Technik

Ich hab ja Verständnis dafür, dass nicht jeder den iPod mag - auch ich hab längste Zeit zu seinen Gegnern gezählt. Aber nach einer Woche im Besitz eines iPod nanos muss ich sagen:

Riesengroßes Lob an Apple!

Nicht, weil der iPod so gut MP3s abspielen würde - ehrlich gesagt, das hat er bei mir maximal 5 Minuten lang getan. Sondern weil der sooo unverwüstlich ist.

Ich habe bestimmt schon auf 5-10 Weisen die Firmware von dem kleinen Gerätchen geschrottet, sogar so sehr, dass das Gerät kaputt zu sein schien oder nur noch ein Fall für den technischen Support, der den dann aufmacht und mit nem seriellen Kabel dran geht, wäre. Aber nein!

Es gibt auch ohne Firmware immer ein paar Tricks, die man anwenden kann um das Gerät halbwegs zum arbeiten zu bekommen.

Ehrlich? Das schaft auf keinen Fall ein Windows, aber ein Linux auch nicht...

Heute war es endlich soweit: Ich habe offiziellen SSL-Support für mein Webhosting.

Ich hatte mir schon mitte letzten Monats ein "offizielles" Zertifikat gekauft und von Hand in meinen Server eingepflegt, doch war dies sicherlich keine Lösung, die sich auf Dauer halten lässt - zumal dies eine ziemlich unsaubere Umsetzung war.

Heute habe ich mein Hosting-Framework um die fehlende SSL-Funktionalität erweitert, was heißt, dass auch dies nun vollkommen automatisch funktioniert - auf allen Servern

Sogar die SSL-Zertifikate werden bei bedarf auf den entsprechenden Server repliziert. Praktisch!

Ich war ganz Stolz darauf mich endlich um mein Spamassassin-Setup zu kümmern.

Aber wenn ich so ins Maillog blicke, dann scheint mir das relativ umsonst gewesen zu sein.
Neben meinen Update-Bemühungen hatte ich auch an meinem Mailserver selbst herumgedoktert und unter anderem folgende Regeln für den SMTP-HELO eingefügt:

smtpd_helo_restrictions =
        [...]
#       reject_non_fqdn_hostname,
        reject_invalid_hostname,
        [...]

Das "reject_non_fqdn_hostname" musste ich leider bereits aufgrund einger Probleme bei wenigen Kunden rausnehmen, doch gegen Spam hat sich die Direktive "reject_invalid_hostname" als höchst Effektiv erwiesen.

Ich frag mich, wie lange es wohl dauert, bis Spamer mal gelernt haben Standardkonforme-Mailprgramme zu schreiben...

Heute ist wahrlich alles alt bei mir und wird neu gemacht. Ein Freund und Kunde wies mich eben darauf hin, dass er sich per SSH auf einem Server einloggen kann, auf dem er gar nicht gehostet ist und sein Home-Verzeichnis "/" sei - verständlich, wenn sein eigentliches Verzeichnis gar nicht existiert.

Ein Sicherheitsrisiko entsteht dadurch nicht, glaube ich zumindest

Tatsache ist, dass ich (wohl wissentlich) auf dieser Maschine noch einen herkömmlichen SSH-Server laufen hatte, wohingegen auf allen anderen Servern eine etwas modifizierte Version läuft. Da der Server ohnehin nicht für Kunden mit SSH-Option vorgesehen war, war es eigentlich überflüssig. Ich hab dennoch noch einmal in meinen SSH-Server-Code geguckt und ihn dann auch auf diesem System installiert.

Bei dieser Gelegenheit ist mir gleich mal aufgefallen, dass es schon lange kein OpenSSH-Update mehr gab... Erstaunlich. Kann ich mich jetzt zu 90% sicher fühlen? :hmm: (Wohl kaum)

Schon seit einiger Zeit habe ich mich gewundert, warum einige Prozesse, wie zum Beispiel das Verbinden via SSH zu anderen Maschinen von meinem Verwaltungsserver aus, besonders lange dauert.

Als ich gerade im Zuge meines Mailserver-Updates das Perl-Package Mail::SPF::Query upgedatet habe, hat der Test doch geschlagene 30 Minuten gedauert - Viel zu lang! Da SPF primär auf DNS basiert, habe ich mal in der Nameserver-Konfiguration nachgeschaut und doch tatsächlich eine Karteileiche gefunden.

Spasseshalber hab ich den Test nochmal gemacht und er war in weniger als 60 Sekunden fertig... :hmm:

Ich gebe es zu: Das Spam-Problem war eines, was ich schon lange nicht mehr angegangen bin. Mein ganzes Mail-Server-Setup war bis dato ein wenig lasch und Massen von Spam sind durchgekommen...

Man mag meinen, dies sei akzeptabel, da es genug andere Hoster gibt, die für Spam-Filter Geld nehmen - aber ich halte so etwas nicht für gerechtfertigt und denke es ist eine Sache guten Services es auch so anzubieten.

Drum gilt meine heutige freie Zeit ganz und gar meinem Mailserver.

Momentan bin ich dabei die "ganz normalen" Regeln ein wenig zu straffen und strenger zu gestalten - für den normalen Versand einer Mail sollte das aber natürlich nicht hinderlich sein. Weiterhin werde ich noch ein SPF-Schutz für eingehende Mails einbauen. Jeder meiner gehosteten Domains verfügt bereits seit langem über SPF-Datensätze, aber mein Mailserver hat sie noch nie verstanden.

Nachdem das alles geschafft ist, werde ich SpamAssassin ein Update verpassen. Bleibt nur noch die Frage, wie ich mit als Spam identifizierten Mails umgehen soll...? Nach /dev/null verschieben, nur als Spam markieren und dennoch zustellen oder gar in eine separate Mailbox des Kunden legen?

Ich finde es sehr heikel, wenn es darum geht an Mails meiner Kunden herumzuspielen. Es besteht immer die Gefahr der "false positives" und nachher gehen noch wichtige Daten verloren... Spätestens heute Abend aber, werde ich wohl hierauf eine Antwort haben.

All meine Serverdaten kommen aus einer Datenbank, die zentral verwaltet werden kann und sich selbst auf alle Maschinen repliziert.

Die beste Datenbank nützt allerdings gar nichts, wenn es nicht ein paar Programme gibt, die mit diesen Datenbeständen arbeiten bzw. sie umsetzen. Eben diese kleinen Progrämmchen - auf die ich z.T. sehr Stolz bin - habe ich bisher immer auf den Servern selbst entwickelt. Eigentlich hatte ich mal den Plan sie zentral auf meinem "Hauptserver" zu entwickeln, aber irgendwie habe ich das nicht durchgehalten.

Heute abend bin ich dann ein wenig brutal geworden - habe einfach mal ein zentrales Verzeichnis angelegt, dass sich regelmäßig (bei ungleichheiten) auf die Server repliziert. Und änder ich doch mal was auf dem Server - lasse ich in Zukunft die Keule auspacken und der Server setzt es auf die zentrale Version zurück Na, ob ich das durchhalte? Ich hoffe doch!

Ich hab den einen oder anderen Kunden, der gerne zu Hause einen eigenen DNS-Server betreiben will - natürlich mit "richtigen" Domains.

Ein Problem gibt es dann spätestens, wenn es um .de-Domains geht, denn die DeNIC verlangt mindestens zwei redundant angebundene Nameserver - einer zu viel für so manchen Kunden. Drum werde ich heute ein wenig C programmieren um meinen DNS-Server Slave-tauglich zu machen, d.h. DNS-Datensätze von anderen DNS-Servern via AXFR zu importieren.

Eigentlich nix neues - nur, dass in meiner DNS-Datenbank noch recht viele Benutzer-Informationen gespeichert werden, die natürlich nicht via AXFR rein kommen. :hmm:

Wohnzimmerhoster wie ich sind nicht wirklich erwachsen. Nein, im Gegenteil: Wir sind richtige Kinder und brauchen ständig Spielzeug.

Heute hab ich mein neustes bekommen: Ein iPod nano - ganz für mich allein!

Werd mal schauen, wie ich den gescheit mit Linux verwalten kann - oder ob ich gleich (was ja angeblich funtionieren soll) ein Linux darauf installiere

Heute morgen hatte ich (wie immer) Post in meiner Box.

Diesmal aber nicht das übliche blabla, sondern Post von der Postfix-Mailinglist: Postfix 2.2.8 ist raus!
Da Postfix meine beiden Mailserver antreibt, ist der Gedanke wohl nicht fern, einfach mal upzugraden.

Auf der anderen Seite heißt es, man soll kein laufendes System anfassen und das sind ja meine Mailserver: Vor einiger Zeit hatte sie hier und dort mal eine Fehlfunktion, das ist aber auch schon lange Vergangenheit und sie tuen heute sehr zuverlässig ihre Arbeit.

Ich werd jetzt in die Stadt gehen und auf dem Weg dorthin gründlich darüber nachdenken... Das ist schließlich immer soooo viel Arbeit mit dem compilieren, installieren und testen... *ächtz*