Blog: Heinlein Support

Wissen, was gerade passiert.
Aktualisiert: vor 17 Minuten 6 Sekunden

SLAC 2017 – Diesmal mit einem Mailserver-Track

Mo, 20.03.2017 - 11:47

Das Programm der 10. Secure Linux Administration Conference (SLAC) hat bereits deutliche Formen angenommen und bietet allen professionellen Linux-Administratoren wieder ein spannendes Know-How-Update.

Themen-Highlights:

  • TLS 1.3, DevOps, Threat Research, MySQL, PHP Performance, DNScrypt, Samba 4, Check_MK, Security Awareness, AppAmor, Yubikey

Für alle, die unsere Mailserver-Konferenz vermissen, haben wir am 2. Konferenztag einen eigenen Tagesslot nur mit Themen rund um Mailserver geschaffen.

  • cuckoo für Amavis, Outbound Spam Management, Mail Quota mit Dovecot, ActiveSync, CalDAV/CardDAV

Das vollständige Programm inklusive weiteren Vortrags- und Referenteninformationen finden Sie unter Programm der SLAC 2017.

Die Anmeldung läuft – noch sind ausreichend Zimmer im Partnerhotel geblockt.

Wir freuen uns auf ein Kennenlernen und Wiedersehen im Mai!

 

PS: Themenvorschläge für unsere letzten 2-3 Lücken können gern noch per Mail an mail@heinlein-support.de eingereicht werden.

The post SLAC 2017 – Diesmal mit einem Mailserver-Track appeared first on Heinlein Support - Unser Linux-Blog für Admins.

Kategorien: Heinlein

2. Treffen der german CloudStack user group am 02.03.17

Mi, 01.03.2017 - 18:42

Das zweite Treffen der german CloudStack user group findet am 02.03.2017 um 18 Uhr in Dresden statt. Dieses Mal werden auch Gäste von shapeblue mit vor Ort sein und für Fragen zur Verfügung stehen.

Eingeladen sind Administratoren und IT-Verantwortliche, die sich mit der Orchestrierung von IaaS und SaaS-Architekturen auseinandersetzen.

Die Agenda des 2. Treffens:
1. „Introducing CloudStack Community“ – André Walter
2. „CloudStack upgrades best practices“ – Dag Sonstebo
3. „advanced Zone“ – Stephan Seitz

Die german CloudStack user group wurde im letzten Jahr partnerschaftlich von Mitarbeitern der Heinlein Support GmbH in Berlin und der BIT.Group GmbH in Bautzen gegründet.

Weitere Treffen sind zweimonatlich und abwechselnd in Berlin und Dresden geplant.

PS: Im Auto unseres Kollegen Stephan Seitz ist noch Platz. Er fährt um 15 Uhr in Berlin los und abends wieder zurück. – Meldet Euch ggf. gern vorher telefonisch bei uns im Büro, wenn Ihr hier zusteigen möchtet.

 

The post 2. Treffen der german CloudStack user group am 02.03.17 appeared first on Heinlein Support - Unser Linux-Blog für Admins.

Kategorien: Heinlein

Unsere Vorträge auf den Chemnitzer Linux-Tagen 2017

Do, 09.02.2017 - 15:23

Die Chemnitzer Linux-Tage vom 11.-12. März 2017 gehören definitiv zum Highlight aller Linux- und Open Source-Begeisterten und locken mit spannenden Vorträgen, interessanten Ausstellern und einem tollen Social Event nach Chemnitz. Auch Heinlein Support / mailbox.org wird dieses Jahr wieder als Aussteller, Sponsor und auch mit eigenen Vorträgen vor Ort sein.

Wir schätzen die familiäre und unkomplizierte Atmosphäre dieser Veranstaltung und freuen uns sehr auf den fachlichen Austausch. Immerhin 19 Leute aus unserem Team werden mit nach Chemnitz reisen!

Kategorien: Heinlein

Achtung: RBL surbl.org blacklistet teilweise alle IP-Adressen

Mi, 08.02.2017 - 15:20

Seit gut einer Stunde beobachten wir merkwürdige Verhaltensweisen bei der RHSBL-Blackliste multi.surbl.org. Auf einigen unserer Nameserver werden sätmtliche Abfragen nach beliebigen Client-IP-Adressen positiv beantwortet, d.h., die abgefragte Client-IP wäre geblacklistet. In der Folge beginnen Anti-Spam-Systeme, die surbl.org berücksichtigen, Mails verstärkt oder gar komplett abzulehnen. Postmaster sollten handeln!

UPDATE: Ursache war ein absichtlich von SURBL herbeigeführtes False Positive-Listing, um das hohe DNS Query Volumen einiger DNS-Server abzustrafen. Insofern liegt kein unkalkulierbarer Fehler, aber höchst fragwürdiges und unverantwortungsloses Handeln von SURBL vor. Details dazu am Ende des Blog-Eintrages als Update.

Ursache könnten eventuell schief gelaufene Änderungen auf DNS-Servern von surbl.org sein. So beachten wir je nach anfragendem DNS-Server durchaus unterschiedliche Antwortverhalten; hinzu kommt, daß einige DNS-Antworten als authoritative Nameserver von surbl.org DNS-Server nach dem Namensschema „a.surbl.org“, „b.surbl.org“ oder „c.surbl.org“ ausgeben, während andere DNS-Server als authoritative Nameserver Hostnamen vom Typ „ns100.surbl.org, „ns101.surbl.org“ oder „ns201.surbl.org“ gelistet bekommen.

So ist zu prüfen

Postmaster sollten dringend prüfen, ob Ihre Systeme seit einigen Minuten massiv Mails aufgrund des weltweiten IP-Listings ablehnen:

  1. Ein „grep surbl.org /var/log/mail“ (oder mail.log) gibt erste Hinweise
  2. Ein auf dem Mailserver ausgeführtes „dig 1.2.3.4.multi.surbl.org“ darf nicht die IP-Adresse als Antwort 127.0.0.1 liefern (alternativ: „host 1.2.3.4.multi.surbl.org“)
SURBL in Postfix, SpamAssassin, policyd-weight

Postmaster könnten multi.surbl.org als RHSBL direkt in der Postfix-Konfiguration führen: Auskommentieren.

Auch der policyd-weight nutzt per Default SURBL. Für diesen ist es am einfachsten die Verwendung von SURBL auszuschalten, in dem man /etc/policyd-weight.conf wie folgt ergänzt (oder damit anlegt) und policyd-weight anschließend neu startet.

# Als Block in /etc/policyd-weight.conf: RHSBL settings    @rhsbl_score = ( #    'multi.surbl.org',             4,        0,        'SURBL', #    'rhsbl.ahbl.org',              4,        0,        'AHBL', #    'dsn.rfc-ignorant.org',        3.5,      0,        'DSN_RFCI', #    'postmaster.rfc-ignorant.org', 0.1,      0,        'PM_RFCI', #    'abuse.rfc-ignorant.org',      0.1,      0,        'ABUSE_RFCI' );

Im aktuellen SpamAssassin ist multi.surbl.org ebenfalls enthalten. Das Problem sollte kurzfristig dadurch umgangen werden, daß er jeweilige Score auf symbolische 0.001 Punkte gesenkt wird. Dazu wird /etc/mail/spamassassin/local.cf wie folgt ergänzt und anschließend Amavis/SpamAssassin neu gestartet:

# Wegen Unklarheiten in den DNS-Ergebnissen 8.2.17 deaktiviert score URIBL_ABUSE_SURBL 0.001

 

Beispiele für DNS-Abfragen nach multi.surbl.org

Falsch: Jede IP ist geblacklistet:

root@ns-resolver-2:~# host 1.2.3.4.multi.surbl.org 1.2.3.4.multi.surbl.org has address 127.0.0.1

bzw:

root@ns-resolver-2:~# dig 1.2.3.4.multi.surbl.org ; <<>> DiG 9.9.6-P1 <<>> 1.2.3.4.multi.surbl.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9873 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 7, ADDITIONAL: 11 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1450 ;; QUESTION SECTION: ;1.2.3.4.multi.surbl.org.       IN      A ;; ANSWER SECTION: 1.2.3.4.multi.surbl.org. 86400  IN      A       127.0.0.1 ;; AUTHORITY SECTION: surbl.org.              84427   IN      NS      ns100.surbl.org. surbl.org.              84427   IN      NS      ns302.surbl.org. surbl.org.              84427   IN      NS      ns300.surbl.org. surbl.org.              84427   IN      NS      ns200.surbl.org. surbl.org.              84427   IN      NS      ns101.surbl.org. surbl.org.              84427   IN      NS      ns201.surbl.org. surbl.org.              84427   IN      NS      ns301.surbl.org. ;; ADDITIONAL SECTION: ns100.surbl.org.        84455   IN      A       94.228.131.210 ns100.surbl.org.        84427   IN      AAAA    2a00:d00:ff:131:94:228:131:210 ns101.surbl.org.        84478   IN      A       94.228.131.211 ns101.surbl.org.        84427   IN      AAAA    2a00:d00:ff:131:94:228:131:211 ns200.surbl.org.        84463   IN      A       192.42.119.11 ns201.surbl.org.        84478   IN      A       192.42.119.21 ns300.surbl.org.        84474   IN      A       119.9.14.36 ns300.surbl.org.        84427   IN      AAAA    2401:1801:7800:101:be76:4eff:fe18:5c9 ns301.surbl.org.        84478   IN      A       74.208.174.204 ns302.surbl.org.        84478   IN      A       88.208.233.73 ;; Query time: 16 msec ;; SERVER: 91.198.250.2#53(91.198.250.2) ;; WHEN: Wed Feb 08 15:09:14 CET 2017 ;; MSG SIZE  rcvd: 404 root@ns-resolver-2:~#

Richtig: Es gibt kein Ergebnis:

peer@desktop-booster:~> host 1.2.3.4.multi.surbl.org Host 1.2.3.4.multi.surbl.org not found: 3(NXDOMAIN)

bzw:

peer@desktop-booster:~> dig 1.2.3.4.multi.surbl.org ; <<>> DiG 9.9.9-P1 <<>> 1.2.3.4.multi.surbl.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 6240 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;1.2.3.4.multi.surbl.org.       IN      A ;; AUTHORITY SECTION: multi.surbl.org.        180     IN      SOA     dev.null. zone.surbl.org. 1486562958 180 180 604800 180 ;; Query time: 165 msec ;; SERVER: 192.168.100.1#53(192.168.100.1) ;; WHEN: Wed Feb 08 15:10:17 CET 2017 ;; MSG SIZE  rcvd: 101

 

Ursache noch unklar

Was hier genau vor sich geht ist auch uns noch unklar, wir beobachten und analysieren. Ursachen können vielfältig sein und bislang ergibt das gesehene unterschiedliche Verhalten keinen Sinn. Da schnell viele Tausend Mails gebounct werden können sollte jedoch zügig und ggf. präventiv eingegriffen werden bis sich die nächsten Stunden und Tage herausstellt, was dahinter steht.

 

UPDATE: Es war Absicht!

Nachdem wir es uns indirekt gelungen ist Kontakt mit SURBL herzustellen hat sich aufgeklärt: SURBL hatte begonnen einige DNS-Server, die ihrer Meinung nach ein zu hohes DNS-Abfragevolumen hatten, zu „blocken“. Dazu muß man wissen: SURBL ist — genau wie Spamhaus — ab einem gewissen Abfragevolumen lizensierungspflichtig. Allerdings befindet sich SURBL in jedem SpamAssassin Default-Ruleset und wird so von quasi jedem Postmaster unwissentlich abgefragt und eingesetzt, sobald SpamAssassin zum Einsatz kommt. Das berechtigt die Administratoren natürlich nicht zur unlizensierten Nutzung, doch muß SURBL auch klar sein, daß so gut wie nie von vorsätzlicher illegaler Nutzung auszugehen ist.

SURBL spricht davon, die DNS-Server wären „geblockt“ worden, doch genau das hat SURBL leider genau nicht getan. Natürlich hätte man DNS-Abfragen droppen oder — besser — mit einem DNS Access Denied beantworten können. Ebensogut hätte man einfach auf jeden Frage Null-Ergebnisse zurückliefern können. In jedem dieser Fälle wären die Anfragen des betroffenen Providers ergebnislos verlaufen.

Stattdessen hat SURBL auf jede Anfrage jedoch ein positives Ergebnis zurückgeliefert, also für jede angefragte IP die Antwort geliefert, daß ein Blacklisting-Eintrag vorliegt. Das ist genau das Gegenteil von einem „Block“, daß ist geradezu mutwillige Sabotage, denn SURBL muß klar sein, daß damit umgehend massiv bis flächendeckend alle eingehenden E-Mails geblockt werden und Mails und Kommunikation von Zehn- oder Hunderttausenden Nutzern vorsätzlich sabotiert und zerstört wird.

Wir werten das Verhalten von SURBL als absolut verantwortungslos, zumal die betroffenen Provider nicht von SURBL im Vorfeld auf den üblichen Kontaktwegen (whois-Ansprechpartner, Mail an postmaster & Co.) kontaktiert wurden, sondern durch diese Sabotage eiskalt überrascht wurden. Die Konkurrenten von Spamhaus zeigen vorbildlich wie es besser geht, wenn sie überstrapazierende Provider gezielt per Mail kontaktieren und um Erwerb einer Lizenz anmahnen.

Jeder Postmaster muß sich die Frage stellen, ob er SURBL zukünftig in seiner SpamAssassin-Konfiguration & Co. behalten kann; selbst wenn er derzeit nach SURBLs fair use policy zur Nutzung berechtigt ist muß er das Risiko abwägen, zukünftig plötzlich ohne Vorwarnung den Mailverkehr sabotiert zu bekommen, sollte SURBL beschließen das anders zu sehen.

The post Achtung: RBL surbl.org blacklistet teilweise alle IP-Adressen appeared first on Heinlein Support - Unser Linux-Blog für Admins.

Kategorien: Heinlein

10 Jahre Secure Linux Administration Conference – Call for Papers läuft

Fr, 20.01.2017 - 08:54

Dieses Jahr wird gefeiert: Die Secure Linux Administration Conference (SLAC) wird 10 Jahre alt und lädt vom 22. bis 24. Mai 2017 wieder alle Linux-Administratoren zum gemeinsamen Austausch und Know-How-Update nach Berlin ein.

Die SLAC ist die Konferenz, die den professionellen und sicheren Betrieb von Linux-Servern im Rechenzentrum im Fokus hat. In 60-90minütigen Vorträgen bringt sie routinierte Berufsadministratoren auf den neuesten Stand, greift deren Sorgen und Nöte des Admin-Alltags auf und gibt Antworten auf die anstehenden Herausforderungen. Wir erwarten wieder über 100 IT-Experten zum Erfahrungsaustausch und Wissens-Transfer.

Call for Papers

Noch bis zum 28. Februar 2017 suchen wir über einen Call for Papers Vorträge zu allen Themen des sicheren Linux-Serverbetriebs. Unser Aufruf richtet sich an Praktiker, Entwickler und Strategen aus Community, Unternehmen und Behörden. Immer gern gesehen sind Best-Practice-Vorträge.

Kategorien: Heinlein

Linux Notfall-Support

News
Neue Termine: Unternehmens-PKI und MySQL / MariaDB
Es gibt zusätzliche Schulungstermine für die Kurse "Aufbau einer Unternehmens-PKI" und "MySQL / MariaDB für Fortgeschrittene". Wir freuen uns auf Ihr Interesse.
Neue Kurse 2016: Ansible & Kanban
Wir haben in diesem Jahr wieder zwei neue Schulungen im Programm: "Konfigurationsmanagement mit Ansible" und "Kanban für Sysadmins"
Kollegen gesucht - Admin, Consultant, Programmierer
Es gibt viel zu tun - wer packt mit an?