Monatsarchiv für Mai 2007

RFC 4871 - DKIM

Montag, den 28. Mai 2007

Nun ist es da - RFC4871 beschreibt die “DomainKeys Identified Mail Signatures”, kurz DKIM. Es handelt sich dabei um einen weiteren Ansatz um den Absenderserver einer Mail verifizieren zu können.

Da DKIM im Gegensatz zu SPF nun den quasi offiziellen Status eines Internet-Standards erreicht hat, werden wir diesen wohl in Kürze auch implementieren.

Dennoch gibt es nach wie vor zwei entscheidende Probleme, die DKIM alleine nicht lösen wird:

  1. DKIM macht nur Sinn, wenn möglichst alle Provider diesen Standard auch tatsächlich einsetzen (ok, wir arbeiten daran ;-) )
  2. Spammer sind ja auch nicht (immer) blöd - die können sich dutzende “Wegwerf-Domains” (entweder quasi kostenlose .info-Domains o.ä., oder sogar völlig kostenfreie Third-Level-Domains) registrieren und mit den entsprechenden DKIM-Einträgen “verifizierten” Spam in die Welt pusten.

Naja, mal schauen wie sich das alles so entwickeln wird…

Greylisting in action

Samstag, den 26. Mai 2007

Aufgrund der noch nie dagewesenen Spam-Flut der letzten Tage haben wir das bisher nur experimentell betriebene Greylisting für alle Postfächer aktiviert. Seit einer knappen Stunde verfolge ich die Greylisting-Datenbank, die Mailserver-Logs und die Testsysteme (gut daß ich hier drei TFTs habe 8-) )

Jedenfalls ist es der absolute Wahnsinn, wie viel Müll so hereinkommt. Über 90% (!) aller Mailserver-Aktivitäten haben mit Spam zu tun. Wenn man sich mal überlegt, was ein Mailserver heutzutage so macht bis er eine Mail überhaupt annimmt: Realtime-Blacklist-Check, diverse Protokoll-Tests, Greylisting, MIME-Check, Virenscanner, Spamfilter, … - früher wurde eine Mail einfach angenommen und als Datei abgespeichert. :-)

Optimierungspotenzial

Samstag, den 26. Mai 2007

Wir lassen unsere MySQL-Server alle “langsamen” Abfragen (d.h. Abfragen die länger als 5 Sekunden dauern) protokollieren, um eventuelle Flaschenhälse schnell identifizieren zu können.

Eben hab’ ich das hier gefunden:

# Time: 070526 11:10:32
# User@Host: xxxx[xxxx] @ [62.146.xxxxxx]
# Query_time: 119 Lock_time: 0 Rows_sent: 523 Rows_examined: 129599476

Da wurde ein Kunde in sehr kurzer Zeit von einigen Spambots wohl ziemlich zugemüllt… Rund 250.000 Einträge in der Gästebuch-Tabelle, verknüpft mit einem nicht sehr vorteilhaften JOIN, führen somit zu über 129 Millionen Datensätzen, die dann einzeln gegen die WHERE-Bedingung geprüft wurden. Da steckt auch unabhängig vom Spam einiges an Optimierungspotenzial drin.
Ich werde wohl am Nachmittag mal ein Script schreiben, das solche Aufälligkeiten im slow_query_log automatisiert “anmahnt”. :-)

Ththththaats all folks…

Freitag, den 25. Mai 2007

Ein Server hat sich vorhin kurz mit einer Kernel Panic verabschiedet. Auch wenn so was nicht schön ist, die Fehlermeldungen sind teilweise doch recht kreativ. :-)

Kernel Panic

Nun werde ich mal der Ursache für den Serverabsturz auf den Grund gehen…

Von CVS zu Subversion

Donnerstag, den 24. Mai 2007

Gerade ziehe ich ein größeres Softwareprojekt (~40.000 Zeilen C/C++ Code) vom bisherigen Versionsmanagement CVS in ein neu eingerichtetes Subversion-Repository um. Eigentlich war das schon längst überfällig, die neuen Möglichkeiten mit Subversion sind wirklich sehr verlockend. Allerdings habe ich bisher einfach die Arbeit gescheut (und eventuelle Migrationsprobleme).

Ich bin mal gespannt wie sich’s nun mit svn so arbeiten lässt… :-)

Ajax-HTTP-Push

Mittwoch, den 16. Mai 2007

Der Artikel ist gedruckt :-)

Ich beschreibe darin verschiedene Ansätze, wie man in Ajax-Anwendungen mit möglichst geringer Latenz Daten asynchron vom Webserver zum Browser senden kann. Ein einfaches Anwendungsbeispiel hierfür wäre ein Browser-Chat-System.

Wer mehr wissen will: aktuelles ix-Magazin (Ausgabe 6/2007), Seite 122.

Guten Morgen, liebe Sorgen…

Samstag, den 12. Mai 2007

Um 03:31 kam eine kurze aber schmerzvolle SMS: ein komplettes Rack ist nicht erreichbar. Schlaftrunken habe ich noch 5 Minuten abgewartet, ob Nagios die Sache sich nicht doch nochmal überlegt (Fehlmessung), aber dem war leider nicht. :-(

Also Techniker im RZ angerufen (das sind die Momente in denen ich die 24/7-Rufbereitschaft vor Ort schätze) und gebeten einen Blick ins Rack zu werfen. Diagnose: Schranksicherung draußen :shock:

Der Techniker hat den Strom anschließend wieder eingeschalten, und gegen 03:45 waren fast alle Systeme wieder da. Fast. Ein Rechner blieb stumm - aller Voraussicht nach hat’s bei dem das Netzteil zerschossen und bei der Gelegenheit die Sicherung geworfen. Als klar war daß ein echter Hardwaredefekt vorliegt habe ich dem Techniker Bescheid gegeben daß ich dann wohl in Kürze mal vorbeischauen werde. Genial fand ich dann dessen Kommentar: “Dann setz’ ich schonmal ‘nen Kaffee auf.” :mrgreen:

Also umgezogen, ins Auto gesetzt und losgefahren. Natürlich hat es dann auch gleich zu regnen begonnen, aber eine runde halbe Stunde später stand ich schon vor dem Rack. Die Reparatur gestaltete sich etwas unschön - für dieses alte Board hatte ich kein passendes Ersatznetzteil da, daher habe ich spontan die Platten & Controller in einen komplett neuen Server umgebaut und die Gelegenheit somit gleich für ein Hardware-Upgrade genutzt.

Zum Abschluß gab’s dann noch einen Kaffee (kurz nach Sonnenaufgang). :-)

IP-Telefonie

Freitag, den 11. Mai 2007

Gegen Ende des Jahres plane ich eventuell unsere Telefonie auch komplett auf IP umzustellen. Für erste Tests habe ich nun ein Cisco 7960G dastehen. Leckeres Teil… :-)

Nach “nur” rund drei Stunden lief dann auch alles, inklusive netzwerkbasiertem Telefonbuch und natürlich dem eigenen Logo. ;-)

Cisco 960G

Die Geräte sind nicht wirklich ein Schnäppchen - die Snom 360 sind eine echte Alternative. Aber vorerst will ich mal ein bisschen herumprobieren, u.a. soll zukünftig das Telefonbuch auf einen internen LDAP-Server zurückgreifen, und Meldungen vom Monitoring per XML-Feed im Telefon angezeigt werden. Mal schauen ob das alles so machbar ist wie ich es mir im Moment vorstelle.

Was bei Cisco schonmal ein absoluter Minuspunkt ist, ist das schwer nachvollziehbare Lizenzmanagement. Neben der separat verkauften SIP-Lizenz kommen nochmal jährliche Wartungskosten (SmartNet) für die Updates auf einen zu. Bis zur Umstellung muss ich also definitiv nochmal die TCO durchrechnen - auch wenn das Gerät selbst einen super Eindruck macht.