Die waren doch cool.
Kategorien
Kategorie: Blog
Kategorien
1&1 nochmal
Drei Wochen nach der Lösung des kleinen Mailproblems mit 1&1 hat sich jetzt ein „ZyanKlee“ mit einem Kommentar und einem verlinkten Blogartikel gemeldet. Das ist deshalb bemerkenswert, weil er beim Kommentieren von einem Rechner aus dem 1&1-Netz kam.
Er kommentiert hier:
Auf meinem Blog habe ich die Gründe für die Änderungen von 1&1 mal zusammen gefasst. Ich denke, man kann 1&1 keinen Vorwurf machen, wenn sie von anderen Admins erwarten, dass diese die MailServer und DNS-Zonen entsprechend der gültigen RFC konfigurieren, oder?
…und schreibt in seinem Blogartikel:
In vielen Fällen konnte der 1&1-Support den Leuten weiterhelfen: SPF korrekt(!) konfigurieren und / oder den MX record der Absender-Domain auf einen A record zeigen lassen – niemals auf einen CNAME.
Dass die Konfiguration mit dem MX-Record, der auf einen CNAME-Record zeigt, falsch ist, darüber besteht kein Zweifel.
Leider zeigte sich der 1&1-Support mir gegenüber überhaupt nicht hilfreich, und die (ja neu eingeführten) Anforderungen an die DNS-Einstellungen waren auch nicht Dokumentiert. Man hätte ja auch das konkrete Problem in die Fehlermeldung schreiben können, so wie diese Seite es verspricht (auf genau der Seite hat 1&1 übrigens inzwischen die DNS-Anforderungen gut verständlich dokumentiert — das war vor drei Wochen noch nicht so, aber besser spät als nie).
Dann schreibt er weiter:
Mailserver die CNAMEs als MX records akzeptieren verhalten sich nicht RFC-konform und sollten korrigiert oder korrekt konfiguriert werden.
… und das halte ich für falsch. Der Abschnitt 2.3.5 in RFC5321, der Formvorschriften für einen „Domain Name“ macht, impliziert IMHO nicht, dass deren Einhaltung beim Empfang einer Mail zu überprüfen ist; es handelt sich hierbei vielmehr um eine reine Antispam-Maßnahme (mit derselben Argumentation müsste man sonst auch alle Mails mit von Outlook oder Exchange verkorkstem Header-Encoding verwerfen).
Einer der Grundsätze, auf denen die Internetprotokolle aufbauen lautet schließlich „be conservative in what you send, be liberal in what you receive„. Das wird leider viel zu oft vergessen.
Kategorien
Eigentlich sollte man ja die Politiktrolle…
… nicht füttern. Aber der ist zu gut: Internet-Ausweis? Wie soll denn das funktionieren? Wo leg‘ ich den denn vor, bevor ich eine ssh-Verbindung aufbaue? Lässt sich eigentlich irgendein Politiker mal vor so einer Äußerung über die Machbarkeit beraten?
„Diese Computerspieler, das müssen komische Leute sein. Mit denen sollte man sich besser nicht irgendwo blicken lassen. Alles Raubmörderkillerspielkopierer.“ Sowas in der Art müssen sich die Verantwortlichen der SOS-Kinderdörfer wohl gedacht haben, als sie eine kostenlose Spendenwerbeaktion auf einer Computerspielerwebseite ablehnten. Dort kann man jetzt lesen:
[…] Mit der Absicht, die bei uns angezeigte Blinki-Blinki Werbung etwas zu reduzieren und nebenbei noch etwas gutes zu tun, trat ich an die SOS-Kinderdörfer heran, um Werbebanner der Organisation einzubauen. Mit bester Erwartung erhielt ich eine Absage. Warum?
Die bei uns behandelten Spiele seien „menschenverachtend“ und man wolle außerdem nicht mit derartigen Inhalten in Verbindung gebracht werden. Man könnte fast meinen, wir seien eine rechtsextremistische Webseite. Offensichtlich verzichtet man bei den Kinderdörfern lieber auf Spenden (und somit darauf, in Not geratene Menschen zu helfen), anstatt möglicherweise mit so etwas Bösem, wie unserer Seite, in Verbindung gebracht zu werden. […]
(kopfschüttelnd via @ennomane)
Kategorien
Z . . . . .
Großer Spaß bei Nerdcore / René!
Hier kann man sich jede beliebige Webseite mit einem Klick wegzensieren…
Kategorien
Lösung mittels Suchmaschinen
Der 1&1-Support hat auf meine eMail zum Mailproblem geantwortet:
vielen Dank für Ihre E-Mail.
Ihre Anfrage bewegt sich ausserhalb unserers Supportrahmens. Ich empfehle Ihnen daher die Lösung mittels Suchmaschinen.
Wir wünschen Ihnen eine schöne Woche.
Mit freundlichen Grüßen
Ahja. Sehr hilfreich.
Vom 6. Juli an erhielt unser Mailserver in der Arbeit für alle Mails, deren Mail Exchanger mx*.schlund.de oder mx*.kundenserver.de ist, die Fehlermeldung „421 unable to verify sender domain“. Diese Mailserver gehören alle zu 1&1.
Ein Wenig Suche im Web brachte mich auf diese Hilfseite:
- E-Mails müssen den in RFC 2822 definierten Standards genügen. >> http://www.rfc-editor.org/rfc/rfc2822.txt
- Die E-Mail darf nicht direkt an unsere MX-Server aus Dialup-Netzen heraus zugestellt werden.
- Ein Reverse DNS-Eintrag (FQDN) des einliefernden Servers muss vorhanden sein. >> http://de.wikipedia.org/wiki/Reverse_DNS
- Ein sinnvolles und plausibles HELO/EHLO (Format des Anfangs einer E-Mail im Versandprotokoll) im Sinne von RFC 2821 muss gesendet werden. >> http://www.rfc-editor.org/rfc/rfc2821.txt
- Wir prüfen auf Wunsch des Kunden die >> SPF Records. Die Absenderadressen von weitergeleiteten E-Mails müssen daher mittels >> SRS umgeschrieben werden.
- Der einliefernde Server darf kein Open Proxy sein, das heisst, er muss gegen unberechtigten Zugriff geschützt sein.
- Im Fehlerfall geben wir immer eine aussagekräftige Fehlermeldung im SMTP-Dialog zurück. Bitte verfolgen Sie im Zweifelsfall Ihr Log zurück bis zum ersten Auftreten eines Fehlers.
- Wir prüfen verschiedene etablierte RBLs (Blacklistdatenbanken). Sollte eine davon einen Treffer enthalten, gibt der SMTP-Dialog weitere Auskunft.
Nach meinem Dafürhalten sollte die Domain soweit in Ordnung sein:
desenberg:~# host 217.110.66.114
Name: desenberg.advanced-solutions.de
Address: 217.110.66.114
desenberg:~# host desenberg.advanced-solutions.de
desenberg.advanced-solutions.de A 217.110.66.114
desenberg:~# host -t mx as-gmbh.com
as-gmbh.com MX 0 desenberg.advanced-solutions.de
SPF kommt für die Domain nicht zum Einsatz, und alle anderen Sachen (RFC-Formate, kein offenes Relay, keine Einwahlsadresse,…) sind natürlich auch erfüllt. Ich konnte mir die Ablehnung also nicht erklären.
Nach Frage auf twitter sprang mir @Miss_1and1 (die hat sich inzwischen umbenannt) zur Seite, verriet mir eine Support-eMail-Adresse, an die ich schrieb, und das Problem verschwand (wörtlich! Im Moment des Abschickens der Mail an den Support gingen andere Mails auch raus).
Seit vorgestern ist das Problem wieder da (wenn auch diesmal mit einer leicht anderen Fehlermeldung):
"421 invalid sender domain, possibly misconfigured"
Hat irgendjemand einen Tipp, was an den DNS-Einträgen zu beachten ist, damit 1&1 die für „gültig“ hält? Oder spielt 1&1 da nur an seiner Konfiguration rum? Hier stehen inzwischen über 70 Mails an Kunden und Geschäftspartner in 31 verschiedenen Domains in der Warteschlange.
Kategorien
Qype: Pizzaservice Paparazzi in Stuttgart
Ein neuer Pizzaservice im Stuttgarter Westen. Nicht, dass es davon bisher zu wenig gegeben hätte, aber dieser hat ausnahmsweise echte Italiener und einen echten Steinofen (statt so einer Durchlaufheizstrecke).
Dadurch kann man eine wunderbare Pizza schon nach 10 bis 15min abholen (die Liefergeschwindigkeit habe ich nicht getestet, weil ich direkt gegenüber wohne). Mit den Zutaten wird nicht gespart, was in Zeiten von Formschinken und Analogkäse durchaus etwas wert ist: trotz der moderaten Preise gibt es hier richtigen Mozzarella, richtigen Gorgonzola, frische Champignons,…
Im Juli(?) gilt noch das Eröffnungsangebot, bei dem jede Pizza mit 26cm Durchmesser 5€ kostet (die stehen nicht in der Karte).
Mein Beitrag zu Pizzaservice Paparazzi – Ich bin steinhobelgruen – auf Qype
Kategorien
Alles neu, alles schnell
5 Jahre, also mehrere Generationen oder eine halbe Ewigkeit war charon.wazong.de jetzt die Heimat dieser Webseite. Seit vorgestern nun läuft sie auf dem neuen Server; wieder bei Hetzner, wieder ein Rootserver, diesmal ein „EQ4“. Dass das neben mehr Platz (und der Möglichkeit, mehr Dinge auf einmal laufen zu lassen) auch der WordPress-Geschwindigkeit nutzt, das lässt sich sogar messen:
Testbeispiel: https://wazong.de/blog/2006/07/
- charon: Laut Firebug: 98 (http-)Anfragen, 8.05s. — Laut WordPress: 76 (SQL-)queries. 1.463 seconds
- nyx: Laut Firebug: 98 (http-)Anfragen, 4.1s — Laut WordPress: 76 (SQL-)queries. 0.342 seconds
Also: schneller surfen 🙂
Kategorien
Schon wieder Kuchen?
Das Internet macht sowas mit meinem Gehirn dauernd: Erst
bei xkcd, dann
bei Anke Gröner.
Das ist doch Absicht.
Kategorien
Fünf Jahre bloggen auf wazong.de
Heute vor fünf Jahren entstand der erste Blogeintrag auf wazong.de.
Die Domain hatte vorher schon etwas länger existiert und war eigentlich nur für eMail benutzt worden. Jetzt aber zog sie gerade auf einen neuen Server:
Hallihallo,
wie die meisten wohl schon mitbekommen haben hat Exolution — und damit die Heimat des Wazong-Servers (und Quad-Damage und Golgafrincham) — Insolvenz angemeldet. Bevor jetzt niemand mehr an seine eMail kommt habe ich einen Rootserver bei Heztner ( http://www.hetzner.de/ ) angemietet und ziehe jetzt gerade alle Daten um.
Die Maschine ist ziemlich heftig (Athlon XP3000+, 1GB RAM, 160GB HD), und mit 160GB Traffic-Kontingent im Monat sollten wir auch recht wenig Probleme haben.
[…]
schrieb ich per Mail herum.
Es handelte sich bei dem „Beitrag“ eigentlich um eine Kalenderseite in einem Wiki (an das Wiki war ich gekommen, weil ich die Daten aus dem Exolution-Intranetwiki irgendwie „aufbewahren“ wollte). In dem Wiki konnte jeder Seite ein Kalender hinzugefügt werden, der dann automatisch zu den einzelnen Tagen Unterseiten erzeugen konnte; so einen Kalender habe ich also meiner Benutzerseite hinzugefügt und den oben verlinkten Satz aufgeschrieben. Erst zwei Jahre und viele Einträge später habe ich die Natur meines Tuns begriffen und bin mit WordPress auf eine richtige Blogsoftware umgestiegen, angefangen hatte ich aber am 5. Juli 2004.
Hoffentlich gehts noch lange mit mit so viel Spaß weiter…
Auf der A8 sind Baustellen. In Richtung Stuttgart darf man deshalb von Dachau/Fürstenfeldbruck bis Augsburg Ost fast durchgehend nur 80 km/h fahren. Das nervt weniger, als immer wieder für kurze Abschnitte abbremsen zu müssen, denn so kann man mit unserem fliegenden Wohnzimmer einfach entspannt durchgleiten. Gestern nicht. Gestern hatte ich von Adelzhausen bis Augsburg Ost einen großen weißen Bus etwa 5m hinter mir und der ließ sich auch nicht dazu bringen, einfach mal zu überholen [Exkurs: Wie kommt es eigentlich, dass Leute in der Absicht, zu schnell zu fahren (also die Verkehrsregeln zu übertreten), dicht auffahren (also die Verkehrsregeln wieder übertreten) — auf dass der davor gefälligst auch schneller fahre — und sich aber nicht zu überholen trauen, wofür sie doch auch nur eine weitere Verkehrsregel übertreten müssten?]. Nach 10 Minuten nur Nummernschild und Lampen im Rückspiegel ist mir das dann zu blöd geworden, und ich habe zum ersten mal in so einer Situation die Polizei angerufen — und siehe da: die interessiert das überhaupt nicht; wegen nur Verkehrsgefährdung und Nötigung, auch wenn sie gerade stattfinde, würde man jetzt ganz sicher nichts unternehmen, ich könne ja zur nächsten Polizeidienststelle fahren und dort Anzeige erstatten. Das war mir dann auch zu blöd…
Also, lieber AA-D818 von „Omnibus Schmid“ aus Heubach: Glück gehabt!
Kategorien
ssh-Begrenzung – diesmal aber wirklich
Hier hatte ich schonmal versucht, mit iptables und dem recent-Modul, die lästigen ssh-Scanner vom tatsächlichen sshd fernzuhalten. Leider hat das nie wirklich toll geklappt (die „Angreifer“ wurden zwar ausgesperrt, es gelang aber nie, die Sperre automatisch aufzuheben).
Nach zwei bis drei erfolgreichen DoS-Attacken auf unser Firmennetz habe ich mir die Liste der iptables-Module nochmal genauer durchgesehen, ob da nicht was passendes dabei ist — und siehe da; das hashlimit-Modul kann eine Regel auf eine Höchstzahl von Treffern pro Zeiteinheit beschränken. Das liest sich dann so:
#
# keep established connections open
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# enable ssh:
#
# throttle to 2 (3) connections per minute for outsourcing and internet
iptables -N ssh
iptables -A ssh -m hashlimit --hashlimit 2/minute --hashlimit-burst 3 \
--hashlimit-mode srcip --hashlimit-name ssh --j ACCEPT
iptables -A ssh -j LOG --log-level info --log-prefix "SSH scan blocked: "
iptables -A ssh -j REJECT
iptables -A INPUT -p tcp --destination-port 22 --syn -j ssh
iptables -A FORWARD -p tcp --destination-port 22 --syn -j ssh
Das syn-Paket (also der Verbindungsaufbau) wird höchstens zweimal pro Minute durchgelassen, bestehende Verbindungen sind erlaubt. So funktioniert es.
Kategorien
Koinzidenz der Bilder
Während der AK Zensur der SPD vorhält, die Büchse der Pandora geöffnet zu haben, bewirft Spreeblick die SPD mit einer Kiste der Pandora:
(Gerade gesehen: Ich habe die Büchse in dem Zusammenhang selbst auch schon erwähnt.)
Kategorien
Warum ich Verlierer des Tages war…
… und jetzt ZENSIERT bin:
mein Avatar bei Twitter hat sich in letzter Zeit zweimal geändert. Das ist ein (wenn auch winziger) Protest gegen die Beratungsresistenz in Politik und Teilen der Presse, wenn es um das anstehende Gesetz zur Sperrung von Webseiten geht.
Die Politiker betreiben nämlich Wahlkampf mit dem Thema, während die Bildzeitung einfach nur den letzten Warnern unqualifiziert „Pfui“ entgegenruft.
Also: Informieren, dann selber entscheiden!
(heute kann man die Petition „Keine Indizierung und Sperrung von Internetseiten“ noch Mitzeichnen. Es handelt sich inzwischen ohnehin schon um die meistgezeichnete Petition seit der Einführung des e-Petitionssystems, aber jeder weitere Mitpetent erhöht natürlich die Symbolkraft noch)
(und man kann sich hier auch sehr einfach ein eigenes Protestgesicht basteln)
Kategorien
Vom Kumulieren und Panaschieren
Letzten Sonntag waren Wahlen. Neben dem Europaparlament wurden auch die Regionalversammlung und der Gemeinderat neu besetzt. Zu den letzten beiden Wahlen wurden die Stimmzettel schon vorher verschickt und waren ausgefüllt mitzubringen, denn es waren jeweils einige Namen zu lesen; bei der Regionalwahl treten die Parteien mit Listen an, deren Mitglieder jeweils auf dem Stimmzettel aufgezählt waren — man konnte dann aber nur eine der Listen als ganzes Wählen. Zur Gemeinderatswahl hingegen wurde ein ganzer Block von Stimmzetteln geliefert, auf dem je eine Partei maximal 60 Kandidaten auflistete. Man konnte jetzt:
- Einen der Stimmzettel einfach so abgeben, dann bekommt jeder der aufgelisteten Kandidaten eine Stimme.
- Einen Stimmzettel abgeben und den Lieblingskandidaten jeweils 1-3 Stimmen eintragen, eventuell Kandidaten aus anderen Stimmzetteln unten anfügen, dabei aber darauf achten, dass maximal 60 Stimmen vergeben sind.
- Mehrere (oder alle) Stimmzettel abgeben und den Lieblingskandidaten jeweils 1-3 Stimmen eintragen, dabei aber darauf achten, dass maximal 60 Stimmen vergeben sind.
Die Theorie besagt, dass damit beliebtere Kandidaten von einem hinteren Listenplatz nach vorn rücken könnten, so dass die Reihenfolge auf dem Stimmzettel nicht (allein) ausschlaggebend ist. Passiert das denn auch?
Ich habe mir die Stimmen der Kandidaten im Vergleich zu ihrem Listenplatz mal angesehen:
Wie man sieht hat keine der Kurven einen „Zacken“ nach oben, es hat also kein Kandidat mehr Stimmen als der Kandidat, der ohnehin vor ihm in der Liste steht. Da frage ich mich doch, wozu das komplizierte Verfahren gut sein soll? Würde nicht auch ein einziger Wahlzettel reichen, auf dem man jeder Partei 1-60 Stimmen (insgesamt maximal 60) geben kann?
Update: Alles Quatsch, siehe Kommentare.
Kategorien
Symbolische Zahlen
Eigentlich ist 100000 auch keine erheblich höhere Zahl als 97032, aber da morgen eine öffentliche Anhörung zur Petition „Keine Indizierung und Sperrung von Internetseiten“ stattfindet, wäre es symbolisch schon hübsch, wenn das Doppelte der notwendigen Zahl bereits auf der Uhr stünde.
Deshalb schnell heute noch unterschreiben, denn ausgerechnet morgen früh macht das Petitionssystem eine Wartungspause!
(Bild: „Milestones“ von „Anita363“ auf flickr)
Nein, kein Schweinkram:
[flv:/static/blogpic/2009/05/19/pumpe.flv 320 240]
Kategorien
Liebe Politiker…
…und die anderen 92%: Ihr könnt das Internet haben. Wir „Pseudo-Computerexperten“ gehen weg und machen unser eigenes Netz auf (es fällt Euch sicher sowieso nicht auf, wenn wir dabei dieselbe Infrastruktur benutzen) … aber beschwert Euch nicht, wenn in ein paar Wochen eMail nicht mehr richtig funktioniert und/oder alle Windows-Computer komische Sachen machen.
So ein kleines Kind, das die Mutter vermisst, den ganzen Tag zu bändigen ist jedenfalls nicht so einfach, wie man es sich vielleicht vorstellt…
(das ist auch keine Lösung)