postscreen: Whitelist aus SPF-Records erstellen

Inspiriert von postwhite habe ich beschlossen, auch für mich privat mal damit zu spielen, für postscreen eine Whitelist zu erstellen und selbige aus den SPF-Records großer Anbieter zu befüllen. Anmerkung: Das ganze hat in meinem Setup keinerlei Sinn. Das mal vorangestellt, der folgende Code erzeugt ein CIDR-File, welches man dann in Postfix, genauer der Datei main.cf, z.B. folgendermaßen einbinden kann: postscreen_access_list = permit_mynetworks, cidr:${maps_dir}/spf_whitelist.cidr Der Code selber benötigt die Gems ipaddress und dnsruby. [Mehr]

ICANN Update zum Root KSK Rollover

Es gibt von der ICANN einen Blog-Eintrag zum derzeitigen Stand und zum weiteren vorgehen bzgl. des KSK-Rollovers in der DNS-Root-Zone. Der Beitrag enthält keine weltbewegenden Neuigkeiten, lediglich die Ankündigung, die Liste der Resolver, welche weiterhin nur KSK-2010 unterstützen, nun doch nicht öffentlich zu machen, um nicht den Eindruck zu erwecken, man lege es auf “naming and shaming” an, ist neu. Generell begrüße ich die Umsicht, mit der die ICANN sich diesem doch recht komplexen Unterfangen nähert. [Mehr]

Geschenk mit Herz

Ich gelte ja in meinem Bekanntenkreis als “Weihnachtsterrorist”, was wahrscheinlich nur beschreiben soll, dass ich mit großem Enthusiasmus möglichst viele Advents- und Weihnachtsbräuche auslebe - und damit allen anderen Leuten in meinem Umfeld auf die Nerven gehe :-) Leider ist die Welt, in der wir leben, aber unvollkommen, so dass gerade diejenigen unter uns, die am wenigsten zu sagen haben und die am meisten benachteiligt sind, von Weihnachten und besonders von reichen Gaben meist nur Träumen können: Die Rede ist von Kindern in ärmeren Ländern. [Mehr]

Notiz: Windows 10

Notiz an mich selber:

  • GPO setzen, die die Nutzung von OneDrive verbietet
  • Login auf lokalen Account umstellen
  • partimage ziehen

Hintergrund ist ein sehr unglücklich gestorbenes Board, welches eine, äh, “Neubeschaffung” meines Rechenknechts notwendig gemacht hat.

Danke für ihre Aufmerksamkeit, es gibt buchstäblich nichts zu sehen.

DNS: neue IP-Adresse für B-Root

Kurzer Hinweis: Ab heute erhält B-Root - aka b.root-servers.net - eine neue IP-Adresse, nämlich die 199.9.14.201.

Die bisherige Adresse, 192.228.79.201, wird allerdings noch für ca. 6 Monate aktiv bleiben.

Für die meisten Nameserver sollte das kein Problem sein, für BIND z.B. sind root priming und alle anderen Fragen rund um das Thema root hints hier zu finden.

Dovecot: Quota Service

Es gibt in Postfix aus gutem Grund seit der Version 2.10.0 eine Trennung zwischen den Relaying- und den Empfänger-Policies, wobei letztere typischerweise dafür genutzt werden, Anti-Spam-Maßnahmen und ähnliches umzusetzen. Das große Problem an der Sache ist, dass die frühere Praxis, beide Policy-Arten zu kombinieren - eben nur smtpd_recipient_restrictions zu verwenden - leicht dazu führen kann, dass man Mails für dritte annimmt und weiterleitet, ohne das tun zu wollen - und schon ist man ein offenes Relay. [Mehr]

hugo: Syntax-Highlighting mit Chroma

Es ist schon eine Weile her, seit der von mir verwendete Site-Generator hugo in der Lage ist, das Syntax-Highlighting mit der in Go implementierten Chroma-Bibliothek zu berechnen. Ich habe das zum Anlass genommen, das Syntax-Highlighting via highlight.js zu entfernen, sprich, die entsprechenden CSS/JS-Includes zu entfernen und in der config.toml von hugo folgende Optionen zu setzen: pygmentsStyle = "friendly" pygmentsCodeFences = true pygmentsCodefencesGuessSyntax = true Und wo ich schonmal dabei war habe ich auch gleich noch KaTeX rausgeworfen, das habe ich eh nie verwendet. [Mehr]

DNSSEC: KSK-Rollover in der root-Zone verschoben

Ich erwähnte ja schon, dass eigentlich geplant war, am 10. Oktober den KSK der root-Zone zu tauschen. Die ICANN hat jetzt angekündigt das zu verschieben: Durch die relativ neue Erweiterung Signaling Trust Anchor Knowledge aus RFC8145 hat man jetzt wohl herausgefunden, dass irgendwo zwischen fünf und sieben Prozent der validierenden Resolver weltweit immer noch nur dem Schlüssel aus dem Jahr 2010 vertrauen. Bei der Menge an Leuten, die das betreffen würde, haben sie sich dann überlegt, das lieber bleiben zu lassen. [Mehr]