. Nur wenn es dann eben Tausende werden (also nach dem öffentlich bekannt geben), hatte ich Bedenken.

Immer. DDoS wird dein Provider oft abfackeln, aber ansonsten dauert es um die 10 Minuten kompletten IPv4 Raum nach verwundbaren Diensten Abzuscannen.

Ja ich hoffe Strato sichert mich vor DDos ab. Aber da ich dort keine optionalen Features gebucht habe, kann ich das momentan nicht genau sagen. Gehe aber mal schwer davon aus, dass die nicht einfach hunderte Anfragen pro Minute einfach so an mich weiter leiten würden.

spam filter regelt.

Ja schon, aber der Name der Domain ist damit aber eben dennoch allen bekannt. Also man könnte dann auch andere Aliase ausprobieren und mit etwas Glück weitere ausfindig machen oder die 'catch-all'-Funktion abusen und über diesen Weg spammen. Das ist also kein wirkliches Problem?

aber mach keine Adresse publik die du noch mal nutzenwillst.
Setz einen Alias aufs konto, der moeglichst nicht deine normale Adresse trivial ableitbar macht

Ja, das auf jeden Fall. Der verwendete Alias muss zwingend separat und damit im Zweifel einfach löschbar sein.
Und ja, der wird auch anonymisiert, ich verwende für den keinen Echtnamen o.ä.

--------------------------------------------------------------------------------------------------------------

Wenn du die irgendwo öffentlich machst kannst du davon ausgehen, dass die Adresse von einem Scraper ergriffen wird und früher oder Später kommt dann der übliche Müll an Scams und Spam.

Damit komme ich klar. Und wenn es irgendwann doch zu viel wird, kann ich den Alias ja immer noch wieder löschen. Mir ging es rein nur um die Bekanntgabe der Domain an sich.

Wenn Strato den Mailserver macht weiß ich spontan nicht, ob die da überhaupt was absichern ohne, dass du deren ' Premium-Virenscanner' mit buchst.

Weiß ich momentan auch nicht.
Aber ging mir aktuell eher um eine Grundsatzfrage. Also wird demnach vom self-hosting einer eigenen Homepage auf dem privaten NAS generell nicht abgeraten?
Es laufen ja noch andere Dienste über die selbe Domain (Cloud/Mail usw.), die laufen also keine Gefahr, dass mit denen irgendwas passiert?

Synology ist ja auch nicht gerade ein NoName-Hersteller, ich denke all zu viele Schwachstellen bzw. Lücken wird es da auch wieder nicht geben. Aber ja, Updates werden selbstverständlich immer gemacht, viel mehr kann ich da allerdings auch nicht tun nehme ich an.

Ansonsten:
Wie sieht es in puncto Port aus? Lass ich alles einfach über die default Ports laufen (80 bzw. 443) und diese dauerhaft offen? Oder gibt es da andere Möglichkeiten?

 

[Rickmer]

Synology ist ja auch nicht gerade ein NoName-Hersteller, ich denke all zu viele Schwachstellen bzw. Lücken wird es da auch wieder nicht geben.

Doch, immer mal wieder. Es gab auch schon die ein- oder andere News zu verschlüsselten NAS die daraus resultieren, sowohl für QNAP als auch Synology.

Aber das ist wenn das NAS selber offen gestellt wird. Daher

Aber ging mir aktuell eher um eine Grundsatzfrage. Also wird demnach vom self-hosting einer eigenen Homepage auf dem privaten NAS generell nicht abgeraten?

Jain? Alles was öffentlich ist, ist ein Risiko. Aber das ComputerBase Forum ist ja auch schon zig Jahre online und noch da.

Wie sicher das ist kommt drauf an, was du hostest und welche Software du dafür verwendest. Auf der Synology kann man über den Umweg von Docker nahezu alles hosten...

Wie sieht es in puncto Port aus? Lass ich alles einfach über die default Ports laufen (80 bzw. 443) und diese dauerhaft offen? Oder gibt es da andere Möglichkeiten?

Andere Ports sind 'security through obscurity', darauf ist kein Verlass. Und immer den Port angeben ist unbequem. Dann lieber deine Energie in eine vernünftige und möglichst sichere Konfiguration deiner Website investieren.

Ergänzung (8. November 2024)

Ich hoste auch eine eigene Nextcloud Instanz, die öffentlich aufrufbar ist. Da bin ich entsprechend auch immer wieder dran um Updates durchzuführen an Nextcloud sowie am reverse Proxy.

 

[Korben2206]

Nur für die, die sich damit auskennen. Der Laie hat von meiner Domain absolut keine Ahnung.

Vor Laien hätte ich ja auch keine Angst... Der Denkansatz ist verkehrt herum, meiner Ansicht nach.

 

[dedication]

Doch, immer mal wieder. Es gab auch schon die ein- oder andere News zu verschlüsselten NAS die daraus resultieren, sowohl für QNAP als auch Synology.

Ok, gut zu wissen. Aber dann ist das eben so. Das muss ich dann wohl in Kauf nehmen, da das außerhalb meines Zuständigkeitsbereichs liegt.

Aber das ist wenn das NAS selber offen gestellt wird.

Wie gesagt, bisher ist lediglich die Cloud von außen erreichbar, ansonsten gar nichts (nicht einmal die Anmeldung/Anmeldeportal auf dem NAS ist von außen möglich).

Alles was öffentlich ist, ist ein Risiko. Aber das ComputerBase Forum ist ja auch schon zig Jahre online und noch da.

Ok, klingt zuversichtlicher als ich erwartet hatte.
Irgendwie vermisse ich hier noch die Pro-Tipps von den Computerbase-Nutzern. Bisher klingt alles so: Mach einfach, passt schon. Und das ohne irgendwas besonderes einzurichten (Ports, etc.).

Wie sicher das ist kommt drauf an, was du hostest und welche Software du dafür verwendest. Auf der Synology kann man über den Umweg von Docker nahezu alles hosten.

Stimmt schon, aber ich beschränke mich aktuell auf die default Sachen, ohne Docker.
Also geplant ist lediglich eine Homepage, sowie eben die Bekanntgabe einer Mail-Adresse. Mehr soll da auf absehbare Zeit nicht von außen möglich sein.

Ergänzung (8. November 2024)

Vor Laien hätte ich ja auch keine Angst... Der Denkansatz ist verkehrt herum, meiner Ansicht nach.

Ja, da ist durchaus was dran
Berechtigter Einwand aber ich denke es ist dennoch schlimmer, wenn auf einmal Tausende oder gar Millionen davon Wind bekommen und unter denen sich ein 'Unhold' befinden könnte.
Also einfach nur das Gesetz der großen Zahlen, je mehr davon wissen, desto größer die Gefahr auf jemanden zu stoßen, der das ausnutzen möchte.

 

[no_trust]

Die Frage ist immer wann man Aufwand betreiben will.

Fall 1:
Ich habe eine Email-Adresse, die ich für alles verwende ( von Online-Banking über Netflix bis zum Newsletter )
Das wäre erst einmal bequem ... mach aber höllisch Arbeit wenn das Konto man "gehackt" wird.

Fall 2:
Man überlegt sich genau welche Email-Adresse mit was verknüpft ist, arbeitet mit Aliasen (?).
( Ich bin so ein schräger Typ ... meine Haupt-Email-Adresse kennt quasi niemand, jede wichtige Anwendung wie Bank ober Amazon ...Vermieter bekommt eine eigene Email-Adresse oder Alias zugewiesen.
Das macht "vor" einem Unfall viel Arbeit ... aber wenn irgendwo was passiert ist der Schaden begrenzt.
Und da meine eigentliche Email-Adresse oder Bank-Email Unikate sind die quasi "niemand" kennt ... ist es zum einen sicherer und ein etwaiger Gaus bleibt begrenzt. )

Die Wahl lautet also ...bequem ... oder sicher.
Oder anders ... eine Domain sollte immer eine eigenständige Email-Adresse(Alias) haben die nicht in Verbindung mit der Anmeldung zum eigenen privaten Email-Konto ( Homebanking ...usw ) in Verbindung steht.

 

[dedication]

Die Frage ist immer wann man Aufwand betreiben will.

Durchaus richtig.
Aber dieser Tipp ist bei mir inzwischen eigentlich schon längst Gesetz, jeder der das nicht so macht, hat es verdient, dass etwas passiert.
Bei meiner Strato-Domain habe ich aber glaub nur maximal 5 Aliase zu Verfügung und 3 sind bereits belegt

• privat (nur für dort verwendet, wo mein Name so oder so zwingend erforderlich ist, wie Banking)
• accounts (alles was sonst online Zugang benötigt, aber nicht zwingend mit meinem Namen zu tun hat)
• temp/spam (wie der Name schon sagt, alles was man auch wegwerfen könnte)
• Und dann soll eben jetzt noch ein weitere Alias hinzu kommen, welcher öffentlich bekannt gegeben wird und den ich im Notfall auch problemlos wieder löschen kann

Ergänzung (8. November 2024)

EDIT:

Also das heißt jetzt abschließend:
Ist also alles kein Problem und man muss dafür auch nichts Spezielles einrichten?
Hab das viel komplizierter erwartet mit eigenem Subnetz und was weiß ich alles. Aber soll mir recht sein, wenn es auch einfach machbar und zugleich sicher ist.

-> Und das läuft dann alles über dauerhaft offene Ports 443 bzw. 80? Hab mal gelesen, die sollte man eigentlich nicht dauerhaft offen lassen. Aber für sowas wie die eigene Homepage muss das ja so sein nehme ich an.
Oder wäre es besser man nimmt einen speziellen Port, welchen man der URL anhängt? Ich weiß, das wirkt warum auch immer etwas unprofessionell aber ist das sinnvoller als die default Ports offen zu lassen?

-> Fällt noch irgendjemand ein Grund ein, eine komplett neue Domain zu buchen, welche ebenfalls auf mein NAS verweist/leitet? Hat man davon irgendwelche Vorteile, die private von der geschäftlichen Domain zu trennen? Also mal abseits davon, dass man die komplette Domain im Zweifel löschen könnte, aber ansonsten?