Technik

Freitag Abend sass ich beim Abendessen in einem vorzüglichen Restaurant in Hilden, bei Düsseldorf. Im Verlaufe des Abends dachte ich drüber nach, ob ich - sofern die Etikette es zulässt - nicht mal den Status einiger KK-Anträge abfragen sollte.

Doch Pustekuchen! Der Wille war da, die Möglichkeiten hatte ich zu Hause vergessen: Kein Laptop - das wäre auch zu prollig gewesen - und kein PDA.

Das einzige, was verfügbar war, war mein Handy und schon war eine neue Idee gebohren: Ein (begrenztes) WAP-Interface zu meinem Administrationssystem. Heute habe ich sie aus Spass mal angefangen umzusetzen und so kann ich nun via Handy Domains registrieren und deren Transfer einleiten und überprüfen.

Ich bin gespannt, ob ich diesen Schmerz jemals gebrauchen werde

Ich bin Stolz! Mein eigenes Fax funktioniert perfekt...

Sitze gerade im Büro und bekomme eine Mail von meinem Fax - welch ein Service!

Fax als PDF im Anhang und in der Mail ein kleines Vorschaubild, damit man auch sehen kann, was mich erwartet... Genial!

Ben - jemand von dem ihr hier in Zukunft vielleicht mehr lest - meinte gestern, er will ENUM haben.

Nun gut, für alle die ENUM noch nicht kennen: Die DeNIC hilft gerne weiter!

Ich habe ihm gesagt, er soll das doch bitte ein wenig ausarbeiten und mir vielleicht bis Mitte Mai mal erzählen, wo denn da der Vorteil liegt, wie die wirtschaftliche Situation ist, wie die Konditionen sind, etc.. Auch wenn ich gerne versuche mich voll und ganz auf die Kunden zu konzentrieren, muss auch ich (jawohl, auch ich) wirtschaftlich denken. Ich bin kein heiliger Samariter, es muss sich auch für mich lernen.

Ganz egal, ob da was draus wird, heute morgen kümmer ich mich um NAPTR-Support in meinen DNS-Servern. Dazu ist noch einiges an Arbeit nötig. Ob sich das lohnt? :hmm:

Nachtrag:

Fertig!

Ist das schlecht? Nein, im Gegenteil!

Gestern sprach mich ein Kunde wegen einem Problem beim Mail-Versand an. Um das Vorweg zu nehmen: Die Einstellungen auf beiden Seiten waren einwandfrei, und dennoch kamen die Mails immer wie von Zauberhand über einen AOL-Mailserver.

Die Mails kamen also über einen AOL-Server und sollten an mich gehen. Gingen sie aber nicht, weil: SPF! Wie es scheint scheinen immer mehr Provider SPF-Datensätze in ihre Domains einzupflegen und sich so zumindest einem Teil unnötigen Spams zu entledigen. Find ich klasse!

Ich versehe meine Domains schon lange mit einem SPF-Datensatz und seit kurzem führt mein Mailserver ebenfalls solche Checks durch.

Der Kunde hat auf der einen Seite den Vorteil, dass mit seiner Domain Mail-technisch kein Schabernack getrieben werden kann. Auf der anderen Seite müssen seine Mails immer über einen bestimmten Mailserver gehen - das kann schon mal schief gehen.

Wo ich schon mal beim Papierverbrauch bin: Seit gestern läuft mein Faxgerät wieder - auch wenn es hier und da mal nicht so funktioniert, wie ich mir das erhoffe...

Eigentlich war mein Fax immer über ISDN angebunden. Da mein letzter ISDN-Adapter jedoch den Betrieb einstellen musste, habe ich mir Nachschub besorgt - wieder ISDN, nur leider kein CAPI-Support unter Linux.

Ich wollte aber umbedingt gestern mein Fax wieder in Gang bekommen, sodass ich kurzer Hand aus irgendeiner Schublade irgendwo ein uraltes 14.4er-Modem gezogen habe. Eigentlich hatte ich das Gerät ja zurückgelegt, damit es im Falle eines Ausfalls des Backbones an einem meiner Server in irgendeinem Rechenzentrum als Backup dienen kann - aber das schien mir so unsinnig, dass ich das Modem schlichtweg umfunktioniert habe.

Nun schlummert es an einer analogen Telefonleitung und wartet auf Anrufe von Kunden. Momentan bekomm ich die Faxe dann als PDF per Mail. In Zukunft sollen die aber auch noch direkt an den Drucker gehen So hab ich wenigstens heute Abend noch was zu tun....

Hat schon jemand was von "mISDN" gehört?

Nach der ganzen Diskussion über langsame Blogs und Serverauslastung beobachte ich gerade zu panisch die Load meiner Webserver...

Schlimm... Die Load dieses Server hier ist seit gestern Abend um 0,01 im Durchschnitt gestiegen. Vielleicht sollte ich einen weiteren Prozessor einbauen oder hierrüber nachdenken...

Man könnte aber auch einigen Kunden kündigen, oder einfach neue Server anschaffen - letzteres mache ich vom Ausgang des Termins, den ich heute Abend habe, abhängig...

Böse Sache, sehr böse Sache, diese Zugriffsrechte...

Mein neuer Skript ist wohl ein wenig über das Ziel hinaus geschossen und hat das komplette System abgeschlossen. Ein gutes Maß an Sicherheit: Selbst ich kam nur noch als root rein

Der Skript ist erstmal deaktiviert und ich geh wunden lecken

Heute ist es so weit... Ich hab in letzter Zeit vor dem Computermonitor wohl lange nicht mehr so geschwitzt wie gerade eben: Auf vielfache Nachfrage hin ist es nun soweit - der neue MDA läuft.

Die eigentliche Umstellung dauerte nur geschlagene 5 Minuten: Alten MDA abschalten, neuen starten, Mailtransport neu konfigurieren, alte Mailboxen migrieren und testen

Es war gut, vorher eine Woche auf einem Testsystem rumgespielt zu haben, so gab es keinerlei merkbare Ausfälle. Früher wäre es wohl noch möglich gewesen im laufenden Betrieb einfach einen neuen MDA zu testen, aber mittlerweile ist es schon ein Ding der Unmöglichkeit...

Die größte Aufgabe hingegen stellte sich nachher: Ich bin vom mbox- auf das maildir-Format migriert, was so einige Vorteile mit sich bringt. Böse Zungen meinen es gäbe auch Nachteile, die vermag ich allerdings noch nicht zu sehen. Jedenfalls muss für das neue maildir-Format für jeden Benutzer ein Verzeichnis für seine Mails existieren - ansonsten kommt procmail nicht weiter und keine Ahnung, wo die Mails dann landen Für genau diesen Zweck (und natürlich auch andere) habe ich eben noch meine Administrationssoftware erweitert, sodass auch entsprechende Verzeichnisse automatisch für alle Mail-Benutzer erstellt werden. Das die Zugriffsrechte regelmäßig überprüft werden ist selbstredend.

Mal sehen, was für Spielereien ich sonst noch in mein Portfolio aufnehmen kann

Ich hab vor zwei Monaten endlich mein erstes offizielles SSL-Zertifikat angeschaft. Bisher war das nach den Veränderungen an meinem System nur für den HTTP-Server zuständig.

Heute hab ich das einfach mal geändert:

Das selbst signierte Zertifikat für den Mailserver rausgeschmissen und das wunderschöne Zertifikat eingefügt. Jetzt muss ich nur noch meinen Kunden verklickern ihren Mailserver für SSL/TLS zu ändern um diese neue andere lästige Meldung loszuwerden

Eine merkwürdige Idee ereilte mich heute in der U-Bahn nach Hause ins Kundencenter:

Die eigene Mailbox als RSS-Feed.

Gesagt, getan! Mit der Umstellung der Mailboxen in ca. 2 Wochen können meine Kunden ihre Mailbox als RSS-Feed (auch via HTTPS) abonnieren. Bis dahin funktioniert es nur im internen Testsystem...

Wo der Sinn dabei ist? Es gibt keinen!
... aber genau das liebe ich bei meinem Geschäft so...

Ja, mein Fax ist kaputt - und das schon länger. Vermissen tue ich es natürlich auch ganz dolle, denn es war schon ein tolles teil!

Es war eines der Sorte, dass zum einen das Fax zu Papier bringt, aber gleichzeitig auch als PDF in meine Mailbox legt... Zu schade, dass es nun nur noch in den ewigen Jagdgründen verweilt.

Aber morgen oder übermorgen kommt Abhilfe!
... mit dem Faden beigeschmackt, dass ich wohl wieder Probleme mit der Post haben werde.

Vor kurzem habe ich berichtet mich momentan nach einem neuen IMAP-Server umzugucken.

Seit Mittwoch befindet sich einer der von mir getesteten Server im produktiven Betrieb auf meinem internen Mail-Server. Ich muss schon sagen: Ich bin beeindruckt!

Ich frage mich, wie ich es so lange mit dem UW IMAP Deamon aushalten konnte - im Vergleich zum Neuen ist das bitterste Steinzeit

Ich denke in zwei Wochen werde ich den Kunden-Mailserver ebenfalls umstellen und offiziell ohne Zähneknirschen IMAP anbieten...

Vergangenen Samstag bekam ich von einem mir sehr lieben Service Provider (siehe ToDo) einen Brief in dem man mir mitteilte, dass meine E-Mail-Adresse wohl ungültig sei und somit keine Rechnungen bei mir ankommen.

Zuerst musste ich mal tief schlucken, denn ich konfiguriere meinen Mailserver ja selbst und wie ich gestern schon anmerkte, komme ich mir dabei oft genug recht grün hinter den Ohren vor. Zudem habe ich vor einiger Zeit auch meinen Mailserver ein wenig strikter konfiguriert, so vermutete ich, dass ich wohl irgendwo ziemlichen Mist gebaut habe.

Ich bin dem gerade eben mal auf den Grund gegangen - und siehe da: Der Fehler liegt tatsächlich an mir, nur ist es nicht mein Mail-Server, sondern vielmehr der DNS-Server...

Einie mehr oder weniger peinliche Fehlfunktion: Mein gesamtes System basiert auf einer relationalen Datenbank. Meine DNS-Server lesen aus dieser Datenbank genau wie z.B. der Mailserver oder Apache. Nun ist es so, dass sowohl auch Apache als auch der Mailserver auf die DNS-Datenbank angewiesen sind.

Besagter Service Provider hostet auch eine kleine Seite bei mir, die jedoch keine eigenständige Domain besitzt, sondern vielmehr eine Subdomain von ihm selbst ist. Aus eben angesprochenen technischen Restriktionen habe ich einfach seine Domain bei mir eingepflegt jedoch vergessen ein spezielles Flag zu setzen. So dachten meine Nameserver sie seinen für diese Domain zuständig und haben die Anfragen meines Mailservers zur Verifizierung der Absenderdomain zurückgewiesen. So musste ich folgendes im Log vorfinden:

Jan 19 10:58:08 primary postfix/smtpd[22511]: NOQUEUE: reject: RCPT from mailgateway.xxxxxxx.xxx[xxx.11.xxx.xxx]: 450 <buchhaltung@xxxxx.xxx>: Sender address rejected: Domain not found; from=<buchhaltung@xxx.xxx> to=<bernd@holzmueller.name> proto=ESMTP helo=<mailgateway.xxxxxxx.xxx>

Tut mir Leid, lieber Service Provider! Ich habe natürlich umgehend den Fehler behoben und das eine entsprechende Flag gesetzt... Für die Zukunft habe ich daraus gelernt!

Einige meiner Kunden sind echte Sicherheitsfanatiker - das ist auch der Grund, warum ich stets bedacht bin ihren Wünschen vorzugreifen und so z.B. Passwörter mit einer Länge von bis zu 255 Zeichen anbiete, naja, ob das Sinnvoll ist stell ich mal so in den Raum, aber es liest sich zumindest schön

Der Einfachheit halber loggt mein PAM-Modul, das für so ziemlich jede Authentifizierung zuständig ist, jeden Login des es auf meinen Servern gibt mit - so kann man recht schnell rausfinden wer wo was mit welchem Dienst wann gemacht hat

Mit allen Diensten? Nein, zwei kleine Dienste scheinen sich dagegen noch zu streuben: SSH und SMTP (+ Auth) - musste mir gerade eben auffallen. Logins werden zwar protokolliert, auch mit der Angabe des Benutzers und der Maschine auf der eingeloggt wird. Leider nur nicht der Host von dem der Benutzer kommt.

Muss wohl an der PAM-Implementation im jeweiligen Dienst liegen. Eine Sicherheitslücke entsteht dadurch nicht - die Hosts stehen natürlich noch im herkömmlichen Log und könnten so bei Bedarf auch recht schnell gefunden werden.

Ein Zustand, den ich wohl auch bald patchen werde - einfach, weil ich eine neue "Sicherheits-Option" im Hinterkopf habe: Beschränkung des Zugriffes für bestimmte User fürbestimmte Dienste auf bestimmte IP-Adressen

Gestern Abend ging kurzzeitig gar nichts mehr bei mir.
Passenderweise war ich gerade zufällig auf dem Router am arbeiten und sah das Debakel im Syslog - scheint als passiert mir solch ein Zufall öfter: Praktisch!

Ich bin dann sofort in meinen kleinen Serverraum gestürmt und sah das Unglück: Das DSL-Modem zeigt ein kleines rotes Lämpchen. Böse, sehr böse - immerhin hab ich all meine Rechnungen bezahlt und die Telekom sollte gar keinen Grund haben mich anzurufen.

Naja... Erfahrungsgemäß hab ich das DSL-Modem mal für 5 Minuten abgeschaltet und sich ausruhen lassen. Danach ging es eigentlich wieder Flux weiter - sogar offene Verbindungen bestanden noch!

Danke TCP, danke statische IP!

Immerhin hab ich in meiner Panik nicht gleich die Polizei gerufen - obwohl mir danach war, und wenn das nicht, dann mindestens den Nachbar meines Papas.