Artikel mit Tag mailVerwandte Tags apparmor berlin bug fun linux linuxtag openSUSE php postfixadmin script security server foto landjugend neustadt schneewittchen blog jquery keyboard novell spam apache avm browser debian mysql patch2mail plesk postfix treiber gpg keysigning mediawiki opensuse login phpmyadmin regex typo3Sonntag, 11. September 2016PostfixAdmin 3.0I just released the long awaited PostfixAdmin 3.0. Right. there isn't a beta label anymore :-) It's more than two years since we released the first beta for 3.0 (and even more years of working towards 3.0 - I started working on the PFAHandler class in 2011) so I think we can safely drop the beta label. PostfixAdmin 3.0 is now officially the stable version of PostfixAdmin. I'll keep the 2.3 branch maintained for a while if someone finds critical or security bugs, but nevertheless it's probably a good idea to upgrade to 3.0 whenever you have some time. See the official announcement for details and the changelog, and my PostfixAdmin 3.0 slides (which still wear the beta label) for a quick overview of PostfixAdmin and what's new in 3.0. BTW: I already submitted PostfixAdmin 3.0 to openSUSE Tumbleweed and Leap 42.2. It will arrive there as soon as the submit requests get accepted. Donnerstag, 2. Oktober 2008Faulpelz-MXZur Spamabwehr gibt es diverse Möglichkeiten. Seit einiger Zeit habe ich versuchsweise einen "Faulpelz-MX" laufen, der als Backup-MX eingetragen ist und den ganzen Tag nur Mails mit der temporären Fehlermeldung »I'm a "Faulpelz, please use the primary MX« abweist. Das Ergebnis in Form einer Reject-Statistik für einen Tag: There are several ways to fight spam. Since some time I'm using a "Faulpelz-MX" (a "Faulpelz" is a sluggard) which does nothing else than rejecting mails with a temporary error message »I'm a "Faulpelz, please use the primary MX« all the day. The results in the reject statistics for one day: - 18.000 ix.dnsbl.manitu.net blacklist (5xx) Sprich: Rund ein Drittel der Spammer probiert es beim Backup-MX, der aber den ganzen Tag nur auf der faulen Haut liegt und keine Mails annimmt ;-) Im Gegenzug ist insbesondere Greylisting stark entlastet, die Blacklisten natürlich auch. Und einen billigeren Check als eine RegEx-Prüfung auf .* wird es kaum geben *g* Die Menge an abgewiesenen Mails insgesamt hat sich übrigens seit Einsatz des Faulpelzes nicht erhöht - die Spammer sind also immer noch zu faul, um es bei mehreren MXen zu probieren. Nur ein paar "echte" Mailserver, die ins Greylisting laufen, probieren es zusätzlich auch beim Faulpelz - die sind aber zahlenmäßig zu vernachlässigen. Die nötige Postfix-Konfiguration gibt es im vollständigen Eintrag... About one third of the spammers try to deliver their mails to the backup MX - which simply rejects all the mails. This reduces the load especially on greylisting, but also on blacklists. And you won't find a "cheaper" check than checking against the .* regex *g* BTW: The total number of rejected mails didn't change since I use the Faulpelz as backup MX - the spammers are still too lazy to retry at the primary mailserver. Only some "real" mailservers that hit greylisting retry at the Faulpelz - but these can be ignored numerically. Read the full article to see the required postfix configuration... Samstag, 27. September 2008Schneckenpost / Snail mailBounces von Spam-Mails, die mit gefaktem Absender verschickt wurden, sind nicht schön. Es gibt aber Ausnahmen - diesmal hat eine Benachrichtigung über die Zustellverzögerung eher für Erheiterung bei mir gesorgt. Aber lest selbst... Receiving bounces for spam mails with faked sender address is not nice. But there are exceptions - today a mail delivery delay notification somewhat exhilarated me. But please read yourself...
Man achte auf die genannte Verzögerungszeit - immerhin kann man dem Provider nicht vorwerfen, dass er bei der Mailzustellung vorschnell aufgibt ;-) Please notice the delay time - at least you can't argue the provider gives up on mail delivery too early ;-) Sonntag, 23. März 2008Migration von Plesk/Qmail zu Postfix/MySQLMit etwas Verspätung (wegen Zeitmangel), dafür aber mit Grüßen vom Osterhasen veröffentliche ich heute die SQL-Abfragen, um die Mailkonfiguration von Qmail / Plesk nach Postfix mit MySQL-Backend zu migrieren. Einige der Queries haben durchaus Chancen auf den Longest-SQL-Query-of-the-year-Award ;-) Alle Queries wurden bei einer echten Migration getestet und funktionieren. Zur Verwaltung der Mailkonfiguration nach der Migration zu Postfix empfehle ich Postfixadmin (RPMs), bei dem ich auch seit einiger Zeit mitprogrammiere. A bit late (because a lack of time), but with greetings from the easter-bunny, I publish the SQL queries that are needed to migrate from Qmail / Plesk to Postfix with MySQL backend. Some of the queries have good chances to win the longest-SQL-query-of-the-year award ;-) All queries were tested while a real server migration and work. To manage your mail addresses after migrating to postfix, I recommend Postfixadmin (RPMs) on which I'm co-developer since some time. Die SQL-Queries und einige Details stehen im vollständigen Artikel - bitte weiterlesen... The SQL queries and some more details are available in the full article - read on... Dienstag, 26. Februar 2008patch2mail - now in Zypp SVNMein erster Commit ins Zypp SVN: patch2mail. Ich nutze diese Gelegenheit gleich mal, um das Ganze bekanntzumachen ;-) Server-Administratoren kennen das Problem: Es gibt kein gutes und einfaches Werkzeug, um per Mail benachrichtigt zu werden, sobald es neue Updates gibt. Mein patch2mail füllt diese Lücke und verschickt die gewünschte Mail. Da Admins eh englisch können müssen, ist der Rest dieses Eintrags auf englisch ;-) My first commit to the Zypp SVN: patch2mail. I'll use this opportunity to announce this little tool ;-) Server admins know the problem: There's no good and simple tool available to get an email notification when new security updates are available. patch2mail is a simple tool that fills this gap and mails you whenever new updates are available. In theory, you could use zypper lu | mail -s updates root but this will also send a mail if no update is available. I was annoyed by that and therefore wrote this little tool, consisting of a shell script and a XSLT file to transform the zypper XML output to text. Usage is easy: Download the RPM from the buildservice (http://software.opensuse.org/search?q=patch2mail, it's in home:cboltz) and install it on your server. Make sure you receive mails for root (for example setup mail forwarding in /etc/aliases). That's it. The script directly installs to /etc/cron.daily and will inform you when new updates are available. patch2mail is available for openSUSE 10.2 and 10.3. (might work on 11.0 alpha also, but I didn't test it yet) If you want to know in advance how the update notification mails look, have a look at this example mail:Subject: <servername> updates === foobar-libs - Patch 1234-0 (security) === foobar-libs: fixed security issue when doing foo. This patch contains the fix for a security problem when doing foo. [... long patch description continues ...] Mittwoch, 26. Dezember 2007Schöne BescherungWeihnachten - das ist die Zeit von Ruhe und Besinnlichkeit. Es sei denn, man ist Admin eines Servers, der sich just an Heiligabend verabschiedet. Dann wird es nämlich recht hektisch. So "durfte" ich dann kurzerhand die Postfächer von rund 100 Domains auf einen anderen Server umziehen. Dazu noch ein paar datenbanklastige Webseiten (Typo3 und ein paar Spezialitäten). Naja, immerhin war ich vor der Bescherung fertig *g* Das Gute daran: Der Umzug hat recht schmerzfrei geklappt (die nötigen SQL-Queries hatte ich zum Glück schon vor längerer Zeit vorbereitet) und die betroffenen Kunden haben jetzt sogar ein (fast) spamfreies Postfach, was der vorherige Server (Plesk, Qmail) nicht geschafft hat. Und ich weiß jetzt, dass (entgegen meiner Erwartung und früherer Erfahrung) die meisten Spammer ihne DNS-Einträge nicht cachen - ich hatte nach der MX-Umstellung innerhalb einer Stunde eine Reject-Rate von 50 Mails/Minute statt vorher 3 ;-)Das "Migration von Plesk zu Postfix/MySQL HOWTO" zur Migration der Mailuser-Datenbank gibt es demnächst an dieser Stelle. Soviel verrate ich jetzt schon: Hauptbestandteil ist eine SQL-Query, die eine DIN A4-Seite für sich braucht. Was meint Ihr - soll ich das HOWTO auch im Plesk Forum posten? Wäre doch bestimmt ein Spaß ;-) Trotz allem wünsche ich frohe Rest-Weihnachten und schonmal einen guten Rutsch! Dienstag, 5. Juni 2007LinuxTag - NachschlagDer LinuxTag ist inzwischen vorbei. Wie befürchtet ;-) "durfte" ich vom Nachtzug (kam um 5:33 in Karlsruhe an) direkt ab in die Weinberge. Das verhindert übrigens zuverlässig, dass man einschläft... Zwischenzeitlich haben auch andere Leute über den LinuxTag geschrieben, u. a. AJ (Vorbereitung, openSUSE day, nochmal openSUSE day und LinuxTag und LinuxNacht) und Martin Lasarsch. Was gibt es im Nachhinein noch Interessantes vom LinuxTag zu berichten? Am Freitag war die Keysigning-Party mit rund 100 Teilnehmern. Die Beschreibung "Kultiges Zusammensitzen und gemeinsames Murmeln magischer Zahlen." (Gert Döring, FdI 95) trifft es ziemlich gut, auch wenn es in diesem Fall nach dem Prüfen der MD5- und SHA1-Summen hauptsächlich ein "OK, stimmt" war. Damit war es mit dem Zusammensitzen auch schon vorbei, weil sich dann alle auf dem Flur aufstellten und gegenseitig ihre Idendität prüften. Ja, das muss man mal erlebt haben ;-) Das Signieren der Keys habe ich dann mit caff gemacht, das AJ freundlicherweise im Buildservice zur Verfügung stellt. Leider war Postfix auf meinem Laptop nicht korrekt konfiguriert (Absender cb@cboltz.boltz...), sodass wohl etliche Mails mit den Signaturen nahe /dev/null gelandet sein dürften :-( Ich werde nächste Woche die Keys aller Teilnehmer durchsehen und an alle, die meine Signatur noch nicht haben, nochmal eine Mail schicken. Außerdem ist ein Feature Request zu überlegen - caff sollte KMail zum Versand unterstützen ;-) oder notfalls wenigstens alle Mails als mbox rausschreiben können. Wer im Jahr 2007 noch zwingend einen korrekt konfigurierten MTA auf einer Workstation voraussetzt, ist ziemlicher Optimist... Das zum LinuxTag - für mich waren es 3 schöne Tage in Berlin, auch wenn ich von der Stadt recht wenig gesehen habe. Beim LinuxTag habe ich auf den Vorträgen wieder einiges gehört und gelernt, viele Bekannte getroffen und auch der Kontakt mit "Otto-Normal-User" am openSUSE-Stand war immer wieder interessant. Und nächstes Jahr fahre ich natürlich wieder hin! Mittwoch, 20. Dezember 2006Sichere Weihnachten!Frohe Weihnachten! (Bild von Klowner's wallpapers) Eigentlich nicht, aber ich habe trotzdem ein vorgezogenes Geschenk: Die AppArmor-Profile dieses Servers. Im Einzelnen sind das Profile für:
Der Vorteil meiner Profile gegenüber den in SUSE Linux 10.1 mitgelieferten ist schlicht, dass meine Profile durchgetestet sind und (zumindest bei meiner Konfiguration) auch alle nötigen Aktionen erlauben. Das nervige Nacharbeiten der Profile und "warum blockt er das jetzt?" fällt also weg ;-) Außerdem habe ich für einige Programme (Mailman, Courier, maildrop, vsftpd, SQLgrey, ClamAV) die Profile komplett selbst erstellt. (Bei vsftpd können Anpassungen der Pfade je nach Struktur der Homedirs nötig sein, außerdem ist /home/mailbox/ als Mail-Verzeichnis fest in den maildrop- und Courier-Profilen verdrahtet.) Einige Profile sind nach /etc/apparmor/profiles/extra/ verlinkt - diese Profile funktionieren entweder im Originalzustand oder ich habe das entsprechende Programm noch nie gebraucht ;-) Download: apparmor-profiles-20061220.tgz Installation: nach /etc/apparmor.d/ entpacken, rcapparmor reload aufrufen und schon ist das System ein gutes Stück sicherer. Die Weitergabe und Verwendung der AppArmor-Profile ist unter den Bedingungen der GPL erlaubt. Und ich wünsche an dieser Stelle schon mal Sichere ;-) und Frohe Weihnachten! Freitag, 8. Dezember 2006Kleines Mail-RätselDas ist die Mailstatistik dieses Servers der letzten Woche. Die großen Ausschäge in der "Rejected"-Kurve stammen im Wesentlichen aus "Relay access denied" von einer einzigen IP. Falls jemand gern Rätsel löst, hätte ich ein paar Fragen:
Anhand der Grafik sollte die Lösung recht leicht zu finden sein. *g* UPDATE (11.12.2006): Wie sich inzwischen herausgestellt hat, hat die Firewall die SMTP-Authentifizierung rausgefiltert... Mittwoch, 2. August 2006Steter Tropfen...Ich habe seit einiger Zeit versucht, Pakete für courier-authlib-mysql in SUSE Linux integriert zu bekommen, nachdem diese des öfteren nachgefragt werden. Obwohl nur eine Änderung im Specfile erforderlich ist, endeten entsprechende Feature Requests bisher immer mit "wontfix". Aber: Es geschehen noch Zeichen und Wunder ;-) Auf dem kleinen Dienstweg (Mail an AJ) habe ich jetzt erreicht, dass es ab SUSE 10.2 (das dann übrigens openSUSE 10.2 heißt) ein courier-authlib-mysql Paket gibt - und nebenbei auch -pgsql und -pipe Pakete :-) Übrigens: courier-authlib-mysql-Pakete für SUSE Linux 10.1 habe ich unter software.opensuse.org/download/home:/cboltz/ im Angebot - einzige Änderung zum Originalpaket der 10.1 ist die Aktivierung des -mysql-Pakets im Specfile.
(Seite 1 von 1, insgesamt 10 Einträge)
|
ArchiveKategorienBlog abonnierenImpressum |
Kommentare