Ich hab gerade den Snapshot 20100728 von Postfix 2.8 in mein Repository geworfen. Größte Neuheit dürfte der SQLite-Support sein - genau den habe ich allerdings noch nicht getestet. Das Anpassen des Original-Sourcecodes an den Debian-Build, welcher ja dynamische Maps verwendet, war nicht ganz so trivial - über Feedback würde ich mich deswegen sehr freuen.

Denn mal auf zu Oracle...

Und da war er fertig. Aus den Autobuilder-Packages für Debian sollten sich einfach genug Pakete für die eigene Installation bauen lassen - aber achtet auf den Epoch, die Sourcen haben da eine zwei stehen - ziehen die offiziellen Pakete da nicht mit, habt ihr ein Upgrade-Problem.

Wenn ich viel Zeit habe werde ich am Wochenende Pakete für lenny bereitstellen.

Timo hat uns alle diese Woche in Erstaunen versetzt - die Release Notes zum RC4, zu finden hier, erwähnen nämlich, daß mit dem fünften und hoffentlich letzten RC schon in Kürze zu rechnen ist, und dieser soll dann vom Funktionsumfang her schon der endgültigen Version entsprechen.

Wer sich schon auf die Features wie LMTP-Support, doveadm, Penalties oder die nun endlich richtig gut funktionierende Anbindung an Datenbank-Cluster freut, dem sei an dieser Stelle ein Blick in das Wiki zur neuen Version an's Herz gelegt. Und wer Zeit findet, der kann ruhig mithelfen, das Wiki zu ergänzen - derzeit sind einige Dinge noch recht oberflächlich erklärt.

Als ich mich heute morgen auf einem meiner privaten Server eingeloggt habe fiel mir die hohe CPU-Last auf - ein Kern war immer noch damit beschäftigt, das Perl-Skript auszuführen, welches mir einmal pro Tag hübsche bunte Statistiken über den Mailverkehr des vergangenen Tages erzeugt. Das ist hochgradig ungewöhnlich, denn normalerweise macht der spezifische Server so um die 1000 Transaktionen am Tag, also fast nix.

Stellt sich raus, daß ein Bekannter, der einen Account auf der Kiste hat, eine (selbstgeschriebene) Java-Applikation am Start hat - und wenig Ahnung von Mail. Und so kam es dann, daß der Server mit den Mailgateways eines großen europäischen Keramik-Herstellers Ping-Pong gespielt hat. Siebeneinhalb Millionen Mails. Schönen Dank. Ich hab dem Postmaster der Gegenseite erstmal eine Entschuldigungsmail geschrieben - und die schuldigen Java-Prozesse in's Jenseits befördert.

Ich glaube, jetzt brauche ich sogar als Privatperson eine AUP

Ich bräuchte hier mal Hilfe, liebes Lazyweb. Situation: Apache 2.0.63, gelinkt gegen ein gepatchtes OpenSSL, welches eigentlich RFC 5746 unterstützen sollte. Für den httpd selbst habe ich folgenden Patch geschrieben, damit der das auch unterstützt. Ein Java-Client greift jetzt auf den Webserver zu (erste SSL-Verbindung) und will dann eine URL haben, bei der via Location-Direktive hinterlegt ist, daß man da ein Client-Zertifikat braucht - es muß also eine SSL-Renegotiation gemacht werden.

Das dumme ist nur: Selbst mit Java 1.6U21 geht das nicht, in den Server-Logs findet sich nur der Hinweis, daß der Client (in dem Fall also Java) die Erweiterungen nicht unterstützt. Hat das jemand da draußen schonmal hinbekommen?

Update: Sun/Oracle Java kann es einfach noch nicht. Der Fix in U19 war einfach nur, ReNego zu deaktivieren.

Sehr schönes Paper, das letzte Woche auf der CEAS-Konferenz vorgestellt wurde: Exploring the Spam Arms Race to Characterize Spam Evolution.

Schöne Woche Euch allen!

In den letzten zwei Jahren hat es der IMAP/POP3-Server Dovecot geschafft, eine mehr als nur ernstzunehmende Alternative zu den Platzhirschen Cyrus und Courier zu werden. Schnell, pflegeleicht, sicher meistens stabil (obwohl der Autor hier schon ein paar Versionen rausgegeben hat, die als Reinfall gelten dürfen) und vor allem hochgradig flexibel und damit sehr leicht in bestehende Infrastrukturen einzubinden. Und so ist es auch nicht weiter verwunderlich, daß ich, wenn ich mal um Hilfe bei Mailservern gebeten werde, in letzter Zeit fast nur noch Dovecot-Server sehe.

Was die Authentifizierung angeht, so verwendet Dovecot ein Konzept, welches man so z.B. auch von PAM/NSS kennt. Es gibt zum einen eine Paßwort-Datenbank, die lediglich Benutzernamen und Paßwörter kennt. Die wird natürlich bei einem normalen Login benötigt, wenn sich also ein Client z.B. via IMAP verbinden will, aber auch, wenn Dovecot z.B. als SASL-Server für einen MTA dient, der Benutzer also Mails verschicken will und sich dazu beim Mailserver authentifizieren muß. Die zweite Datenbank liefert zu einem Benutzer Daten wie z.B. dessen Home-Directory, seine UID/GID, Quotas etc. (dabei kann es sich natürlich um "echte" Unix-User handeln oder um irgendwas Virtuelles). Und weil es so einfach ist, dafür Webappliaktionen zum Management zu schreiben, findet man im SOHO-Bereich eben oft die Konstellation, daß Dovecot die virtuellen Benutzer aus einer SQL-Datenbank zieht.

Und da kommt jetzt die Sache, die bei mir jedes Mal wieder Unverständnis auslöst: Viele Leute benutzen den Dovecot-LDA, besser bekannt als „deliver”. Das hat viele Vorteile, z.B. daß die Index-Files automatisch angepasst werden. Oder einfach die Tatsache, daß das Ding Sieve kann. Der LDA erwartet eine Adresse, an die er die Mail zustellen soll. In der Konfiguration muß also bei obigem Setup ein Query hinterlegt sein (und noch ein paar andere Einträge), so daß „user@example.com” irgendwie zu einem Pfad wie „/srv/vmail/u/user/Maildir” wird. Das ist trivial zu bewerkstelligen. Aber es gibt natürlich noch den zweiten Anwendungsfall: Ein Benutzer loggt sich via IMAP ein und will seine Mails abrufen. Wenn man jetzt davon ausgeht, daß der Benutzername nicht gleich der Mailadresse ist sondern z.B. nur „user” (wie es ja eigentlich best practice ist), dann müsste hierfür eigentlich ein ganz anderes Query hinterlegt sein. Und genau das ist es, was mir in der freien Wildbahn so gut wie nie begegnet. Im Gegenteil - hier mal eines meiner Highlights:



Interessant ist hier natürlich genau der OR-Teil, denn er beschreibt ja genau obiges Dilemma. Dabei könnte mit den entsprechenden Views und zwei Konfigurationsdateien alles so einfach sein:



Und deswegen an dieser Stelle zwei Anmerkungen:

1. „deliver” kann man mit dem Parameter „-c” eine eigene Konfigurationsdatei mitgeben.
2. Wenn ihr schon Datenbanken benutzt, dann macht es gescheit.

Schönes Wochenende noch!

Ich habe gerade Postfix 2.7.1 in mein Archiv geworfen. Die wichtigste Änderung laut Announcement ist sicher ein Bugfix im XFORWARD-Code des SMTP-Clients.

Wie immer gilt: Benutzung auf eigene Gefahr, die Pakete sind nicht identisch mit denen aus Debian/unstable (siehe changelog.Debian.gz).

Der Titel sagt es schon: OpenWRT Backfire unterstützt jetzt auch auf brcm47xx-Devices wie z.B. meinem Asus WL500gP Kernel 2.6. Sehr nice! Das Upgrade verlief mehr oder weniger Problemlos. Die Dateien „luci_hosts” und „luci_ethers” werden bei ersten Neustart in die Datei „dhcp” integriert (alles zu finden in /etc/config). Bei mir hat ein opkg install 6scripts radvd interssanterweise weder „ip” noch „kmod-sit” nachgezogen, aber das war schnell behoben. Ich sage einfach mal:

Hallo IPSEC in gut!

Beim Lesen der Überschrift werden sich viele Leute nur „WTF?” denken - dürften die meisten doch davon ausgehen, daß ihre Installation von amavisd-new, wenn sie denn einen Virenscanner benutzen, selbigen auch nur einmal auf jede ankommende Mail loslässt. Normalerweise ist das auch so. Jetzt gibt es aber Situationen, in denen man die ganze Mail braucht, um sie dem Scanner vorzuwerfen, z.B. die Sanesecurity-Signaturen, was man folgendermaßen erreichen kann:



Leider führt das dazu, daß einige Funktionen nicht mehr vernünftig arbeiten, unter anderem das Blocken von Attachments nach Typ oder der Bounce Killer. Also gehen viele den Weg, oben genannten Wert doch auf seinem Default zu belassen und fügen statt dessen in die Map @keep_decoded_original_maps folgende Zeile ein:



Damit hebt amavisd-new die komplette Mail auf - man hat also einen funktionierenden Bounce Killer, funktionierendes Attachment-Blocking und Sanesecurity-Signaturen. Dummerweise scannt der Virenscanner die Mail aber jetzt effektiv zweimal: Einmal die im Original erhaltene Mail und einmal deren einzelne Teile. Um das zu umgehen kann man ganz einfach die Definition des Virenscanners verändern:



Gerade in hochvolumigen Setups dürfte das nochmal einiges an Performance-Zugewinn bringen.

Die Sonne scheint, ich habe zwei tolle CDs mit Chopin-Nocturnes gerade auf meinen MP3-Player kopiert und werde das tolle Wetter jetzt ausnutzen, um Skaten zu gehen