Anekdoten

Zurück aus dem Wahlkampf, zurück im Blog.

Unser kommender Außenminister hat sich schonmal für sein neues Amt empfohlen …

In de.rec.fahrrad bin ich gerade drüber gestolpert: Die Maus erklärt doch tatsächlich den Einsturz des Kölner Stadtarchivs (das bei 5:30 und 7:37 im Hintergrund zu sehen ist). Wie Wolfgang Carius vor Ort in de.rec.fahrrad bzgl. einer möglichen Fortsetzung kommentiert: “Da kann die Maus die Problematik mit dem braunen Wasser, was rausgepumpt wird, gut erläutern.”

Vor wenigen Stunden stand ich im Thalia mit Netbook und UMTS-Verbindung und habe online — bei Amazon Bücher bestellt. Das nenne ich Fortschritt.

OK, die Bücher von meiner Liste, die sie auch da hatten, habe ich natürlich vor Ort gekauft … :-)

Nachdem ich Ende Mai etwas hektisch meinen Server umziehen musste habe ich mir etwas mehr Zeit genommen eine Lösung zu finden, mit der ich dauerhaft leben will. Nach etwas suchen und reden habe ich mich dann mit Martin darauf geeinigt, gemeinsam ein Serverchen zu betreiben. Nach ein wenig Suche im Netz sind wir auf Goekal IT gestoßen, die uns auf Anfrage dann ein Angebot für einen XEN-virtualisierten Server gemacht haben, das man nicht Ablehnen kann.

Inzwischen habe ich nun alle meine “gehosteten” Dienste, also alles von mir sowie die Seiten von meinem Chor in Saarbrücken und die von meinem Abi-Jahrgang, umgezogen. Mein Server bei Vanager ist also abgeschaltet und gekündigt.

Was wäre also zum Unterschied zwischen den Systemen zu sagen? Das ist natürlich schwer, von innen sieht beides aus wie ein Debian-Server, und auch wenn mein Gefühl ist, dass die neue Kiste performanter als die alte ist, so habe ich einfach keine echten Tests durchgeführt (und kann es letzten Endes auch erwarten, da es auch einen kleinen Preisunterschied in der Richtung gibt). Aber irgendwie ist es angenehmer, hier zwar nicht mal wieder bei einer Ein-Mann-Firma zu sein, aber doch bei einem sehr kleinen Mittelständler, der sich nach allem, was ich bisher erlebt habe, für die Anliegen des einzelnen Kunden Zeit nimmt, weil eben auch jeder einzelne Kunde wichtig ist …

Gesetzt der Fall, Sie sind ein Paketbote und treffen bei strömendem Regen den Adressaten eines Pakets nicht an. Was machen Sie?

(A) Ich nehme das Paket wieder mit und hinterlasse eine Karte, dass das Paket bei der Post abgeholt werden kann.
(B) Ich lasse das Paket im Regen vor der Haustür stehen.
(C) Ich gebe das Paket bei einem Nachbarn ab, hinterlasse aber keine Karte, damit der Adressat ein lustiges Suchspiel hat.
(D) Ich suche mir im näheren Umkreis eine Mülltonne und entsorge das Paket umweltschonend.

Zum Ende der Mittagspause und kurz bevor ich mich wieder meiner Arbeit zuwende wollte ich doch noch einen Fachbegriff der Informatik notieren, den ich heute vormittag gelernt habe:

Enterprise Software — “Die Software stellt schon unter niedriger Belastung unbezahlbar hohe Hardwareanforderungen.”

Ich habe gerade im Speicher meines Ex-Händis ein Bild wiederentdeckt, dass ich, auch wenn es schon drei Monate alt ist, hier noch mit der Welt teilen wollte. Aufgenommen wurde es an der Grenze zwischen Frankreich und der Schweiz…

Nachdem ich eine Woche offline war, läuft nun fast alles wieder fast wie es soll. Allerdungs war es zwischendurch etwas stressig …

Donnerstag, 22. Mai

Es fing an mit der Frage eines Bekannten am letzten Donnerstag, ob www.drschroeder.info nur aus bestimmten Netzen zu erreichen sei, er habe vorhin Probleme mit dem Zugriff gehabt.

Freitag, 23. Mai

Als ich am nächsten Tag zu Hause meine Mails abrufen wollte, bestand die Störung offenbar immer noch. Aber die Homepage meines Providers KoryPet war offensichtlich auch betroffen und auf deren Status-Seite hieß es bereits, dass man sich um das Problem kümmere. Na dann. Schade um den Ausfall, aber es würde bestimmt alles werden, schließlich hatte ich gute Erfahrungen mit meinem Provider.

Sonntag, 25. Mai

Die Störung war immer noch die selbe, die Status-Meldung aber auch. Langsam wurde es blöd, nicht wegen der Webseiten, sondern wegen der Mails, die ja nicht mehr ankamen. Schließlich wollte ich keine “permanenten Fehler” bei meinen Mails. Andererseits bekam ich mögliche Statusmails meines Providers allein deswegen nicht, weil ich ja im Moment keine Mails bekam. Nundenn, genau dafür hatte ich seit längerem ein Google-Mail-Konto rumliegen, also Anfrage rausgeschickt. Abends wurde dann die Status-Meldung aktualisiert, dass der Technikpartner noch keine Aussage zur Störung machen könne, man aber für den Vormittag mit einer Klärung rechne.
Nunja, erfreulich war das so zwar nicht, aber dass sowas im langen Wochenende mal länger dauert, passiert wohl mal.

Montag, 26. Mai

Der Vormittag kam und ging und selbst am späten Nachmittag hatte sich weder am Status, noch an dessen Meldung etwas geändert. Das Verhalten meines Providers, oder vielmehr das Fehlen eines solchen, war zwar komisch. Aber bei einer kleinen Firma konnte sowas einfach irgendwann mal passieren. Mein Plan war aber trotz allem, meinem Provider treu zu bleiben, sollte dies ein einmaliger Ausrutscher bleiben.

Im Laufe des späten Nachmittags und Abends fing ich also an, per Mail den KoryPet-Support zu nerven, soll heißen: Die Support-Mailadressen mit ein paar Anfragen zu versehen. Am späteren Abend kam mir dann die Eingebung, mal Google zu dem Thema zu befragen, vielleicht gab es ja andere Leute, die mehr Infos zu der Störung hatten. Und tatsächlich, ich fand einen Blog-Eintrag von Christian Meyer darüber, dass VD-Server (das ist der Service von KoryPet) seinen Betrieb einstellt. Zum 31.5. (was meinen Server angeht).

Uff.

Nun, mein Ausfall war ein technisches Problem, das konnte man daran sehen, dass andere Hostrechner von KoryPet noch erreichbar waren, aber jetzt wurde es eng. Andererseits: Ohne den Ausfall hätte ich von dem Abschalten nichts mitbekommen, da die Mail wohl verloren gegangen sein musste…

Also, weitere Mails und noch mehr Druck gemacht. Denn wie das so ist, fehlte mir natürlich ein Backup. Ich war ja gerade erst mit vollem Programm wieder auf diesen Server gezogen (vorher war er als secondary MX und secondary DNS im Einsatz) und hatte Backup zwar auf der ToDo-Liste, aber eben auch nur da. Gleichzeitig bin ich auf die Suche gegangen nach einem Ersatzprovider.

Dienstag, 27. Mai

Da Mails ja nichts nützten, gings neben Mails nun auch per Telefon weiter, aber der Support war nicht zu erreichen.
Später am Tag kam dann eine Mail — erstmal nur eine Frage, ob die Mail durchkam, und dann tatsächlich bis spät in die Nacht ein intensiver Mailwechsel. Offensichtlich waren Mails vorher nicht bei mir auf Googlemail angekommen, weil Google eine Mail einfach nicht annimmt, wenn eine “Weiterleitung und Kopie behalten” eingerichtet ist und die Weiterleitung nicht funktioniert. Lustig. Nun, das hatte ich aus einer Laune heraus in der letzten Nacht deaktiviert und nun ging’s also.

Das Ergebnis des ganzen: Peter Hovorka, der Eigentümer von KoryPet und gleichzeitig — bekanntermaßen — der Mitarbeiter, der den ganzen Betrieb an Laufen hielt, ist wohl leider so erkrankt, dass er die ganze Sache sein lassen muss. (Hierzu habe ich auch detailliertere Informationen bekommen, die ich aber bewußt an dieser Stelle nicht breittrete.) Das in Kombination mit der erforderlichen Abwicklung — von der ich eigentlich hätte per Mail unterrichtet sein sollen — und der Tatsache, dass gerade zwei Hostserver abgeraucht waren, hat die ganze Sache auch von Seiten KoryPets nicht besonders einfach gemacht. Aber Frau Imle, der zweite mir bekannte Kopf von KoryPet, zeigte sich sehr bemüht, dass ich auf jeden Fall noch an meine Daten kommen werde. Allerdings war klar, dass nur einer der beiden Hostserver repariert werden könne, für den anderen würden aber Images der Platten hergestellt werden können.

Nunja, Umzug ist Umzug, und der neue Server bei Vanager war inzwischen auch in Betrieb genommen, nur ohne Konfiguration und Daten.

Mittwoch, 28. Mai

Im Laufe des Tages wurde klar, dass “mein” Host endgültig hinüber war, aber es wurde, wie versprochen das Disk-Image bereitgestellt. Abends konnte ich dann ausprobieren, wie schnell man so Daten und Konfigurationen auf einen Rechner übertragen kann, wenn man unter Streß steht. In der Nacht liefen dann auch wieder alle wichtigen Dienste: Exim, Dspam, Greylistd, Blacklistd, Mailman, Dovecot, Apache. Und das ganze mit den lange schon überfälligen neuen SSL-Zertifikaten. Ok, ein paar Kleinigkeiten fehlen noch, aber im Moment sieht es so aus, als würde alles wie gewünscht laufen.

Fazit

• Es ist nie zu früh für einen funktionieren Backup-Mechanismus. Wenn ich mich in den letzten Tagen über jemanden geärgert habe, dann mehr über mich, als über KoryPet. Das Ersatzsystem hätte ich wohl auch so erst aufgesetzt, nachdem ich von der Betriebseinstellung gehört hatte, es hätte also auch so länger gedauert. Aber wenigstens eine schlaflose Nacht hätte es mir erspart. Ratet mal, was ich für den neuen virtuellen Server als erstes eingerichtet habe… Und mit Rsnapshot sowie einem kleinen Wohnungsserver, der sowieso jede Nacht die Arbeit übernehmen kann, ist das sogar ganz einfach.
• “Bitte rede nicht drüber, mich nervt es am meisten” funktioniert bei den Menschen in meiner Umgebung. :-)
• Gute Besserung, Peter Hovorka! Auch wenn es jetzt ein blödes Ende war: Der persönliche, unkomplizierte, immer freundliche Einsatz bei jedem Problem waren es die Jahre wert.

Schrittweise kommt der Umbau meiner “Server-Landschaft” voran. OK, der Begriff ist etwas übertrieben; auf jeden Fall hatte ich zwischendurch drei virtuelle Server parallel für verschiedene Zwecke mit Ausflügen zu unterschiedlichen Anbietern. Mein allererster virtueller Server von Korypet sollte eigentlich durch billigere und — vermeintlich — leistungsfähigere Mini-Systeme ersetzt werden. Nundenn, andere Anbieter sind sicher auch nicht schlecht, ich für meinen Teil habe mich aber irgendwann entschieden, dass mir die hohe technische Zuverlässigkeit und der schnelle, individuelle Support von Korypet doch wichtiger ist. Und nein, ich habe mit dem Laden nicht mehr zu tun, als dass ich ein zufriedener Kunde bin.

Am Ende soll also nur noch ein Serverchen stehen, über das ich insbesondere ein paar Webangebote betreiben will (neben dieser Seite z. B. noch die Seite von Dr. Schröders a cappella GmbH&Chor KG und meine Mails (und die meiner Freundin und von ein paar wenigen Mailinglisten) abwickeln will. Wobei das Mailsystem für mich zuletzt immer mehr zum Problem geworden war: Durch meinen mit wenig Enthusiasmus konfigurierten SpamAssassin kamen einfach zu viele Spam-Mails durch, soll heißen: Am Tag locker mehr als hundert Stück. Nach einigem hin und her fiel also der Entschluss, SpamAssassin hinter mir zu lassen und eine mehrstufige Lösung einzuführen, hauptsächlich mit existieren Bausteinen:

1. Exim-Prüfungen

Den ersten Schritt übernimmt Exim der einfach bei bestimmten technischen Fehlern, die normalerweise nur Spammer machen, die Beförderung verweigert. Dies ist aber nur eine sehr schwache Verteidigungslinie, die auch schon früher nicht viel gebracht hat …

2. Blacklisting von spammenden IPs ohne Fehlermeldung

In der zweiten Stufe prüfe ich, ob die Mail an einen bekannten Spam-Fänger geht. Davon habe ich einige, da bei mir ja im Prinzip alles ankommt, was an die Domain lithe.de geht und ich davon schon reichlich gebrauch gemacht habe. So gibt es diverse Adressen, mit denen ich mal an Usenet-Abstimmungen teilgenommen habe. Soll nun eine Mail an eine solche Adresse zugestellt werden, merke ich mir sendende IP in einer “Blacklist”, gebe aber in diesem Schritt noch keine Fehlermeldung aus, damit es der Spammer nicht so leicht hat zu merken, welche Adresse bei mir als Spam-Falle verwendet wird. Diese Blacklist hat — nach etwas ausprobieren — einen Timeout von nur einer Stunde, so dass ich nicht zu leicht veraltete Einträge habe.

Für das Blacklisting findet man mit etwas googeln verschiedene Exim-Rezepte, bei denen direkt auf eine MySQL-“Datenbank” zugegriffen wird. Ich habe mir für den Zweck ein kleines Python-Skript geschrieben, das als Dämon läuft, aber mehr aus Interesse, als aus Notwendigkeit.

3. Greylisting

Als nächstes setzt ganz normales Greylisting ein, allerdings mit sehr konservativen Werten:

• Statt der IP wird das /16-Netz genommen, also effektiv die zweite Hälfte der IP abgeschnitten. Das beseitigt Probleme mit Providern die Zustellversuche reihum von verschiedenen Servern unternehmen (“round-robin”).
• Ein zweiter Versuch ist schon zweieinhalb Minuten nach dem ersten Versuch erfolgreich. Da Mailserver üblicherweise nach fünf Minuten den zweiten Zustellversuch unternehmen, verzögern sich Mails kaum.
• Ein zweiter Versuch muss innerhalb von 24 Studen unternommen werden, damit die Daten zum ersten Versuch nicht verfallen. In dieser Zeit sollte jeder Mailserver seinen zweiten Zustellversuch unternommen haben.
• Kombinationen, die einmal erfolgreich durchgelassen wurde, bleiben 100 Tage gültig.

Als Software verwende ich hier den [Debian-greylistd](http://packages.qa.debian.org/g/greylistd.html “Debian: greylistd).

4. Abweisen von IPs auf der Blacklist

Erst jetzt wird eine evtl. auf der Blacklist stehende sendende IP abgewiesen. Eine Idee dabei ist, dass der Spammer zum einen keine exakte Information dazu bekommt, welche Empfängeradresse als Spam-Falle verwendet wird, weil er auch bei diesen zunächst eine Greylisting-Information bekommt und beim zweiten Versuch nach Möglichkeit bei jeder Empfängeradresse eine Fehlermeldung bekommt. Und da spielt dann auch schon die zweite Idee rein, dass der Spammer nämlich, während er bei einer eigentlich erlaubten Mailadresse noch auf das Greylisting wartet, sich selbst ein Bein stellt, indem er es bei einer Spam-Falle versucht und auf der Blacklist landet.

5. dspam

Als letzte Verteidigungslinie habe ich noch dspam im Einsatz: Dies ist ein Spamfilter, der nur nach erlernten Wahrscheinlichkeiten arbeitet (“Bayes’scher Spamfilter”) und nach einem initialen Training relativ wartungsarm ist, da ich ihn nur noch dann weiter trainieren muss, wenn er Fehler gemacht hat.

Ergebnis

So weit zur Theorie, und was bringt es in der Praxis? — Das ganze System ist jetzt schon über zwei Monate so bei mir im Einsatz, und den dspam-Filter hätte ich mir fast sparen können: Die Spamflut ist zwar nicht weniger geworden, aber fast alle bleiben im Greylisting oder im Blacklisting hängen. Dabei hatte ich in dieser Stufe in der ganzen Zeit gerade mal einen Falsch-Positiven, also nur eine Mail, die fälschlich als Spam angesehen wurde (ein legitimer Sender wollte über einen Provider eine Mail an mich senden, über den ich am selben Tag schon eine Spam bekommen hatte) — da ich erst danach die Blacklist auf eine Stunde Gültigkeit verkürzt habe, sollte dieser sowieso seltene Fall sogar noch unwahrscheinlicher werden.

In dspam kommen so am Tage gerade mal noch so viele Mails an, dass ich sie an den Fingern einer Hand abzählen kann: Keine ist nicht selten, eine kommt häufig vor und mehr als fünf habe ich noch nicht erlebt. Dspam fängt davon nochmal gut 80%, wobei er auch knapp 0,5% der legitimen Mails als Spam einstuft — dies kann ich dann aber noch problemlos aus der Quarantäne fischen. Hier bin ich mal gespannt, wie sich das Verhältnis evtl. über die Zeit noch verändert.

Alles in allem hat es sich also sehr gelohnt. Allerdings ist dieses Vorgehen natürlich nur dann sinnvoll machbar, wenn man eine ganze Domain zur Verfügung hat. Auch das Blacklisting dürfte sich ein kommerzieller Provider oder eine kommerzielle Firma in der Härte wohl nicht erlauben können. Für ein Privatsystem kann ich diese Konfiguration aber nur empfehlen…

Wie Spiegel online zu berichten weiß, fällt der Weltuntergang aus. Beruhigend zu wissen. Viel lustiger finde ich aber, dass — laut diesem Artikel — die russisch-orthodoxe Kirche vor “gefährlichen Sekten” warnt.

Das erinnert mich dann doch wieder an einen Sektenbeauftragten der Evangelischen Kirsche von Kurhessen-Waldeck, den ich bei einem Vortrag/Workshop während meines Zivildienstes (damals…) kennenlernen durfte. Der warnte doch allen Ernstes vor Pendeln und Tischrücken, weil dort naturwissenschaftlich nicht haltbare Versprechungen gemacht würden.
Ach was.