postscreen: Whitelist aus SPF-Records erstellen

Inspiriert von postwhite habe ich beschlossen, auch für mich privat mal damit zu spielen, für postscreen eine Whitelist zu erstellen und selbige aus den SPF-Records großer Anbieter zu befüllen. Anmerkung: Das ganze hat in meinem Setup keinerlei Sinn. Das mal vorangestellt, der folgende Code erzeugt ein CIDR-File, welches man dann in Postfix, genauer der Datei main.cf, z.B. folgendermaßen einbinden kann: postscreen_access_list = permit_mynetworks, cidr:${maps_dir}/spf_whitelist.cidr Der Code selber benötigt die Gems ipaddress und dnsruby. [Mehr]

ICANN Update zum Root KSK Rollover

Es gibt von der ICANN einen Blog-Eintrag zum derzeitigen Stand und zum weiteren vorgehen bzgl. des KSK-Rollovers in der DNS-Root-Zone. Der Beitrag enthält keine weltbewegenden Neuigkeiten, lediglich die Ankündigung, die Liste der Resolver, welche weiterhin nur KSK-2010 unterstützen, nun doch nicht öffentlich zu machen, um nicht den Eindruck zu erwecken, man lege es auf “naming and shaming” an, ist neu. Generell begrüße ich die Umsicht, mit der die ICANN sich diesem doch recht komplexen Unterfangen nähert. [Mehr]

Notiz: Windows 10

Notiz an mich selber:

  • GPO setzen, die die Nutzung von OneDrive verbietet
  • Login auf lokalen Account umstellen
  • partimage ziehen

Hintergrund ist ein sehr unglücklich gestorbenes Board, welches eine, äh, “Neubeschaffung” meines Rechenknechts notwendig gemacht hat.

Danke für ihre Aufmerksamkeit, es gibt buchstäblich nichts zu sehen.

DNS: neue IP-Adresse für B-Root

Kurzer Hinweis: Ab heute erhält B-Root - aka b.root-servers.net - eine neue IP-Adresse, nämlich die 199.9.14.201.

Die bisherige Adresse, 192.228.79.201, wird allerdings noch für ca. 6 Monate aktiv bleiben.

Für die meisten Nameserver sollte das kein Problem sein, für BIND z.B. sind root priming und alle anderen Fragen rund um das Thema root hints hier zu finden.

Dovecot: Quota Service

Es gibt in Postfix aus gutem Grund seit der Version 2.10.0 eine Trennung zwischen den Relaying- und den Empfänger-Policies, wobei letztere typischerweise dafür genutzt werden, Anti-Spam-Maßnahmen und ähnliches umzusetzen. Das große Problem an der Sache ist, dass die frühere Praxis, beide Policy-Arten zu kombinieren - eben nur smtpd_recipient_restrictions zu verwenden - leicht dazu führen kann, dass man Mails für dritte annimmt und weiterleitet, ohne das tun zu wollen - und schon ist man ein offenes Relay. [Mehr]

hugo: Syntax-Highlighting mit Chroma

Es ist schon eine Weile her, seit der von mir verwendete Site-Generator hugo in der Lage ist, das Syntax-Highlighting mit der in Go implementierten Chroma-Bibliothek zu berechnen. Ich habe das zum Anlass genommen, das Syntax-Highlighting via highlight.js zu entfernen, sprich, die entsprechenden CSS/JS-Includes zu entfernen und in der config.toml von hugo folgende Optionen zu setzen: pygmentsStyle = "friendly" pygmentsCodeFences = true pygmentsCodefencesGuessSyntax = true Und wo ich schonmal dabei war habe ich auch gleich noch KaTeX rausgeworfen, das habe ich eh nie verwendet. [Mehr]

DNSSEC: KSK-Rollover in der root-Zone verschoben

Ich erwähnte ja schon, dass eigentlich geplant war, am 10. Oktober den KSK der root-Zone zu tauschen. Die ICANN hat jetzt angekündigt das zu verschieben: Durch die relativ neue Erweiterung Signaling Trust Anchor Knowledge aus RFC8145 hat man jetzt wohl herausgefunden, dass irgendwo zwischen fünf und sieben Prozent der validierenden Resolver weltweit immer noch nur dem Schlüssel aus dem Jahr 2010 vertrauen. Bei der Menge an Leuten, die das betreffen würde, haben sie sich dann überlegt, das lieber bleiben zu lassen. [Mehr]

Mailsystem Changes 3: Dovecot, LMTP und Adress-Verifizierung

Wie ich ja schon schrieb hatte ich in den vergangenen zwei Wochen einige Änderungen an meinem privaten Mailsystem vorgenommen - allen voran den Umstieg von amavisd-new zu rspamd mit den dazugehörigen Vereinfachungen. Ein Teil der noch blieb war, dass die Datenbank dahinter viel zu komplex war, weil ich ja geplant hatte, das alles irgendwann einmal via Weboberfläche konfigurierbar zu machen. Nachdem das nichts wurde und ich die Möglichkeiten eigentlich nie auch nur ansatzweise genutzt habe, habe ich das DB-Schema auf drei Werte (und eine ID natürlich) eingestampft: Username, Email-Adresse, Quota und Passwort. [Mehr]

Mailsystem Changes, Teil 2a: rspamd-Feintuning

Eines der Module, die mir ziemlich sinnvoll erscheinen, die ich aber total übersehen hatte, war das IP Score-Modul, welches sich merkt, von welchen IPs wie oft Spam und Ham kamen. Nachdem ich diverse Mailinglisten abonniere, scheint es mir eine gute Idee zu sein, das zu aktivieren. Die Default-Konfiguration sieht vollkommen ausreichend aus, man muss dann nur noch global dem Symbol ein Gewicht verleihen:

[Mehr]

Mailsystem Changes, Teil 2: rspamd-Feintuning

Eine Sache, die ich bei amavisd-new immer gemacht habe, war Sonderregeln für Mailing-Listen einzuführen: Da über Mailinglisten üblicherweise nicht soviel Spam rein kommt hatte ich mir immer eine Policy-Bank definiert, die dynamisch nachgeladen werden konnte und die dann ein potenzielles D_REJECT in ein D_PASS verwandelt hat - einfach, weil man da keine Bounces möchte, die einen am Schluß von der Liste kicken.

Das gleiche lässt sich auch mit rspamd ziemlich einfach implementieren:

[Mehr]